SOP018 项目风险管理 v1.00.docxVIP

SOP018：风险管理修改历史版本时间修改说明作者1.002011年2月11日初始版本蒋丹东目录1.0目的42.0适用范围43.0定义44.0职责45.0风险的来源及分类46.0风险等级及评定准则57.0风险管理的规程68.0附件69.0说明7目的本文的主要目的是明确信息系统项目管理中风险的定义、相关职责、来源、分类及等级，以及风险管理的操作规程。适用范围适用于远东宏信有限公司（以下简称“远东宏信”）及控股子公司在自主开发或委托供应商进行的软件开发项目、需求开发等活动。在这些项目的管理活动中，都必须对风险进行分类、定级，以及适时的对风险进行管控。定义项目风险是一种不确定事件或状况。风险一旦发生，会对至少一个项目目标，如时间、费用、范围或质量目标产生消极影响。风险的起因可能是单一原因或多种原因的交织。风险一旦发生，则会产生一项或多项影响。职责信息技术部IT项目经理负责识别信息系统项目管理中的各类风险，给风险评定级别，对风险进行跟踪和监控，以及定期汇报风险状态。需求部门在发生与需求相关的风险（如：需求变更、需求冲突、需求增加等）时，由信息技术部与需求部门协商，视需求的重要程度、优先等级、影响及风险的大小来做处理。风险的来源及分类风险的来源通常情况下，风险的来源包括但不限于：与需求部门的代表沟通不够；不明确、不一致的需求；时间、成本、工作量的估算偏差；不恰当的、难以实现的技术设计；与实际情况不符合的计划；项目范围的变更；人员能力、技术力量、人力数量的不足；供应商及其人员的能力不足；项目成本、费用超出预算；存在不确定的外部依赖等。风险的分类风险可根据其来源、性质和特点分为不同的类别。风险分类的目的，其一是为了识别其根源，其二是便于跟踪和管理。常见的风险分类方法如下：按照风险产生的项目阶段来分：需求风险、设计风险、实现风险、测试风险、交付及上线中产生的风险。按风险的性质特点分：商业风险、技术风险、管理风险、预算及成本相关风险。按风险的来源类别来分：内部风险：指项目内或公司内的风险，如沟通不畅、信息不对称等。外部风险：指外部环境变化、外部依赖引起的风险，比如对第三方库的依赖、采购服务器的到位时间等。按照风险的严重程度来分：高等级风险、中等级风险、低等级风险。风险等级及评定准则风险可以根据其严重程度、影响大小分为三类：严重：会造成较长的进度延迟、严重的质量问题或大的成本超支。一般：会造成不长的进度延迟、一般的质量问题或部分成本超支。轻微：会造成短期的进度延迟、轻微的质量问题或少量成本超支。风险根据其发生的概率即可能性也可分为三类：很可能：风险发生的可能性很高。可能：风险发生的可能性一般。低可能：风险发生的可能性很低。可能性综合风险的影响大小和发生可能性，则可以评定风险的等级：影响很可能可能低可能严重高高中一般高中低轻微中低低风险管理的规程IT项目经理在制订项目计划时，须包括风险管理计划。明确风险管理的机制：风险识别、风险分析、风险处理、风险监控、风险状态报告。在项目从开始到结束的各个阶段，均须及时、有效、全面的识别风险，并在风险跟踪表中记录该风险。为全面的识别风险，须从下述几个来源收集、分析和整理信息：IT项目经理；项目团队成员；需求部门；管理者；外部供应商；项目的其余干系人。在识别出风险后，应分析风险出现的概率、严重性及后果，根据概率及严重性综合评定风险的等级。根据对风险的评级及原因分析，制订风险预防、减缓计划以及应急计划。并更新上述内容至风险跟踪表。通常情况下，IT项目经理应每周更新风险跟踪表，定期发送给应用开发中心总监及部门经理。对于评定为高等级的风险，如影响重大，可视情况需要，进行专项风险跟踪，以日报的形式每天汇报其状态、进展及解决情况。IT项目经理须实施风险的应对措施，并更新风险跟踪表。实施风险的预防措施、减缓措施。如果风险确实发生，则应立即采取应急措施。利用每周风险跟踪表进行风险监控，追踪并监督风险，不断预防风险，纠正行动中的错误、纰漏。风险应持续跟踪直至其解决或消除，以形成管理闭环。风险管理的记录应当予以保留，作为项目管理的文档及历史记录，放入配置管理库中。附件《风险跟踪表模板》说明本规定由信息技术部牵头制定，相关条款由信息技术部负责解释、修订。自公告颁布之日起执行。