IT服务风险管理像是给IT服务系统买了一份“保险”。在提供服务的过程中,可能会遇到各种各样的问题,比如系统故障、数据丢失、人为误操作等,这些问题都可能导致服务中断或质量下降。而IT服务风险管理就是提前预测和应对这些“麻烦”,确保服务能够平稳运行。
一、关于风险
1、风险是实现服务目标过程中所带来的不确定性和可能发生的危险。风险一旦发生,会对服务产生某种影响(好的或坏的)。
2、风险通常包括人员、技术、资源、过程、其他(比如:服务范围蔓延)5个方面。
3、风险管理包括策划、组织、领导、协调和控制等活动,通过风险识别、风险分析、风险评估,提供一个有效的事先计划,并合理地使用回避、减少、分散、转移等方法,对风险实行有效地控制。
二、为什么要进行IT服务风险管理?
预防损失:通过提前识别和应对潜在风险,可以减少或避免服务中断带来的损失。
提升稳定性:确保IT服务能够持续稳定地提供,满足用户需求。
增强信心:让客户和用户对服务更加信任,提升满意度和忠诚度。
三、IT服务风险管理的活动(过程)
IT服务风险管理的活动(过程)包括:风险管理计划、风险识别、风险定性分析、风险定量分析、 风险处置计划、风险监控、风险跟踪。
四、风险管理计划
风险管理计划是在服务正式启动前或启动初期,基于风险角度对服务的一个纵观全局的考虑、分析和规划。风险管理计划的编制是决定如何采取和计划风险管理活动的过程。
1、风险管理计划编制的输入
IT服务风险管理计划编制的输入包括:服务范围说明书、服务预算、沟通管理计划、组织过程资产、事业环境因素、进度管理计划。(口诀:凡夫欲购足金环)
2、风险管理计划编制的输出
(口诀:房角玉石焚,应该歌剧跟)
(1)方法:IT服务中实施风险管理的办法和使用的工具等。
(2)角色与职责:定义IT服务风险管理团队的成员,并且为这些成员分配具体任务与职责。
(3)预算:分配资源并估计成本。
(4)制订时间表:定义在IT服务整个生命周期中风险管理过程的执行时间进度计划。
(5)风险类别:事先准备的常用风险类别,用一个简单的列表标识IT服务不同方面的风险。
(6)风险概率:定义一个根据风险类别确定风险概率的客观标准。
(7)风险影响力:反映的是风险影响的严重程度。
(8)概率及影响矩阵:根据风险对目标的影响程度,用一种查询表格即影响矩阵对风险排序。根据风险概率和影响程度的组合,决定该风险的高、中、低程度。
(9)报告的格式:如何对风险管理过程的结果进行归档、分析及沟通。
(10)跟踪:记录风险行为的方方面面,并将这些内容进行归档。
五、风险识别
风险识别是一个不断重复的过程。包括内部因素和外部因素。内部因素造成的风险能够控制,外部的风险只能规避或转移。
风险识别目标:识别和确定风险、风险基本特征,以及可能影响到哪些方面。
1、风险识别的主要内容包括以下三方面。
(1)识别并确定IT服务的潜在风险
(2)识别引起风险的主要因素
(3)识别IT服务风险可能引起的后果
2、风险识别的输入
(1)SLA:目标描述、干系人的目的、对服务的期望等。
(2)范围说明书:范围说明包含假设条件。
(3)风险管理计划:从风险管理计划到风险识别过程的关键输出是角色和责任的分配,以及为风险管理任务的预算和计划所做的准备。
(4)组织过程资产:在相关文档中的过往实际数据和经验教训。
(5)环境及组织因素:已经发布的信息,对于识别风险都很有帮助。
3、风险识别的输出
(1)风险记录。
① 风险记录包含风险分析的结果、优先级,实施其他风险管理过程措施后的响应,包括:已识别出的风险列表。
② 已识别出的风险,以及风险的根本原因、风险造成的影响。
③ 风险征兆或警告信号:利用这些标识,在其将要发生时提高人们的警惕性。
④ 潜在的风险应对方法列表:在风险识别过程中对如何应对风险进行简单建议。
⑤ 风险的根本原因:导致风险的基本条件或事件。
⑥ 更新的风险分类:识别风险的过程会为风险类别列表添加新的风险类别。
(2)更新管理计划。
4、风险识别的方法
(1)文档审查:对一些计划、文件、假设条件进行结构化审查,主要识别假设和制约因素。
(2)信息收集技术
头脑风暴:成员产生对风险的想法,并在会议上公布这些风险来源,让大家一起参与检查,然后根据风险类 别进行风险分类。这样风险定义就清晰化了。(面对面、集思广益 形成综合清单 优点是快速综合清单缺点是缺乏客观性)
德尔菲技术:使用问卷征求重要风险方面的意见,将意见结果反馈给每位专家,重复此过程几个回合,即可在主要的风险上达成一致意见。(专家背对背,匿名反馈 形成一致的意见优点是比较客观,缺点是多轮迭代比较慢)
访谈法:通过访谈资深系统规划与管理师相关领域的专家进行风险识别。访谈对象依据他们的经验、服务的信息,以及他们所发现的其他有用供方,对风险进行 识别。(一对一、一对多、多对多)
优势劣势分析法(SWOT分析法):从每个方面进行检查,扩大考虑风险的范围。(内部+外部)
检查表:从以往类似和某些其他信息来源中积累的历史信息与知识,可用于编制风险识别信息检查表。
分析假设:分析假设是一种技术手段,它从不准确、不连贯、不完整的假设中识别风险。
图解技术:图解技术包括因果分析图、系统或过程的流程图等。
因果分析图(根本原因、鱼骨图)
系统或过程流程图(根本原因、预测)
六、风险定性分析
风险定性分析是对已识别风险进行优先级排序,通过风险的发生概率和影响程度的综合评估来确定其优先级。风险定性分析是建立风险响应计划优先级的快速有效的方法,也为以后的定量分析奠定基础。
1、风险定性分析的输入
(1)风险管理计划:风险管理的角色与责任、风险管理的预算与活动、风险种类、概率和影响定义、概率与影响矩阵、修正干系人的风险承受能力。
(2)风险记录:已识别出的风险、风险的根本原因、重要假设、风险可能发生的征兆或警告信号。
(3)组织过程资产:历史的风险数据和经验教训可以用于风险定性分析。
(4)工作绩效信息:风险的特点会随着进展而不断变化。如果风险定性分析在生命周期的中间阶段进行,则来自该过程的工作绩效信息和绩效报告一起作为状态的度量信息。
(5)范围说明:一般来说,进行过多次的服务会有很多被人们充分理解的风险。使用先进技术或高复杂度的服务存在更多的不确定性。这可以通过服务范围说明来进行评估。
2、风险定性分析的输出
(1)按优先级或相对等级排列的风险。
(2)按种类的风险分组。
(3)要近期做出响应的风险列表。
(4)需要进一步分析和应对的风险列表。
(5)低优先级风险的监视表。
(6)风险定性分析结果中反映的“趋势”。
3、风险定性分析的工具技术(方法)
(1)风险概率和影响评估
(2)概率和影响矩阵
(3)风险数据质量评估
(4)风险分类
(5)风险紧迫性评估
(6)专家判断
4、概率和影响矩阵
对目标的影响(比率标度)(如费用、时间或范围)按发生概率及一旦发生所造成的影响,对每一个风险评级。在矩阵中显示组织对低风险、中等风险与高风险所规定的临界值。根据这些临界值,把每个风险分别归入高风险、中等风险或低风险。
七、风险定量分析
1、风险定量分析的输入
(1)管理计划。
(2)风险管理计划。
(3)经过更新的风险记录。
(4)包含活动的逻辑关系及活动历时估算的进度管理计划。
(5)包含成本估算的成本管理计划。
(6)范围说明和范围管理计划。
(7)工作分解结构。
(8)组织过程资产。
2、定量风险分析的输出
(1)可能性分析:对进度和成本的输出进行估计,并列出可能完成的日期和成本。
(2)实现成本和进度目标的可能性。
(3)已量化风险的优先级列表。
(4)定量风险分析结果中的趋势。
3、定量风险分析的工具技术(方法)
(1)数据收集和展示技术
(2)定量风险分析和建模技术
(3)专家判断
八、风险处置计划
1、风险处置计划的输入
(1)风险管理计划:成员任务分配、风险分析定义、不同风险等级的划分、风险管理计划的进度和预算方案。
(2)风险记录:风险处置计划过程可能必须向前追溯已识别出的风险、挖掘风险的根源、潜在的应对措施、风险责任人及风险的征兆和警告信号。
2、风险处置计划的输出
(1)已识别的风险及其描述。
(2)风险责任人及其职责。
(3)定性和定量风险分析过程的结果。
(4)一致认同的应对策略。
(5)执行选定的应对策略所需的具体行动。
(6)在应对策略执行后,期望的残留风险水平。
(7)风险发生时的预警和信号。
(8)风险应对策略所需的预算和时间。
(9)时间和成本的应急储备,目的是为干系人提供一定的风险承受能力。
(10)启动应急计划的触发条件。
(11)风险一旦发生后所采用的回退计划。
(12)残留风险。
(13)二级风险:执行某一风险应对措施而直接引发的风险。
(14)需要的应急储备量:通过风险的定量分析和组织对风险的承受能力来确定。
(15)风险相关的合同协议。
口诀:疯人动车接餐 跳出新鱼回河
场景记忆法:(一个疯子在动车上接到了一份给他准备的特殊午餐,在里面竟然跳出了一条鲜的活鱼,穿过车窗玻璃,跳回了火车轨道旁边的河里。烧脑大剧禁闭岛里,莱昂纳多迪卡普里奥演的疯人惟妙惟肖,让人难辨真假,不可多得的好片。对待精神分裂病人,风险处
置里,最大的问题就是要应对那些疯人脑子里难以捉摸的幻想)
3、风险处置计划的工具技术(方法)
(1)负面风险应对策略
- 避免:修改计划以消除相应的威胁、隔离目标免受影响、放宽目标等
- 转移:风险转移是指把威胁的不利影响以及风险应对的责任转移到第三方的做法。
- 减轻:即通过降低风险的概率和影响程度,使之达到一个可接受的范围。
(2)机遇应对策略
- 开拓:分配更多好的资源给该服务,使之可以提供比原计划更好的成果。
- 分享:将相关重要信息提供给一个能够更加有效利用该机会的第三方
- 强大:通过增加可能性和积极的影响来改变机会的大小,发现和强化带来机会的关键因素,寻求促进或加强机会的因素,积极地加强其发生的可能性。
(3)同时适用威胁和机遇的应对策略。既应对威胁也应对机会,通常的风险应对策略是预留突发事件预备资源,包括进度、成本或资源来处理已知的甚至是潜在的突发的 未知风险。
(4)应急响应策略。制订一个计划来应对风险,等以后必要时使用。
九、风险监控
1、风险监控的输入
(1)风险管理计划:关注责任人、时间和进行风险管理所需的其他资源。
(2)风险记录:已识别的风险及其责任人、一致认同的风险应对策略及实施措施、风险征兆及预警信号、残余风险及二级风险、低优先级风险的监视列表和时间及成本应急储备。
(3)工作绩效信息:计划交付的状态、改正措施和执行报告。
(4)批准的变更请求:工作方式、合同期限、范围大小、工作计划的修订。
2、风险监控的输出
(1)建议的纠正措施:包括应急计划和临时措施,纠正措施可以指导并管理服务的执行过程。
(2)变更申请:变更申请由综合变更控制进行管理。
(3)风险记录:一个在风险管理中收集数据并进行维护和分析的知识库。
(4)组织过程资产:风险管理程序可以应用于未来服务,并作为组织过程资产的一部分。
3、风险监控的工具技术(方法)
(1)风险评估
- 对现有的进行风险评估
- 识别新风险
- 删除已经过时的风险
- 定期进行反复进行
(2)风险审计和定期的风险评审
进行风险审计并记录应对的效用,风险检查应该定期进行,在小组例会上风险管理应作为一个议程。
(3)差异和趋势分析
通过对绩效数据的分析,可以看出发展的趋势,分析结果可以用来对进度和成本目标的潜在偏差进行预测。
(4)技术的绩效评估
通过对比执行过程的技术成果和原始计划的差别来完成。
(5)预留管理
通过比较剩余的预留储备和剩余的风险,看预留储备是否合适。
十、风险跟踪
风险跟踪包括已识别风险和其他突发风险的观察记录,对风险发展状况进行记录和查询。
1、风险跟踪的输入
(1)风险管理计划
(2)风险记录
(3)工作绩效信息
(4)批准的变更请求
2、风险跟踪的输出:风险清单
3、风险跟踪的工具技术(方法):
(1)风险审计:系统规划与管理师定期对风险进行审核,在关键处进行事件跟踪和主要风险因素跟踪,对没有预计的风险制定新的风险处置计划。
(2)偏差分析:系统规划与管理师定期和计划对比,分析成本和时间上的偏差。
(3)技术指标分析:原定技术指标和实际技术指标差异。
4、风险清单
- 风险清单指明了服务在任何时候面临的最大风险。
- 风险管理负责人经常维护(排序、更新),对变化保持高度警惕。
关注公众号
添加微信好友
暂无评论内容