8.3 IT服务风险管理

IT服务风险管理过程：三星

风险：

• 风险就是不确定的事件，一旦发生会对运维产生积极或者消极的风险(不一定全是坏的)

• 首先想到人员资源技术过程，还有其他，也就是范围蔓延

• 要主动的进行管理，而不是被动的接受

• 0 < 风险 < 1

风险管理计划：

• 凡事预则立不预则废，所以要有计划
• 计划包括，人，资源，目标，成本

风险识别：

• 尽量让全员参与，做好应对

风险定性分析：

• 分析下风险发生的概率和风险的影响大小
• 涉及到大小，用P表示，P = 概率 x 影响
• 对优先级高的，概率大的风险，进行分级管理

风险定量分析：

• 对风险进行数据化分析，建模

风险处置计划：

• 比如，人员离职风险——储备性——主动被动；备件不可用——冗余

风险监控：

• 监控侧重于一些过程
• 对一下已识别出来的风险进行积极的监控
• 新的风险来的时候识别，分析等等

风险跟踪：

• 跟踪已识别的风险的跟踪过程
• 跟踪风险的变化状态

风险管理计划：输入二星，输出三星

输入：

• 准备好的原材料，或者说依据
  • 服务范围说明书—SLA
• 组织过程资产：包括不限于规章制度，企业文化，没有文字表达的员工思想等等
• 比如参考一些专家的文件
• 预算、进度
• 沟通

输出：

分为三类

• 一般管理计划
  • 方法、采用什么样的活动，谁去做，时间，成本等等
• 风险相关
  • 类别，概率，影响力，矩阵
  • 类别可以指人员资源技术过程和其他
  • 风险类别也可以指大小
  • 他们都会有自己的定义
• 报告和跟踪

风险识别：三星

风险识别是一个不断重复性的功能；包括内部因素和外部因素：

内部：可以控制

外部：不能控制，只能规避和转移

主要内容：三星

• 识别潜在风险
• 看下主要因素
• 识别可能引起的后果

组织过程资产和环境及组织因素，是永恒不变的输入

风险管理计划，是上一步骤 计划的输出，在这里当做输入

相对重要的是方法，识别之后记录

风险识别工具：三星

1、假设和制约因素：

• 假设：旅游时，天气晴朗，交通通常，放假
• 制约因素：只有七天，只有一万块钱
• 这些会成为风险的重要来源

2、信息收集技术：三星，经常考

• 信息收集技术有哪些？
• 德头访优
• 头脑风暴：面对面，集思广益
  • 优点：快速思考制定清单
  • 缺点：缺乏客观性，可能跟随领导选了
• 德尔菲技术：
  • 背对背的，匿名反馈
  • 是多轮的，意见比较多的进行归纳总结进行下一轮发放
  • 一般会经过三到五轮，行程一个一致的意见
  • 缺点就是比较慢
• 访谈：一对一，一对多，多对多。
• 优势劣势分析法：内部+外部

3、检查表分析

• 基于以往项目的经验和报告，来进行编制

4、分析假设

• 假设一套风险，但是要有验证的方法
• 比如假设有100人，我要能输一遍，是不是有一百个

5、图解技术

• 因果分析图
• 流程图

定性和定量分析：三星

定性分析：最主要的就是对大小，优先级进行排序

• 根据经验来评估概率和影响
• 得到矩阵
• 矩阵会分类为高中低
• 然后进行评估，分类，判断
  • 除了概率和影响，还有紧迫性，需要近期响应分析，然后到风险的定量分析
• 输出和量化这两方面都是三星级

定量分析：用数据说话，数据收集分析，建模等等

• 两个可能性，两个量化
• 量化去考虑数据，具体的值，就要去看进度，成本估算，分解结构等等

风险处置计划：三星

风险处置计划的输入，基本都是前边步骤的输出

背个六七点就行：最好根据推理来背

前五步很好理解——风险来了要有预警和应急储备——之前准备的时间，金钱——实施措施——实施完了有残留的风险

• 风险管理计划
• 通过开会，头脑风暴等方式，来识别分析
• 有必要的话建立数字模型量化
• 到了处置计划

风险责任人：责任到人，运维中特别强调责任问题

次生风险：导致另一个风险（直到降到风险承受力以内）

参与风险：漏网之鱼

弹回计划：主计划，备计划

权变措施：随机应变

风险承受力：组织和个人的承受力都不通

风险临界值：超过临界值就马上要采取行动

方法：三星

消极风险：

• 回避
  • 将风险的影响和概率变为0
  • WBS：风险分解结构
  • 将项目工作分解为更小的、可控制的任务和活动，帮助项目团队全面地识别、评估和控制各类风险
• 减轻
  • 尽力在原本的基础上减轻风险，没办法消除，只能降低概率
• 转移
  • 将财产的损失转移给第三方，比如买保险

积极风险：

• 开拓
  • 势在必得，最好的资源，人员都给这个团队，有这个信心
• 分享
  • 把一些机会和利润用分享的方式给合作伙伴，比如A擅长绩效考核，B公司擅长技术，C公司擅长工资管理，那么三家公司一起合作更容易中标
• 提高
  • 尽力而为，为了尽早的完成而增加资源

同时适用消极和积极的策略 ：预留突发事件资源

应急：制定计划

风险，识别，分析，处置 的串联：二星

风险记录：又叫风险登记册

• 不断更新，第一次出现是在风险识别之后
• 对他进行定性和定量分析，更新
• 加入一定的处置方案，再次更新

监控与跟踪：三星

最重要的是二者的方法和区分

评估：评估现有的，跟踪新的，删除过时的

审计：定期检查，确保有效性

差异和趋势分析：通过对绩效数据分析，观察趋势，做出预测

• 比如进度绩效，计划完成五天工作量，实际完成三天的工作量
• 一般来说差异和趋势分析一般使用衡量进度成本和实际的比较，看看落后了还是超前了

技术：评估的是技术的成果，和原始的计划作对比

• 成果的实际和计划差异，比较内容不一样

预留管理：看剩余的储备和剩余的风险是否匹配

• 假设原本是10级的风险，预留了两万块钱的风险储备金，随着项目开展，风险变为五级，资金变为1万，看看是否匹配

风险审计：系统规划与管理师定期审核，看看事件跟踪和主要风险，跟踪整个过程，有没有必要重新进行风险处置计划

偏差分析：分析成本和时间上的偏差

技术指标分析：侧重与技术上的指标的比较

风险清单：

指明了：最大的 风险，优先级最高，一目了然

是 风险管理负责人进行维护的

典型习题

风险识别的内容不包括 （ ）

A.对风险进行优先级排序

C.识别引起风险的主要因素

B.识别并确定IT服务的潜在风险

D.识别IT服务风险可能引起的后果

（ ）不属于风险定量分析的输入。——一般这种题型都不需要背输入，答案会给你一些输出的内容

A.更新的风险记录

C.工作分解结构

B.风险管理计划

D.实现成本目标的可能性

有计划的风险应对应考虑到风险的重要性、（ ）的有效性、（ ）的及时性、（ ）的现实性、是否可以被各方接受，并要有一个明确的（ ）。

A.管理 预警 技术 责任人

B.成本 应对 环境中 责任人

C.成本 预警 技术 执行计划

D.管理 应对 环境中 执行计划

A公司中标一个大型系统集成项目，其中台关键设备计划从国外采购，由于近期汇率波动明显，A公司准备与客户协商使用国产设备:这是采用了（ ）风险应对策略。

A. 回避

B. 转移

C.减轻

D.接受

参与者在正常融合和不受任何限制的气氛中会以会议进行讨论，打破常规，积极思考，发表者的信息收集技术是()

A. 德尔菲法

B.头脑风暴法

C.访谈法

D.优势劣势分析法

（德尔菲一定有专家背对背的分析）

风险管理过程中，“期望的残留风险水平”属于( )输出。

A.风险处置计划

B.风险分析

C.风险识别

D.风险监控

某IDC企业要搬进机房购买了设备运输过程中可能损坏保险服务，属于()风险应对

A. 避免

B.减轻

C.转移

D.接受

归纳