（工商管理专业论文）IT项目外包风险因子识别研究——基于承包商视角.pdf

摘要 随着经济全球化和通讯、网络技术的发展，i t 外包业务得到了 长足发展。正是由于i t 外包项目变得越来越普及，对这类风险的管 理也就变得越来越重要。近3 0 年来，国外学者们提出了i t 风险因子 识别框架，这些研究更多的站在客户的角度，对i t 外包中的风险进 行识别，同时也没有考虑到i t 外包项目的类型和实施阶段。国内的 有关于此方面的研究比较少。国外学者们提出的风险子识别框架，是 否符合中国国情，还有待国内学者们进行验证。 本研究通过对国外有关于风险因子识别清单和识别框架的研究 回顾，结合作者自身8 年的i t 项目外包经验，站在承包商的角度， 提出了一个风险因子识别框架，对国内相关领域研究进行补充。 本研究采用案例研究方法，调研了国内优秀的软件企业，通过对 资深的i t 项目经理们所提供的十个不同类型的、成功或失败的i t 外 包项目进行深度访谈。研究了站在承包商的角度，不同类型的i t 外 包项目，在不同的实施阶段，来自客户、产品、环境的风险因子。主 要结论如下： ( 1 ) 除了研究框架识别出的风险变量外，另外识别出了一些符 合中国国情的风险变量。 ( 2 ) 不同类型的i t 外包项目，在项目实施过程中，各风险变量 对其影响程度不同：包出和购迸两种类型i t 外包项目，更多的受到 产品维度的影响；侧重承包和侧重供应两种类型的i t 外包项目，更 多的受到客户维度的影响。 ( 3 ) 在i t 外包项目实施的不同阶段，不同的风险因子影响着项 目的成败：在调研、试运行两个阶段，更多地来自客户、环境维度的 风险因子影响着项目的成败；在设计、开发两个阶段，更多地来自产 品维度的风险影响着项目的成败；在升级、维护阶段，来自产品和客 户维度的风险因子，都影响着项目的成败。 本研究结论对于承包商在进行i t 外包项目进行承接的时候，可 以有针对性的识别风险因子，并相应的制订风险规避策略，具有一定 的借鉴作用。 关键词i t 外包项目，风险识别清单，风险识别框架，风险因 子 i l a b s t r a c t w i t ht h ed e v e l o p m e n to fe c o n o m i cg l o b a l i z a t i o n ，c o m m u n i c a t i o n a n di n t e r n e tt e c h n o l o g y , s o f t w a r eo u t s o r c i n gi n c r e a s e sd r a m a t i c a l l y j u s t a so u t s o u r c e da n dm u l t i n a t i o n a li tp r o je c t sb e c o m em o r ec o m m o n ， m a n a g i n gr i s k sf o rt h e s ep r o j e c t si si n c r e a s i n g l yi m p o r t a n t f o ro v e r3 0 y e a r s ，r e p o r t sa b o u tf r a m w o r kf o ri d e n t i f y i n g r i s k so fo u t s o u r c e di t p r o j e c t sh a v e b e e n b r o u g h t f o r t h b yf o r e i g n s c h o l a r s ，w i t h o u t c o n s i d e r i n gt h et y p ea n dp e r i o do fo u t s o u r c e di tp r o j e c t s m e a n w h i l e ， t h e s el i t e r a t u r e sa r ea l lf r o mc u s t o m e r sp e r s p e c t i v e a sv e r yf e w d o c u m e n t sa b o u tt h i ss u b je c ta r ea p p e a r e da th o m e ，i ti ss i g n i f i c a n tt h a t w em u s td e v e l o p m e n taf r a m e w o r kf o ri d e n t i f y i n gr i s k so fo u t s o u r c e di t p r o j e c t s w h i c ha r ei nl i n ew i t hc h i n a sn a t i o n a lc o n d i t i o n s t h r o u g ht h e r e v i e wo fp a s tr e s e a c h ，ip r o p o s e dt h ef r a m e w o r kf o ri d e n t i f y i n gr i s k so f o u t s o u r c e di tp r o je c t ，f r o mt h ev e n d o rp e r s p e c t i v e ，w h i c hi si nl i g h to f m yo w n 8y e a r sp r a c t i c a le x p e r i e n c eo no u t c o u r c e di tp r o je c t s t ot e s tt h er a t i o n a l i t yo ft h ef r a m e w o r k ，ic o n d u c t e dac a s es t u d y m e t h o dw i t h4e x p e r i e n c e dp r o je c tm a n a g e r s ，a l lf r o mo u t s t a n d i n g d o m e s t i cs o f t w a r ee n t e r p r i s e s 10d i f f e r e n tp r o je c t sc o n t a i n i n g4t y p e s o u t s o u r c e di tp r o je c t sa r ep r o v i d e db yt h e m ，b o t ht h es u c c e s so ft h e p r o j e c t sa l s oi n c l u d et h ef a i l u r eo f t h ep r o j e c t s f o rt h ei n - d e p t hi n t e r v i e w t h es e m i s t r u c t u r e dp r o g r a m m i n gm e t h o di su s e dt oc o l l e td a t a 。t h em a i n c o n c l u s i o n sa r ea sf o l l o w s ： ( 1 ) ia l s oi d e n t i f i e dan u m b e ro fn e wr i s kf a c t o r s ，w h i c hc o n f c i r r n t oc h i n a sc o n d i t i o n s ，i na d d t i o nt oa l le x i s t i n gr i s kf a c t o r sf r o mt h e f r a m e w o r k ( 2 ) f o u rv a r i e t i e so u t s o u r c e di tp r o j e c t sa r ea f f e c t e db yd i f f e r e n t t y p e so f r i s kf a c t o r s ；t h ef i r s tt w ot y p e so fp r o je c t sa r em o r ei n f l u e n c e d b yp r o d u c td i m e n s i o n ；b e h i n d t h et w ot y p e so f p r o j e c t sa r em o r ee f f e c t e d b yc u s t o m e rd i m e n s i o n ( 3 ) i nv a r i o u ss t a g e so fo u t s o u r c e di tp r o je c ti m p l e m e n t a t i o n ；i n t h ef i r s ta n df o u r t hs t a g e s ，t h es u c c e s so ft h ep r o je c ti sm o r ei n f l u e n c e d b vc u s t o m e ra n de n v i r o n m e n td i m e n s i o n ；i nt h es e c o n da n dt h l r ds t a g e s ， 盎s u c c e s so ft h ep r o j e c ti sm o r ea f f e c t e db yp r o d u c td i m e n s i o n ：i n t h e 1 a s ts t a g e ，t h es u c c e s so ft h ep r o j e c ti sm o r ee f f e c t e db yp r o d u n 锄d c u s t o m e rd i m e n s i o n t h ec o n c l u s i o n so f f e rr e f e r e n c e sf o rf o r m u l a t i n gt h e s t r a t e 9 1 e st o a v o i dt h er i s k ，a tat i m ew h e n c o n t r a c t o r sa r eu n d e r t a k i n gt h eo u t s o u r c e d i to r o i e c t s 妄e yw o r d so u t s o u r c e d i tp r o j e c t ，r i s ki d e n t i f i c a t i o nl i s t ， r is ki d e n t i f i c a t i o nf r a m e w o r k ，r i s kf a c t o r i i 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均己在论文中作了明确的说明。 作者签名：夥 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文并根据国家或湖南省有关部门规定送交学位论文， 允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内 容，可以采用复印、缩印或其它手段保存学位论文。同时授权中国科 学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 作者签名：纽 导师签名蚴日期：鱼年月兰日 硕士学位论文第1 章导论 1 1 研究背景与动机 第l 章导论 当今世界，以信息技术为依托的知识经济已初见端倪，西方发达国家信息产 业的产值占g d p 的一半以上；我国自1 9 9 8 年以来，信息产业也迅猛增长【l 】。随 着信息系统( 例如，电子商务、c r m 、e r p 等) 兴起，人们很自然地开始研究如 何提高此类系统的成功率1 2 。在1 9 9 5 年，美国花费了将近2 5 0 0 亿美圆在软件项 目上，其中包括有1 7 5 0 0 0 个项目。同年，美国的公司更透支了5 9 0 亿美圆在i s 项目上，并有8 1 0 亿美圆的项目最终被取消。i s 项目有如此高的失败率，其中 有一个原因则是项目经理们没有对项目的风险进行谨慎地评估和管理。继一些 主要西方发达国家长期关注i t 项目的风险管理之后【3 】，该领域的研究近年来也 引起了我国业内人士的普遍重视【4 】。i t 项目的风险管理的工作很广泛，但成功率 并不高。因此，越来越多的组织开始对i t 项目开发及实施采取外包的形式，来 降低风险。信息技术外包是近1 0 年来，信息技术管理中的一个新内容。 信息技术( 或信息系统) 外包是指用户公司以合同或协议的形式，将全部或部 分信息技术开发业务外包给承包商，并由双方共同承担信息技术开发的收益与 风险 5 - 1 0 。信息技术的外包具备有很多的优势，如可以降低或保持软件开发成本 和管理成本，使企业专注于核心能力和核心竞争力，集中优势夺取关键战略目 标，提供响应市场条件变化的柔性，减少在高技术方面的投资等等。因此外包 越来越受到信息技术的青睐【l 。 然而，机遇同样也伴随着风险的产生。大量的外包业务案例表明，造成i t 外包失败的的原因主要在于企业没有认真地选择哪些i t 活动要外包，哪些要内 制以及没有制订适当的外包策略1 1 2 j 。m a r yc l a c i t y , l e s l i eew i l l c o c k sa n dd a v i d e f e e n y 于1 9 9 4 年对欧盟1 6 2 家企业所做的调查统计表明，7 0 的公司没有正 式的外包策略，而在已实施了外包业务的公司中，也只有4 3 有正式的外包策 略。随着外包及跨国项目的普及，越来越多的学者开始重视对外包项目风险的 研究及控制【l 引。 在近3 0 年的i t 项目风险管理问题的研究中，有一类很重要的研究流派，就 是重点对i t 项目风险中的因子进行识别，来帮助在i t 项目开发过程中降低风险 【1 3 】。国外关于i t 项目成功因子以及i t 项目风险因子识别的论文不少，但由于 这些文章都缺乏一套理论或组织框架，从而限制了这些被识别出来的因子有效 硕士学位论文第1 章导论 地应用到实际的管理中去【1 4 1 。 国内关于i t 项目外包风险因子的识别的研究较少。王梅源，张金隆，鲁耀 斌三位学者运用d e l p h i 方法对软件外包项目全过程中的风险因素进行识别，得 到了1 7 种风险。鲁虹，孙绍荣两位学者在调查的基础上，分析了企业在i t 资源 外包中出现的风险因素。戴竹青选择委托代理理论作为研究的理论视角，参考 相关学者的研究成果，在i t 外包决策、选择和实施阶段中可寻找可能增加风险 发生频率的因素，共提出1 3 个风险因素。 国外学者陆续提出了许多有关于i t 项目外包中风险因子清单以及风险因子 的识别体系，然而这些清单、体系是基于国外情境下提出来的，到底是否适合 中国国情，还需要研究者们进一步验证。本研究探索性的提出一套适合中国国 情的风险因子识别体系，用来帮助中国i t 项目外包承包商进行风险因子的识别。 作者在此对所做的研究所涉及到的i t 项目进行以下界定： ( 1 ) 本研究所涉及到的i t 项目包括：产品销售、产品二次开发、项目定制 开发。 ( 2 ) 本研究所涉及到的i t 项目实施是从签订合同以后开始。 ( 3 ) 对于项目成功与否是按照承包方与客户双方所签订的合同中，所涉及 到款项支付是否完成进行判断。 1 2 研究目的 作者基于国内、外学者们业已提出的i t 项目风险因子清单，结合作者本人 将近8 年，从事i t 项目外包的实际工作实践，站在承包商的角度，试探性的提 出一套基于t o e 模型的风险因子识别框架，并引用了软件开发生命周期的时间 维度，以及江兵、夏晖等学者所使用的i t 项目外包类型维度【l2 。以实现以下研 究目的： ( 1 ) 根据阅读的国、内外大量的风险因子识别框架，并结合作者工作实践 经验，而试探性提出一套风险因子识别框架。 ( 2 ) 站在承包商的角度，对i t 项目外包中的风险因子进行识别。 ( 3 ) 在i t 项目外包风险因子识别框架中，加入了i t 项目开发的时间维度。 ( 4 ) 在i t 项目外包风险因子识别框架中，加入了i t 项目外包的四个类型 维度。 2 硕士学位论文第1 章导论 1 3 研究意义 1 3 1 理论意义 目前，国内有关于i t 项目外包风险因子识别的文章很少，国外的文章大部 分也都是站在客户的角度进行风险因子的识别，以承包商的角度对i t 项目外包 中，所需要进行控制的风险因子进行识别的文章尤为缺乏。 本研究在阅读有关于风险因子识别的、国内外文献的基础上，并结合了作 者自身的i t 项目外包的工作经验，试探性的提出了一套风险因子识别框架，通 过选取典型代表意义的i t 项目外包实际案例，进行案例研究，从而验证风险因 子识别框架的合理性。 1 3 2 实践意义 在i t 项目外包的开发过程中，大多数的风险控制、管理的文献、工具，都 是站在客户的角度来进行操控。实际上，站在承包商的角度，影响着i t 项目外 包成功与否的有很大一部分原因是来自于客户的因素，如客户项目实施的基础 条件、客户参与项目实施人员的技术水平等等。 因此，站在承包商的角度，如何对i t 项目实施过程中，有可能遇到的风险 因子进行预先识别，采取预防措施，显得尤为重要。 1 4 研究流程 本研究的选题来自于作者在实际工作中所遇到的困难，在查阅了国内外相 关文献的基础上，结合作者的工作实践，提出了研究的模型框架。针对本研究 问题的特性选用了案例研究的研究方法，并进行了研究方法的设计，选取了实 际工作中的典型案例进行案例研究分析，对自己提出的模型进行验证，本研究 的流程如图1 1 所示。 3 硕士学位论文第1 章导论 界定出研究主题 研究背景与动机 研究目的 研究意义 上 相关文献探讨 i t 项目风险管理 i t 项目风险管理体系 i t 项目外包风险因子识别框架 i t 项目外包风险因子识别框架 t o e 模型介绍 风险因子识别模型建立 变量界定及相关假没 案例研究方法 选择案例 拟订访谈大纲 访谈进行与记录 l访谈结果整理、分析与比较 图1 1 研究流程图 4 硕士学位论文 第2 章文献探讨 2 1 i t 风险管理的定义 第2 章文献探讨 不同的学科也有不同的风险管理定义，这里集中讨论i t 项目风险管理中的 内涵。 s e i 认为【l5 1 ，风险管理是项目中带有过程、方法和工具的管理风险实践， 它建立了预先决策的规范环境，使得：( 1 ) 连续地评估什么可能会出错( 风险) ； ( 2 ) 明确了哪些风险因为重要而需要处理；( 3 ) 实施处理这些风险的战略。美 国国防部认为【1 6 1 ，风险管理是处理风险的行为或实践，它包括风险计划、估价 ( 辨识和分析) 风险区域、制定风险解决方案、监督风险以确定风险的变化， 并且归档整体风险管理方案。h a l l 1 7 】认为风险管理是评估和控制影响软件项目、 过程或产品的风险实践，该实践围绕目标设定、项目计划、执行、度量、改进 和发现新信息6 大科目展开。j y r k i t l 8 】认为：风险管理指辨识、分析和控制风险 的活动，风险管理过程指系统化的和显式的风险管理活动。c m m l 1 【l9 】中认为风 险管理是一种分析问题的手段，它采用风险概率去估计某种情况下的风险，以 达到对相关风险更为精确的了解；风险管理内容包括风险识别、分析、优先级 排序和控制。s e i 提出的软件工程知识体系中讲到：风险管理是有关管理威胁开 发软件产品计划风险的概念、方法和技术，包括风险辨识、分析、监控、减轻 和计划。分三个知识单元：风险分析、风险管理计划和风险监控。 以上6 类风险管理定义先后次序的安排，基本上是按照定义的理性程度逐渐 升高、可操作性逐渐下降为序的。各个定义都普遍认为风险管理至少有风险的 辨识、估计和控制几个部分组成，有些定义强调过程是一组活动，而有些强调 是一个过程，还有些认为应该区别风险管理的活动和过程。有意思的是h a l l 还 认为风险管理超越了其他现代管理理论，比如全面质量管理( t q m ) 和业务过 程再造( b p r ) ，因为风险管理是决策的基础。 在大多数文献都认为i t 项目风险管理应该是显式开展的项目活动中，g r e e r 等【2 0 】提出了含蓄型风险管理的意义：他们认为存在于所有项目中的公共风险， 如延期交付，不需要明确地去处理，因为可以把这些风险放在一般过程定义中 隐含处理，这样可以降低需要明确处理的风险数量，使风险管理力量的更为集 中，从而保证风险管理资源充沛、结果准确。但对此我们不敢苟同，因为若从 5 硕士学位论文第2 章文献探讨 学科研究上讲，不存在实际管理资源的占用问题，这时排除掉任何i t 项目风险 都是不合适的；若从实践工作来讲，把共有的风险归属到过程管理中的手段是 正当的，但是由于各种风险之间的相互依赖性，把这些风险排除在专门的风险 管理之外将不利于风险管理活动的完整开展，也有割裂风险管理活动和项目管 理过程的嫌疑。所以无论那种情况本文都主张采取显式的风险管理活动。 由此本文定义风险管理为：是贯穿i t 项目生命期全过程的、以保障i t 项目 按计划进行的策略、方法、技术和工具的系统集合，它明显地含有风险辨识、 评估、排序、计划、监督和控制活动，并成为常规项目管理的有机组成部分。 这里强调了风险管理的全面系统性、明确性和与常规项目管理的相容性【2 。 明确性的意义前面已有阐述，相容性则是充分利用项目资源、避免两项管理出 现矛盾和动态连续风险管理的必要条件，而全面系统性的要求并不反对风险管 理可以根据项目类型、开发组织类型和业主类型做适当灵活的选择。 2 0 0 1 年j y r k i 【2 2 j 按照实施的严格程度把风险管理分为6 级水平。 ( 1 ) 不可见的风险管理：项目中没有明显的风险管理活动，所有的风险管 理都本能的隐含在项目管理中； ( 2 ) 临时风险管理：项目经理偶尔进行风险管理活动，而不是出自积极主 动所为； ( 3 ) 形式风险管理：有文档形式的风险管理活动结果模板，如项目计划中 的风险管理部分或者项目进度报告中的风险部分，但是实际计划或报告中没有 这些部分； ( 4 ) 必需的风险管理：正式要求和跟踪项目风险管理活动结果：需要频繁 地报告、更新和跟踪风险管理计划和风险清单； ( 5 ) 有支持的风险管理：组织中已经定义了实施风险管理的过程，过程包 括方法、工具和基础支持设施； ( 6 ) 精炼风险管理：有这样一个系统化的过程，在过程中捕捉风险管理经 验，并以此经验管理风险实践。 2 2i t 风险管理体系 2 2 1b o e h m 体系 b o e h m 于1 9 9 1 年详细描述了他的思想体系【2 3 】，其中把风险管理活动分成两 大阶段，每一阶段含有三个步骤，如表2 1 。 6 硕士学位论文第2 章文献探讨 表2 1b o e h m 软件风险管理体系 阶段步骤含义 风险估计 风险辨识找出项目特定的风险事件清单 风险分析评估风险事件的概率和后果； 评估风险事件交互作用形成的组合风险 风险排序产出辨识出的，并经过分析了的有序风险事件清单 风险控制 编制风险管理计划编制处理各个风险事件的计划； 综合个别风险事件计划形成总体计划 风险解决确定化解和消除风险的环境和活动； 跟踪风险解决过程 风险监督 为进一步细化排序和计划提供反馈信息 每一步骤都备有不少的相关实现技术，例如，风险辨识中给出了1 0 大软件 风险因素清单。同时还推荐了各个因素的相关处理意见及方法。从该清单出发， 经理和工程师们能够进一步细化风险因素，并加以评估和化解。 2 2 2c h a r e t t e 体系 1 9 8 9 年c h a r e t t e 2 4 l 设计了称为风险分析和管理的体系，两大阶段分别为分析 阶段和管理阶段，每个阶段都内含三个过程，如表2 2 ，每个阶段内的过程活 动并不能完全分离，有相互重叠甚至交错反复的现象。c h a r e t t e 同时为各个过程 提供了相应的战略思路、方法模型和技术手段，特别在风险的辨识和估计过程 中，其中大多数是运筹学、系统科学中的模型应用。 表2 - 2c h a r e t t e 风险分析和管理体系 阶段过程含义 风险分析辨识从风险分类结构入手辨识风险 估计确定辨识出风险的发生概率和发生后的后果；从信息的价值 出发，估计是否有必要为此取得更多的信息 评价从成对风险、组合风险到系统风险，综合度量各风险因素， 与参照层次相比较确定风险当量，最后排序各个风险因素 风险管理计划选择决策方案的行动路线，确保行动路线不影响其它决策； 依据路线选择风险规避战略 控制计划的执行机制，涉及资源分配和必要时的计划变更 监督检查决策的后果，寻求改进行动计划的机会，反馈执行状态 2 2 3s e i 体系 s e i 在软件风险管理方面作了大量的工作，1 9 9 9 年前后分别以技术报告和手 7 硕士学位论文 第2 章文献探讨 册等形式公布了基于分类的风险辨识( t b q ) 、连续风险管理( c r m ) 、软件风 险评估( s r e ) 、软件采购风险管理成熟度模型( r m - - c m m ) 和团队风险管理 ( t 肼) 。完整思想是想以t r m 为框架，贯穿c r m 思想，依托s r e 过程，以 t b q 等为基本手段，配合软件能力成熟度模型( s w c m m ) 和s a - - c m m 完 成软件的风险管理。 r m c m m 配合s a - - c m m 模型的5 个成熟度等级和关键过程域( ) a ) ， 也提出了风险管理关键过程域( 蹦一 a ) 的概念。i m 一日) a 的结构包括目 标、为达成目标的活动和支持活动t l 顷n 开展的制度化特征，如表2 3 所示。其 中目标有3 个： ( 1 ) 鼓励项目全体人员参与到所遇风险的辨识和缓和中来； ( 2 ) 在所有的项目职责中明确项目团队软件采购过程的风险辨识、分析和 缓和； ( 3 ) 项目评审已识别出风险的状态。 表2 3 软件采购成熟度等级及风险管理 级别焦点k p a风险管理的目标、活动、责任、能力、度量 连续过程采购创新责任1 5 优化级 改进连续过程改进 定量过程管理 4 量化级定量管理 定量采购管理活动5 培训计划 采购风险管理活动1 、2 、3 、4 、5 、6 、7 ，责任1 、2 ，度量 3 已定义采购过程和1 ，验证1 、2 ，能力1 、2 、3 级组织支持 合同绩效管理活动1 、2 、5 、7 ，责任1 ，目标1 ，度量1 项目绩效管理活动2 ，4 过程定义和维护 支持转变 评价活动1 、5 ，责任1 ， 2 可重复项目管理过 合同跟踪和监督活动2 项目管理活动1 、4 、7 ， 级程 需求开发和管理活动4 招标活动1 ，责任1 软件采购计划 活动3 、4 ，责任1 称职人员或者超 1 初始级 人 8 硕士学位论文第2 章文献探讨 活动有7 项：( 1 ) 把软件采购风险管理活动集成到软件采购计划中；( 2 ) 制 定软件采购风险管理计划，使其与项目确定的软件采购过程和谐一致；( 3 ) 项 目团队按文档计划中的规定执行软件采购风险管理活动；( 4 ) 项目团队鼓励和 奖励项目所有参加人员辨识和缓和风险：( 5 ) 把风险管理的实施看成是招标项 目绩效管理和合同绩效管理过程的组成部分；( 6 ) 分析、跟踪和控制软件采购 风险直至减轻；( 7 ) 项目评审已识别出风险的状态。 制度化特征有4 类：( 1 ) 执行责任，包括2 项1 ) 采购组织有书面的软件采 购风险管理政策和2 ) 指定的软件采购风险管理活动责任；( 2 ) 执行能力，包括 3 项1 ) 具有与软件采购风险管理活动一致的责任小组、2 ) 足够的软件采购风 险管理活动资源和3 ) 执行软件采购风险管理活动的个人是有经验的或者得到了 必要的培训；( 3 ) 度量和分析，只有l 项，制定和采用了确定采购风险管理活 动及结果状态的度量方法；( 4 ) 验证实施，包括2 项，1 ) 采购组织定期评审采 购风险管理活动和2 ) 项目经理定期及由事件引发评审采购风险管理活动。 2 2 4h a l l 体系 h a i l 女士受s e i 连续过程改进和p d c a 质量管理方法的启发，提出了“6 一 学科模型”，如图2 1 。图中e 代表预想( e n v i s i o n ) ，这是把思想转换为目标 和目的的学科，用于研究软件产品的远期规划；p 代表计划( p l a n ) ，是要为软 件目标分配资源的学科；w 代表工作( w r o r k ) ，指生产产品计划的执行，工作的 伴生产品是状态和不确定性；m 代表度量( m e a s u r e m e n t ) ，指比较期望值和实 际值的学科，两个值的差异用于调整项目计划；i 代表改进( i m p r o v e ) 是指从过 去的经验中学习的学科，它通过分析基准和项目度量结果，找出改进的方向；d 表示发现( d i s c o v e r ) ，是指要预知未来的学科，是通过对工作中不确定性的评 价和困惑的思考，思考机会和风险的均衡，预先指导计划和规划的改变。 图2 - 1h a l l 的6 学科模型 9 硕士学位论文 第2 章文献探讨 2 2 5 比较与分析 以上4 种典型的i t 项目风险管理体系各有特色，较早出现的两套体系 ( b o e h m 和c h a r e t t e 体系) 偏重于理论结构的完善，不妨称为理论体系，后两 套体系则偏重于实践应用，不妨称为实践体系。 总体来说，理论体系结构完整，内容完善，并附带有与结构和内容相配套 的不少方法和技术。体系构建者旁征博引，着重说明了为什么要这样做的道理， 阐明了如何从其它学科，如运筹学、决策理论等中借用思想、方法和工具。但 研究范围局限于软件项目的核心风险管理，研究对象主要是开发技术风险，很 少论及实现体系思想所需要的保障措施，基本上只站在开发商一方讨论风险管 理问题，操作性也显得不足，整体上看思想性大于技术性，对实施过程中人所 发挥的作用估计不足，从一定程度上说有理想化的成份。 b o e h m 先生一直关注软件项目的风险管理问题，曾提出了围绕风险管理开展 软件开发的方法，即螺旋模型，还从经济学角度论证了软件开发问题，并引入 了构造型成本模型( c o c o m o ) 。他最突出的贡献之一是建立了软件风险管理研究 领域，提出了头1 0 大风险清单的风险辨识思想，尽管有缺乏动态性的不足，但 确实对后续研究产生了很大的影响，只是他的体系在计算风险当量时没有考虑 效用因素。 c h a r e t t e 先生的体系从结构上看与b o e h m 体系只在用词不同，本质上区别 不大( 两者同在1 9 8 9 年独立提出软件风险管理体系) 。c h a r e t t e 的体系中认识 到了风险的投机性，也从步骤上强调了对组合风险的评价。但就如何获取单一 风险估计值和组合风险分析效果，还缺乏可行的手段和措施，在风险的效用问 题上只考虑了目标效用，而没有考虑到不同项目参与人的效用。另外，与b o e h m 一样，也没有考虑点概率值在实践应用中的不足。 两套实践体系最明显的特点是考虑到了体系的可操作性，体系中的理性思 考以指导实践步骤为主要目的，基本上摒弃了复杂的数学运算，强调与软件开 发过程的紧密结合，强调把划分好的任务落实到人的重要性，还绘制出了关键 的风险管理实用表格，注意到了风险管理数据的形成和利用问题。但为保证复 杂体系的一致实施，需要对实施人员进行专业化培训。 s e i 体系明确提出了软件采购方在项目风险管理中的地位和作用，注重发挥 和要求采购方参与到风险管理中来。该体系基于风险分类结构辨识风险，组织 了1 9 4 个揭示风险的问题，设计了各项实施措施的场景，有些活动甚至详细规 定到了需要在多少分钟内完成。为了简化风险管理的实施成本和实施难度，该 1 0 硕士学位论文第2 章文献探讨 体系将风险发生的可能性定义为非常可能、可能和不可能3 种，把风险后果定 义为灾难性的、严重的、次要的和可以忽略的4 级，两项因素组合成的风险当 量简化为高、中和低3 档结果，不过这种做法在降低管理成本的同时也降低了 管理精度。s e i 体系的管理步骤多于技术、方法和工具，没有涉及到组合风险的 处理，可以看出其主体思想是以简单的学术背景要求、方便的日常事务应用， 再加上严格的管理规定达成i t 项目风险管理效果。所以尽管技术要求不高，但 实施成本不低，因此更适合于大型公司或开发大型项目时采用。 6 一学科模型深入思考了风险管理与项目管理的结合，注重风险的度量和控 制，是理论与实际相结合的有益尝试。但不足的是对如何取得预想方案中风险 和机会的均衡重视不够，基本思路是改进项目管理，带动风险管理，管理范围 仍以核心软件风险管理为主。 也可以认为上述4 套体系归属两个风险管理层次，一个是研究如何辨识、处 理和消除风险的学科，一个是试图辨识并采取规避措施的行为或过程。照此理 解前两套体系属学科层，后两套体系属过程层。以上4 套体系总体都偏重解决 开发活动内部的技术风险，在风险控制手段上也往往着眼于降低风险发生的可 能性，而对如何规避风险后果措施不多。 作者所进行的研究更多的是这些管理体系中的前面部分的体现，也就是对风 险进行辨识。 2 3i t 风险因子识别体系 风险可能来自于i t 项目建设的各个方面，把具体的项目所面临的各种风险 无遗漏地寻找出来，需要有恰当的思想、方法和工具三个方面的支撑，下面作 者将所阅读的有关于风险因子识别的框架体系进行回顾： 2 3 1 早期风险因子识别清单 当风险处于凭直觉管理时代时，风险辨识主要靠的是管理者个人的经验、能 力和对风险的感受，项目成败很大程度上受制于项目的具体执行者。 a l t e r 等人也意识到了这一不足，早在软件风险管理体系创立之前的1 9 7 8 年， 就指出了8 项管理信息系统( m i s ) 实施中的典型风险因素【2 5 】，对开发人员避免 重复犯同样的错误有很大的借鉴意义。 b o e h m 认为依照风险源清单( r i s kc h e c k l i s t ) ，可发现项目中大多数严重的 硕士学位论文第2 章文献探讨 风险因素。他在奠基性著作软件风险管理1 2 6 中，给出了头1 0 大风险源序列， 之后又于1 9 9 1 年，结合对一些经验丰富的软件项目管理人员的调查，又提出了 顶级l o 大风险源清单1 2 7 1 。比较仅时隔两年b o e h m 的两个l o 大风险源，后者只 有5 项能完全涵盖于前者中，3 项与前者有类似条目，2 项为全新的条目，而前 者中有4 项内容未出现在后者中，可见时间不长，却有不小的修正程度。 又过两年之后，1 9 9 3 年b a r k i 等通过文献总结列出了3 5 项风险变量【2 引，1 9 9 4 年j o n e s 描述了6 0 项最常见的风险因素【2 9 1 ，数量上逐年都有大幅度上升。还有 不少学者以自己的见解或调查列出了适合某一领域或地区的风险源清单，这一 时期总的风险辨识思想是寻求尽可能完善的确定结构( 清单) ，以期揭示出i t 项目中大多数严重风险。 同时在1 9 9 3 年，s e i 的m a r v i n 等提出了“基于分类的风险辨识 1 3 0 思想， 他们认为：项目风险是时变的，无论在属性或内容方面即昨天的风险可能 变成了今天的问题或者完全不再是风险，而新的风险又出现了。因而，风险辨 识及后续处理应该是周期性、有计划、有步骤和系统完整地在项目生命期内进 行。这一思想无疑深化了人们对项目风险的认识，从前一时期的一次性静态描 述走向了阶段性重复更新，从严格的结构型清单走向了由分类树和问卷辨识过 程的统一，结构性的大幅度减弱更加接近了i t 项目风险的本质。自这一时期以 来，“基于分类的风险辨识”思想占据了主流，软件项目风险管理的各项研究都 达到了一个高潮，相关文献的产出量高于历史上其他时期。同时，由于这一思 想要求相应的配套措施，因此广泛认为，这套理论似乎更适合于较大型的、较 为正式的和有更高技术复杂性的项目风险辨识。 2 3 2 近期风险因子识别清单 在近3 0 年的i t 项目风险管理问题的研究中，有一类很重要的研究流派，就 是重点对i t 项目风险中的因子进行识别，来帮助在软件开发过程中进行风险降 低。存在有大量的文章已经识别出与系统相关的成功的因子以及风险因子。但 是由于这些文章都缺乏一套理论或组织框架，而限制了这些被识别出来的因子 有效地应用在实际的管理中去。 2 3 2 。l 国内研究现状 近期，国内也有不少学者进行了风险因素清单的开发： 2 0 0 6 年，王梅源，张金隆，鲁耀斌三位学者运用d e l p h i 方法对软件外包项 目全过程中的风险因素进行识别，得到了1 7 种风险。他们采用小组提名方法按 1 2 硕士学位论文 第2 章文献探讨 照其重要程度进行排序，并运用系统工程的解释结构模型( i s m ) 方法，建立了 软件外包项目全过程风险的递阶层次结构，从而为分析因素众多、关系复杂， 以及结构不清晰的软件外包项目全过程风险之间的关系提供有力的支持。 2 0 0 7 年，鲁虹，孙绍荣两位学者在调查的基础上，分析了企业在i t 资源外 包中出现的企业相关成本不降反升、承包商的服务并没有达到预期的效果、对 承包商的依赖度反而降低了企业的灵活性等常见的六大风险因素。 2 0 0 7 年，戴竹青选择委托代理理论作为研究的理论视角，将企业与外包商 的关系界定为委托与代理人的关系。从这一点出发，依据委托代理理论中的五 条基本假设，参考相关学者的研究成果，在i t 外包决策、选择和实施阶段中可 寻找可能增加风险发生频率的因素，共提出1 3 个风险因素。 2 0 0 7 年，田庆锋在对资源基础理论、资源依存理论、核心能力理论、交易 成本理论和代理理论研究归纳的基础上，把问题界定为从资源战略的视角对信 息技术外包行为从风险的角度进行分析，并提炼出了一个交易成本理论的信息 技术外包风险分析框架。 2 3 2 2 国外研究现状 1 9 9 5 年，h a i m e s 等【3 l 】成功地将其1 9 8 1 年提出的“层次全息模型( h h m ) 思想应用到了一项大型数据库开发的风险辨识中，思想的主旨是：复杂系统及 其组成部分无法以单一视角、用单一模型来描述，用多个独立的描述模型则不 利于模型间的通讯，h h m 是将复杂系统以互补、协作的方式分解为部件、子系 统等层次，每一个层次都是完整系统的某一特定视角结构。 2 0 0 1 年h a i m e s 又与l a m b e r t 等合作将该思想应用于了一个超亿美元的信息 管理项目中【3 2 1 。这一研究标志着系统科学和管理科学的思想引入到了i t 项目的 风险辨识领域，但由于实现这一思想要求执行者有一定的创新能力而应用范围 有限。 1 9 9 7 年m o y n i h a n 3 3 】依据心理学原理引出了i t 项目经理的个人风险结构，结 果显示：归类后的个人风险结构统计值与b a r k i 的3 5 项风险变量和s e i 的1 9 4 个问题有显著相同的条目，也有显著不同的条目，并且项目经理间也有显著的 不同。 2 0 0 1 年，s c h m i d t 等【3 4 】认为有效的风险因素序列有助于项目管理者把握风险 的本质和类型，他们同时在美国、香港和芬兰的4 0 家企业的中组成专家组，通 过严格的d e l p h i 方法，最终找出了1 1 个风险因素序列，并分析了不同文化背景 硕士学位论文第2 章文献探讨 下序列的不同点。这项研究涉及到了风险的文化属性。 可以从三个方面归纳风险辨识思想：结构性、有效性和灵活性。其中有效性 分为准确性和精确性，准确性指结果的真实程度，即表明得到的风险因素确实 是存在于实际项目中的风险因素；精确性指结果的排它可信度，即表明确实得 到了足够多的风险因素。一般来说，结构性越强，则对历史经验的继承度越大， 辨识成本越低，但却丧失了灵活性并难以保证精确覆盖性，如风险清单思想； 灵活性越大，则要求创新性越强，配套措施越完善，从而辨识成本越高、结构 性程度无法保障，结果的准确度也受到影响，如h h m 思想。基于分类的思想试 图在三个方面寻求平衡，然而其风险结构的树型表达偏离现实过多。 可见人们对i t 项目风险辨识的认识是一个逐步深化的过程，从意识到归纳 经验教训的重要性开始，到试图结构化问题的描述，又到系统思想、心理学原 理和文化背景因素的引入等，至今这一过程仍在继续，目前尚没有统一一致的 i t 项目风险辨识思想。 最新的有关于风险因子清单开发是由以下学者进行开发： s c h m i d te ta 1 最近发现了更高级关于跨国i t 项目开发的重要风险。尽管大多 数风险因子可以应用到外包项目中，但是外包项目将会引起更多的其他风险因 子，这些风险既包括来自客户的，也包括来自承包商的。 m o y n i h a n 的研究识别了许多站在承包商角度的风险因子，他们站在承包商 观点，帮助他们在外包业务中如何维护自己利益。他们认为承包商能够将自己 的核心业务专注于从事外包i t 工作，所以他们能够开发自己的专有技术并不断 的帮助客户进行技术升级，从而帮助客户降低成本。然而这两位学者并没有研 究承包商在外包业务中，因为有不同的目标，因此也有着对风险不同的观点。 文献3 5 l 、文献3 6 l 通过阅读了发表在m i s q 、i s r 、j m i s 这三类顶尖杂志上的， 从1 9 8 6 年以来，凡是论文名或摘要中包含有项目风险的4 6 篇文献，从而推出 了一套可以广泛适用的风险模型。 2 3 3 总结 表2 - 4 对于不