笔记-监督管理-8.3 IT服务风险管理

发表于 分类于

8.3 IT服务风险管理

风险是在实现服务目标过程中所带来的不确定性和可能发生的危险。风险一旦发生,会对服务产生某种影响。

在IT服务提供过程中会遇到各种风险,可能会对IT服务带来不利影响,使得IT服务目标不能正常实现。这些风险通常包括人员、技术、资源、过程和其他五方面。

例如,在人员方面,会出现服务人员流动导致服务质量波动大、人员误操作导致业务数据丢失的风险;在技术方面,会存在采用发现问题的技术和服务对象不匹配的风险;在资源方面,会发生备品备件失效服务工具失效等方面的风险;在过程方面,会出现过程规定不完善的风险;在其他方面,会出现服务范围漫延的风险等。

风险管理包括策划、组织、领导、协调和控制等活动,通过风险识别、风险分析和风险评估,提供一个有效的事先计划,并合理地使用回避、减少、分散或转移等方法,对风险实行有效的控制,妥善地处理风险造成的不利后果,以合理的成本保证安全,可靠地实现预定的目标,减少风险对组织资源、收益和现金流的不利影响。

8.3.1 风险管理计划

风险管理计划是在服务正式启动前或启动初期,基于风险角度对服务的一个纵观全局的考虑、分析、规划。谨慎和清晰的计划能够提高风险管理过程的成功概率。风险管理计划编制是决定如何采取和计划服务的风险管理活动的过程。

1. 风险管理计划编制的输入

IT服务风险管理计划编制的输入物包括:服务范围说明书、服务预算、沟通管理计划、组织过程资产、事业环境因素、进度管理计划(必要时)。

2. 风险管理计划编制的输出

IT服务风险管理计划编制的输出物如下。

(1)方法:IT服务中实施风险管理的办法和使用的工具等。
(2)角色与职责:定义IT服务风险管理团队的成员,并且为这些成员分配具体任务与职责。
(3)预算:分配资源并估计成本。
(4)制订时间表:定义在IT服务整个生命周期中风险管理过程的执行时间进度计划。
(5)风险类别:事先准备的常用风险类别,用一个简单的列表标识IT服务不同方面的风险。
(6)风险概率:定义一个根据风险类别确定风险概率的客观标准。
(7)风险影响力:反映的是风险影响的严重程度。
(8)概率及影响矩阵:根据风险对目标的影响程度,用一种查询表格即影响矩阵对风险排序。根据风险概率和影响程度的组合,决定该风险的高、中、低程度。
(9)报告的格式:如何对风险管理过程的结果进行归档、分析及沟通。
(10)跟踪:记录风险行为的方方面面,并将这些内容进行归档。

8.3.2 风险识别

风险识别是指识别可能会对服务产生影响的风险,并将这些风险的特征形成文档,是一个不断重复的过程。

IT服务风险识别是一项风险管理工作,其目标是识别和确定出风险、风险的基本特性,以及可能影响到哪些方面。服务风险包括内部因素造成的风险和外部因素造成的风险。内部因素造成的风险能够控制,外部因素造成的风险只能规避或转移。

风险识别的主要内容包括以下三方面。

  • 识别并确定IT服务的潜在风险
    确定服务可能会遇到的风险,分析这些风险的性质和后果,全面分析服务的各种影响因素,找出可能存在的各种风险,整理汇总成风险清单。
  • 识别引起风险的主要因素
    识别各风险的主要影响因素,把握风险发展变化的规律,衡量风险的可能性与后果。可以根据风险清单,全面分析各风险的主要影响因素,描述清楚这些风险的主要因素同风险的相互关系。
  • 识别IT服务风险可能引起的后果
    风险识别的根本目的就是要缩小和消除风险可能带来的不利后果,所以要分析风险可能带来的后果和这种后果的严重程度。这一阶段主要依靠定性分析来界定风险可能带来的各种后果。

1. 风险识别的输入

风险识别的输入如下:

  • SLA:目标描述、干系人的目的、对服务的期望等。
  • 范围说明书:范围说明包含假设条件。
  • 风险管理计划:从风险管理计划到风险识别过程的关键输出是角色和责任的分配,以及为风险管理任务的预算和计划所做的准备。
  • 组织过程资产:在相关文档中的过往实际数据和经验教训。
  • 环境及组织因素:已经发表的信息,对于识别风险都很有帮助。

2. 风险识别的输出

(1)风险记录
  • 风险记录包含风险分析的结果、优先级,实施其他风险管理过程措施后的响应,包括:已识别出的风险列表,已识别出的风险,以及风险的根本原因、风险造成的影响。
  • 风险征兆或警告信号:利用这些标识,在其将要发生时提高人们的警惕性。
  • 潜在的风险应对方法列表:在风险识别过程中对如何应对风险进行简单建议。
  • 风险的根本原因:导致风险的基本条件或事件。
  • 更新的风险分类:识别风险的过程会为风险类别列表添加新的风险类别。
(2)更新管理计划

风险识别过程可能需要采取进一步的措施,更新管理计划中的其他过程计划。管理计划及其辅助计划的变更是通过整体变更控制系统处理的。

3. 风险识别方法

(1)文档评审

对文档采取一些结构化的评审

(2)信息收集技术
  • 头脑风暴法:成员产生对风险的想法,并在会议上公布这些风险来源,让大家一起参与检查,然后根据风险类别进行风险分类。这样风险定义就清晰化了。
  • 德尔菲法:使用问卷征求重要风险方面的意见,将意见结果反馈给每位专家,重复此过程几个回合,即可在主要的风险上达成一致意见。
  • 访谈法:通过访谈资深系统规划与管理师相关领域的专家进行风险识别。访谈对象依据他们的经验、服务的信息,以及他们所发现的其他有用供方,对风险进行识别。
  • 优劣势分析法(StrengthsWeaknessesOpportunitiesThreats,SWOT):从每个方面对进行检查,扩大考虑风险的范围。
(3)检查表

从以往类似和某些其他信息来源中积累的历史信息与知识,可用于编制风险识别信息检查表。

(4)分析假设

分析假设是一种技术手段,它从不准确、不连贯、不完整的假设中识别风险。

(5)图解技术

图解技术包括因果分析图、系统或过程的流程图等。

8.3.3 风险定性分析

风险定性分析是对已识别风险进行优先级排序,通过对风险的发生概率和影响程度的综合评估来确定其优先级。

风险定性分析是建立风险响应计划优先级的快速有效的方法,也为以后定量分析奠定了基础。在过程中,需持续进行风险定性分析,以维持风险的不断变化。

1. 风险定性分析的输入

(1)风险管理计划:风险管理的角色与责任、风险管理的预算与活动、风险种类、概率和影响定义、概率与影响矩阵、修正干系人的风险承受能力。
(2)风险记录:已识别出的风险、风险的根本原因、重要假设、风险可能发生的征兆或警告信号。
(3)组织过程资产:历史的风险数据和经验教训可以用于风险定性分析。
(4)工作绩效信息:风险的特点会随着进展而不断变化。如果风险定性分析在生命周期的中间阶段进行,则来自该过程的工作绩效信息和绩效报告一起作为状态的度量信息。
(5)范围说明:一般来说,进行过多次的服务会有很多被人们充分理解的风险。使用先进技术或高复杂度的服务存在更多的不确定性。这可以通过服务范围说明来进行评估。

2. 风险定性分析的输出 ▲

(1)按优先级或相对等级排列的风险:概率及影响矩阵可根据每个风险的重要程度分类。
(2)按种类的风险分组
(3)要近期做出响应的风险列表
(4)需要进一步分析和应对的风险列表。
(5)低优先级风险的监视表
(6)风险定性分析结果中反映的“趋势”。随着分析的不断重复,特定风险结果的趋势愈加明显,使得风险应对或进一步分析的紧迫性、重要性可能增加,也可能减少。

8.3.4 风险定量分析

定量风险分析过程是指定量地分析风险对目标的影响,它在面对很多不确定因素时提供了一种量化的方法,以做出尽可能恰当的决策。

1. 风险定量分析的输入

(1)管理计划。
(2)风险管理计划。
(3)经过更新的风险记录。
(4)包含活动的逻辑关系及活动历时估算的进度管理计划。
(5)包含成本估算的成本管理计划。
(6)范围说明和范围管理计划。
(7)工作分解结构。
(8)组织过程资产,如类似的服务、风险管理的专业人员对类似项服务所做的研究成果、风险数据库。

2. 定量风险分析的输出 ▲

(1)可能性分析:对进度和成本的输出进行估计,并列出可能完成的日期和成本。
(2)实现成本和进度目标的可能性。
(3)已量化风险的优先级列表。
(4)定量风险分析结果中的趋势。

8.3.5 风险处置计划

风险处置计划是指依据相应优先级的顺序,同时考虑实际需要,把应对风险所需成本和措施加入IT服务预算和进度中。

有计划的风险应对应考虑到风险的重要性、成本的有效性、应对的及时性、环境中的现实性、是否可以被各方接受,并要有一个明确的责任人。

1.风险处置计划的输入

(1)风险管理计划:成员任务分配、风险分析定义、不同风险等级的划分、风险管理计划的进度和预算方案。
(2)风险记录:风险处置计划过程可能必须向前追溯已识别出的风险、挖掘风险的根源、潜在的应对措施、风险责任人及风险的征兆和警告信号。

2. 风险处置计划的输出

(1)已识别的风险及其描述。
(2)风险责任人及其职责。
(3)定性和定量风险分析过程的结果。
(4)一致认同的应对策略。
(5)执行选定的应对策略所需的具体行动。
(6)在应对策略执行后,期望的残留风险水平。
(7)风险发生时的预警和信号。
(8)风险应对策略所需的预算和时间。
(9)时间和成本的应急储备,目的是为干系人提供一定的风险承受能力。
(10)启动应急计划的触发条件。
(11)风险一旦发生后所采用的回退计划。
(12)残留风险。
(13)二级风险:执行某一风险应对措施而直接引发的风险。
(14)需要的应急储备量:通过风险的定量分析和组织对风险的承受能力来确定。(15)风险相关的合同协议。

3. 风险处置计划的方法

(1)负面风险应对策略
  • 避免:修改计划以消除相应的威胁、隔离目标免受影响、放宽目标等。
  • 转移:风险转移是指把威胁的不利影响以及风险应对的责任转移到第三方的做法。
  • 减轻:即通过降低风险的概率和影响程度,使之达到一个可接受的范围。
(2)机遇应对策略
  • 开拓:分配更多好的资源给该服务,使之可以提供比原计划更好的成果。
  • 分享:将相关重要信息提供给一个能够更加有效利用该机会的第三方。
  • 强大:通过增加可能性和积极的影响来改变机会的大小,发现和强化带来机会的关键因素,寻求促进或加强机会的因素,积极地加强其发生的可能性。
(3)同时适用威胁和机遇的应对策略

既应对威胁也应对机会,通常的风险应对策略是预留突发事件预备资源,包括进度、成本或资源来处理已知的甚至是潜在的突发的未知风险。

(4)应急响应策略

制订一个计划来应对风险,等以后必要时使用。

8.3.6 风险监控

风险监控是指跟踪已识别的危险,监测残余风险和识别新的风险,保证风险计划的执行,并评价这些计划对减轻风险的有效性。风险监控是整个生命周期中一个持续进行的过程。

1. 风险监控的输入

(1)风险管理计划:关注责任人、时间和进行风险管理所需的其他资源。
(2)风险记录:已识别的风险及其责任人、一致认同的风险应对策略及实施措施、风险征兆及预警信号、残余风险及二级风险、低优先级风险的监视列表和时间及成本应急储备。
(3)工作绩效信息:计划交付的状态、改正措施和执行报告。
(4)批准的变更请求:工作方式、合同期限、范围大小、工作计划的修订。

2. 风险监控的输出

(1)建议的纠正措施:包括应急计划和临时措施,纠正措施可以指导并管理服务的执行过程。
(2)变更申请:变更申请由综合变更控制进行管理。
(3)风险记录:一个在风险管理中收集数据并进行维护和分析的知识库。
(4)组织过程资产:风险管理程序可以应用于未来服务,并作为组织过程资产的一部分。

3. 风险监控的方法

(1)风险评估:风险监控需要重新评估新的风险。重复的次数和详细程度取决于计划对目标的实现程度。
(2)风险审计和定期的风险评审:进行风险审计并记录应对的效用,风险检查应该定期进行,在小组例会上风险管理应作为一个议程。
(3)差异和趋势分析:通过对绩效数据的分析,可以看出发展的趋势。分析结果可以用来对进度和成本目标的潜在偏差进行预测。
(4)技术的绩效评估:通过比较执行过程的技术成果和原始计划的差别来完成。
(5)预留管理:通过比较剩余的预留储备和剩余的风险,可以看出预留储备是否合适。

8.3.7风险跟踪

风险跟踪包括已识别风险和其他突发风险的观察记录,对风险的发展状况进行记录和查询。

1. 风险跟踪的方法

风险审计:系统规划与管理师定期进行风险审核,在关键处进行事件跟踪和主要风险因素跟踪,对没有预计到的风险制订新的处置计划。
偏差分析:系统规划与管理师定期和计划比较,分析成本和时间上的偏差。技术指标分析:比较原定技术指标和实际技术指标差异。

2. 风险清单

风险清单是一种主要的风险管理工具,指明了服务在任何时候面临的最大风险。风险管理负责人应经常维护这张清单,直到结束前不断更新这张清单,并给这些风险排列优先顺序,更新风险解决情况,对这些风险的严重程度的变化保持警惕。

--------------本文结束 感谢您的阅读--------------