昨天写了一篇复盘，其中讲到好多关于风险的知识，有同学留言说，能不能也聊一聊风险管理相关的知识。对于风险管理我一直也是一知半解，但还是希望通过本文聊一聊风险管理相关的知识。风险管理贯穿于我们生活的方方面面，比如旅行、生活、人生规划等等。关于PMP中有很大的篇幅在说风险管理，本文主要结合软件项目管理进行风险管理加以说明。

在项目中，做好风险管理说难不难，只要做好图中所示的四步即风险识别，风险分析，风险控制，风险监控，基本可以做到对已知（已知的已知和已知的未知）风险合理管控。

风险识别主要包括确定风险的来源，风险产生的条件，描述其风险特征和确定哪些风险事件有可能影响本项目。风险识别不是一次就可以完成的事，应当在项目的自始至终定期进行。风险识别一般会通过风险检查表，评审会、项目例会识别。在项目管理过程中一般会有以下几个方面引发的风险

（1）时间进度度风险：用户需求发生重大变更及设计计划的大幅调整给测试带来风险，导致进度落后，时间增加、资金投入增加。

（2）对产品认识的风险：对产品质量需求或产品特性理解不准确，造成范围分析误差，出现测试盲区或验证标准错误。

（3）质量目标风险：质量标准不是很清晰，如在产品测试过程中对测试类型定义不清楚，比如增加适用性测试、易用性测试等类型的测试都会导致项目延期风险。

（4）人员风险：在项目开始后，相关人员因故不能及时到位。

（5）环境的依赖性风险：特定环境准备不到位，包括真实环境及仿真环境。

（6）工具风险：能否及时准备相关测试工具，测试人员对新工具无法熟练运用等情况也时有发生。

针对以上风险简单描述几个风险的事例

比如上一篇同样的错误不在发生第二次---5.0.6项目复盘中描述的因为相关接口人请假导致项目延期，就是典型的资源风险；因为双十二导致部分需求不能按时上线，环境依赖风险。

另外对产品的认识的风险也是在项目过程中非常让人头痛的事情，比如因为对项目产品特性理解不到位，导致的需求变更引起的进度延期；对项目产品特性理解不充分，导致漏测或者线上故障等问题。

风险分析：风险分析风险的影响范围及发生概率进行综合评估和分析的过程。主要过程分为定性分析和定量分析

定性风险分析，评估已发现风险的影响和可能性的过程，以根据风险对项目目标可能产生的影响，如需求范围、进度、质量等，对风险进行排序，形成分析按列表，定性分析是定量分析的基础。定性分析更多以来个人经验。定量分析更多基于科学计算。

定量风险分析，通过一些数学方法和统计工具所进行的项目风险分析，量化分析每一种风险可能发生的概率及对项目目标造成的后果，同时分析项目总体风险的程度。 主要分析方法有决策树、净现值等方法。

在风险分析完成后应该初步定义清楚风险责任、可用资源、时间、应对措施等。

风险控制是指在风险发生后，需要对风险进行的应对策略，在风险的应对策略主要有风险规避、风险弱化、风险转移和风险承担等几个原则。

（1）风险规避：通过变更项目计划消除风险或风险的触发条件。

例如，增加资源，或减少新功能等。

（2）风险弱化：将风险事件的概率或结果减低到一个可接受的程度。

例如，选择自动化工具模拟未开发完成的客户端配合服务器端进行测试。

（3）风险转移：不去消除风险，而是将软件项目风险的结果连同应对的权力交给第三方，也是一种事前的应对策略，属于下策。

例如，由产品线侧引发服务端侧上线风险，应在带着风险上线的同时将风险告知产品侧。

（4）风险承担：接受风险、不改变项目计划，而是考虑当风险发生时如何应对，制定应急计划。

例如，上线当晚的服务回滚、上线次日的紧急更新等。

风险监控

风险受到控制后，要及时进行跟踪，监视风险的状况。

例如，在项目执行过程中实施关注监控项目风险是否已经发生、依然存在，或已经消失。如果风险存在，则检查风险的对策或是措施是否有效。

风险跟踪方法有以下几种方法

（1）风险审计，检查监控机制是否得到执行，尤其对项目关键处的事件进行跟踪，对主要风险因素进行跟踪；

（2）风险的再评估，对没有预计到的风险制定新的应对计划；

（3）偏差分析，将项目的实际情况，与计划进行对比，分析质量、成本或时间上的偏差等；

（4）技术指标分析，比较原定技术指标和实际技术指标差异，例如，测试未能达到性能要求、功能测试密度大于历史最高值等；

项目风险贯穿于项目始终，在项目实施中都要时刻关注风险，从而把对我们的影响降到最低。普通工程师和高级工程师的一个能力就是对于风险管控能力，所以不管在项目中，还是生活中，我们每个人都应该时刻关注和合理管理风险，将风险化无形于有形，进行科学管理与规避。

2018年日更第三天  土司阿哈@北京