|
|
|
风险识别是指识别可能会对服务产生影响的风险,并将这些风险的特征形成文档,是一个不断重复的过程。
|
|
|
|
IT服务风险识别是一项风险管理工作,其目标是识别和确定出风险、风险的基本特性,以及可能影响到哪些方面。服务风险包括内部因素造成的风险和外部因素造成的风险。内部因素造成的风险能够控制,外部因素造成的风险只能规避或转移。风险识别的主要内容包括以下三方面。
|
|
|
|
.识别并确定IT服务的潜在风险:确定服务可能会遇到的风险,分析这些风险的性质和后果,全面分析服务的各种影响因素,找出可能存在的各种风险,整理汇总成风险清单。
|
|
|
|
.识别引起风险的主要因素:识别各风险的主要影响因素,把握风险发展变化的规律,衡量风险的可能性与后果。可以根据风险清单,全面分析各风险的主要影响因素,描述清楚这些风险的主要因素同风险的相互关系。
|
|
|
|
.识别IT服务风险可能引起的后果:风险识别的根本目的就是要缩小和消除风险可能带来的不利后果,所以要分析风险可能带来的后果和这种后果的严重程度。这一阶段主要依靠定性分析来界定风险可能带来的各种后果。
|
|
|
|
|
|
|
|
.SLA:目标描述、干系人的目的、对服务的期望等。
|
|
|
|
|
|
.风险管理计划:从风险管理计划到风险识别过程的关键输出是角色和责任的分配,以及为风险管理任务的预算和计划所做的准备。
|
|
|
|
.组织过程资产:在相关文档中的过往实际数据和经验教训。
|
|
|
|
.环境及组织因素:已经发表的信息,对于识别风险都很有帮助。
|
|
|
|
|
|
|
|
.风险记录包含风险分析的结果、优先级,实施其他风险管理过程措施后的响应,包括:已识别出的风险列表,已识别出的风险,以及风险的根本原因、风险造成的影响。
|
|
|
|
.风险征兆或警告信号:利用这些标识,在其将要发生时提高人们的警惕性。
|
|
|
|
.潜在的风险应对方法列表:在风险识别过程中对如何应对风险进行简单建议。
|
|
|
|
|
|
.更新的风险分类:识别风险的过程会为风险类别列表添加新的风险类别。
|
|
|
|
(2)更新管理计划。风险识别过程可能需要采取进一步的措施,更新管理计划中的其他过程计划。管理计划及其辅助计划的变更是通过整体变更控制系统处理的。
|
|
|
|
|
|
|
|
|
|
.头脑风暴法:成员产生对风险的想法,并在会议上公布这些风险来源,让大家一起参与检查,然后根据风险类别进行风险分类。这样风险定义就清晰化了。
|
|
|
|
.德尔菲法:使用问卷征求重要风险方面的意见,将意见结果反馈给每位专家,重复此过程几个回合,即可在主要的风险上达成一致意见。
|
|
|
|
.访谈法:通过访谈资深系统规划与管理师相关领域的专家进行风险识别。访谈对象依据他们的经验、服务的信息,以及他们所发现的其他有用供方,对风险进行识别。
|
|
|
|
.优劣势分析法(Strengths Weaknesses Opportunities Threats, SWOT):从每个方面对进行检查,扩大考虑风险的范围。
|
|
|
|
(3)检查表。从以往类似和某些其他信息来源中积累的历史信息与知识,可用于编制风险识别信息检查表。
|
|
|
|
(4)分析假设。分析假设是一种技术手段,它从不准确、不连贯、不完整的假设中识别风险。
|
|
|
|
(5)图解技术。图解技术包括因果分析图、系统或过程的流程图等。
|
|
|
