風險來源與風險分類的區別與聯絡

CMMI 1.2的RSKM 過程域的SP1.1為：Determine risk sources and categories，在該實踐中明確區分了風險來源與風險分類。確定風險的來源和分類是為了全面、系統地識別潛在風險，合并類似風險的規避措施。

風險來源用於在項目或組織內確定風險產生的原因。對項目來講有許多風險來源，包括內部和外部的。風險來源標識了風險可能發生的常見領域。常見的內部和外部風險來源有：

•       不確定的需求          

•       無法達到的工作量估算

•       不可行的設計          

•       不成熟的技術

•       不切實際的進度估算與安排  

•       人手或技能不夠

•       成本與資金問題        

•       不可靠的或不充分的分包商能力

•       不可靠的或不充分的供應商能力

•       與實際的或潛在的客戶或他們的代理溝通不充分

對風險來源沒有進行充分的策劃就會導致風險的發生。早期識別內部和外部風險來源能夠早期識別風險，這樣可以在項目的早期實施風險降低計劃，來排除風險的發生或降低風險發生的影響。

風險類別為風險的收集和組織分門別類，是對風險的共同屬性的歸集。標識風險類別有助於在風險降低計劃中整合將來的緩解活動。在確定風險類別時可以有多個角度：

•       按專案生命週期模型的階段分類，如需求、設計、製造、測試和評價、交付、部署

•       按過程類型分類，如需求開發過程、組態管理過程等

•       按產品類型分類，如軟體、硬體等

•       專案管理風險（Program management risks)，例如，合約風險、預算和成本風險、進度風險、資源風險、效能風險、可支援性風險

當然也可以基於風險的來源進行風險的分類。比如我們對於上邊舉例的風險的來源進行風險分類為：

大類	小類	風險來源
內部風險	需求類風險	不確定的需求
	技術類風險	不可行的設計
		不成熟的技術
	資源類風險	人手或技能不夠
		成本與資金問題
	管理類風險	無法達到的工作量估算
		不切實際的進度估算與安排
		與實際的或潛在的客戶或他們的代理溝通不充分
外部風險	分包風險	不可靠的或不充分的分包商能力
		不可靠的或不充分的供應商能力
	客戶風險	客戶不配合項目的實施

組織可以建立風險分類樹為識別風險提供架構。

一個風險可能屬於多個風險類別。如：由於人員比較年輕，缺乏業務經驗，可能會導致遺漏潛在需求，交付時驗收不通過。對於該風險，其風險來源是開發人員缺乏業務經驗，如果按照風險的來源這個角度來分類，可以歸結為人員風險類，如果按照開發過程分類，可以歸結為需求風險類。在考慮風險的規避措施時，可以基於風險的來源考慮，也可以基於風險的分類來考慮之，從不同的角度考慮時，獲得的風險規避措施可能相同，也可能不相同。對於上面的風險，如果基於風險來源考慮規避措施則可以識別的措施為：

選擇有業務經驗的需求分析人員進行需求萃取；

對需求分析人員進行業務知識培訓；

如果基於風險的分類來考慮規避措施則可以識別的措施為：

借鑒曆史的需求；

執行需求的正式評審；

需求要獲得客戶的正式確認；