我说CMM2.0之：风险与机会管理

摘要

风险与机会管理（RSK）在CMMI 2.0版本中已经不仅局限于风险管理，而是增加了机会管理。风险指的是未预料到的负面事件，而机会则是未预料到的正面事件。二者都有一定的发生概率，但都不是确定性事件。

基本理念

风险与机会管理要求在事情发生前就进行管理，而不是事后处理。需要尽早识别和处理风险，并在项目执行过程中持续关注风险与机会。在管理上要权衡成本与收益，不是所有风险或机会都需要预先采取措施。

实践列表

• 识别和记录风险或机会，并持续更新。
• 分析所识别的风险或机会。
• 监控风险或机会并与相关干系人沟通状态。
• 识别并使用风险或机会分类。
• 定义和使用风险或机会分析及处理的参数。
• 制定并更新风险管理策略。
• 制定并更新风险或机会管理计划。
• 通过实施计划中的风险或机会管理活动来管理它们。

通俗解释

风险或机会的识别、记录不要求立即采取应对措施。分析风险或机会时，应考虑严重性、可能性、紧迫性三个维度，并根据优先级制定策略。监控风险或机会以及与干系人沟通是一个周期性的过程。风险或机会的分类有助于合并相似风险的应对措施以节约成本。

风险或机会的分析和解决涉及到三个参数的定义，包括严重性、可能性和紧迫性的具体划分。管理策略涵盖责任分配、管理时机、方法、参数定义等。管理计划应包括缓解措施、应急措施以及机会的创建和应对计划。最后，风险或机会的管理要根据计划实施相应的措施来执行。