风险管理在规模化敏捷组织中的运用

本文通过分析在车联网研发领域的实践，探究在现代研发项目集、规模化敏捷组织方式下，风险管理方法和技术的落地。

一、背景信息

在当今VUCA是我们所面对商业环境的新常态，车联网项目集、产品线的研发模式从传统的瀑布式+项目式，演化成了敏捷+产品线的模式。为了能让更多的小团队愿景清晰、步调一致、集团化作战，我们采用了规模化敏捷框架SAFe(Scaled AgileFramework)来适配我们的全新组织模式。

在这种现代化组织模式下，业务负责人、PMO、项目管理者需要考虑如何做好风险管理的规划：识别、评估、评价风险，制定并能执行应对策略，对风险进行持续监控。需要通过不断实践和探索，探究风险管理活动与规模化敏捷的周期的关系，找到适合的切入时机，有节奏地开展，最终达到有效地控制与管理风险。

二、风险管理规划

传统的V字研发模型，风险管理规划工作一般在前期进行，而在规模化敏捷的组织方式下，车联网平台持续地以产品迭代开发向前演进，我们需要在规划和设计如何进行项目风险管理后，定期地完善此过程。风险管理规划对于能否成功进行项目风险管理、完成项目目标至关重要。因此需要定义出风险管理的Way of Working，选择合适的风险管理方法，确定风险判断的依据等，用于对风险管理活动的计划和实践形式进行决策。

规模化敏捷风险管理规划的主要内容包括：

风险管理人员：PMO+PM+ScrumMaster

管理方法：ROAMING

风险管理的时间周期：

小团队Daily同步，跨团队Weekly同步，全项目集Bi Weekly通过双周报同步，每3个月全员PI Planning评估

管理基准：Way of Working

风险的汇报形式：双周定期会议当面汇报+项目周报整理出需要上升的问题与风险邮件Report发送高层

PI Planning（项目集增量计划活动）是一个基于节奏的事件，它作为敏捷发布火车（ART）的心跳，将所有参与ART的团队与一个共享的使命和愿景联系起来。

PI Planning可以支持超过50-150人同时参加的，是频率为每3个月一次，为期2天的面对面工作坊活动。帮助各团队每位成员理解未来3个月的产品愿景，并完成工作任务计划工作，识别出项目的内外部依赖项和风险，这些风险包括：管理风险、技术风险、人力风险、费用风险、进度风险、质量风险、时间风险和安全风险等。

敏捷宣言指出，“在开发团队内部和内部传递信息的最有效和最有效的方法是面对面交流。”SAFe将这一点带到了PI计划的更高层次。在可能的情况下，这涉及到物理配置，而这些大规模的PI计划活动现在在世界各地的许多企业中进行。他们已经清楚地展示了真实的财务投资回报率，与风险监控能力。

PI Planning的风险管理活动包括包括评估、控制、监控和记录项目风险的各种活动，其工作成果记录跟踪。

三、风险识别

头脑风暴法、风险核对表等技术是敏捷项目管理中使用的定性分析的风险识别技术。

我们使用项目集看板，呈现所有团队的目标和依赖关系，对于PI中的风险识别能做到更具象化，也更容易进入到有的放矢的思考，使所有人对风险的认知在同一个频道上。

在此过程中我们考虑的典型的内部与外部风险来源有：

不确定的需求
无先例可循的工作（即无可用的估算）
不可行的设计
会影响方案选择与设计的、相互冲突的质量属性需求
不具备的技术
不切实际的进度估算或安排
不充足的人员和技能
成本或预算问题
不确定或不充分的分包商能力
不确定或不充分的供方能力
与实际或潜在的客户或其代表间不充分的沟通
运行连续性的中断
管理的约束（如保密、安全、环境）

风险类别提供了一个用于收集与组织风险的“储物柜”。在确定风险类别时，会考虑以下因素：

项目生命周期模型的阶段（如需求、设计、制造、测试与评价、交付、废弃处置）
所使用的过程类型
所使用的产品类型
项目管理风险（如合同风险、预算风险、进度风险、资源风险）

技术性能风险（如与质量属性相关的风险、可支持性风险）

四、风险估计

风险估计是紧接着风险识别的第二步工作，评价出单个风险事件的大小，对这些风险事件按其大小进排序，选出主要影响因素；然后考虑项目所有阶段的整体风险、所有风险对项目的总体影响以及项目对于这些风险的承受能力等重要问题。

我们使用以下Risk评级来评估单个事件。

识别并评估后的风险会列在以下登记表中。

五、风险评价

PI Planning过程中的风险评价就是对单个的风险事件和项目的总体风险进行评价的过程。风险评价的范围是针对当前制定的3个月计划得出的。

风险评价不仅要对单个风险的大小给出评价，并对各风险事件进行排序，从而找到项目集合的主要风险因素，而且要系统分析和权衡项目风险的各种因素，综合评定项目的整体风险水平。

我们在每个Team识别和评估出自己的风险后，有一轮信心投票的过程，5分制举手投票。这个过程需要让所有人都有机会表达出自己所看到的风险，有无法解决的问题进行当场上升到管理层，相关方一起讨论出风险应对（下一节展开）的方案后（可能会调整计划），再次经过一轮信心投票。直到大家都认为风险可以接受，该计划才会被最终确认。这个信心投票，可以认为是团队的整体风险评价，可以找出项目集的主要风险因素。

六、风险应对

风险应对的措施主要是从消除风险因素、降低风险发生的概率或风险后果等级三个方面进行努力，其主要的策略包括减轻风险、回避风险、转移风险和接受风险等。SAFe框架也提供了以下ROAMing分类：

Resolved - 团队一致认为风险不再是一个问题。

Owned - ART发布火车上有人承担风险，因为在PI计划期间无法解决风险。

Accepted - 了解并接受一些潜在的事实，或者必须接受一些潜在的风险。

Mitigated - 团队确定一个降低风险影响的计划。

七、风险监控

规模化敏捷环境下的风险监控也需要对上述对风险规划、识别、估计、评价、应对全过程进行监视和控制，从而保证风险管理能达到预期的目标。

在不同的层级，有各自的风险识别频率和同步机制。

从项目集层面，上图最内圈，可以看到团队每天通过站会同步风险。Scrum of Scrums就是在团队间同步风险，ART Sync就是在项目集层面，PO/SM/Arch不同角色之间同步风险。

除了从项目集/产品线层面，同时从项目层面紧盯项目的里程碑和项目目标，每双周召开汇报会，将项目风险报告，通过双周报上升风险到高层进行风险的应对。

很多技术手段也可以用来保障，测试左移，持续集成等，都能将产品开发的现状的风险提前暴露出来。

通过风险信息的采集、分析、预警以及控制决策的实施，各层级可以动态地掌握项目风险及其变化情况，跟踪并控制项目风险，确保高效地实现项目集/项目目标。

八、总结

本文主要总结了在规模化敏捷这种现代化组织模式下，业务负责人、PMO、项目管理者需要考虑如何做好风险管理的规划、识别、评估、评价风险，应对、监控的一些操作方法，旨在促进产品线、项目集中的每一个人的风险管理意识，加上机制的保障，让项目集的管理更成熟，决策更完善。风险管理是实践的管理科学，需要我们孜孜不倦地探索、优化。

参考文献

[1] Scaled Agile Framework Officail Site: https://www.scaledagileframework.com/

[2] Scaled Agile Framework Officail Site: https://www.scaledagileframework.com/pi-planning/

[3]Scaled Agile Framework Officail Site: https://www.scaledagileframework.com/enterprise-solution-delivery/

[4]Scaled Agile Framework Officail Site: https://www.scaledagileframework.com/pre-and-post-pi-planning/