1. 风险管理过程
(1)风险管理计划
(2)风险识别
(3)风险定性分析
(4)风险定量风险
(5)风险处置计划
(6)风险监控
(7)风险跟踪
2. 风险管理计划
输入:
(1)服务范围说明书
(2)服务预算
(3)沟通管理计划
(4)组织过程资产
(5)事业环境因素
(6)进度管理计划(必要时)
输出:
(1)方法:IT服务中实施风险管理的办法和使用的工具等。
(2)角色与职责:定义风险管理团队的成员并为成员分配具体任务与职责。
(3)预算:分配资源并估计成本。
(4)制订时间表:定义服务生命周期中风险管理过程的执行时间进度计划。
(5)风险类别:事先准备的常用风险类别,用简单的列表标识不同的风险。
(6)风险概率:定义一个根据风险类别确定风险概率的客观标准。
(7)风险影响力:反映的事风险影响的严重程度。
(8)概率及影响矩阵:根据风险对目标的影响程度,用一种查询表格(影响矩阵)对风险排序。根据风险概率和影响程度,决定风险的高、中、低程度。
(9)报告的格式:如何对风险管理过程的结果进行归档、分析及沟通。
(10)跟踪:记录风险行为的方方面面,并将这些内容进行归档。
3. 风险识别
风险识别是一个不断重复的过程,包括内部因素和外部因素
内部风险可以控制,外部风险只能规避和转移
主要内容:
(1)识别并确定IT服务的潜在风险(汇总风险清单)
(2)识别引起风险的主要因素
(3)识别IT服务风险可能引起的后果(主要为定性分析)
输入:
(1)SLA
(2)范围说明书(含假设条件)
(3)风险管理计划
(4)组织过程资产
(5)环境及组织因素
输出:
(1)风险记录
(2)更新管理计划
方法:
(1)文档审查
(2)信息收集技术
a. 头脑风暴法(缺乏客观性)
b. 德尔菲技术(比较客观但迭代多轮比较慢)
c. 访谈(灵活但需要有所准备)
d. 优势劣势分析法(SWOT分析法)(将风险分为内部+外部)
(3)检查表分析
(4)分析假设(通过假设校验的方法验证有效性)
(5)图解技术
4. 风险定性分析
输入:
(1)风险管理计划
(2)风险记录
(3)组织过程资产
(4)工作绩效信息
(5)范围说明
输出:
(1)按优先级或相对等级排列的风险。
(2)按种类的风险分组。
(3)要近期做出响应的风险列表。
(4)需要进一步分析和应对的风险列表。
(5)低优先级风险的检视表。
(6)风险定性分析结果中反映的“趋势”
5. 风险定量分析
输入:
(1)管理计划
(2)风险管理计划
(3)经过更新的风险记录
(4)包含活动的逻辑关系及活动历时估算的进度管理计划
(5)包含成本估算的成本管理计划
(6)范围说明和范围管理计划
(7)工作分解结构
(8)组织过程资产,如类似的服务,风险管理的专业人员对类似项服务所做的研究成果、风险数据库
输出:
(1)可能性分析:对进度和成本的输出进行估计,列出可能完成的日期和成本
(2)实现成本和进度目标的可能性
(3)已量化风险的优先级列表
(4)定量风险分析结果中的趋势
6. 风险处置计划
输入:
(1)风险管理计划
(2)风险记录
输出:
(1)已识别的风险及其描述
(2)风险责任人及其职责
(3)定性和定量风险分析过程的结果
(4)一致认同的应对策略
(5)执行选定的应对策略所需的具体行动
(6)在应对策略执行后,期望的残留风险水平
(7)风险发生事的预警和信号
(8)风险应对策略所需的预算和时间
(9)时间和成本的应急储备,目的是为干系人提供一定的风险承受能力
(10)启动应急计划的触发条件
(11)风险一旦发生后所采用的回退计划
(12)残留风险
(13)二级风险:执行某一风险应对措施二直接引发的风险
(14)需要的应急储备量:通过风险的定量分析和组织对风险的承受能力来确定
(15)风险相关的合同协议
方法:
消极风险:回避、减轻、转移
积极风险:开拓、分享、提高
7. 风险监控
输入:
(1)风险管理计划
(2)风险记录
(3)工作绩效信息
(4)批准的变更请求
输出:
(1)建议的纠正措施
(2)变更申请
(3)风险记录
(4)组织过程资产
方法:
(1)风险评估:评估新风险 + 再评估现有风险
(2)风险审计和定期的风险评审
(3)差异和趋势分析
(4)技术的绩效评估
(5)预留管理
8. 风险跟踪
输入:
(1)风险管理计划
(2)风险记录
(3)工作绩效信息
(4)批准的变更请求
输出:
(1)风险清单
方法:
(1)风险审计
(2)偏差分析
(3)技术指标分析
