Microsoft 解决方案框架：风险管理原则 v.1.1

介绍

和 MSF 过程模型一样，Microsoft 解决方案框架 (MSF) 也定义了一个过程，其目的在于持续地识别和评估项目中的风险，区分风险等级，并执行策略，从而提前处理项目生命周期中的风险。¹

本白皮书介绍了 MSF 风险管理原则的基本概念，描述了其原则、概念、指导以及通向成功 IT 项目风险管理的六步过程。阅读完本文档后，有 MSF 使用经验的项目团队应该能够为 IT 项目实现前摄的风险管理过程，而 IT 项目风险管理方面的新手也应该能够了解其基本概念、术语以及在 IT 项目生命周期中参与 MSF 风险管理所需的原则。

在将软件工程协会(SEI)知名的连续风险管理过程模型应用到项目中 ² 的同时，³ MSF 风险管理原则尝试通过 Microsoft 的扩展产品开发经验，以及源于 Microsoft 顾问服务 (MCS) 及合作伙伴的软件开发和部署经验来解释这一模型。MSF 风险管理原则将以项目为中心的风险管理过程进一步扩展，在知识资产恢复过程中结合企业 IT 策略，并将项目生命周期中的所有阶段紧密集成。

在 MSF 中，风险管理是用来提前识别、分析和定位项目风险，从而在其造成损害或损失前将其消灭的进程。

MSF 风险管理原则具有以下几点定义特性：

msf/msrmd11.mspx#top">返回页首

风险基础

项目管理的基本要素之一是控制项目内在的风险。风险始于围绕着项目决策和结果的不确定性。大多数个人将风险的概念和项目中潜在的价值、控制、功能、质量或完成时间的损失联系在一起。然而，项目结果也同样会导致机会最大化增长的失败，而决策作为结果先导，它的非确定性也应该被包含于风险的要素中。在 MSF 中，项目风险被广泛地定义为：任何可能对项目结果产生积极或消极影响的事件或条件。这个范围更宽的投机风险 概念被利用于金融业，投机风险中的不确定性决议可能和潜在收益以及损失相关联，这和纯粹风险 的概念恰恰相反，纯粹风险被利用于保险业，它的不确定性仅仅和潜在的损失相关联。⁴

风险和故障有所不同，因为风险指的是未来的消结果或损失的潜在可能。然而，故障则是当前已经存在于项目中的条件或状态。如果没有被有效地定位，风险可能会转化为故障。在 MSF 中，风险管理是提前识别、分析和定位项目风险的过程。风险管理的目标是让项目风险带来的积极影响（机会）最大化，同时让消极影响（损失）最小化。对于风险的有效策略的理解和管理能一定程度上保证风险和机会间的有效平衡。

信息技术 (IT) 项目拥有创造有效风险管理基础的特征。竞争的商业压力、调整变化以及技术标准发展有时会促使 IT 项目团队在项目中期改变计划和方向。变化的用户需求、新兴的工具和技术、进化的安全威胁以及职工岗位变化都会导致额外的压力。Jim McCarthy 提供的文章说明了这个问题：

“事实上，即使在最成功的软件项目的每一个阶段，都有大量的有用要素是未知的。”（Dynamics of Software Development，1995年，99页）。⁵

返回页首

基本原则

MSF 风险管理原则基于风险必须被提前解决这一理念；它是正式和系统过程的一部分，将风险管理作为积极的工作。此原则构建于作为 MSF 核心的基本原则、概念和做法的基础上。有效的项目风险管理是 MSF 基本原则的关键所在。⁶ 不过，以下原则对 MSF 风险管理原则也是尤为重要的。

保持灵活 — 预测变化

变化是项目团队面临的主要不确定性之一。风险管理工作不应该被限制在项目生命周期的单一阶段。项目团队经常在项目的开始就投入很大的精力来应用风险管理原则，可是随着项目完成所要求的紧密的进度表压力，项目团队也许做不到持续地努力。活跃这个原则，要求项目团队在整个项目生命周期的每个阶段都持续地评估并提前管理风险，原因是项目各方面的连续性变化也意味着风险的持续性变化。前摄方法让项目团队可以接受变化，并防止其向分裂性的，消极的影响发展。

鼓励公开交流

MSF 针对讨论风险提出了一个公开方法，既在团队内使用，又在团队外部使用。所有的团队成员都应该参与风险识别和分析。团队领导和管理人员应该支持和鼓励非过失文化的发展，从而发扬这一行为。对于项目风险公开、诚实的讨论可以带来更多对项目状态的正确评价，而执行管理人员和投资人更富有远见的决策会使整个团队受益。

学习经验

MSF 认为，在学习中保持对持续改进的关注将带来更大的成功。从某一个项目中获得的知识可以减少围绕着决策的不确定性。MSF 强调通过利用项目和风险管理过程一体化来实现组织或企业级项目结果学习的重要性。在鼓励所有团队成员公开通讯的过程中，对从项目结果中获得经验的直接关注也鼓励团队级的学习（互相学习）。

共同的责任，清楚的义务

在 MSF 中，没有人可以“独享”风险管理。项目团队中的每一个成员都有责任积极地参与风险管理进程。在项目进度表及计划中，团队成员个人都被赋予了明确的项目风险定位的责任。积极性可能贯穿于项目及风险管理过程周期的每一个阶段。它包含了个人专家意见或责任范围内的风险识别，并进一步扩展到包含风险分析、风险计划以及在项目推进过程中执行风险控制任务。在 MSF 组队模型中，项目管理角色群的项目管理功能领域对在风险管理工作中组织项目团队负有最终责任，并确保风险管理工作融入该项目的标准项目管理过程。⁷

关键概念

在本章节，我们讨论风险和风险管理的重要概念，这是理解 MSF 风险管理原则的核心内容。

风险天然存在于所有项目或过程中

尽管因项目的不同，风险的多少也各异，但没有一个项目是不包含风险的。项目发起后，组织可以在支持组织目标的过程中实现价值目标。在项目及其环境的周围，往往围绕着很多不确定性因素，而它们将影响到目标的实现。MSF 实施者通过始终紧记风险无处不在的规律，寻求持续在风险和机会中做出正确平衡决议的方法，而不会过于关注如何将风险小消化。

主动的风险管理是最有效的

通过关注以下要素，MSF 采用一种主动的方法来识别、分析和定位风险：

有效的管理绝对不只是通过单纯地处理故障来实现的。项目团队应该致力于提前识别风险，并发展策略和计划来管理这些风险。计划应该包含如何在故障发生时解决它们。预见潜在的故障、提前做出有效的计划可以缩短危机出现后的反应时间，并限制甚至扭转故障发生时带来的危害。

前摄风险管理的定义特性是风险缓解和风险影响缓解。缓解工作可能发生在特定风险目标级别，并瞄准其潜在的直接原因，也可能通过改变根本原因级别（或是改变因果链）来实现。缓解方法在初期是最好的措施，因为这时项目团队还可以及时改变项目结果。

根本原因的识别和修正对企业有着很高的价值，因为修正方法可以带来比个体项目范围更深远的积极影响。例如，在开发或部署项目的过程中，编码标准或机器命名惯例的缺乏可能明显地导致不利的结果，并因此成为增加项目风险的源头。不过，创建标准和指导方针能在企业里对整个项目起到积极的影响，前提是这些标准和指导方针在整个企业里执行。

积极地看待风险识别

有效的风险管理和项目团队对正面临着的风险的正确和全面的理解密不可分。当挑战和潜在损失的数量变得明显时，开发团队可能会对风险管理工作失去信心。一些团队成员甚至会认为识别风险事实上就是寻找破坏项目成功的原因。MSF 则刚刚相反，它认为正是风险识别过程让项目团队可以通过公开化，更高效地管理风险，从而让成功的前景更加明朗。公开、归档的风险探讨将团队成员完全解放出来，通过提供任务、责任和预防工作计划的直接改良，让他们能够更加专注于工作，并纠正错误的方法。

项目团队（尤其是团队领导）应该积极地看待风险识别，从而保证提供关于眼前风险尽可能多的信息。对风险消极的理解可能让团队成员不愿意做风险沟通。项目团队应该营造这样一个环境：员工在识别风险的过程中不需要害怕，只需要诚实地表达尝试性或是有争议的观点。消极的风险环境的例子比比皆是。例如，在某些环境下，报告新的风险被视为捣乱，而反击风险则定位到人而不是风险本身。在这样的环境下，人们通常谨慎地进行风险沟通，然后开始选择性地表达他们准备分享的风险信息，从而避免和团队成员的对质。如果项目团队积极地对待提出风险的团队成员，那么就能创造一个积极的风险管理环境，这样便能更成功地识别和定位风险，而在消极风险环境下工作的团队则刚刚相反。

为了实现项目收益最大化的目标，项目团队必须乐于接受风险。这要求项目团队将风险和不确定性视为创造正面机会的途径，从而通向成功。

持续评估

很多信息技术专家错误地将风险管理理解为必要但却令人厌烦的任务，他们认为风险管理应该发生在项目的开始或是引入新过程的时候。

项目和操作环境中的持续变化要求项目团队有规律地对已知风险的情况进行重新评估，从而修正计划以防止这些风险带来的故障，或者对这些故障做出响应。项目团队同样应该坚持不懈地寻找新的项目风险。应该将风险管理工作集成到整体项目生命周期中，从而适当地修正风险控制计划和工作，而不需要创建一个单独的报告和跟踪基础设施。

保持公开交流

尽管风险通常为一些团队成员所知，但这些信息常常缺乏充分的交流。虽然组织层次中由上至下的信息交流通常十分简单，但是由下至上的信息传递却是相当困难的。无论人们处在哪个层次，都希望了解更低层次的风险，却害怕向上传递信息。有限的风险信息流对项目风险都会是有力的促进，因为它能用甚至更少的信息促进决策。在分级的组织中，管理人员需要鼓励公开交流，并确保每个人都正确地理解风险和风险计划。

先说明，后管理

风险管理面向不确定性影响决策制定工作。标准的风险声明适当地列出了一些不确定性，并鼓励风险的不同解释。清楚的声明可以在以下方面帮助项目团队获益：

MSF 提倡在风险管理计划中注意细节信息，从而最小化风险计划中的执行错误，这些错误可能导致预防工作失效，也可能干扰恢复及纠正工作。

不要简单地根据风险的数量判断情况

尽管团队成员和主要投资人总能认识到风险项目是消极的，但避免简单地根据风险的数量判断项目或操作过程也是尤为重要的。毕竟，风险只是可能发生的事物，而并不是实际的损失或不理想的结果。MSF 风险管理过程提倡使用结构化的风险识别和分析过程来为决策者提供现存的风险信息，以及这些风险的重要性。