《风险管理成熟度模型框架(编译稿)(共10页)》由会员分享,可在线阅读,更多相关《风险管理成熟度模型框架(编译稿)(共10页)(10页珍藏版)》请在金锄头文库上搜索。
1、精选优质文档-倾情为你奉上风险管理成熟度模型框架(编译稿)1风险管理成熟度模型成熟度模型被很好地开发和接受,卡耐基梅隆大学的软件工程研究院(SEI)开发了一个软件组织能力成熟度模型(CMM)和一个系统工程组织能力成熟度模型(CMMI)。这些模型定义了增加能力和成熟度的五个等级,分别是起步(第一级)、可重复(第二级)、界定(第三级)、管理(第四级)和优化(第五级)。每一级被清晰地定义和描述,使得组织能够在可接收范围内自我评估。认识到自身的CMM等级,组织能够清晰地设定改进目标,瞄准下一能力和成熟度等级。尽管SEI CMMI很好地建立,但其应用受限于总体的扩散能力。充分应用CMMI模型(包括一个风
2、险管理成熟度模型)需要巨量的资源和整个系统工程流程的一体化。本报告概述的RMMM特别地关注风险管理,并提供一个比正式的CMMI评估更容易实现的不太正式的方法,一个一般性的专注风险的成熟度模型。试图为希望执行正式的风险流程或者改进其现有方法的组织提供帮助。它应该适用于任何行业、政府或商业部门的各种项目和组织。RMMM被设计为一种诊断工具而不是一个用于执行的常规模型。如果组织期望使用成熟度模型,作者建议或者使用EIA/IS-731.1或者使用CMMI-SE/SW于管理系统。RMMM包括估计成熟度的四个等级,与其他模型等级比较如下表所示:表一:成熟度模型等级比较等级RMMMCMMI SE/SWEIA
3、/IS-731.10Ad Hoc特定级Incomplete不完全的Initial起步1Initial起步级Performed运行Performed运行2Repeatable可重复级Managed管理Managed管理3Repeatable可重复级Defined界定Defined界定4Managed管理Managed quantitatively量化管理Measured计量5Managed管理Optimizing优化Optimizing优化RMMM提供了一个框架,允许组织以成熟度的四个标准等级为基准开展风险管理,并概述了过渡到下一等级的必要的活动。在此描述的风险管理成熟度模型(RMMM)为那些希
4、望发展或改善他们的风险管理方法、并为增进其风险成熟度开发行动计划的组织提供了清晰的指引。概要描述了四个RMMM等级,随后是对当前等级的诊断的指引,而且还讨论了发展到下一成熟度等级的战略。2风险管理成熟度模型框架组织风险管理流程的成熟度可被分组,从完全无正式流程到风险管理充分整合组织的所有方面。为了表达这一点,本报告中描述的风险管理成熟度模型(RMMM)提供了四个标准等级的风险成熟度(如图一)。与所有模型一样,预期某些组织可能不完全适合这一分类,但是,RMMM等级充分界定了适用于大部分组织的差异。一般认为,超过四个等级的分类在不对模型给出任何更加精确条件的情况下,将会增加歧义。RMMM等级描述如
5、下:2.1第一级:特定级(英雄崇拜)在特定级,组织不清楚风险管理的需要,而且没有建构方法来应对不确定性,导致每一项目或运营出现一系列危机。如果存在风险管理,管理和工程过程也是重复的和反应性的,也很少或者从不试图从过去的项目中学习,或为未来的不确定性做出准备。从不试图定义项目风险,或者开发减轻风险或应变计划。处理问题的正常方法是在问题发生之后应对而无前瞻性的思考。在危机之时,典型的应对方案是放弃计划并从好的方面着想。项目成功依赖于有一个优异的管理者和一个成熟和有效率的团队。有时候,在项目期间,有能力而且强势的管理者能够识别并根据减轻风险的原则行事;但当他们离开时,他们的影响也随之而去。甚至,一个
6、强有力的工程过程不能克服风险管理实践的缺失所带来的不稳定性。尽管这一应对危机管理的混沌过程,第一级组织常常开发有效的产品,即使他们通常超过他们的原始预算和计划,甚至不包含所要求的全部原始功能。第一级组织的成功依赖于组织中的人们的个人能力和英雄主义,除非新的项目被分配给同一个人,否则成功不可能再现。因此,在第一级,能力是个人特征而非组织特点。注意到,在这一成熟度模型中,最困难的一步是从第一级进入第二级。因为所有的管理程序和活动必须重新组合,也可能是由于缺乏对需要变革的理解。一个特定级的组织可能缺乏对存在问题的任何感觉或认识。在成熟度的更高级别,组织和项目管理对不确定性更加清晰,而且能够采取任何必
7、要的减轻或者临时行动。这一清晰度使得管理能够在某些事情走入歧途之前采取行动,或者在某些事情走入歧途时有合适的应对计划。成熟度级别的差异也可描述为精确地识别和前瞻性地应对不确定性的能力。当组织提升成熟度级别水平时,风险识别变得更加准确,而且必须的减轻/临时行动变得更加清楚。2.2第二级:起步(试用)在起步级,组织试验应用风险管理,通常通过在特定的项目中少量被任命个人实施。在这一级别,组织是非正式的或者适当地构建风险管理过程。在某些级别,尽管组织意识到管理项目风险的潜在收益,却没有有效地执行组织范围的可执行流程。某些项目,包括任命人员,从过去的错误中吸取经验教训,然而,不存在可执行的方法以提供学会
8、所有组织项目的课程。风险管理在这一点上可被描述为组织共同经验的结晶的开端。组织意识到能够从过去的错误中吸取经验教训,但知识仍然不是成型的,也没有任何结构以保证其一以贯之地应用于组织的全过程。2.3第三级:可重复(计划工作,按计划工作)在可替代级,组织在常规业务流程中执行风险管理,而且全部在大多数项目中执行风险管理。一般性的风险政策和流程已经是成型和范围广泛的,而且组织的各个层级都清楚其益处,尽管他们不可能始终如一地在所有的案例中实现。计划和管理新项目是基于同类项目的经验。风险管理能力由于在项目上的基本的风险管理训练而增强。通过已经被定义、文件化、实践、培训、测量、强制实施和改进的流程,项目执行
9、风险管理。所有的项目有一个指定的风险经理。对于小项目,项目经理和风险经理的角色可能由同一个人担任,但对于较大的项目风险经理与项目经理是完全分开的。在第三级的项目做出基于对以前的项目和对当前项目已识别的风险的评价结果的可行的项目承诺。项目风险经理跟踪成本、日程安排、功能性和质量,以及被识别的满足承诺过程中的出现问题。项目风险经理与其客户和分包商(如果有)一起建立一个有效的顾客供应商关系。在第三级组织中,风险管理流程在不同的项目之间可能会有区别。对实现第三级的组织的要求是存在组织层面的政策,以指导项目建立适当的管理流程。具有第三级风险管理能力的组织可被概括为训练有素的,因为项目的计划和跟踪是稳定的
10、,而且早期的成功经验可被重复。项目的风险管理流程受项目管理系统、基于前期项目的绩效的可行计划的控制。2.4第四级:管理(衡量工作,使衡量产生效果)在管理级别,组织已经建立了风险意识(而不是风险规避)文化,要求对组织各个方面风险进行管理的前置方法。风险信息不断被发现、积极用于改进组织流程以及增加项目和运营成功的可能性。标准的风险管理流程用书面文件表述并用于整个组织。在第三级确定的流程被应用(在合适时候被修改)以帮助组织的项目和运营管理者以及技术团队更有效地履行职务。组织内的一组员工被任命承担风险管理职责,这一正式任命提供了一个在项目沟通渠道或运营管理结构之外的组织管理的非正式沟通渠道。一个组织范
11、围的培训计划被执行以确保团队和管理者具有履行它们指定的角色所需的知识和技能。项目适应组织的标准风险管理流程和工具,已开发利用它们自己定义的说明项目的独有的个性的流程,这些流程是用于履行项目活动。一个定义的风险管理流程包括一系列连贯的、整合的、清晰可辨的风险辨识、评估、处理和监控工具和流程。一个清晰的流程可被描述为包括确定的准则、输入、履行工作的标准和程序、核查机制、输出以及执行准则。因为风险管理过程被很好地定义,管理部门能较好地观察项目或有运营的风险及其潜在影响。第四级组织的风险管理流程能力可总结为标准和持续,因为活动是稳定的、可重复的。在建立的产品线内,成本、日程表、功能性和质量风险是清晰的
12、、受控的,而且风险降低状况可追踪。这一流程能力是基于对一个确定的风险管理流程中的活动、职责以及责任的一般性的、组织范围的理解。开发最佳风险管理实践的变革是贯穿于组织之中的识别和转移。在第四级组织中的风险管理团队不断地分析过去项目的结果以测定准确的风险识别与实际的影响和原因。他们传播来自于组织的经验和教训。3确定组织成熟度等级每一风险管理成熟度模型(RMMM)等级的简要描述可表明,组织可根据风险流程的相对成熟度确定其位置。但是,对于风险管理流程成熟度的目标和持续评估,还需要更加详细的判断工具。表二介绍了特定组织在每一RMMM等级的基本特性,它通过文化、流程、经历和实际应用等四个方面来说明。这一突
13、破使得组织能够以清晰的标准自我比较,这一标准被许多专业的风险管理组织所接受,并用以评估其现行的发现成熟度等级。我们承认,某些组织可能横跨相继的RMMM等级之间的边界,但等级之间的间隔就是如此,在更多的案例中应该有清楚的区分,而且已经证明更多的组织被确定在单一等级是可行的。成熟度等级表中提及的特性范围在确定组织的成熟度等级类别时被执行。明确的特性的执行范围被评估:l对执行作出承诺(政策与领导力)l执行的能力(资源与培训)l执行活动(计划与程序)l衡量与分析(评估与状态)l执行结果的评价(监督与质量保证)表二:风险管理成熟度等级第一级:特定级(Ad Hoc)第二级:起步级(Initial)第三级:
14、可重复级(Repeatable)第四级:管理级(Managed)定义未认识到不确定性(风险)管理的需求;未构建处理不确定性的方法;重复和反应性的管理流程;很少甚至从不试图从过去的项目中吸取知识,或者为未来的项目做准备。试着通过少数的个体来实施风险管理;没有在适当指出构建方法体系;意识到管理风险的潜在收益,但未有效地实行。不确定性管理成为所有组织流程的一部分;风险管理在大部分或所有项目中实行;规范化一般风险流程;了解所有组织等级的益处,尽管不一定稳定地实现。具有在组织各个方面的风险管理的前置方法的风险意识文化;积极运用风险信息改进组织流程并获得竞争优势。文化没有风险意识;没有高层翁管理人员参与;
15、抵制/不愿意变革;甚至在项目失败的形势下仍然趋于继续现有流程;猎杀信使。风险流程可能被认为是具有或有收益的额外费用;高层管理者鼓励但不要求运用风险管理;风险管理仅仅用在经过选择的项目上。公认的风险管理政策;认识到并期望风险管理的利益;高层管理者要求风险报告;为风险管理提供专用的资源;“坏消息”风险信息被接受。自上而下的致力于风险管理,包括领导层;高层管理人员在决策过程中采用风险信息;鼓励和奖赏前置的风险管理;组织哲学接受人会犯错误的观点。流程没有正式的流程;没有风险管理计划或成型的流程存在;从不或者偶尔尝试使用风险管理准则;仅仅在顾客要求时尝试应用风险管理流程。没有一般性的正式流程,尽管可能使用某些具体的正式方法;流程的效果严重依赖于项目风险小组的技能和外部支持的有效性;全部风险管理员工都在项目之中。一般性流程应用在大多数项目中;正式的流程成为质量体系的一部分;所有层面都主动配置和管理风险预算;对外部支持有有限的需要;风险度量被汇集;关键供应商参与风险管理流程;从非正式沟通渠道到组织管理。基于风险的组织流程;风险管理文化贯穿整个组织;定期的流程评估与精炼;例行的风险度量被用于改善的持续反馈;关键的供应商和客户参与到风险管理流程;从直接的正
