风险管理计划要赶上变化.doc

风险管理计划要赶上变化 风险管理计划要赶上变化“计划赶不上变化”，是H公司主管IT部门的卢经理过去常说的一句话。 他的话并非牢骚，而是真实地表达了这几年信息化规划和需求之间，“按下葫芦浮起瓢”的窘境。 H公司是一家比较注重规范管理的建筑企业，也十分注重信息化应用。 但是，由于施工过程的复杂性，信息化在解决了“提高工作效率”的问题之后，面临着如何提升管理绩效的问题。 这个问题让卢经理感觉到，靠过去那种解决技术问题的方式来推动，已经遇到了新的矛盾。 技术和业务谁“当家”在IT技术还不是很普及的时候，卢经理的部门仿佛有一种优越感。 “但是也真辛苦”，回忆起公司“从无到有”建设信息化，推广各类部门级应用系统的体会，卢经理有一大堆故事可讲。 但是，最近 一、二年的情况似乎有所不同。 “系统之间的整合成了头等大事”，卢经理对这个问题有自己的看法，“整合的好处和必要性大家都知道，但究竟怎么整合，往往就成为争论的焦点。 一段时间以来，业务部门认为“整合”就是要重新明确业务部门的职责；而IT部门则强调“在理顺流程的基础上更新系统”。 这两方面的意见，看似不同，实际上最后都归结为“技术和业务谁当家的问题。 当然，卢经理也承认这么说有点“简单化”。 难点在于，一套系统并非可以简单地看作IT系统，也不能简单地看作业务运行环境，“实际上每套信息系统的背后，都贯穿着对业务管理的规范、程序和标准，某种程度上说，信息系统就是业务规范的固化。 “被自己的绳子绊倒”一旦从“固化”的角度理解信息系统，就可以发现“变革之难”到底发生在什么地方。 卢经理说，目前已经在运行的信息系统，无论是财务系统、施工计划系统、预算系统等等，都“经不起变化的折腾”。 但是，平心而论，哪个企业不是在充满变数的环境中寻找机会，作出应变决策的？在要求信息系统有一定的灵活性，能够应对企业竞争环境和市场变化的时候，“原来所说的充满智慧结晶的软件系统，好象一下子变傻了”，卢经理举例说，比如公司拓展业务类型，介入新的建筑市场，需要从基础数据、工程预算、人力资源，甚至会计科目上，对信息系统加以调整。 “这种调整并非是局部的，它所带来的影响是全局性的”，H公司这几年的变化，充分说明了这一点。 从刚开始的工业建筑市场切入民用建筑市场，就是一个巨大的变革。 信息系统如果没有足够的灵活性，以最小的代价迅速反映出这种变革的需求，“我们立刻就会面临被自己的绳子绊倒的境况”，卢经理说这话的时候，显得十分忧虑。 风险也需要管理“这其实是信息系统隐含的风险”，卢经理的看法很有代表性，它代表了人们思考“企业信息化的下一步是什么”的问题时的普遍认识。 信息系统的建设过程实际上充满了风险。 “过去我们总认为是技术风险，总设想能通过合理选型、合理开发来把这个风险最小化”，卢经理认为，“现在我们公司的业务和战略变革过程，提出了一个更深层次的问题如何面对变革的风险。 “一劳永逸的思想，多少年不落后的思想，其实是不现实的”，H公司的信息化之旅，真切地揭示了这样的观点。 “对于变革是常态的现代企业生存环境，信息系统的规划、开发实施、维护、控制和管理，必须树立变革管理、风险管理的意识。 实际上这种观点也正是现在IT业界出现正视“风险”，加强“风险管理”的深刻背景。 风险管理，需要以动态的观点看待企业的经营活动和经营环境的变迁，同样需要以动态的观点看待信息系统的更新、整合和完善。 卢经理今年的任务，可以说有一个新的变化，就是更加贴近企业“变革”的实际，从反映企业变革的需求出发，从服从企业战略需要出发，看待信息系统建设的“下一步”。 风险管理是IT项目管理的“常态”曾任职IBM、埃森哲咨询公司，有30余年项目管理经验的Richard Murch先生，现在是美国Columbus公司的咨询顾问和项目经理。 在他xx年出版的IT项目经理实践入门（Proj ectManagement BestPractices ForIT Professionals）一书中，着重强调了IT项目的风险管理问题。 1995年跨掉的伦敦历史最悠久的巴林银行，成立于1765年。 该银行设在新加坡分支机构的职员Nicholas Leeson（里森）的违规操作，导致已经运转了230年的巴林银行几乎一夜间灰飞湮灭。 事后人们的分析指出，没有足够的风险防范措施，特别是涉及网络交易的风险防范，导致数十亿美元的非法交易在人们的眼皮下逃脱了监管，是毁灭巴林银行的主要原因。 Murch把IT项目管理中的风险划分为5类外部风险，如市场变化、新的行业标准、合并与收购事件、政策法规、网络故障和灾难、自然灾害等；成本风险，如未能预见的项目范围偏离、扩展和变更，对项目成本的估计出现差错，预算和进度超计划等；进度风险，如技术和内部沟通出现障碍，资源缺乏和资源不恰当的调度等；技术风险，缺乏有效的软件测试和系统测试，未能预见技术与系统的复杂性，技术与业务的整合缺陷等；执行风险，如未能给关键人物授权，系统发布时机出现判断错误等。 以上风险类型中有3个关键因素值得注意第一是识别风险存在的关键控制点；其二是对风险进行评估；其三是对风险控制进行规划与管理。 Murch的观点是，风险管理是项目管理中的“常规内容”。 这个观点值得IT项目经理认真思考。 很多项目经理将项目风险列为“意外事件”，只是在“出现了意外事件之后，再考虑如何消除事件的影响”，这种意识对项目风险管理是十分有害的。 当然，考虑风险控制将会在预算裕量、备择计划、资源储备和进度调整方面，要求项目经理拥有一定的自主权并得到授权。 在某种程度上，会增加项目的成本。 但是，防范风险的投入对公司来说，是绝对必要的。 IT项目虽然是一个基于智力活动的项目构造过程，其间所使用的项目控制方法和系统开发方法，表面上看具有很强的确定性；但是，由于现实世界的复杂性、环境的变化和IT项目并非能完整表达用