.軟件項目風險管理方法 在上世紀60年代，西方世界的軟件危機使人們開始清醒得認識到軟件開發(fā)過程的高復雜性，許多學者致力于通過軟件標準化，并提出一系列軟件過程模型，將系統(tǒng)的、可量化的、規(guī)范化的方法應用到軟件開發(fā)中，以減少軟件開發(fā)的無序狀態(tài)，降低軟件風險，提高軟件質量。其中，Boehm在1989年提出的螺旋模型，便是一個可降低軟件風險的模型，該模型強調在軟件項目的每個階段都要考慮風險因素，隨后，他在1991年發(fā)表的軟件風險管理：理論與實踐一文中，將軟件風險管理程序進一步劃分為兩個階段，即風險評價和風險控制，每個階段都又具體細化為三個步驟，進一步完善了軟件風險管理理論。 此后，軟件風險管理的研究進入了一個百家齊放的時期，國外許多學者都從不同角度對軟件風險管理進行了探索，如其中Charette就構造了一個六階段的風險管理方法，將軟件項目風險分為風險分析和風險管理兩部分，其中，風險分析包括風險識別、風險估計、風險評價，風險管理包括風險計劃、風險控制、風險監(jiān)控。他強調風險管理的戰(zhàn)略思想和技術手段，以及循環(huán)的風險管理。 總的來說，軟件項目風險管理作為一個過程，是軟件項目管理的重要組成部分。在軟件項目生命周期中持續(xù)不斷地識別、評估和控制風險是非常重要的。 （一）風險識別。它是風險管理的第一步，是對軟件項目所面臨的和潛在的風險加以分析、判斷和歸類的過程。一般軟件項目在實施過程中存在的風險是多種多樣，既包括項目外部的和內部的風險，還包括技術的和非技術的風險。這些風險存在于什么地方？發(fā)生的條件是什么？發(fā)生的可能性有多大？發(fā)生后的損失又是如何？這些在風險識別中均應有初步的分析和判斷。 （二）風險評價。它是在軟件項目風險識別和風險分析的基礎上，對風險發(fā)生的概率、損失程度和其他因素進行綜合考慮，得到描述風險的綜合指標。風險評價通過?用定性風險評估方法（包括主觀分析法、故障樹分析法等）和定量風險評估方法（包括層次分析法、模糊綜合評價等），對風險進行評估，得到風險的嚴重等級，進而為后續(xù)風險控制提供依據(jù)。 （三）風險控制。它是在軟件項目風險發(fā)生時實施風險管理計劃中的預防措施。風險控制措施一般包括兩類：一類是在風險發(fā)生前，針對風險因素采取控制措施，以消除或減輕風險，其具體措施包括：規(guī)避、緩解、分散、抑制和利用等；另一類是在風險發(fā)生后，通過財務安排來減輕風險對項目目標影響的程度，其具體措施有：自留、轉移等，這里更強調的是前者。 一、軟件項目風險識別 對于軟件項目風險的識別，研究者從各自的角度挖掘了許多風險因素，但依據(jù)只有一個，那就是威脅軟件開發(fā)項目成功的各種不確定因素。傳統(tǒng)的項目風險識別方法有很多，常見的有：頭腦風暴法、德爾菲法、情景分析法、故障樹分析法、檢?吮矸鞒掏擠?SWOT分析法和敏感性分析法等。對于軟件項目風險管理中的風險識別研究，從已有的研究成果來看，大致有以下幾種方法： （一）風險清單法 Boehm認為，采用風險清單法可以幫助識別大多數(shù)嚴重的風險因素，他通過對美國幾個大型航空和國防系統(tǒng)軟件項目進行深入調查，發(fā)現(xiàn)軟件開發(fā)項目中最常見的前十大特定風險項是：人員短缺、不合理的進度安排和預算、不斷的需求變動、開發(fā)了錯誤的軟件功能、開發(fā)了錯誤的用戶界面、過多的不必要的性能要求、缺乏特別的外購組件、完成?A任務不及時、實施時性能過低和計算機能力有限。此后，Boehm進一步對一些經驗豐富的軟件項目管理人員進行了調查，并對這種方法進行了擴展，提出在軟件項目開發(fā)生命期的每個里程碑階段都可進行風險清單的調查和修改，并將風險管理加入到軟件開發(fā)項目生命周期的螺旋式模型中。 （二）基于分類的風險識別法 該方法主要是從項目分類學角度，將項目的風險進行分類，從單純的清單列表走向了由分類樹和問卷識別過程的統(tǒng)一，從而使軟件項目風險識別具有了結構性的特點。另外，它也秉承動態(tài)管理的特點，從前一時期的一次性靜態(tài)描述走向了階段性重復更新，使風險識別及后續(xù)處理有計劃、有步驟地在項目生命周期內進行。有人按項目風險來源將風險分為：產生于開發(fā)環(huán)境內，即開發(fā)者缺乏分析這一系統(tǒng)環(huán)境類型的經驗；產生于系統(tǒng)環(huán)境內，即用戶沒有使用開發(fā)中的軟件系統(tǒng)類型的經驗；產生于管理環(huán)境內，即由于管理者的偏見、偷懶、無知或不作為以致忽略了有價值的信息。自這一時期以來，“基于分類的風險識別”思想占據(jù)了主流，并使軟件項目風險管理的各項研究都達到了一個新的高潮。 （三）問卷調查表法 該方法是一種與管理人員交互的方法，主要由專家根據(jù)項目特點設計風險管理問卷調查表，對有關人員進行問卷調?耍?并根據(jù)調查結果對統(tǒng)計數(shù)據(jù)，進行分析。如Carr在問卷調查基礎上提出了一種所謂的“簇分析（Clusteranalysis）”方法，對507個軟件項目管理人員進行了問卷調查，通過統(tǒng)計分析工具，識別出軟件項目的風險因素；Wallace等在此基礎上進一步擴展，提出了一種軟件風險和性能的層次模型，并對調查結果作了統(tǒng)計分析。國內學者也開始嘗試采用問卷調查法和統(tǒng)計分析法，對項目風險進行識別，如劉書慶就采用這種方法對虛擬企業(yè)項目合作設計風險進行識別。但學者們很少有采用這種方法對軟件項目風險進行分析的，大多相關研究仍停留在基于風險清單法和基于分類的風險識別法等定性分析方法上。 二、軟件項目風險評估 風險評估是軟件項目風險管理的研究焦點，也是企業(yè)進行風險防范的重要前提，風險評價是風險管理的關鍵環(huán)節(jié)，其結果是為項目的高層人員和項目經理等提供決策依據(jù)。由于企業(yè)風險的特征及指標類型并不相同，風險評估方法也呈現(xiàn)出多樣性的特點。 （一）基于經驗和歷史數(shù)據(jù) 以Pressman為代表的學者，認為不依賴于項目開發(fā)過程，而是基于與發(fā)者或客戶方討論風險，然后采用簡單易用的配套工具，對軟件項目風險進行評估。而Yacoub等認為