软件风险管理是什么？主要内容？

平梵老师表示软件风险管理指的是“试图以一种可行的原则和实践，规范化地控制影响项目成功的风险”，其目的是“辨识、描述和消除风险因素，以免它们威胁软件的成功运作”。 在此基础上，业界对软件风险管理的研究开始慢慢丰富起来，理论上对风险进行了一些分类，提出了风险管理的思路；实践上也出现了一些定量管理风险的方法和风险管理的软件工具。

软件项目风险管理是软件项目管理的重要内容。在进行软件项目风险管理时，要辩识风险，评估它们出现的概率及产生的影响，然后建立一个规划来管理风险。风险管理
的主要目标是预防风险。 软件项目风险是指在软件开发过程中遇到的预算和进度等方面的问题以及这些问题对软件项目的影响。软件项目风险会影响项目计划的实现，如果项目风险变成现实，就有可能影响项目的进度，增加项目的成本，甚至使软件项目不能实现。如果对项目进行风险管理，就可以最大限度的减少风险的发生。但是，目前国内的软件企业不太关心软件项目的风险管理，结果造成软件项目经常性的延期、超过预算，甚至失败。成功的项目管理

IT项目风险评估的方法

一个风险评估与排序的实用模型

摘 要

本文阐述了一个基于简单数学模型的实用且简便的风险评估与排序方法.

什么是风险

风险即是以下三个要素发生的机会:

威胁--事件或行为,一般来自系统外部,可能在某些地方会影响固有的弱点,造成影响.
弱点--系统内部考虑之中的弱点,可能在某些地方受到威胁所利用
影响--短期与长期组织影响,威胁碰巧利用弱点.
由于要求一个或更多的不预测的威胁与弱点的巧合,负面影响发生的可能性是很难确定的.一个系统可能很长一段时间运行有弱点(的程序)而未受影响,直到一些实际的威胁存在或利用它.在给定的时间筐架内一些威胁可能比另一些威胁更可能发生(例如：简单的键盘错误比中断更易发生).类似的,一些弱点可能只在短期内存在(如：当保安从运钞车进入金库时)而别的可能会长期存在(如:银行金库警报系统没有覆盖所有入口点).影响的变化也很大:有些可能使整个组织或系统置于严重的危险之中(如火灾);有些可能会对整体来说无关重要.

保险公司也许有能力去计算某种威胁与弱点存在的可能性并预测可能受到影响的程序,但是，这也是不严密的--或许艺术性多于科学.承保人赌其涵盖了所有风险:尽管给定的事件是不可预测的,但在一定时期的多数事件发生的可能性可以很大的可信度估计,大部分是基于早期的经验.尽管如此,这种手段仍存在着两个重要的问题.一些极度影响事件(如你的首席行政长官遭遇雷击)是很少发生以至人类的本性倾向于忽略这类事件,因此,承保人发现很难以理想的价格去销售相应政策.进一步,新的条件导入新的风险,但经验不足甚至使他们预测更困难.高技术主题的电子商务变化得非常快以至IT专家也要尽力跟起而不致落后.承保人在风险方面做得不比猜测多.

威胁与弱点的特定组合也许仅仅偶尔存在("坏运气"),十分显然,几乎没有弱点与/或威胁的系统就不大可能长期受到影响.另一方面,一个脆弱的系统,一个具有许多大的潜在影响(的系统)更有可能遭到毁坏，这是风险管理的基本点,它本身是任何一个组织完好管理中的重要元素.

管理者一般通过引导通缉资源转向风险缓和的活动如设置合适的控制框架，来寻求减少弱点、威胁与影响。

一个简易风险模型的来源

管理企业远远超过无风险活动。的确，承受可接受的风险（有些可能导致破产）能取得利润。正确管理的关键是知道缓和哪种风险以及何时把握机会。这就是为什么对风险有个良好的认识的重要这所在。在这里，提供一个简单的类数学模型以助计量风险。考虑风险的性质，你将得到如下的公式：

风险=威胁+弱点+影响

表面上看，该公式意味着具有高威胁、弱点或影响的系统是高风险的系统。尽管如此，是威胁与弱点的组合造成影响的存在。而对组织的破坏的程度依赖于一个事件的发生与影响的促使。用数学语言来说，逻辑与计算需要乘积而不是和，如：

风险=威胁*弱点*影响

包含至少两个重要因素（如：高威胁与弱点）的组合能产生比仅具较低或中等水平因素组合更高的风险。任何一个因素降为零风险将降得更大。

计算风险

为了使用模型去计算风险，你得检查与计量各单独组成要素（威胁、弱点与影响）。

最简单的方法是将这三个要素分成高（3分），中（2分），低（1分）或零（0分）。产生的风险分值在0 至27之间。作为替代，你也许宁愿用一个持续的百分数尺。如：

0% 25% 50% 75% 100% 受雷击
+- ---------- -+- ---------- -+- ---------- -+- ---------- -+ 的威胁
人受雷击 建筑物受雷击 被静电击死

使用百分数尺能得到的最大风险计分是1,000,000（100*100*100）。因而能为组织确定风险提供足够的详细（情况）。不论什么量度，过程是一样的。我们比较与对比风险因素，寻求一个企业价值合理延伸。一具厌风险管理者比喜风险管理者更可能估价风险，但是价值延伸应当更广泛地比较。正是这延伸赋予模型其真实的能量，允许我们去给风险排序。

实践中应用风险模型

本模型在实践环节中有许多效用，如风险评估与审计计划程序：

这个过程有两个重要的输出：一个风险排列（对组织管理者是有用的）与相匹配的排列过的审计计划（构造内部或与外部审计师工作）。“定期涮新”提供反映变化的风险因素分值更新的机会，如内部控制环境（养活弱点）的提高或新的市场压力（增加威胁）。

这个程序的理论基础使得计划审计工作与组织风险间的联系更清楚。

类似地，项目风险也能利用该模型评估以形成基本的项目风险管理。项目威胁依靠于项目的性质，但典型的包括政治、经济、社会与技术方面（被称为PEST分析）弱点包括不合适技能，刺激机制，财务或别的资源限制等。项目失败影响一般分为：

过多成本
推迟完成
顾客满意度低
该模型也能被用来联系这些因素与风险是否重要的建议，形成一个管理活动日程。风险计算应当随着取得新信息在项目过程中更新