风险评估的定义，风险评估

风险评估的定义篇1

　　关键词 科技评估 风险投资 风险管理

　　1 科技评估

　　1.1 科技评估的概念

　　2000年12月28日科技部颁发的《科技评估管理暂行办法》将科技评估定义为“是指由科技评估机构根据委托方明确的目的，遵循一定的原则、程序和标准，运用科学、可行的方法对科技政策、科技计划、科技项目、科技成果、科技发展领域、科技机构、科技人员以及与科技活动有关的行为所进行的专业化咨询和评判活动”。从更广泛的意义上来讲，科技评估是对与科学技术活动有关的行为，根据委托者的明确目的，由专门的机构和人员依据大量的客观事实和数据，按照专门的规范、程序，遵循适用的原则和标准，运用科学的方法所进行的专业化判断活动。其结果要归结为能够回答委托者特定目的评估结论和评估分析。

　　1.2 科技评估的范畴

　　科技评估的范畴主要是职能性评估和经营性评估两大方面，职能性评估是指对政府科技活动有关行为进行的客观的、科学的评价和判断，为政府有关部门发挥决策、监督职能提供服务。经营性评估是指对企业或其他社会组织与科技活动有关行为进行的客观的、科学的评价和判断，为他们对被评事物的决策、判断提供参考依据。在市场经济条件下，科技评估作为一种咨询活动，不应仅仅只为政府决策服务，还应深入到市场中的各类科技活动之中，接受非政府机构委托的评估任务，如企业投资项目的科技评估、风险投资机构投资的科技评估、企业产权交易中的科技评估等。

　　1.3 科技评估的分类

　　科技评估可从不同角度分类。从评估时间上，可分为事先评估、事中评估、事后评估和跟踪评估四类。事先评估是在某项科技活动实施前所进行的评估，主要包括实施该项活动必要性和可行性两方面内容。它常常带有预测的性质，但不同于一般的预测分析；事中评估是在科技活动实施过程中进行的监督性评估，着重检验是否按照预定的目标、计划执行，对前面工作的进展与预期效果进行比较，并对未来进行预估，以发现问题，调整或修正目标与策略；事后评估是科技活动完成后进行的评估。另外，从评估空间上，可分为国家评估和地方评估；从评估规模上，可分为宏观评估、中观评估和微观评估；从评估方法上分，可分为定性评估、定量评估及定性与定量相结合的评估；从评估形式上，可分为通信评估、会议评估、调查评估、专访评估和组合评估等。

　　1.4 科技评估的方法

　　评估方法有广义和狭义两种概念，广义概念包括评估准备、评估设计、信息获取、评估分析与综合、撰写评估报告等评估活动全过程的方法，狭义概念特指评估分析与综合的方法。

　　科技评估可选用的方法多种多样，关键是要依据不同对象，有针对性地选择评估方法。常用的分析评价方法有定性和定量结合的方法、多指标综合评价方法、指数法及经济分析法和基于计算机技术的评估方法等。

　　2 风险投资的风险管理

　　风险管理是通过对风险的识别、衡量和控制，以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。风险投资的风险管理的出发点和归宿，都是企图运用系统的、综合的现代科学管理方法，有效地扩大投资活动的有利因素，控制和抑制不利因素，达到以最小的成本，安全、可靠地实现风险投资利益的最大化。

　　2.1 风险识别

　　风险识别是风险管理的第一步，是指对企业面临的，以及潜在的风险加以判断、归类和鉴定风险性质的过程。存在于企业自身周围的风险多种多样、错综复杂，无论是潜在的，还是实际存在的，是静态的，还是动态的，是企业内部的，还是与企业相关联的外部的，所有这些风险在一定时期和某一特定条件下是否客观存在，存在的条件是什么，以及损害发生的可能性等，都是在风险识别阶段应予以回答的问题。在风险投资中，风险一般可以分为两类：系统风险和非系统风险。系统风险是由公司之外的各种因素引起的，如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险，是不能通过多角化投资而分散的，因此又称作不可分散风险或市场风险。重要的系统风险有政治风险、法律法规风险和政策风险等。非系统风险也被称作可分散风险，它是由公司本身的商业活动和财务活动带来的，如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等，其可以通过多角化投资组合而分散，是公司特有的风险。重要的非系统风险有决策风险、财务风险、信用风险、完工风险和市场风险。作为风险投资者，其关心的往往只是项目的系统风险，因非系统风险完全可以通过合理的投资组合而得到分散。

　　2.2 风险衡量

　　风险衡量对已经识别的风险进行分析评估，以确定其损害程度的过程。风险衡量的方法分为定性风险评价方法和定量风险评价方法两大类，定性风险评价方法又可分为主观评价法和客观评价法，传统的主观评价法主要有观察法、资产负债表透视法和事件推测法等。现代的主观风险评价方法致力于将传统主观方法涉及到的因素综合在一起，并且设法将传统上的主观方法的定性分析特征转向定量分析上，由此而将主观分析扩展到能够同时完成综合评价风险因素与测量风险临界值的双重任务。现代客观风险评价法中，最具代表性的是“Z记分”方法。作为一种综合评价风险企业风险的方法，“Z记分”方法首先挑选出一组决定企业风险大小的最重要的财务和非财务的数据比率，然后根据这些比率在预先显示或预测风险企业经营失败方面的能力大小给予不同的加权，最后将这些加权数值进行加总，就得到一个风险企业的综合风险分数值，将其对比临界值就可知企业风险的危急程度。定量风险评价方法主要有风险图法、决策树法等。

　　2.3 风险控制

　　风险控制是指在对风险进行全面的分析之后，实施各种风险控制工具，力图在风险发生之前消除各种隐患，减少损失产生的原因及实质性因素，将损失的后果减少到最低限度。实施风险控制的步骤是风险预测——风险决策——实施决策方案——方案的成果评价。风险控制的主要方法有风险规避、风险预防、风险分散、风险转嫁、风险补偿、风险抑制等。

　　3 科技评估与风险投资的风险管理

　　科技评估与风险管理既有联系也有区别，科技评估作为一种专业化判断活动，在介入风险投资的风 险管理后，其任务便是对风险进行识别和衡量，其结果作为风险投资机构投资决策和制定风险控制实施方案的依据。可见，在风险投资的风险管理中，科技评估实质是风险的识别和衡量的过程，而风险管理还包括了风险控制的实施过程，这样科技评估就可以作为风险管理一个组成部分，实现两者的有机结合，促进共同发展。科技评估与风险投资的风险管理的关系如附图所示：

　　3.1 科技评估是提高风险投资管理效率的重要手段

　　科技评估经过近十年的发展，已有一整套较为完备的评估规范和技术方法，在评估设计、评估信息采集、综合分析、评估质量控制等方面的研究已较为成熟，同时，由于科技评估机构长期致力于国家和地方各类科技计划、科技项目、科研机构等方面的评估，对于科技产业、科技政策等方面的研究也是其他咨询机构无法比拟的。而我国风险投资业尚处于起步阶段，国家还未出台较为完备的有关风险投资事业的行政法规，风险投资机构的风险管理机制还很不健全，对风险管理人才培训的投入和重视程度还远远不够，因此，将科技评估运用到风险投资的风险管理中将能充分发挥其作用，提高管理效率。

　　3.2 科技评估方法是衡量风险投资风险的有效工具

　　定量和定性方法相结合是科技评估方法应用的基本思路，这与现代风险评价所采取的方法既有相近又有其独到之处，科技评估中最常用的方法是多指标综合评估方法，它是在对多个影响因素进行分析研究之后，设计一套相应的评估指标体系，并对每一个评估指标都制定具体的标准和统一的计算方法，使其能对金额、人数等可计量的指标进行定量评估，同时对社会影响等因素亦可做定性评估的描述。这与上面介绍的“Z记分”方法仅依靠可计量的数据作为评价基础相比较更为有效。采取科技评估方法衡量投资风险也更为准确、可信。

　　3.3 科技评估是推动风险投资管理创新的动力

　　引入评估机制，使风险投资机构的投资选择与投资决策相分离，使得风险投资管理更为透明化，也遏止了内部人员的“暗箱操作”等种种不良现象。通过独立的、专业化的评估中介组织的运作，将能使风险投资机构的管理层能更客观地认识到投资风险，从而可集中精力于投资决策，通过管理体制的创新，保证投资的科学性和安全性，也提高了投资成功率。

　　3.4 科技评估参与风险投资管理是其自身发展的需要

　　科技评估工作现阶段主要是为各级科技行政管理部门，主要是国家和省、市科技管理部门服务，而且大部分科技评估机构是由科技管理部门所属的有关单位，如软科学研究机构、科技咨询机构、科技情报机构等部门产生，但由科技管理部门所属的单位评估科技管理部门的科技项目、科技计划等等，在一定程度和一定范围内不可避免的受到科技管理部门的影响。因而，评估水平难以提高。因此，科技评估机构作为一种社会中介服务机构，和各类资产评估机构一样，应逐步社会化和多元化，如参与到风险投资管理的咨询工作中，只有社会化、多元化，才能充分引进竞争机制，优胜劣汰，提高评估水平，促进科技评估事业的发展。

　　3.5 科技评估促进风险投资实现动态管理

　　风险投资从进入到退出的全过程中，无时无处不存在着风险，实施某项投资决策前需要进行深入分析以确定各种存在风险的影响程度；进行投资后，还应深入到所投资的企业进行跟踪调查分析，对企业生产经营、财务状况，市场竞争状况，企业的发展趋势与步骤等，经常进行科学的、系统的分析与判断，发现潜在的风险，及时采取有效措施，杜绝它的发生或降低它的危害；风险投资退出后，还要对风险投资的效果进行测评，总结经验与教训，作为今后投资决策的参考。可见，风险投资的风险管理是一个动态的过程，实现管理目标需要实施一系列的评估，科技评估的事前、事中和事后评估能够满足这一要求，促进风险管理动态管理。

　　参考文献

　　1 国家科技评估中心编。科技评估规范，科技评估概论[M]。北京：中国物价出版社，2001

　　2 杜沔。关于风险投资中的风险控制工具的探讨[J]。中国科技产业，2001(7)

风险评估的定义篇2

　　论文摘要：本文分析了火灾风险评估概念的内涵，综述了以某一系统为对象的火灾风险评估的研究及目的，介绍了国内外较新的城市区域火灾风险评估方法。 论文关键词：城市区域 火灾风险 评估 一、火灾风险评估的概念 过去，人们往往依靠经验和直观推断来做出决策。随着计算机容量不断扩大和模块技术的发展，风险评估（risk assessment）和风险管理（risk management）技术作为复杂或重大事项决策的必要辅助手段，在过去的二、三十年间，在决策分析、管理科学、运营研究和系统安全等领域得到了广泛的认知和应用。 通常认为风险(risk)的定义为：能够对研究对象产生影响的事件发生的机会，它通过后果和可能性这两个方面来具体体现。风险概念中包括三个因素：对可能发生的事件的认知；该事件发生的可能性；发生的后果。因而，火灾风险（fire risk）包含火灾危险性（发生火灾的可能性）和火灾危害性（一旦发生火灾可能造成的后果）双重含义。 现在，在文献中可以看到的与“火灾风险评估”相关的术语有fire risk analysis， fire risk estimation， fire risk evaluation， fire risk assessment等，但基本上火灾风险评估都是指：在火灾风险分析的基础上对火灾风险进行估算，通过对所选择的风险抵御措施进行评估，把所收集和估算的数据转化为准确的结论的过程。火灾风险评估与火灾模拟、火灾风险管理和消防工程之间有密切关系，为其提供定性和定量的分析方法，简单地如消防安全设施检查表，复杂的就会涉及到概率分析，在应用方面针对的风险目标的性质和分析人员的经验有各种变化。 较多的人倾向于从工程角度来定义火灾危害性（fire hazard）和火灾风险（fire risk）。火灾危害性指：凡是根据已有的资料认为能引起火灾或爆炸，或是能为火灾的强度增大或蔓延持续提供燃料，即对人员或财产安全造成威胁的任何情况、工艺过程、材料或形势。火灾危害性分析在不同的情况下有不同的针对性，目的是确定在一定的条件下有可能发生的可预见性后果。这种设定的条件称为火灾场景，包括建筑物中房间的布局、建材、装修材料及家具、居住者的特征等与相关后果有关的各种具体信息。目前在确定后果方面的趋势是尽可能地利用各种火灾模式，辅以专家判断。此时，危害性分析可以看作是风险评估的一个构成元素，即风险评估是对危害发生的可能性进行权衡的一系列危害性分析。 从系统分析的角度来看，风险具有系统特性和动态特性。风险实际上并非某一单一实体或事物的固有特性，而是属于一个系统的特性。若系统发生变化，很容易就会使事先对风险所做的估算随之发生变化。火灾风险评估模式包括：系统认定，即明确所要评估的具体系统并定义出风险抵御措施的过程；风险估算，即设定关于火灾的发生几率和严重后果及其伴随的不确定性的衡量标准或尺度，计算和量化系统中的指标的过程；风险评估，对该标准或尺度进行分析和估算，确定某一特定风险值的重要性或某一特定风险发生变化的权重。 二、城市区域火灾风险评估的意义及发展概况 在消防方面，随着人们安全意识的提高和建筑设计性能化的发展，对建筑工程的安全评估日益受到重视，比如美国消防协会制定的“NFPA101生命安全法规”是一部关注火灾中的人员安全的消防法规，与之同源的“NFPA101A确保生命安全的选择性方法指南”，分别针对医护场所、监禁场所、办公场所等，给出了一系列安全评估方法，多应用于建筑工程的安全性评估方面。

风险评估的定义篇3

　　1 风险管理概念解析

　　风险管理是组织管理活动的一部分，其管理的主要对象就是风险。在GB/T 23694—2013 / ISO Guide 73：2009《风险管理 术语》中曾经指出，风险管理由一系列的活动组成，这些活动包括了标识、评价、处理和可能影响组织正常运行事件的整个过程，其准确的定义为：风险管理(risk management)是指在风险方面，指导和控制组织的协调活动。

　　与风险管理定义密切相关的，还有“风险管理框架”和“风险管理过程”两个词汇。

　　风险管理框架(risk management framework)是指为设计、执行、监督、评审和持续改进整个组织的风险管理提供基础和组织安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中给了三个有用的注解，分别为：风险管理框架是要素集合，这个框架并不是单独存在的，这就体现了风险的特点之一，就是一系列的“点”，这些点是要被嵌入(be embedded)。特别值得指出的是，校准(align))、整合(integrate)和嵌入(embed)是信息管理安全领域，也是整个管理学领域的常见词汇。其中，在战略层面一般强调校准，即无论是信息安全的战略还是信息系统的战略，都应该与组织的整体战略保持一致。在更细的策略或流程层次，则强调整合或嵌入。例如，已经有人力资源的管理规程，需要嵌入安全管理的部分，或者已经有事件管理规程，将其与信息安全事件管理进行整合。总之，校准、整合和嵌入是值得深入研究的三种方法。

　　风险管理过程强调的是系统化的策略、程序和方法。这三者关系如图1所示。

　　风险管理过程才体现了信息安全应该如何做(how)的问题。

　　严格讲，风险管理不仅仅是过程，是一系列的活动。因此，在下文的图3中，我们特别指出： 风险管理的阶段划分仅作示意。

　　2 风险评估及其过程

　　在GB/T 23694—2013 / ISO Guide 73：2009中，风险评估并不是作为一个单独的过程定义的。其中定义为：风险评估(risk assessment)包括风险识别、风险分析和风险评价的全过程。

　　风险评估的过程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中虽然也是类似的定义，但是当时并没有单独把“风险识别”作为一个单独的阶段。或者说，在当时的定义中，“风险识别”是作为“风险分析”的一个阶段而出现的，详细定义为：风险评估包括风险分析和风险评价在内的全过程。

　　为了更好地理解其中的变化，我们在表1中给出了风险评估包括的阶段的术语定义。

　　无论如何划分，风险评估都要完成下面这些活动：

　　在上述三个步骤中，步骤一与步骤二较为通用，或者说，截至到风险分析阶段，我们需要确定风险的等级，这都可以按照通用的标准或方法提前定义好。步骤三则不同，这个步骤需要结合组织自己定义的风险准则。

　　3 区分风险评估与风险管理

　　我们可以简单地认为，风险评估是风险管理的一个阶段，只是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程，那么风险评估就是其中的“对症”过程，只是找到问题所在，并没有义务解决。而风险管理是在整个组织内把风险降低到可接受水平的整个过程。主要阶段包括风险评估和风险应对(risk treatment) )。

　　风险管理是一个持续循环，不断上升的过程，它被定义为一个持续的周期，每隔一个阶段就开始新的循环，这些循环要贯穿组织的始终，是组织管理的一部分。风险评估则更像“搞运动”，其一般按照一定的时间间隔进行，但是如果发生组织业务变化、出理新的漏洞或基础机构变化等，都可能启动新的风险评估过程。

　　风险管理的循环过程不是在原地踏步的，它的每一次新循环都应该上一个新的台阶，呈螺旋上升的形状。如图3所示。

　　这种台阶或者档次的上升的来源就是组织定期或临时启动的风险评估，在每一次风险评估中都会发现潜在的问题，并在接下来的风险应对过程中加以解决，从而使组织管理风险的能力得到提升。

　　4 风险应对概念解析

　　无论风险评估步骤进行得多么完美，都只是找到了问题，而解决问题应该是组织的最终目的。风险应对的步骤就是评估、选择并且执行这些改进措施的过程。

　　风险应对(risk treatment)是指处理8)风险的过程。在GB/T 23694—2013 / ISO Guide 73：2009中，对这个定义也有详细的注解，包括：

　　“风险应对”定义的注1较为详细，其中给出了可能的应对措施，其中1)规避风险，6)分担或转移风险以及)接受风险，与ISO/IEC 27001：2005的描述基本类似，)为寻求机会而承担或增加风险更偏重组织业务角度视角，3)、4)与5)则是降低风险的基本途径，这三项的任何之一都可以改变目前的风险状况。

风险评估的定义篇4

　　关键词：软件项目；风险管理；风险评估；模糊理论

　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044(2011)16-3871-03

　　Software Project Risk Assessment Model Based on Fuzzy Theory

　　PEI Yu

　　(School of Management， China Mining University， Xuzhou 221008， China)

　　Abstract： Many uncertainties always exist in the development and management process ofsoftware project， To handle with the complexity and uncertainty of software project， the paper proposes a software project risk assessment model based on Fuzzy theory。 Using the model， we can assess the consequences and the loss of the risk， besides， it can measure a combination of impact of a certain risk from a variety of risk and the combined effects of the overall consequences from individual risk。 Practice proves that the model can predict risks and identify the sources of risk。 In a word， it provides a way to effectively reduce the risk probability and increase the rate of the success of software development。

　　Key words： software project； risk management； risk assessment； fuzzy theory

　　项目的创新性、一次性、独特性及其复杂性确定了项目风险的不可避免，而软件项目又有着其自身的特点，随着技术更新和产业环境的变化，软件项目趋向于周期长、规模大、涉及范围广等特点，使得项目涉及的风险太多，各种风险之间相互影响，内在关系错综复杂，导致软件项目开发的失败率一直居高不下。因此，科学的评估风险发生的可能性及产生的影响，分析各个风险之间的关系，并基于此对软件项目进行有效的风险管理很有必要。

　　典型的软件项目开发过程主要包括产品需求的识别、需求的分析、产品设计、编码、测试。在整个软件项目的开发过程中，风险无处不在。任何一个阶段的问题都可能会导致项目的失败，因此，在项目软件的整个生命周期内，都要进行风险管理，它是一个持续的过程。

　　软件项目涉及的风险很多，有些甚至是致命的。软件项目风险管理就是识别风险和风险源，将项目的不确定性因素及问题装换为具体的可以被描述和估量的风险，并用各种定性和定量的工具对其进行分析，根据分析的结果制定相应的风险管理计划，对风险进行跟踪控制、使风险对项目的影响降低到可接受的程度，保证项目的成功。软件项目风险管理过程分为风险评估和风险控制，风险评估又包括风险识别、风险分析以及风险应对计划，而风险控制包括风险的跟踪与回馈[8]。图1画出了软件项目的风险管理过程。风险评估是软件项目风险管理的核心与基础，直接影响着风险的后续过程以及项目的成功与否。目前，现有的软件项目风险评估方法基本上都只是作定性的分析，就算有定量分析，但由于经验数据不足而更多的依赖于人的评估，而专家在决策时又存在偏好问题，这都给评估带来了更大的困难。针对软件项目的复杂性和不确定性，文中提出了基于模糊理论的软件项目风险管理评估模型。

　　1 模糊理论

　　1.1 模糊理论相关概念

　　在日常生活的现实里，模糊总是如影随形，所以在实际生活工作中，我们无法避免模糊性，如果事事都要求精确，那就无法顺利的交流，特别地，针对某些问题，适当的模糊可能会使问题得以迎刃而解，灵活性大为提高。

　　模糊理论（Fuzzy Logic)是在美国加州大学伯克利分校电气工程系的L。A。zadeh教授于1965年创立的模糊集合理论的数学基础上发展起来的，主要包括模糊集合理论、模糊逻辑、模糊推理和模糊控制等方面的内容。

　　模糊集合，表示界限或边界不明确的特定集合，以特征函数来表示元素与集合间的归属程度，一般特征函数又称为归属函数，其值在（0，1）之间，模糊集的表达式如下，A= 其中x1，x2……xn代表有限集X={x1，x2……xn}中的元素，μ（xi）表示元素xi在模糊集（A，μ）中的归属度[3]。

　　语义还原，为了适合人的思维习惯，将模糊语言还原成自然语言表达方式。通常通过计算模糊数间的语义距离，并取其最小值，作为最接近的自然语言。

　　1.2 模糊理论的应用

　　模糊理论发展至今已接近三十余年，应用的范围非常广泛，从工程科技到社会人文科学都可以发现模糊理论研究的踪迹与成果。在软件项目风险评估中主要包括以下几个方面[3]：

　　1) 风险结果评估，将识别出的风险，用模糊语言描述其发生的可能性，再通过模糊数的截集运算计算出风险的概率。

　　2) 风险影响评估，通过模糊数的截集运算计算出风险影响通过风险分析网络得出的风险发生可能性，可以评估常用于衡量风险程度的风险当量以外，还可以评估多种风险对某种风险后果的组合影响，以及单个风险对整体后果的综合影响。

　　3) 风险结果还原，使用模糊数间的语义距离将评估结果转化为自然语言描述。评估结果以量化数据和自然语言两种方式表述。

　　2 基于模糊理论的软件项目风险评估模型

　　基于模糊理论的软件项目风险评估模型考虑到软件项目中普遍存在的经验数据不足及评估语言的不确定性，引入模糊学概念，采用隶属函数的描述方法，运用多值逻辑，由专家使用模糊语言对风险发生的可能性及危害进行评估，很好地解决现实评估中的不确定性和模糊问题。软件项目风险评估模型就是以模糊集合论为基础、专家综合评估为核心的评估模型。该模型引入专家信任度平衡其对评估结果造成的影响，使评估数据尽可能的客观和科学。在该模型中，专家使用模糊语言进行评估，通过模糊数的截集运算计算出风险的概率及影响，度量数据解模糊化后计算出风险的综合影响并进行排序，最后使用模糊数间的语义距离将评估结果转化为自然语言描述。评估结果以量化数据和自然语言两种方式表述。

　　基于模糊理论的软件项目风险评估模型主要包括风险识别、风险因素权重、模糊评价集、专家信任度、风险评估、风险影响综合评估和语义还原7部分内容[1]。

　　风险识别的主要任务是识别风险和风险源，将项目的不确定性因素及问题转换为具体的可以被描述和估量的风险。

　　1) 识别风险源。项目初期，软件项目经常存在未制定项目计划、项目需求不确定、技术或方法选择不 恰当等风险，而风险识别的目的是在风险发生之前，挖掘出潜在的风险，并评估其发生的可能性及危害，以 便采取措施缓解或避免，使风险危害降到最低。常见的识别方法有：头脑风暴法、Top-10风险列表法、Del―phi法、访谈法等。其中SEI基于TBQ的风险分类系统，问卷设计合理、科学，组织规范，系统性强，应用较为广泛。

　　2) 建立初始风险清单。将识别出的风险因素通过合并相似、删除重复、添加遗漏等操作，整合成用自然语言描述的风险清单，包括风险产生的原因、风险触发的条件、关于该风险的描述、风险产生的后果及可能造成的影响。

　　2.2 风险因素权重

　　在不同的项目、不同的环境及不同的资源下，风险因素的重要程度有所不同，用风险因素的权重系数向量A[a1，a2，…，an]T表示。其中n为风险因素个数，ai为第i类风险因素的相对重要程度。ai可由层次分析法（AHP）求出，具体方法是：1)将不同的风险因素列成比较矩阵；2)按照表1 中的1～9标度法进行两两比较；3)由方根法求其权重值，归一化处理得到向量A，并求出一致性指标CR；4)当CR

　　2.3 模糊评价集

　　1) 定义风险发生概率的模糊评价集。在缺乏项目历史数据的情况下，领域专家将使用 “不可能”、 “可能”等模糊性语言评价风险发生的概率，即模糊评价集Hp {极不可能，不可能，中等，可能，很可能}。

　　2) 定义风险因素后果集与风险后果模糊评价集。风险因素后果集D{进度，费用，质量)，风险对后果影响的模糊评价集Hc {极低，低，中等，高，极高}，当用三角模糊数表示H 与H 时，其隶属函数如图2所示，Hp 与Hc 和 -截集间的对应关系如表2所示。

　　2.4 专家信任度

　　专家由于从事研究的领域不同，对软件开发中各种风险危害程度的看法也有所不同，因此不同的专家在评估不同风险因素时的权威程度也是不同的[3]。如项目管理专家在评估项目管理风险、人员风险等方面远比技术专家权威得多。专家信任度矩阵用 W表示，它由 m位专家(行)，n类风险(列)组成，表示第i 位专家在评估第 j个风险时的相对重要程度。每列的值的计算步骤与风险因素权重计算相同，且和为 1.

　　2.5 风险评估

　　1) 风险发生概率的评估。风险发生概率评估是指专家使用模糊评语集构建模糊专家评估矩阵P，以此评价各种风险发生的可能性。P 由m位专家(行)，n类风险(列)组成，任意一个Pij 表示第i个专家对 第j类风险因素发生概率的评估值。为了消除专家因所处研究领域与偏好而产生的评估偏差，采用专家信任度修正评估结果，得风险概率综合评估矩P综合 =[P1，P2，…，Pn]，其中Pj= 。

　　2) 风险后果评估。风险后果评估是指专家使用模糊评语集Hc 构建模糊专家评估矩阵C，以此评价各种风险对后果集D造成的影响。以成本这一后果为例，C由m位专家(行)，n类风险(列)组成，任意一个cij 表示第 i个专家就第 j类风险对成本的影响做出的评估，同时使用专家信任度修正评估结果，得风险对进度的影响评估矩阵C进度[C1，C2，…，Cn]，其中Cj =。同理，可求出风险对其他两个后果的影响评估矩阵，合并可得风险对后果集D的综合影响评估矩阵C综合，该矩阵由3种后果(行)、n类风险(列)组成，任意一个Wij 表示第 i类风险对第i种后果造成的影响。

　　2.6 风险影响综合评估

　　风险当量是评估软件风险程度的关键指标，目前的分析方法通常由风险概率与后果的乘积度量出单个风险对各风险后果的危害程度，而多种风险共同造成的损失以及风险对整体后果的影响却无法体现。为从多维视角更深入地了解风险，以更好地达到控制风险的目的，采用如下方法解决这一问题。

　　R当量=P综合×C综合

　　R组合=[R1，R2，R3]T，其中Ri=

　　R综合=[R1，R2，……，Rn]/[R1+R2+…。+Rn]，其中Ri=

　　2.7 语义还原

　　由上述步骤计算出的综合评估结果为模糊数形式，为了适合人的思维习惯，需将其还原为自然语言表 述。根据Dubois和Prade的两集合间的欧几里德距离，以及Ross提出的改进欧几里德方法，采用间接方法计算模糊数间的语义距离。

　　定义模糊数A、B、C和D，A和B均为三角模糊数，C=A×B，D为预定的模糊评语。A、B和D的模糊数分别表示为(l1，m1，n1)、(l2，m2，n2)和(l3，m3，n3)，要计算模糊数C与D之间的距离，根据语义距离公式，计算出Cmin(i)和Cmax(i)(i=a，a取0或1)，有：Cmin (0)= l1 l2，Cmax(0)= n1 n2 ，Cmin= Cmax(1)= m1 m2.两模糊数C与D之间的距离为 [10]

　　dCD=

　　计算出的模糊数与评语集中各个评语的距离，取其最小者，即为最接近的自然语言。

　　3 总结

　　可以通过实例验证，在传统风险控制方法不能有效解决风险评估中的不确定性因素影响的情况下，构建软件项目风险评估模型能够有效地预测风险发生的概率及可能造成的影响的。而文中基于模糊理论的软件项目风险评估模型既能计算出风险因素对各种后果事件的综合影响，还能使用风险权重度量多种风险的组合影响，克服了传统评估中评估数据的缺乏和人的因素的综合影响，并且能还原成自然语言，客观科学，具有较好的适用性。

　　参考文献：

　　[1] 赵冬梅，吴敬，陈霄凯，等。软件项目的模糊风险评估及风险控制[J]。河北省科学院学报，2005，22(4)：92-94.

　　[2] 左怀远，米根锁。软件项目中的风险管理研究[J]。世界科技发展与研究，2008(3)。

　　[3] 唐爱国，王如龙。基于贝叶斯网络的软件项目风险评估模型[J]。计算机工程，2008，34(22)。

　　[4] 许数柏。层次分析法原理[M]。天津：天津大学出版社，1988.

　　[5] 潘春光，陈英武，汪浩。软件项目风险管理理论与方法研究综述[J]。控制与决策，2007，22(5)。

　　[6] 陈丽蓉。软件开发项目中的风险管理[J]。海南广播电视大学学报，2008(4)。

　　[7] 岳闻婧。基于贝叶斯网络的软件项目风险管理[J]。管理科学文摘，2008(5)。

　　[8] 袁瑞萍，吴祈宗。基于credal网络的软件项目风险管理模型[J]。微计算机信息，2008(36)。

　　[9] 李洪兴，汪培庄。模糊数学[M]。北京：国防工业出版社，1993.