it项目风险管理.ppt

IT项目风险管理,概述(风险概念、IT项目风险特点、风险成本)风险管理风险管理计划风险管理识别风险评估风险处理与控制IT项目风险监督,1.1项目风险概述,风险定义：-损失或损害的可能性-不确定性，机会与威胁并存-预期与后果之间的差异风险分类,IT项目风险特点,客户需求变动、膨胀利益的不一致性技术变革技术风险系统部署风险流程重组风险组织与人力资源变动商业模式风险自主开发还是外包合作风险,风险成本,定义：风险事故造成的损失或减少的收益以及为防止发生风险事故采取预防措施而支付的费用。分类：有形成本无形成本风险预防和控制费用,1.2风险管理,风险管理是对项目风险进行识别、分析和应对的系统化过程。它包括把对于项目目标而言正面事件的概率和影响结果扩到最大和把负面事件的概率和影响结果减少到最小。,项目风险管理主要过程,风险识别,风险分析,风险报告,风险控制,风险管理,计划,执行,检查,实施,DaMingCycle表示的风险管理过程,项目风险管理主要过程,风险管理计划编制：决定如何采取和计划一个项目的风险管理活动。风险识别：确定何种风险可能影响项目，并将这些风险的特性整理成文档。风险定性分析：对项目风险和条件进行定性分析，将它们对项目目标的影响按优先顺序排列。风险定量分析：测量风险出现的概率和结果，并评估它们对项目目标的影响。风险应对计划编制：开发制定一些程序和技术手段，用来提高实现项目目标的机会和减少风险对实现项目目标的威胁。风险监控：在项目的整个生命周期内，监视残余风险，识别新的风险，执行降低风险计划，以及评价这些工作的有效性。,1.3风险管理计划编制,风险管理计划编制是决定如何采取和计划一个项目的风险管理活动的过程。风险管理的水平、类型和可见度不仅要与风险相称，也要与项目对组织的重要性相称.为了保证这一点，对随后进行的各种风险管理过程做好计划是非常重要.,风险管理计划编制主要流程,输入：1项目章程2组织单位的风险管理政策3明确的岗位和职责4项目风险管理计划模板5组织风险管理计划模板6WBS,工具和技术,输出：,计划编制会议,风险管理计划,风险管理计划编制的输入,1项目章程2组织单位的风险管理政策：某些组织可能有即定的风险分析和应对方法。对于一个特别的项目，必须因地制宜地对这些方法进行修订。3明确的岗位和职责：预先明确的岗位、职责和决策权等级会影响计划的编制。4项目干系人的风险承受限度：不同的组织和不同的个人对风险有不同的承受限度。这些不同可能会在政策文件中阐明，或反映在行动中。5组织风险管理计划模板：某些组织编制了工作模板(或标准形式)供项目团队使用。组织要根据这些模板在项目中的应用和有效性不断改进这些模板。6.工作分解结构,风险管理计划编制的工具和技术,计划编制会议：项目团队召开计划编制会议来制订风险管理计划。与会人员包括项目经理、项目团队的负责人、组织中任何对风险计划编制和应对措施负有管理责任的人员、关键的项目干系人，以及其他使用风险管理模板和其它适用的输入的必要人员。,风险管理计划内容,岗位和职责：在风险管理计划中明确定义每一类别的领导、辅助、和风险管理小组人员。在项目班子以外组成的风险管理小组，与那些项目的倡议和赞助者相比，可能能提供更为独立和不带偏见的项目风险分析。预算：为项目建立一个风险管理的预算。时间：定义在整个项目生命期中执行风险管理的频率。风险管理要尽早得出分析结果以辅助决策。在项目执行过程中，要对决策进行定期的回顾。评分和解释：评分和解释方法要与采用的定性和定量风险分析的形式和时间相适应。评分和解释方法必须提前制定，以保证连贯性。,风险管理计划内容,承受度：风险承受以谁为标准，采取何种方式。项目业主、客户或赞助者可能会有不同的风险承受度。可接受的风险承受度是项目队伍衡量风险应对计划执行效果的标准。报告格式：描述风险应对计划的内容和格式。定义如何对风险管理过程的结果进行归档、分析并将其与项目队伍、内部和外部的项目干系人、赞助者及其他有关方面进行沟通。追踪：为了有利于项目本身、未来需要、以及吸取经验教训，风险行为的方方面面都要记录下来。将如何进行这种记录、是否对和如何对风险过程进行审计，将这些内容进行归档。,1.3项目风险识别,风险识别是确定何种风险可能会对项目产生影响，并将这些风险的特征形成文件。一般而言，风险识别的参与者尽可能地包括以下人员：项目团队、风险管理小组、来自公司其它部分的某一问题的专家、客户、最终用户、其他项目经理、项目干系人和外界的专家等。风险识别是一个反复重复的作业过程。第一次反复可能是由项目团队的某一部分或由风险管理小组进行的。项目团队整体和主要项目干系人可能做第二次复查。为了取得一个不带偏见的客观分析，可能由没有参与项目的人员进行最终的复查。一旦风险被识别出来，通常就可以编制甚至执行简单和有效的风险应对措施。,项目风险识别主要流程,输入：1风险管理计划2项目计划输出3风险分类4历史资料,工具和技术,输出：,1文件审核2信息收集手段3检查表4假设分析5图解手段,1风险2触发器3对其他过程的输入,输入,风险分类：可能按对项目产生影响的风险，无论好坏，都可用风险分类进行识别和归纳。风险分类应该是经过精心定义的，而且应当反映出自身行业或应用领域内的常见风险来源。分类包括以下内容：技术、质量或操作风险-例如，依赖未被证实的或复杂的技术；绩效目标不现实；在项目执行过程中所用技术或工业标准发生变更。项目管理风险-如时间和资源的不良配置，项目计划质量不高，项目管理原则使用不当。组织风险-如成本、时间和范围目标在内部不统一，缺乏对项目的优先排序，资金不足或中断，与组织中的其它项目之间出现资源需求冲突。外部风险一如法律和法规环境的变化、劳工问题、项目业主的优先次序发生变化、国家风险以及天气等。对于不可抗力，如地震、洪水、国家的不稳定等，一般来讲需要的是灾后恢复措施，而不是风险管理。历史信息：以往项目的资料可以从以下几个供方获得：项目档案-参与项目的一个或多个组织可能会保留过去项目结果的记录，这些记录可以用来识别风险。这些记录可能是项目最终报告或风险应对计划。资料中可能描述了出现的问题及其解决办法，有条理地记录了一些经验教训;或者，这类信息也可从项目干系人或组织中其他人的经验中获取。公开发表的资料：在许多应用领域都可找到有关的商业数据库、学术研究报告、标准、以及其它公开发表的研究成果。,风险识别的工具和技术,1.文件审核：项目团队通常采取的第一个步骤是从项目整体和详细的范围层次两个方面对项目计划和假设、以前的项目文件及其它资料进行一次结构性的审核。2.信息收集技术：在风险识别中使用的信息收集技术，举例来说包括：头脑风暴法、德尔菲法、访谈和优势-劣势-机会-威胁（SWOT）分析。,3.检查表：从以往类似项目和某些其它信息来源中积累的历史信息和知识，可以用于编制风险识别检查表。使用检查表的一个优点是它使风险识别工作快而简单。它的不足之处在于我们不可能编制一个详尽的风险检查表，检查表的使用者可能会被表中的条目所局限。要注意发现那些在标准检查表中未列出的，而又似乎与某一特定项目相关联的风险。检查表应详细列出项目所有可能的风险类别。将审核检查表作为每一项目收尾程序中的一个正式步骤，来完善可能风险的清单和风险说明是非常重要的。4.假设分析：每一个项目都是从一系列假设、设想、推测中孕育和发展而来。假设分析是分析假设有效性的一种技术手段。它从不准确、不连贯、不完整的假设中识别项目的风险。,5.图解技术：图解技术可能包括以下几种：因果分析图：也称Ishikawa或鱼骨图，用于确定风险的起因系统或作业流程图：反映某一系统内部各要素之间是如何互相联系的，并反映发生因果关系的机制。影响图：是一种用图解表示问题的方法，反映了变量和结果之间因果关系的相互作用、事件的时间顺序及其他关系。,财务报表法现场视察法相关部门配合法询问法,风险识别输出,1风险来源表：项目风险是一种不确定的事件或条件。风险如果发生，会对项目目标产生某种正面或负面的影响。2.触发器：触发器，有时也称做风险征兆或预警信号，它表示风险已经发生或即将发生。例如，未能达到中间的里程碑可能是一个临近的进度计划受到拖延的早期预警信号。3.其他过程的输入：风险识别可以确定是否在另一个领域采取进一步的行动。例如，WBS中细节可能不够充分，因而无法进行充分的风险识别工作；或者进度计划可能不完整或是不完全地合乎逻辑。4.风险分类分组,1.4项目定性评估,定性风险分析是评估已识别风险的影响和可能性的过程。这一过程按风险对项目目标可能的影响对风险进行排序。定性风险分析是在明确特定风险和指导风险应对两方面确定其重要性的方法。与定性风险分析要求使用已有的定性分析方法和工具来评估风险的概率和后果。重复进行定性分析得到的结果变动趋势表示需要采取或多或少的风险管理措施。运用这些工具可以帮助人们修正项目计划中经常出现的偏差。在项目生命周期内，为了跟上项目风险的变化应再次进行定性风险分析。这一过程可以引发进一步的定量风险分析,项目定性评估主要流程,输入.1风险管理计划.2已识别的风险.3项目状态.4项目类型.5数据精确性.6概率和影响的范围.7假设,工具和技术.1风险概率和影响.2风险概率/影响等级评定矩阵.3项目假设检验.4数据精确等级,输出.1项目总体风险等级排序.2主要风险的次序清单.3需加以进一步分析和管理控制的风险清单.4风险定性分析结果中反映的“趋势”,风险定性分析的输入,1风险管理计划2.已识别的风险：对风险识别过程中发现的风险及这些风险对项目的潜在影响进行评估。3项目状态：风险的不确定性，经常由项目在其生命周期中所处的不同发展阶段所决定。在项目的早期阶段，许多风险尚未浮出水面，项目设计还不成熟，并且会发生变更，以后可能会发现更多的风险。4项目类型：对普通类型或重复性项目的风险事件发生的概率及其后果有更深入的认识。采用最新发展水平或第一流技术的项目或-高度复杂的项目-可能有更大的不确定性。5数据精确性：数据精确性描述风险被了解与认识的程度。它衡量可获得数据的范围以及数据的可靠程度。用于识别风险的数据的来源必须得到评估。6概率和影响范围：这些范围，将用于评估风险的两个关键维度，7.假设：在风险识别过程中甄别出的假设要作为潜在风险进行评估,风险定性分析的工具和技术,1风险概率及其影响：使用定性术语可以将风险的概率及其影响描述为极高、高、中、低、极低五档。风险概率是指某一风险发生的可能性。风险影响是指某一风险事件发生对项目目标产生的影响。风险的这两个维度适用于具体风险事件，而不适用于项目整体。使用风险概率和风险影响来分析风险，可以帮助我们甄别出那些需要强有力地控制与管理的风险。,风险定性分析的工具和技术,概率/影响风险评分矩阵：在结合概率和影响的基础上，可以建立一个为风险或条件打分（极高、高、中、低和极低）的矩阵。高概率和影响严重的风险可能需要进一步的分析（包括量化分析）和积极主动的风险管理。通过使用矩阵及给出每一项风险的风险范围，可以完成风险评分。通常，风险的概率值介于0.0(没有可能)和1.0(确定)之间。由于专家的判断经常缺乏历史信息数据的支持，估计风险概率可能会很困难。可以使用一种顺序度量法，代表从极不可能到几乎确定的相对概率值。除此以外，也可以使用普通度量法(如0.1/0.3/0.5/0.7/0.9)为具体概率赋值。,风险的影响范围反映风险影响项目目标的严重程度。可以采用顺序度量法或基数度量法来表示风险影响。具体使用哪种方法取决于进行风险分析的组织的习惯做法。顺序度量法是指简单顺序排列的值，比如：极低、低、中、高和极高。基数度量法是将不同的值赋予不同的风险。这些值通常是线性的(如：.1/.3/.5/.7/.9)，但也经常是非线性的(如：.05/.1/.2/.4/.8)，使用非线性度量法反映出组织对规避高风险的愿望。两种方法的意图都是在假设某一可怀疑的风险发生的情况下，给这种风险对项目目标产生的影响赋予一个相对值。使用组织同意的定义，我们可以制订出定义明确的顺序度量法或基数度量法。这些定义提高了数据信息的质量，并且提高了过程的可重复性。,风险定性分析的工具和技术,一个具体风险的风险值概率风险值=概率（P）影响（I）,数据精确等级：如果要想使定性风险分析对项目管理有所帮助的话，则需要正确的和不带偏见的数据。数据精确等级是一种评估风险数据对风险管理的有用程度的技术。它涉及审查：对风险理解的程度风险数据的可获得性数据的质量数据的可靠性和完整性使用低精确度的数据，例如，如果对某一风险理解不足，可能导致定性风险分析对项目经理毫无用处。如果数据精确等级不可接受，就有可能迫使人们努力去收集更精确的数据。,风险定性分析的输出,1项目总体风险等级：通过比较风险值，风险等级可以指出某一项目与其他项目相比在总体上风险处于一个什么样的位置。我们可以根据项目的不同风险等级，向项目派遣相应的人力和其他资源、制订项目收益成本决策、对项目的启动、执行或撤消提供支持。2风险优先次序清单：风险和环境条件的优先次序可以根据多个标准来确定。这其中包括风险等级（高、中、低）或WBS级别。风险也可以按照急需处理和可稍后处理来分类。影响成本、进度计划、功能和质量的风险，应按其不同的等级分别进行评估。对于明显的风险，要对评估这一风险概率和后果的基准进行描述。3需加以进一步分析和管理控制的风险清单：归为高和中度等级的风险是我们进行进一步分析的主要对象。进一步的分析包括定量风险分析和风险管理行为分析。4风险性质分析结果中反映的“趋势”：随着分析工作的反复进行，分析结果中所反映的某种“趋势”可能会逐渐清晰。这种逐渐清晰的“趋势”可以确定风险应对或对风险进行进一步的分析是否紧急和重要。,1.5风险定量分析,风险定量分析过程的目标是量化分析每一风险的概率及其对项目目标造成的后果，也分析项目总体风险的程度。主要目标：测定取得某一特定项目目标的概率；量化项目的风险，决定可能需要的成本大小和进度计划应急准备金；通过量化各风险对项目的相对影响，确定最需关注的风险找出理想的和可实现的成本、进度计划及工作范围目标。,风险定量分析方法,概率分布分析敏感度分析决策树分析蒙特卡罗模拟层次分析法,风险定量分析的输出,1.经量化的风险优先次序清单：风险清单罗列对项目的最大威胁或最大机遇，连同对它们影响的测量。2.项目概率分析：预测可能的项目进度计划和成本，得出可能的完工日期或项目工期和成本，及其相关的置信水平。3完成成本和时间目标的概率：以当前计划和当前掌握的项目风险的知识为基础，使用风险量化手段，可以估测完成项目目标的概率。4定量风险分析结果所反映的“趋势”：当反复进行分析时，分析结果中所反映的趋势会逐渐趋于明显。,风险处理与控制,风险应对计划编制是一个编制选择方案和制定措施的过程，目的是为了提升实现项目目标的机会、减低对项目目标的威胁。它包括确定和派遣人员或单位，负责每个已经认可的风险应对行动。这一过程保证已识别出的风险得到合适的处置。风险应对计划编制的有效性将直接决定项目的风险是增加还是减少。风险应对计划编制必须与以下各项相适应：风险的严重性、应对挑战所需成本的有效性、完成任务的适时性、项目环境下的现实性、得到所有项目参与方的认同，并且由一个专人负责。通常需要从多个选择方案中挑选最佳的风险应对方案。,风险应对计划编制主要流程,输入：.1风险管理计划.2风险优先次序清单.3项目风险等级.4经量化的风险优先次序清单.5项目的概率分析.6达到成本和时间目标的概率.7潜在的应对措施清单.8风险承受度.9风险的承担人.10共同的风险成因.11风险定性和定量分析结果中反映的“趋势”,工具和技术.1规避.2转移.3减轻.4接受,输出.1风险应对计划.2残余风险.3二次风险.4合同协议.5需要的应急储备量.6对其他作业过程的输入.7对修订的项目计划的输入,风险应对策略,1.规避：风险规避就是通过变更项目计划，从而消除风险或产生风险的条件，或者保护项目目标免受风险的影响。虽然项目队伍永远不可能消除所有的风险，但某些特定的风险还是可能规避的。在项目早期出现的某些风险事件可以通过澄清需求、获取信息、加强沟通、听取专家意见的方式加以应对。减少项目范围以规避高风险工作；增加项目资源或时间；采用一种熟悉的，而不是创新的方法；或规避使用一个不熟悉的分包商。这些都可能是风险规避的例子。,风险应对策略,2.转移：风险转移是设法将某风险的结果连同对风险进行应对的权利转移给第三方。转移风险只是将管理风险的责任转移给另一方。它不能消除风险。在财务风险应对中，转移风险责任是最为有效的方法。转移风险几乎总是会伴有向接受风险的一方支付风险成本。这类成本包括保险费用、履约保证金、担保和保证费用。可以使用合同方式将某些特定风险的责任转移给另一方。如果项目的设计是稳定，那么使用固定价格合同就可能将责任转移给卖方。虽然一个补偿性合同将更多的风险遗留给了业主和投资者，但如果项目发生中期变更，这种合同可能有助于减少成本,风险应对策略,3减轻：减轻是设法将某一负面风险事件的概率和/或其影响降低到一种可以承受的限度。早期采取措施，降低风险发生的概率或风险对项目的影响，比在风险发生后再亡羊补牢要更为有效。对照风险可能的概率和其影响，减轻的成本应是合理的。风险减轻采用的形式可能是执行一种减少问题的新的行动方案。例如，采用更简单一些的作业过程、进行更多的地震试验或工程技术试验、或挑选更稳定的卖方。它可能涉及变更环境条件，以使风险发生的概率降低。例如，增加项目资源或给进度计划增加时间。风险减轻可能需要进行模型开发，以减少由模型放大所带来的风险。当不可能减少风险的概率时，一种减轻措施可能是针对那些决定风险严重性的关联环节，来处理风险对项目的影响。举例来说，在子系统中加入备份设计，可能会减少由原始部件运转不良所导致的影响。,风险应对策略,风险应对策略,接受：这种手段意味着项目队伍决定以不变的项目计划去应对某一风险，或项目队伍不能找到其它合适的