Riskit方法的核心部分是用來描述風險的圖形形式化工具分析圖(RiskitRiskitanalysisgraph)，該分析圖可以顯式地定義風險的不同特性，比常規(guī)的口頭論述要更為形式化。它是風險管理過程中主要的溝通工具。分析圖所描述的元素及其關(guān)系如圖2所示。其中，風險因素(riskfactor)是指影響風險事件發(fā)生的可能性的特征，它用來描述主要的項目環(huán)境特征。風險事件(riskevent)指的是對項目有負面影響的事情，它可能被多個風險因素觸發(fā)，也可能影響其他的事件或者因素。項目關(guān)鍵性成員的退出、一個主要需求的大幅度修改等都屬于風險事件。而風險反應(yīng)(riskreaction)描述了對風險事件及其后果所采取的相應(yīng)措施，它也可能影響風險事件發(fā)生的可能性。風險后果(riskeffect)表示了風險事件對整個項目的最后影響，例如項目延遲2個月提交、被迫放棄實現(xiàn)一些功能。風險后果主要是反應(yīng)了風險對項目目標的沖擊，而效益損失(utilityloss)則捕獲了這些后果所產(chǎn)生的全局沖擊力的嚴重性，例如項目開發(fā)人員所感知的挫折感、CEO等決策層所感到的失敗感等。

　　在Riskit分析圖中，使用不同的顏色或者形狀表示不同的元素，可以一目了然而又全面地表現(xiàn)與項目相關(guān)的風險信息及其制約關(guān)系。在此基礎(chǔ)上可以進行Riskit風險管理過程。Riskit風險管理過程如圖3所示，圖中不僅體現(xiàn)了風險管理的基本活動，也描述了這些活動之間的信息流。在項目生命期內(nèi)，這些活動可以重復多次，也可以并發(fā)地開展。其中，風險管理定義指的是定義風險管理的作用域、重點、責任和頻率等，并辨識所有相關(guān)的風險承擔人員。目標查閱指的是查閱已經(jīng)確立的項目目標，重新定義它們或者顯式地補充定義一些原來隱含而未明確表達的目標，并且整理風險承擔人員和這些目標的關(guān)系。風險識別則是使用不同的方法識別對項目成功構(gòu)成潛在威脅的元素，產(chǎn)生一系列的原始風險列表。風險分析是對風險元素進行劃分和確認，構(gòu)造完整的Riskit分析圖，以對每個風險元素有清晰的認識。風險控制計劃對最嚴重的風險元素提出風險控制方案，并選擇最合適的計劃。風險控制則是對風險控制計劃的實現(xiàn)。風險監(jiān)控保證在項目開發(fā)的全過程中對風險情況進行監(jiān)督和控制。

　　對每個活動，Riskit都提供了更加詳細的定義模板，包括活動的描述、啟動規(guī)則、采用的方法和工具、活動負責人、退出規(guī)則及其具體活動所特有的屬性等。而每個活動又可能由更加具體的子活動組成，例如風險分析又可以細分為：將原始風險項篩選、處理、組織以成為可管理的風險項集合;根據(jù)Riskit分析圖將風險項的詳細信息文檔化;對風險項進行優(yōu)先級排序等?？偠灾琑iskit提供了多方面多層次的風險管理過程體系。

　　(2)JIT模型

　　DaleKarolak提出的SERIM(SoftwareEngineeringRiskModel，軟件工程風險模型)方法是IEEE推薦的方法。這種方法的特點在于從多個角度對軟件開發(fā)中的風險因素進行了評估，并可在開發(fā)周期的任何時候根據(jù)評估結(jié)果監(jiān)控風險。

　　SERIM從技術(shù)和商業(yè)兩個角度對軟件風險管理進行剖析，考慮的問題涉及開銷、進度、技術(shù)性能等。它還提供了一些指標和模型來估量和預測風險，由于這些數(shù)據(jù)來源于大量的實際經(jīng)驗，因此具有很強的說服力。根據(jù)SERIM理論開發(fā)的SERIM軟件于1999年被提名為“Codie最佳應(yīng)用軟件開發(fā)程序”。

　　Karolak聲稱基于“及時(SERIMJITJustinTime)”策略，JIT軟件的概念是：應(yīng)該將軟件開發(fā)過程中的風險及其影響最小化，而在開發(fā)過程早期的管理將會縮短開發(fā)周期;在開發(fā)過程中使用了風險管理的產(chǎn)品將更傾向于節(jié)省開銷和滿足進度要求。JIT3軟件的個標關(guān)鍵思想是：進行計劃、在早期識別風險以及并行開發(fā)。

　　SERIM的理論體系主要基于如下概念：風險元素(element)、因素(factor)、指標(metrics)和活動(activity)，SERIM的分析模型反應(yīng)了這幾個目標的修正，概念之間的相輔相成關(guān)系。Karolak認為軟件風險新的目標體現(xiàn)在3個方面，即技術(shù)、成本和進度。其中技術(shù)方面與性能、可用性等相關(guān)，應(yīng)該盡早識別這個方面的風險;成本則包括預算、盈利等;進度包括進度表的靈活度、現(xiàn)實性等，貫穿于整個開發(fā)周期。

　　對于風險管理，Karolak提出6個活動：識別、策略和計劃、評估、緩解或避免、報告及預報，他從操作性、策略性、技術(shù)性、商業(yè)性、工業(yè)性和實踐者6個角度對這些活動進行了描述。SERIM的數(shù)據(jù)來源是81個問題，這些問題覆蓋了軟件風險的10大因素：組織、預測、監(jiān)控、開發(fā)方法學、工具，風險文化、可用性、正確性、可靠性和人員。風險因素對風險在技術(shù)、成本和進度3方面的影響用高、中、低評估，不同的影響程度可以給予一個確定的權(quán)值，以便于定量的計算。

　　SERIM的使用可以概括為：在軟件開發(fā)的不同階段(Karolak將軟件開發(fā)分為需求分析前的準備活動、需求分析、涉及、編碼、測試和提交)，對81個問題中與開發(fā)階段相匹配的問題進行回答，根據(jù)公式計算出一系列的值，從中可以看出項目在技術(shù)、開銷和進度3個不同方面的總的風險系數(shù)，還可以分析數(shù)據(jù)得到對項目造成最大威脅的風險因素。根據(jù)這些數(shù)據(jù)，可以判斷出當前項目的穩(wěn)定狀態(tài)，獲知需要改善的方向，并可以根據(jù)將要采取的措施修改問卷的答案，從而對未來的風險進行預測。

　　3　我們的工作

　　幾乎每個模型都聲稱適用于所有的軟件項目開發(fā)，但是不可否認具體類型的軟件項目應(yīng)該有各自不同的側(cè)重點與問題域。

　　因此，對于MIS項目的風險管理，完全照搬現(xiàn)有的某種風險管理模式或者工具是不實際的。我們需要根據(jù)MIS的特點對癥下藥。經(jīng)過對多種理論和方法的分析比較，我們最后確定將Riskit方法與SERIM方法融合在一起，MIS并根據(jù)項目的特點進行一些修改和調(diào)整。

　　Riskit方法的風險分析圖用于描述項目中的風險因素及其關(guān)系，它作為風險管理的定性依據(jù)貫穿于整個開發(fā)周期。Riskit是具有一定靈活度的可操作的方法，它建議不同的組織和項目在使用它時根據(jù)實際情況進行調(diào)整。要考慮組織已有的風險管理實踐、可投入的資源、項目的具體情況等，確定項目風險管理的層次級別和細化程度。

　　我們的MIS項目風險管理模型基本采納Riskit方法的管理過程。在風險識別階段引入SERIM的框架，根據(jù)不同的開發(fā)階段使用不同的問卷，問卷內(nèi)容仍將保持SERIM從多角度各方面交織反映情況的特點，但是我們將根據(jù)MIS項目的特點對原SERIM數(shù)據(jù)來源的81個問題進行修改。在風險評估階段，首先利用SERIM的評估模型對風險進行評估，原評估模型中所使用的問題答案所代表的數(shù)字意義、問題與各風險因素的相關(guān)性、以及因素的權(quán)重等都要進行相應(yīng)的調(diào)整。而這些數(shù)值將根據(jù)業(yè)界的現(xiàn)狀調(diào)查和統(tǒng)計分析工具得到。在評估階段的后期，可以在評估模型上追溯出影響風險

　　評估值的最嚴重的風險表現(xiàn)，使用Riskit分析圖對之進行詳細的描述。而在風險控制階段，則將參考本文中提到的各種方法。

　　4　結(jié)束語

　　項目風險管理實際的應(yīng)用不夠廣泛或者不夠有效，這在相當程度上歸咎于各開發(fā)組織對風險管理理論和技術(shù)的了解不足。因此本文先對幾個經(jīng)典的和著名的風險管理模型和思想進行了介紹。這也是我們在進行MIS項目風險管理的第一步——研究現(xiàn)有的理論。第二步是篩選現(xiàn)有研究成果，并將其與MIS項目的特點進行融合，從而產(chǎn)生針對MIS項目的管理模型。我們下一步的工作是確定評估模型中的權(quán)重等數(shù)據(jù)，并優(yōu)化、實現(xiàn)并測試這個風險管理模型。