风险管理过程 - 系统工程手册-系统生命周期的过程与活动指南-技术管理过程

1.1 目的

如ISO/IEC/IEEE 15288所述，

[6.3.4.1] 风险管理过程的目的是持续识别、分析、处理和监控风险。

1.2 描述

许多标准、指南和信息出版物涉及风险和风险管理的主题。在某些情况下，特定标准的应用可能由行业法规或客户合同协议强制执行。

由于这些出版物中呈现的风险和风险管理概念与实践存在显著差异，甚至矛盾，因此流程所有者、实施者和风险管理流程的用户必须确保他们对风险管理的理解和方法是充分的、一致的，并且适合于他们的特定背景、范围和目标。

根据E. H. Conrow的定义，“传统上，风险被定义为事件发生的可能性以及事件发生时的负面后果。换句话说，风险是一个潜在的问题——如果可能的话，应该避免，或者如果无法避免，则应减少其可能性和/或后果”（2003年）。

以下是与这种传统风险概念一致的几个定义：

• ISO/IEC/IEEE 16085：2006，系统和软件工程——生命周期过程——风险管理，将风险定义为”事件发生的概率及其后果的组合”，并附有以下三个注释：
  • 术语”风险”通常仅在至少存在负面后果的可能性时使用。
  • 在某些情况下，风险源于可能偏离预期结果或事件的可能性。
  • 有关安全问题，请参阅ISO/IEC指南51（1999年）。

评论：（i）此ISO/IEC/IEEE 16085定义取自ISO指南73：2002，定义3.1.1（已由ISO指南73：2009中的修订定义取代）。（ii）这是在ISO/IEC/IEEE 15288中引用的定义。

作为风险的推论，Conrow将机会定义为”实现事件所需、积极后果的潜力”（Conrow，2003）。考虑机会和积极结果（除了负面结果）作为风险管理过程的组成部分的想法已经得到了一些专家和实践者的青睐。旨在支持这种扩大的风险管理范围的新风险和风险管理概念正在发展。反映这种扩大范围的显著风险定义是：

• ISO指南73：2009，风险管理——词汇，将风险定义为”不确定性对目标的影响”，并附有以下五条注释：
  • 效果是指与预期的偏差——无论是正面的还是负面的。
  • 目标可以有不同的方面（例如财务、健康和安全以及环境目标），并且可以应用于不同的层次（例如战略 ²、组织范围、项目、产品和过程）。
  • 风险通常通过潜在事件和后果或这些的组合来描述。
  • 风险通常用事件的后果（包括情况的变化）和相关发生的可能性的组合来表示。
  • 不确定性是指与事件、其后果或可能性相关的信息、理解或知识的缺失，即使是部分缺失。

根据《项目风险管理实践标准》（PMI，2009），在评估项目风险的重要性时，应考虑风险的两个关键维度：不确定性和对项目目标的影响。不确定性维度可以用”概率”来描述，而影响维度可以称为”影响”（尽管也可以使用其他描述词，如”可能性”和”后果”）。

风险包括两种类型：一是明确的事件，虽然不确定但可以清晰描述；二是普遍的情况，虽然不那么具体，但可能会带来不确定性。项目风险有两种类型，一种是具有负面影响的风险，另一种是具有正面影响的风险，分别被称为”威胁”和”机会”。

过程推动者： 已经发现，组织的结构和文化对风险管理过程的绩效有显著影响。ISO 31000《风险管理——原则与指南》（2009年）概述了一个模型，倡导建立风险管理的原则和框架，这些原则和框架与风险管理过程协同工作。

风险管理过程是一种处理整个系统生命周期中不确定性的有纪律的方法。风险管理的主要目标是识别和管理（采取主动措施）处理威胁或减少企业或组织所提供价值的不确定性。由于风险无法完全消除，另一个目标是在风险和机会之间取得适当的平衡。

这个过程用于理解和避免系统潜在的成本、进度和技术风险，并采取主动和结构化的方法来预测负面结果并在它们发生之前做出响应。组织管理许多形式的风险，与系统开发相关的风险以符合组织战略的方式进行管理。

每个新系统或对现有系统的修改都是基于追求机会。风险始终存在于系统的生命周期中，风险管理行动是根据正在追求的机会进行评估的。

在项目管理中，外部风险常常被忽视。外部风险是由项目周围环境引起或产生的风险（Fossnes，2005）。项目参与者通常对外部风险因素没有控制或影响能力，但他们可以学会观察 ³外部环境，并最终采取主动措施来最小化外部风险对项目的影响。典型的问题包括时间依赖过程、活动的刚性顺序、一个主导的成功路径以及很少的余地。

应对风险的典型策略包括转移、避免、接受或采取行动以减少预期的负面影响。大多数风险管理过程都包含一个优先级 ⁴方案，其中具有最大负面影响和最高可能性的风险会在被认为具有较低负面影响和较低可能性的风险之前得到处理。风险管理的目标是平衡资源分配，使得最少的资源实现最大的风险缓解（或机会实现）效益。

1.3 输入/输出

风险管理过程的输入和输出列于图5.4中。每个输入和输出的描述在附录E中提供。

1.4 过程活动

风险管理过程包括以下活动：

规划风险管理： - 定义和记录风险策略。

管理风险概况： - 建立并维护风险概况，包括风险的背景及其概率、后果、风险阈值、优先级以及风险行动请求及其处理状态。 - 定义和记录风险阈值以及可接受和不可接受的风险条件。 - 定期与相关利益方沟通风险。

分析风险： - 定义风险情况并识别风险。 - 分析风险的可能性和后果，以确定风险的大小及其处理的优先级。 - 为每个风险定义一个处理方案和资源，包括确定一个负责持续评估情况状态的人。

处理风险： - 使用可接受和不可接受风险的标准，考虑风险处理的替代方案，并在风险阈值超过可接受水平时制定行动计划。

监控风险： - 保持风险项目及其处理方式的记录。 - 保持透明的风险管理沟通。

常用方法和技巧：

• 在项目规划过程中（见第5.1节），风险管理计划（RMP）被定制以满足单个项目的风险管理程序。
• 风险管理过程建立了一个文档，作为风险概况进行维护，其中包括每个风险项目的描述、优先级、处理方式、负责人和状态。
• 识别风险的一个经验法则是将每个风险候选者以”如果<情况>,那么<后果>,对于<利益相关者 ⁵>“的格式提出。这种形式有助于确定风险的有效性并评估其大小或重要性。如果陈述没有意义或者不能用这种格式表达，那么这个候选者可能不是一个有效的风险。例如，一个描述了情况但没有描述对特定利益相关者产生影响的后果的陈述意味着潜在事件不会影响项目。同样，一个描述了对利益相关者的潜在后果但没有明确的情况或事件链场景描述的陈述可能没有被充分理解，需要更多的分析。
• 所有人员都有责任使用该程序来识别风险。
• 风险可以根据先前的经验、头脑风暴 ⁶、从类似项目中吸取的教训以及清单来识别。
• 应在项目生命周期的早期和持续进行风险识别活动。
• 记录一切，以便在执行过程中出现不可预见的问题和挑战时，项目可以重新创建做出规划决策的环境，并知道在哪里更新信息以纠正问题。
• 对于发现潜在问题的人员的负面反馈将阻碍参与的利益相关者的充分合作，并可能导致处理严重风险情况。进行透明的风险管理过程，以鼓励供应商 ⁷和其他利益相关者协助减轻风险。有些情况可能难以根据概率和后果进行分类；让所有相关利益相关者参与此评估，以捕捉最大范围的观点。
• 在整个技术过程中完成的许多分析，如FMECA，可能会识别出候选风险元素。
• 风险管理的措施因组织和项目而异。与任何措施一样，使用有助于管理风险的测量分析或统计方法。

经验表明，诸如”积极风险”之类的术语以及将机会定义为风险子集的概念模型 ⁸只会造成混淆。对于受监管标准或客户对风险管理过程和输出要求的项目，在将机会管理与风险管理整合时必须极其谨慎。项目管理协会是获取更多项目风险管理信息的良好来源（PMI，2013）。

2.1 风险管理概念

大多数项目是在不确定的环境中执行的。风险（也称为威胁）是如果发生可能影响项目团队实现项目目标并危及项目成功完成的事件（Wideman，2002）。存在一些成熟的技术来管理威胁，但关于这些技术是否适用于识别机会存在一些争议。在最佳情况下，机会被最大化的同时威胁被最小化，从而获得实现项目目标的最佳机会（PMI，2000）。Øresund大桥案例（见第3.6.2节）说明了这一点，即人工建造的Peberholm岛是由从海峡中疏浚的材料建造的，以满足环境要求，现在已成为一种稀有燕鸥物种的避难所。

风险的测量有两个组成部分（见图5.5）： - 事件发生的可能性 - 如果事件发生，其不良后果

一个不期望事件发生的可能性通常用概率来表示。事件的后果则根据事件的性质（例如，投资损失、性能不足等）来表达。低可能性和低不良后果的组合意味着低风险，而高可能性和高度不良后果则产生高风险。

通过将形容词从”不希望的”改为”希望的”，名词从”风险”变为”机会”，但图表保持不变。正如阴影所示，大多数项目经历的高风险或高机会事件相对较少。

在系统开发中，风险的存在是不可避免的。消除风险的唯一方法是将技术目标设定得非常低，延长计划时间，并提供无限的资金。然而，在现实世界中这些情况都不会发生，没有一个实际的项目可以在没有风险的情况下进行规划。挑战在于定义最能满足整体需求的系统和项目，允许风险存在，并实现项目成功的最高可能性。图5.6展示了四个风险类别之间的主要交互：技术、成本、进度和程序。箭头标签表示典型的风险关系，尽管其他关系也是可能的。

技术风险 —— 系统的技术要求可能无法实现的可能性。系统生命周期中存在技术风险，如果系统可能无法达到性能要求；满足可操作性、可生产性、可测试性或集成要求；或者满足环境保护要求。任何可以用技术术语表达的要求的潜在失败都是技术风险的来源。

成本风险 —— 可能超出可用预算。如果项目必须投入比计划更多的资源来满足技术要求，如果项目必须增加资源以支持因任何原因而延迟的进度，如果必须更改要生产的产品数量，或者如果组织或国民经济发生变化，就会存在成本风险。成本风险可以在整个项目层面或系统元素层面进行预测。元素层面的成本风险的集体影响可能会导致整个项目的成本风险。

进度风险 —— 项目无法达到预定里程碑的可能性。如果对采购延迟的预留不足，就会存在进度风险。如果在实现预定的技术成就（如软件开发）方面遇到困难，也会存在进度风险。对于整个项目的里程碑（如第一个系统元素的部署），可能会产生进度风险。元素级别的进度风险的连锁效应可能会导致整个项目的进度风险。

程序性风险 —— 由项目经理无法控制的事件产生。这些事件通常是由更高权威级别的人员做出的决策引起的，例如项目优先级降低、延迟获得项目授权、资金减少或延迟、组织或国家目标变化等。程序性风险可以是其他三个风险类别中的任何一种风险的来源。

2.2 风险管理方法

一旦确定了风险管理策略和风险概况，三个关键的风险管理过程活动是分析风险、处理风险和监控风险。

分析风险涉及识别风险并评估其相对可能性和后果。这种评估的基础可以是定性的或定量的；无论哪种方式，目标都是设定优先级，并将注意力集中在对项目成功影响最大的风险领域。所有利益相关者和项目人员都应该感到欢迎，为识别和分析风险做出贡献。

如果一个项目是前所未有的，使用优势-劣势-机会-威胁（SWOT）或德尔菲技术进行头脑风暴可能是合适的。然而，大多数项目代表了现有系统或系统元素的新组合，或者代表了技术的增量进步。这意味着可以通过考察类似先前项目的成功、失败、问题和解决方案，获得关键的见解来了解当前项目的风险。所获得的经验和知识，或称经验教训 ⁹，可以应用于识别新项目中的潜在风险，并制定针对特定风险的管理策略。

第一步是确定信息需求。这可能从评估定制计算机芯片开发的风险到识别与主要系统开发相关的风险不等。接下来，系统工程师定义新系统的基线特征，以此作为识别过去在技术、功能、设计等方面相似的项目的基础。根据数据的可用性，选择类似系统或系统元素并收集数据。通常，数据收集过程和初步评估会导致为了比较目的而进一步定义系统。与先前系统的比较可能并不精确，或者数据可能需要调整才能用作未来估算 ¹⁰的基础。期望的输出是基于对类似过去项目的观察，对项目成本、进度和技术风险的洞察。

不确定性通过基于发生可能性和后果严重性的结果分布来描述。如前所述，风险涉及可能结果的可能性和后果。在最一般的形式中，风险分析应捕捉相对于所需项目技术性能、成本和进度要求的结果范围。由于通常缺乏足够的统计数据，风险通常需要主观分析。专家访谈 ¹¹和模型是进行风险分析的常见技术。

风险感知 重要的是要认识到，与风险相关的后果（或影响）的严重性是可能受风险影响的人或群体的属性，而不是”风险事件”本身的属性。换句话说，风险事件的发生对不同的人会产生不同的影响，这取决于(i)他们在发生时的具体情况和观点，以及(ii)他们独特的个人价值观、感知和敏感度。例如，一个人（或群体）可能会受到某个事件或情况的负面影响，而另一个人（或群体）则会受到同一事件或情况的正面影响。这是在赢-输和竞争事件场景中可以预料到的。同样，当两个或更多人们（或群体）受到的影响通常是负面或正面的，至少在他们对影响程度的评估上会有一些变化。一般来说，对于不同个人或群体具有显著差异影响的风险事件，应该被分解为适当数量的独特识别的个体风险陈述，并进一步详细说明，包括受影响的人或群体以及对他们独特的具体影响。

为了实现风险估计的准确性和风险管理工作的整体有效性，基于清晰、明确的风险描述和对可能受风险事件影响的人群的价值和情况的充分理解进行风险估计是非常重要的。在可能的情况下，直接与受影响的个人和群体进行沟通是首选。通过澄清风险事件场景以及更好地定义风险评估标准和评级尺度，通常可以减少感知风险水平的变化。

ISO指南73：2009《风险管理——词汇》将风险感知定义为”利益相关者对风险的看法”，并指出”风险感知反映了利益相关者的需要、问题、知识、信念和价值观。” 利益相关者被定义为”能够影响、被影响或认为自己受到决策或活动影响的人或组织。”

通常，为了定义系统需求、期望和要求（见第4.2节）而咨询的利益相关者也应该被咨询以识别和评估风险。建立并维护利益相关者与风险以及利益相关者与要求之间的可追溯性是一种良好的实践。不引用受风险事件或情况影响的利益相关者的风险陈述和估计应被视为模糊和不完整，或者至少可能不准确。

专家访谈： 高效获取专家判断对于风险管理的整体准确性至关重要。专家访谈技术包括识别合适的专家，向他们询问其专业领域的风险，并量化这些主观判断。其中一个结果是制定不确定性范围或概率密度（关于成本、进度或性能），以用于多种风险分析工具。

由于专家访谈的结果是一系列主观判断的集合，唯一的”错误”可能在于收集数据的方法。如果可以证明收集数据的技术不充分，那么整个风险评估可能会受到质疑。因此，用于收集数据的方法必须得到彻底的记录和辩护。需要经验和技能来鼓励专家以正确的格式披露信息。常见的问题包括识别错误的专家、获得低质量的信息、专家不愿意分享信息、意见改变、得到有偏见的观点、只获得一个视角以及相互冲突的判断。当正确进行时，专家访谈提供了可靠的定性信息。然而，将这些定性信息转化为定量分布或其他度量取决于分析员的技能。

风险评估技术 ISO 31010，风险管理——风险评估技术（2009），提供了大约30种评估技术的详细描述和应用指导，这些技术包括头脑风暴、检查清单、失效模式与影响分析（FMEA）、故障树分析（FTA）、蒙特卡罗模拟以及贝叶斯统计和贝叶斯网络。

处理风险 风险处理方法（也称为风险处理方法）需要为在风险分析工作中识别的中高风险项目建立。这些活动在RMP中正式化。有四种基本的风险处理方法：

1. 通过更改需求或重新设计来避免风险。
2. 接受风险，不再采取任何行动。
3. 通过增加预算和其他资源来降低风险的可能性和/或后果。
4. 通过与另一方达成协议来转移风险，该方在其范围内可以减轻风险。寻找在特定风险领域有经验的合作伙伴。

可以采取以下步骤来避免或控制不必要的风险：

• 需求审查 —— 可以仔细检查那些显著复杂化系统的需要，以确保它们提供的价值与其投资相当。寻找提供相同或类似能力的替代解决方案。
• 选择最有前途的选项 —— 在大多数情况下，有多个选项可供选择。在选择最有前途的替代方案时，权衡研究可以将项目风险作为标准之一。
• 人员配置和团队建设 —— 项目通过人来完成工作。关注培训、团队合作和员工士气可以帮助避免由人为错误引入的风险。

对于高风险技术任务，风险规避是不够的，可以通过以下方法进行补充：

• 早期采购
• 并行发展的启动
• 实施广泛的分析和测试
• 应急计划

高风险技术任务通常意味着高进度和成本风险。如果出现技术困难且任务未按计划完成，成本和进度将受到不利影响。通过提前采购长周期物品和并行路径开发的安排来控制进度风险。然而，这些活动也会导致早期成本增加。测试和分析可以提供支持关键决策点的有用数据。最后，应急规划涉及权衡替代的风险缓解选项。

对于每个经过分析后确定为可信的风险，应创建一个风险处理计划（也称为风险缓解行动计划），该计划应明确风险处理策略、行动触发点以及确保有效执行处理的任何其他信息。风险处理计划可以是风险概况中风险记录的一部分。对于具有重大后果的风险，应制定应急计划以防风险处理不成功。该计划应包括启动应急计划的触发条件。

在中国，当局在上海建造了短距离磁悬浮列车线（见第3.6.3节）作为概念验证。尽管投资高昂，但这比尝试使用未经验证的技术建设更长的线路风险更低。从这个项目中收集到的结果正在激励其他人考虑在更远的距离上采用磁悬浮技术。

监控风险 项目管理使用措施来简化和阐明风险管理过程。每个风险类别都有某些指标，可用于监控项目状态以发现风险迹象。跟踪关键系统技术参数的进展可以作为技术风险的指标。

跟踪技术性能的典型格式是将关键参数的计划值与日历时间绘制在一张图表上。为了进行比较，同一张图表中还包含了一条显示实际达成值的第二条轮廓线。成本和进度风险通过成本/进度控制系统的产品或某种等效技术进行监控。通常，成本和进度差异与计划任务与完成任务的比较一起使用。关于风险管理的主题，存在许多额外的参考资料（AT&T，1993；Barton等人，2002；Michel和Galai，2001；Shaw和Lake，1993；Wideman，2004）。

风险管理过程的范围、背景和目标： 本节描述的风险管理过程是通用的，可以在SE生命周期的任何阶段（见第3.3节）、系统层次结构的任何级别（见第2.3节）或SoS（见第2.4节）中应用。此外，组织可以决定将机会管理（即风险和机会管理）或积极后果管理（除了消极后果）作为一项或多项风险管理过程的一部分。为了提高效率和有效性，风险管理过程的范围和背景应明确界定，并与该过程的要求和期望保持一致。

定义系统及其边界 ISO 31000，风险管理——实施原则和指南（2009年），提供了建立风险管理过程的外部和内部背景的指导和理由。

系统模型（见第9.1节）描述了风险管理过程适用的系统（无论是企业、产品还是服务），可以通过提供关于系统”是什么”和”做什么”的信息，它在不同场景下的行为方式，其边界的定位以及内部和外部接口的定义来促进风险管理过程。系统模型可以极大地增强沟通，并有助于确保全面识别风险所需的全面性。

风险管理过程的范围还包括时间维度。很少有单一的风险管理在整个系统生命周期中，该过程用于处理所有阶段的所有风险。例如，一个产品开发组织可能在开发阶段使用项目风险管理过程，而几年后，不同的组织可能会使用单独的风险管理过程来处理利用和支持阶段。通过定义每个风险管理过程的日历时间和生命周期阶段范围，可以减少差距和重叠的可能性。

风险管理与系统生命周期 一旦从层次结构的角度确定了系统的范围和背景，就可以根据其生命周期来定义和建模系统（及其相关风险）。生命周期早期阶段（探索性研究和概念定义 ¹²）的风险与最终阶段（退役）的风险截然不同。在当前阶段执行活动时，通常需要考虑其他阶段的风险。例如，在评估可处置性概念选项时，应将与退役阶段相关的风险（例如，处理危险废物时的人类暴露）作为风险管理的一部分进行考虑。

在开发、生产、利用、支持和退役阶段遇到的安全风险相关的风险管理活动 ¹³的绩效和输出可能受法规和标准（例如，ISO 14971，医疗器械——风险管理在医疗器械中的应用）或客户合同协议的约束。如有必要，应通过符合监管和/或客户要求的风险管理过程来利用和协调安全分析（见第10.10节）、可用性分析/人机系统集成（第10.13节）和系统安全工程（见第10.11节）等专业工程活动。

2.3 机会管理概念

SE和项目管理都是关于追求一个解决问题或满足需求的机会。机会能够激发在解决概念、架构、设计以及战略和战术方法方面的创造力，同时也包括项目内的许多行政问题。正是这些战略和战术机会的选择和追求决定了项目的成功程度。当然，机会通常伴随着风险，每个机会都有其自身的风险。

必须明智地判断和妥善管理的一系列风险，以实现其全部价值（Forsberg等人，2005年）。

机会代表了提高项目结果价值的潜力。项目冠军（例如，创造者、设计师、集成商和实施者）在追求机会时应用他们的”最佳实践”。毕竟，从事项目工作的乐趣在于做新的和创新的事情。正是这些机会创造了项目的价值。风险被定义为受伤、损坏或损失的可能性。风险是未能按计划实现结果的可能性。每个战略和战术机会都有相关的风险，这些风险会削弱并降低机会的价值。这些是必须管理的风险，以增强机会价值和整个项目的总体价值（见图5.7）。因此，机会管理和风险管理对于规划过程至关重要，并且与之同时进行，但需要应用单独和独特的技术，这证明了这个独特技术管理元素的合理性。

机会和风险分为两个层次。因为一个项目是追求一个机会，宏观层面就是项目机会本身。实现宏观机会的方法和缓解相关项目级风险的措施被结构化为项目周期的战略和战术、选定的决策门、团队安排、关键人员选择等。元素层面包括项目内的战术机会和风险，这些在分解的较低层次以及项目生命周期阶段的规划和执行过程中变得明显。

可以包括新兴的、未经验证的技术；承诺高回报的增量和进化方法；以及绕过经过验证的做法以更好地、更快地、更便宜地交付产品的诱惑。

总体项目价值可以表示为收益除以成本。机会及其风险应共同管理，以提高项目价值。这是基于利用每个机会和减轻每个风险的相对优点。在机会和由此产生的价值的背景下，我们携带备用轮胎来减轻爆胎的风险，通过降低延迟旅行的概率和影响。我们对到达目的地的高度重视远远超过了备用轮胎的小额费用。在决定追求长途汽车旅行的机会时，我们可能会采取额外的风险管理预防措施，例如预防性维护和难以找到的零件的备件。

机会和风险平衡的评估是情境性的。例如，今天很少有人有一辆带多个备用轮胎的汽车（在20世纪初，多个备用轮胎是很常见的做法）。然而，几年前，一个人决定在晚春花整整一个月的时间穿越澳大利亚内陆。他正在寻找荒野中的孤独感（他的机会）。根据有经验的朋友的建议，他带了四个备用轮胎和轮子。他们还告诉他，在30天的旅行中，机械故障的风险非常高，后果几乎肯定是致命的。两辆车同时发生故障的风险是可以接受的低。因此，他通过加入另外两个冒险者来调整绝对孤独的机会。他们开着三辆车出发。每个人都健康地幸存下来，但只有两辆车返回，他的两个”备用”轮胎被崎岖的地形撕裂了。“平衡”的缓解方法证明是有效的。