1軟件項目風險管理概述
1.1軟件項目風險定義
軟件開發(fā)項目的風險為軟件項目在整個生命周期內,由于受各種環(huán)境的不確定性因素的影響�,實際發(fā)生的成本、進度�、質量等與預期結果的不利偏差��。軟件項目的風險具有以下的幾個特點:第一���,對于項目各組成部分之間的復雜關系,任何個人都不可能徹底地了解�。第二,項目各個組成部分之間不是簡單的線性關系���。第三�,項目時刻處于動態(tài)變化之中����,平衡狀態(tài)即使出現(xiàn)也只能是短暫的。第四���,項目管理者不僅要面對技術和經濟問題��,還要面臨一些非常復雜�、非線性和不確定性極高的問題��。
1.2軟件項目風險管理
軟件項目風險管理是對有關軟件項目��、軟件開發(fā)過程和軟件產品損失的可能性����,它涉及操作過程���、組織過程和合同等相關參數(shù),主要包括資源制約����、外界因素、供應商關系或合同制約的管理���。Boehom認為軟件風險管理指的是“試圖以一種可行的原則和實踐,規(guī)范化地控制影響項目成功的風險����,其目的是辨識、描述和消除風險因素����,以免它們威脅軟件的成功運作。”Hall認為軟件風險管理是對影響軟件項目����、過程或產品的風險進行估計和控制的實踐過程,該實踐圍繞目標設定�����、項目計劃、執(zhí)行����、度量、改進和發(fā)現(xiàn)新信息六大科目展開����。SEI在軟件工程體系中提出軟件風險管理是有關管理威脅開發(fā)軟件產品計劃風險的概念、方法和技術����,包括風險辨識、分析��、監(jiān)控���、減輕和計劃�。具體分成三個知識單元:風險分析�、風險管理計劃和風險監(jiān)控。通過以上軟件風險項目管理的不同觀點���,可以歸納出軟件風險管理是一個為了避免和減小軟件項目失敗的風險���,對軟件風險進行識別�、分析���、計劃���、監(jiān)控的管理過程。
2經典軟件項目風險管理模型
2.1 Boehm體系
Boehm于1991年詳細描述了他的思想體系���,其中把風險管理活動分成兩大階段�,每一階段含有三個步驟:第一階段�����,風險估計階段�����。此階段可分為:風險辨識��、風險分析����,風險排序三個步驟。第二��,風險控制階段�。此階段可分為:編制風險管理計劃,風險解決�����,風險監(jiān)督三個步驟����。每一步驟都備有不少的相關實現(xiàn)技術,例如�,風險辨識中給出了10大軟件風險因素清單。同時還推薦了各個因素的相關處理意見及方法��。從該清單出發(fā)��,經理和工程師們能夠進一步細化風險因素����,并加以評估和化解。
2.2 Charette體系
1989年Charette設計了稱為風險分析和管理的體系����,兩大階段分別為分析階段和管理階段���,每個階段都內含三個過程,風險分析階段分為:辨識��、估計���、評價����;風險管理階段分為:計劃���、控制�、監(jiān)督�����。每個階段內的過程活動并不能完全分離���,有相互重疊甚至交錯反復的現(xiàn)象。Charette同時為各個過程提供了相應的戰(zhàn)略思路�����、方法模型和技術手段,特別在風險的辨識和估計過程中��,其中大多數(shù)是運籌學�、系統(tǒng)科學中的模型應用。
2.3 SEI體系
SEI在軟件風險管理方面作了大量的工作����,1999年前后分別以技術報告和手冊等形式公布了基于分類的風險辨識(TBQ)、連續(xù)風險管理(CRM)�����、軟件風險評估(SRE)�����、軟件采購風險管理成熟度模型(RM-CMM)和團隊風險管理(TRM)��。完整思想是想以TRM為框架��,貫穿CRM思想�����,依托SRE過程,以TBQ等為基本手段���,配合軟件能力成熟度模型(SW-CMM)和(SA-CMM)完成軟件的風險管理��。其中CRM思想如上圖1所示���,SRE過程分為合同簽訂、風險辨識和分析(RI&A)��、中間報告����、緩和戰(zhàn)略計劃(MSP)和終報告5個階段。SA-CMM與SW-CMM類似����,前者是對獲取軟件產品或服務一方組織管理能力的描述,后者是對開發(fā)組織過程能力的描述��。RM-KPA的結構包括目標��、為達成目標的活動和支持活動順利開展的制度化特征�����。其中目標有3個:1)鼓勵項目全體人員參與到所遇風險的辨識和緩和中來�����;2)在所有的項目職責中明確項目團隊軟件采購過程的風險辨識�����、分析和緩和�;3)項目評審已識別出風險的狀態(tài)。
2.4 Hall體系
Hall女士受SEI連續(xù)過程改進和PDCA質量管理方法的啟發(fā)�����,提出了“6-學科模型”(Six-Discipline��,6-D)�����,E代表預想(Envision)�,這是把思想轉換為目標和目的的學科,用于研究軟件產品的遠期規(guī)劃�����;P代表計劃(Plan),是要為軟件目標分配資源的學科�;W代表工作(Work),指生產產品計劃的執(zhí)行����,工作的伴生產品是狀態(tài)和不確定性;M代表度量(Measurement)���,指比較期望值和實際值的學科���,兩個值的差異用于調整項目計劃;I代表改進(Improve)是指從過去的經驗中學習的學科�,它通過分析基準和項目度量結果,找出改進的方向����;D表示發(fā)現(xiàn)(Discover),是指要預知未來的學科��,是通過對工作中不確定性的評價和困惑的思考�����,思考機會和風險的均衡����,預先指導計劃和規(guī)劃的改變。
3軟件項目風險管理模型分析
以上4種典型的軟件項目風險管理體系各有特色���,較早出現(xiàn)的兩套體系(Boehm和Charette體系)偏重于理論結構的完善����,不妨稱為理論體系���,后兩套體系則偏重于實踐應用�,不妨稱為實踐體系����������?傮w來說�����,理論體系結構完整�����,內容完善,并附帶有與結構和內容相配套的不少方法和技術����。體系構建者旁征博引,著重說明了為什么要這樣做的道理�,闡明了如何從其它學科,如運籌學��、決策理論等中借用思想���、方法和工具��。但研究范圍局限于軟件項目的核心風險管理��,研究對象主要是開發(fā)技術風險��,很少論及實現(xiàn)體系思想所需要的保障措施�,基本上只站在開發(fā)商一方討論風險管理問題�����,操作性也顯得不足�,整體上看思想性大于技術性�����,對實施過程中人所發(fā)揮的作用估計不足����,從一定程度上說有理想化的成份����。
Boehm先生一直關注軟件項目的風險管理問題�����,曾提出了圍繞風險管理開展軟件開發(fā)的方法�,即螺旋模型,還從經濟學角度論證了軟件開發(fā)問題��,并引入了構造型成本模型(COCOMO)�。他突出的貢獻之一是建立了軟件風險管理研究領域,提出了頭10大風險清單的風險辨識思想�����,盡管有缺乏動態(tài)性的不足��,但確實對后續(xù)研究產生了很大的影響,只是他的體系在計算風險當量時沒有考慮效用因素���。
Charette先生的體系從結構上看與Boehm體系只在用詞不同���,本質上區(qū)別不大(兩者同在1989年獨立提出軟件風險管理體系)。Charette的體系中認識到了風險的投機性���,也從步驟上強調了對組合風險的評價��。但如何獲取單一風險估計值和組合風險分析效果���,還缺乏可行的手段和措施,在風險的效用問題上只考慮了目標效用��,而沒有考慮到不同項目參與人的效用��。另外���,與Boehm一樣��,也沒有考慮點概率值在實踐應用中的不足��。
兩套實踐體系明顯的特點是考慮到了體系的可操作性��,體系中的理性思考以指導實踐步驟為主要目的����,基本上摒棄了復雜的數(shù)學運算,強調與軟件開發(fā)過程的緊密結合��,強調把劃分好的任務落實到人的重要性��,還繪制出了關鍵的風險管理實用表格��,注意到了風險管理數(shù)據的形成和利用問題���。但為保證復雜體系的一致實施,需要對實施人員進行專業(yè)化培訓��。SEI體系明確提出了軟件采購方在項目風險管理中的地位和作用���,注重發(fā)揮和要求采購方參與到風險管理中來����。該體系基于風險分類結構辨識風險�,組織了194個揭示風險的問題,設計了各項實施措施的場景,有些活動甚至詳細規(guī)定到了需要在多少分鐘內完成�����。為了簡化風險管理的實施成本和實施難度��,該體系將風險發(fā)生的可能性定義為非��?赡�、可能和不可能3種,把風險后果定義為災難性的����、嚴重的、次要的和可以忽略的4級���,兩項因素組合成的風險當量簡化為高�、中和低3檔結果�����,不過這種做法在降低管理成本的同時也降低了管理精度�����。SEI體系的管理步驟多于技術、方法和工具��,沒有涉及到組合風險的處理���,可以看出其主體思想是以簡單的學術背景要求�、方便的日常事務應用�����,再加上嚴格的管理規(guī)定達成IT項目風險管理效果��。所以盡管技術要求不高�,但實施成本不低,因此更適合于大型公司或開發(fā)大型項目時采用����。但不足的是對如何取得預想方案中風險和機會的均衡重視不夠���,基本思路是改進項目管理����,帶動風險管理����,管理范圍仍以核心軟件風險管理為主���。也可以認為上述4套體系歸屬兩個風險管理層次,一個是研究如何辨識���、處理和消除風險的學科����,一個是試圖辨識并采取規(guī)避措施的行為或過程�����。照此理解前兩套體系屬學科層�,后兩套體系屬過程層。以上4套體系總體都偏重解決開發(fā)活動內部的技術風險�����,在風險控制手段上也往往著眼于降低風險發(fā)生的可能性�����,而對如何規(guī)避風險后果措施不多����。
