本章介绍风险管理，这是一种用于在实现体系结构时降低风险的技术 项目。

9.1 引言

任何架构/业务转型工作都会存在风险。识别、分类和 在开始之前缓解这些风险，以便在整个转型工作中跟踪这些风险。

缓解是一项持续的工作，风险触发因素通常可能超出转型规划者的范围（例如， 合并、收购），因此规划者必须不断监控转型环境。

同样重要的是要注意，企业架构师可能会识别风险并减轻某些风险，但它是在 必须首先接受风险然后管理风险的治理框架。

应考虑两个级别的风险，即：

1. 初始风险级别：在确定和实施缓解措施之前进行风险分类

2. 剩余风险水平：实施缓解措施（如果有）后的风险分类

以下各节介绍了风险管理过程，包括以下活动：

• 风险分类

• 风险识别

• 初步风险评估

• 风险缓解和剩余风险评估

• 风险监控

9.2 风险分类

风险在任何企业架构活动中都普遍存在，并且存在于 ADM 的所有阶段。来自管理层 从角度来看，对风险进行分类是有用的，以便可以像 可能。

对风险进行分类的一种常见方法是对组织的影响（如9.4初始风险评估中所述），其中具有某些影响的风险必须通过一定程度的 统辖。

风险通常分为时间（进度）、成本（预算）和范围，但它们也可能包括客户转型 关系风险、合同风险、技术风险、范围和复杂性风险、环境（公司）风险、人员 风险，以及客户接受风险。

委派风险管理的另一种方法是按体系结构域进一步对风险进行分类。将风险分类为业务， 信息、应用程序和技术是有用的，但可能存在特定于组织的方式来表达风险，即 企业企业架构理事会应采用或扩展而不是修改。

归根结底，企业架构风险是企业风险，应进行分类并酌情管理在相同或 延伸方式。

9.3 风险识别

成熟度和转型准备情况评估将产生大量风险。识别风险，然后确定 在整个转型过程中解决这些问题的策略。

能力成熟度模型 （CMM） 的使用适用于与架构交付相关的特定因素 确定基线和目标状态，然后确定移动到目标状态所需的操作。未达到目标状态的影响可能导致风险的发现。

风险文档在风险管理计划的上下文中完成，标准项目中存在其模板 管理方法——例如，项目管理知识书（PMBOK®）和PRINCE2®——以及各种 政府方法。

通常，这些方法涉及应急计划、跟踪和评估风险水平的程序，并对以下情况作出反应 不断变化的风险级别因素，以及记录、报告和向利益相关者传达风险的流程。

9.4 初始风险评估

下一步是根据组织内使用的量表，根据影响和频率对风险进行分类。 结合效果和频率，提出初步的风险评估。

在测量效果和频率方面没有硬性规定。以下准则基于 现有的风险管理最佳实践。

可以使用以下示例标准评估效果：

• 灾难性推断可能导致组织破产的重大财务损失

• Critical 推断多个业务线的严重财务损失，导致生产力损失和无回报 关于IT投资的投资

• 边际意味着业务线中的轻微财务损失和 IT 投资回报率的降低 投资

• 可忽略不计，推断对业务线提供服务和/或产品的能力的影响最小

频率可以表示如下：

• 频繁：可能非常频繁和/或持续发生

• 可能：在一个转换周期中多次发生

• 偶发：偶发性

• 很少：遥不可及，在一个转换周期中可能不会发生超过一次

• 不太可能：在转换周期过程中可能不会发生

将结合这两个因素来推断影响将使用基于启发式但一致的分类方案进行 对于风险。评估公司影响的潜在计划如下：

• 极高风险（E）：转型工作很可能会失败并带来严重后果

• 高风险 （H）：部分转型工作严重失败，导致某些目标无法实现 实现

• 中等风险（M）：部分转型工作的明显失败威胁到某些成功 目标

• 低风险（L）：某些目标不会完全成功

这些影响可以使用分类方案得出，如图9-1所示。

图 9-1：风险分类方案

9.5 风险缓解和剩余风险评估

风险缓解是指确定、规划和执行将风险降低到可接受的操作 水平。

缓解工作可以是对风险的简单监控和/或接受风险，以制定全面的应急计划，要求 业务连续性计划中完全冗余（具有所有相关的范围、成本和时间影响）。

由于这种风险评估的影响，必须以务实但系统的方式进行。优先 面对频繁的高影响风险，必须依次减轻每种风险。

9.6 进行残余风险评估

一旦确定了每种风险的缓解措施，请重新评估效果和频率，然后 重新计算影响，看看缓解措施是否真的产生了可接受的差异。缓解措施将 通常是资源密集型的，对于很少或没有残余风险的主要支出应该受到质疑。

一旦初始风险得到缓解，那么剩下的风险称为“剩余风险”。关键考虑因素是 缓解工作实际上减少了对公司的影响，而不仅仅是将风险转移到另一个类似的高象限。为 例如，将风险从频繁/灾难性更改为频繁/严重仍然会带来极高的风险。如果发生这种情况， 然后必须重新考虑缓解工作。

最终可交付成果应是转型风险评估，可以结构化为工作表，如图 9-2 所示。

图 9-2：样本风险识别和缓解评估 工作表

9.7 风险监控和治理（G阶段）

剩余风险必须得到 IT 治理框架的批准，并且可能在公司治理中得到批准，其中业务 需要接受剩余风险。

一旦接受了剩余风险，就必须仔细监控缓解措施的执行情况，以确保 企业正在处理剩余风险而不是初始风险。风险识别和缓解评估工作表 作为治理工件进行维护，并在阶段 G（实施治理）中保持最新，其中风险监控 进行。

实施治理可以识别未得到缓解的关键风险，这些风险可能需要另一个全部或部分 ADM 周期。

9.8 小结

风险管理是企业架构不可或缺的一部分。鼓励从业者利用其公司风险 管理方法或使用本章中的指导对其进行扩展。在没有正式的公司方法的情况下， 架构师可以使用本章中的指南作为最佳实践。