论IT项目的风险管理.docx

1 论项目的风险管理摘要在 2009 年 3 月， 我参与了 “苏州工业园区企业综合信息管理应用平台” 项目的建设。 在项目中担任项目经理职务。 整个项目以园区管委会信息中心为依托， 面向园区管委会所有 部门和园区各垂直管理的条线部门（如：工商、质监、国税、地税、公安、海关等）以及所 有的园区企业。该项目分为二个阶段：第一阶段，将园区各条线部门和园区管委会内部部门的企业信息根据统一的业务主键和采集规则进行采集合并从而建立一个全面的、 准确的园区企业综合信息库；第二阶段，在园区企业综合信息库的基础上，将现有的“园区企业网上服务系统”改造成“园区政企交互平台” 。本文结合了我的经验就项目的风险管理作了翔实的论述，包括风险管理计划编制、风险识别、风险分析、风险应对、风险监控等过程；以及风险识别技术：如头脑风暴法，风险检查表，借鉴风险历史数据库的方法；风险分析技术：如风险概率和影响评估、决策树分 析等。此外，本文也讨论了在该项目中针对风险管理的不足而做出的弥补措施。 正文由于以前苏州工业园区管委会内部部门和外部垂直管理的条线部门都是独立进行信息化应用系统的规化、设计及实施，相互之间缺少协调和沟通，比如，很多部门根据自身的 业务需要，都建有自己的企业信息库，企业信息大都由各部门自行创建和维护，数据库重复 建设，相互之间没有共享。很多部门由于缺乏企业信息的有效获取和维护手段，往往数据初始化和创建时还相对比较准确，随着社会的发展，企业的变更、注销信息大多没有及时更新， 导致数据越来越差，园区内、外各业务部门迫切需要一套准确、规范、更新及时的企业综合 信息数据库来满足业务工作要求；另外，园区企业网上服务系统是在2002年开发实施的， 随着企业网上服务业务的推进和发展，园区企业网上服务系统在许多业务流程和政企互动方 面已经显的落后， 园区管委会的领导也希望通过在新的园区企业综合信息库基础上，将老系统进行翻新，加了更多的政企互动的元素，让政府与企业能够更好的沟通、交流和发展。 因为该项目的项目干系人多、业务涉及面广、需协调的部门多、软件接口多、各部 门提供的数据格式多样化，数据范围和数据值不统一。在这种情况下，项目面临的风险之大 是可想而知的。 项目风险是一种不确定事件或条件，一旦发生，会对项目目标产生某种正面或负面 的影响。风险有其成因，同时，如果风险发生，也导致某种后果。当事件、活动或项目有损 失或收益与之相联系，涉及到某种或然性或不确定性和涉及到某种选择时，才称为有风险。 以上三条，每一个都是风险定义的必要条件，不是充分条件。具有不确定性的事件不一定是 风险。 项目风险管理就是要争取避免风险的发生或尽量减小风险发生后的影响。 项目风险管 理实际上就是贯穿在项目开发过程中的一系列管理步骤：制定风险管理计划、风险识别、风 定性分析、风险定量分析、制定风险应对策略、风险跟踪与监控。 综合来看，该项目有四个特点：项目干系人多，业务涉及面广。工业园区企业综合 信息管理应用平台是面向园区管委会所有部门和园区各垂直管理的条线部门（如：工商、质 监、国税、地税、公安、海关等）以及所有的园区企业。项目涉及面广、用户量大。需要调研各垂直管理的条线部门他们各自能够共享的企业信息以及希望获取的企业信息。 政企交互平台集政府通告、企业活动报名、企业问卷调查、政企互动、信息荟萃、企业用户管理、企业基础信息数据权限、应用系统管理以及统一身份认证(SSO)于一体，涉及到政企交互的方方面面；需求不确定，一直在变；参与人员少，时间太短，前后仅有6个月的时间； 采用了 Framework3.5 架构、Sql Server2008 大型数据库、FusionCharts 图表、指数平滑法预测和 Reporting Services报表等先进的技术，工作难度大。尽管如此，但在大家的共同努力下，基本按时完成了项目。那么我们是如何克服的呢？ 首先，识别项目风险，编制风险管理计划和风险应对计划。风险的类型包括项目风险、技术风险、管理风险。 项目风险主要是该项目需求不明确， 而且变更频繁， 属于新业务， 客户和我们都没有绝对的把握。 技术风险主要是采用了时下流行的 Framework3.5 架构、 Sql Server2008 大型数据库、 FusionCharts 图表、 指数平滑法预测和 Reporting Services 报表, 因为人员少，每个人兼多个角色，不过，幸运的是可以复用别的项目一部分源代码，如数据库操作类、权限管理类等。管理风险主要体现在人员分布在三地办公，无疑增加了沟通的难度，不过我之前担任过多个项目的项目经理，所以项目管理工作经验还是比较足的。所以项目一启动，在基本了解客户需求的情况下，我就召集开发人员、销售人员、公司领导，甚至有项目组人员坐到一起，采用“头脑风暴法” ，大家都来分析该项目存在的风险，同时借鉴历史数据库中的风险数据，取出我们没想到而确实存在的风险条目， 也添加到风险列表里， 然后分析每个风险条目发生的概率、风险级别，而且针对该风险条目制定的应对措施，并形成一个风险记录表。风险管理贯穿项目的始终，风险管理计划和风险应对计划缺一不可。因为风险一直在变，所以在项目的每个阶段都在更新。 其次，制定项目管理计划，化解开发进度的风险。该项目时间实在太短，仅有六个月 时间。 作为项目经理， 我的压力非常大， 所以我做开发进度计划的时候， 根据最终交付日期， 采取倒推法，将时间逐一分配到各个任务上，同时尽量考虑到任务的并发执行，而且要细化到小时，我使用 MS Project2007 软件，利用PERT 技术，在工作分解结构（WBS）上定义每个任务的开始时间、结束时间，识别关键路径（CPM） ，然后从甘特图就能自动显示人力资源状态图，能自动统计每个人每个任务或者每个时间段的工作量，而且通过这个软件，可以非常方便的拆分任务，定义里程碑事件等。 接着，进行软件需求管理，降低项目范围的风险。在和客户的初步沟通中，确定了需求的大致范围，定下了 12 个模块，然后就针对每个模块讨论实现的功能、数据的流向、模 块之间的接口等。 因为有些业务包括客户在内都不在清楚，所以在需求讨论的时候经常很难达成一致共识。于是，我使用了 WORD 版本控制的功能，几易其稿，需求基本趋向一致。形成了软件功能规格说明书，确定了产品范围，双方签字确认。然后，我用 Excel 做了一个软件需求跟踪矩阵，实际为一个二维表，每行就是一个功能，而且是按层次分解的，每列是一个阶段，从需求定义阶段开始，到设计、编码、测试、交付、维护等阶段。在每个阶段结束 时都来更新这个需求矩阵，主要是更新每个任务的状态（如已批准、已实现、已确认、已删 除等） ，如果功能点的变化，可以在上面增加或者修改、删除该功能点，管理起来非常有效 和方便。另外，我们采用原型开发模式，主要分为两个阶段迭代。我将需求按优先级排序， 先完成客户最想要的功能,在整个开发过程中我都跟项目组成员灌输敏捷开发的思想：个体 和交互胜过过程和工具，可以工作的软件胜过面面俱到的文档，客户合作胜过合同谈判，响 应变化胜过遵循计划。 再次, 制定沟通计划，解决项目沟通的风险。在该项目中，开发人员、公司领 导、销售人员、客户分别在三个地区，沟通不太方便。基本的通信是靠 Email 联系，大家约 定都用 Outlook Express 收发邮件（设定每 3 分钟检测一次） ，因为同一个邮件，回复次数往往比较多，使用同样的邮件软件，查阅比较方便，跟综起来也容易。而且，邮件沟通有个非常大的好处是沟通的内容都落实在纸面上，便于将来分清责任。其次，是电话联系、电话沟通可能就比较直接，尤其是和客户沟通，效果可能更好。此处，我还建了一个项目组的QQ 群，只要项目成员一有问题，都可以在 QQ 群里及时沟通，增强了沟通的时效性和项目组成员之间的互动性。 我经常把开发进度表打印出来贴在每个开发人员的桌面上，让开发人员 “心中有数” ，增强紧迫感。而需要众人一起讨论的问题，则放到每周项目例会上讨论，较 紧急的问题召开临时性会议。 通过以上方法， 基本实现了有关各方及项目组内部的有效沟通， 及时发现问题、解决问题，避免因各方立场不一致造成严重对立而影响项目进度，避免了因 交流不畅形式重大质量问题。 现在回顾这个项目，我们是在一个周密的开发计划下，在非常短的时间、非常有限的 人力资源的情况下，一一化解了项目的风险，按时完成了项目，客户很满意，也得到了我们 公司管理层的高度评价。我想，这归功于整个团队的配合。作为项目经理，我也充分的利用 了各种项目管理工具（软件）在风险监控、进度把握、需求跟踪等各方面的作用。 虽然基本按时完成任务，但也有很多不足之处：第一，因为工期紧，开发人员少，所 以经常加班，大家非常的疲惫，而且加班费很少。我也采取了一些弥补措施，如请示管理层 在精神方面做了一些鼓励和表扬，适当的出去聚餐、看电影、参加健身运动，一定程度上缓 解了紧张的氛围，而且大家也没有太多的怨言，否则就要另当别论了。第二，测试的时间太 短，在性能测试这方面没有专业的测试人员，没有全面而系统的测试，所以系统交付之后， 发现了不少问题，虽然没有威胁到系统的运行，但作为项目经理，我觉得如果多给一些时间 和人员，我们会做的更好。后来，该系统在别的客户现场实施时，我们做了多方面的改进， 系统也更趋于完美了；在以后的工作中，我还需要不断的学习，总结经验和教训，为我国电子信息化事业尽一份绵薄之力。2 论项目的风险管理摘要我在 2004 年 4 月参加了公司智能企业管理信息系统的开发，作为该项目的风险控制经理开展工作。 该项目采用了最新的系统采用 B/S、WebService 架构，使用 J2EE 作为开发语言，用了 Oracle 数据库； 产品需求来自于产品的 2.0 版本， 专家以及客户。 全部业务完成的工期限定为 2.5 年3 年。 在该产品中，每一个业务系统均可看作是一个独立的软件系统，同时各个业务系统之间的数据互相引用。本文以该项目为例，讨论了项目风险的重要性，包括风险管理计划编制、风险识别和分析、风险应对和风险监控等 管理过程。讨论了软件项目风险管理的特点，针对这些特点，在风险管理的不同阶段作了有针对性地解 决。在项目实施过程中，约到了技术风险、人力资源风险、项目需求风险等内容，在风险管理理论知识的指导下，针对性的采用了规避、转移、减弱等方法，有效的管理了风险，同时采用过程审计、阶段评审的方法帮助识别风险和监控风险， 有效地保证了风险管理的成功， 使项目顺利验收并获得了多种奖项。 正文2004 年 10 月，公司的智能企业管理信息系统 3.0 正式立项，该系统是公司最重要的一个软件产品， 目标是应用于资产密集型企业，但第一个阶段主要应用在发电厂，该产品以实现发电企业管控一体化的 管理为目标，整个系统由十大业务系统三大应用平台构成。十大业务系统包括：厂级监控系统、企业资 产管理系统、优化检修管理系统、安全生产运行系统、燃料管理系统、工程项目管理系统、全面预算管 理系统、辅助决策管理系统、协同办公管理系统和网络资源管理系统；三大应用平台包括：业务设计平 台、工作流平台和报表平台。该产品为发电企业的业务追溯、资金监管、信息抽取、绩效考核、辅助决 策提供了有力的管理工具，可切实保障实现效益最大化的管控目标。系统采用 B/S、WebService 架构， 使用 J2EE 作为开发语言，采用 Oracle 数据库。产品需求来自于产品的 2.0 版本，专家以及客户。全部 业务完成的工期限定为 2.5 年3 年。在该产品中，每一个业务系统均可看作是一个独立的软件系统，同时各个业务系统之间的数据互相引用。产品的交付物包括通过验收的软件系统、全部的设计资料以及项目管理过程资料。整体项目任命了一位总的产品线经理，同时为各个业务系统任命了项目经理，本人在该项目中作为工程项目管理系统的项目经理和整个项目的风险控制经理开展工作，负责整个项目的风险控制和工程项目管理系统的风险管理工作。项目风险是一种不确定的事件和条件，会对项目目标产生某种正面或负面的影响。该项目产品线长，功能多，模块间关系复杂，需求的来源复杂，周期长，参与人员多，同时对于最终产品的质量要求 比较高， 因此可预见的风险就非常多，同时还存在很多不可预测的风险。软件项目相对于其它项目而言，其项目风险具有自己的特点，从影响的角度，主要是考虑负面影响，需要控制风险造成的威胁和损害；从来源的角度，除了一般项目风险来源，还需要从软件工程和软件开发过程的角度考虑；从已知未知的角度，主要是对已知风险在本项目上存在的可能性、大小进行探寻和管理而不是重新输入一个风险表。 重在风险的控制！为了在整个项目周期中很好的控制风险，达到项目目标，针对上述项目自身的特点和 软件项目的特点，我提出如下的项目风险管理策略，首先重视项目风险识别，做好项目风险管理计划； 其次，对软件项目全过程进行风险控制；第三提前做好风险应对准备，制订详细的风险应对计划。最后， 处理好风险管理与项目管理其他过程的关系。至今，该项目已经验收，事实证明，针对软件项目和该项 目特点定义的这些策略非常有效，采用该策略，我们在该项目中遇到的各类风险得到了有效控制，项目 最终向公司交付了合格的产品并通过验收。当年，该产品在 2008 全国中国(南京)国际软件产品博览会上 获得优秀软件奖，2007 在市里获得了第五届江苏省优秀软件产品奖（金惠奖）。我也受到了公司的肯定 和表扬。下面详细介绍我在该项目中的风险管理： 一、 重视项目识别，做好项目风险管理计划。 谨慎和清晰的计划能够提高项目风险管理的成功概率。在项目计划阶段，编制一个好的项目风 险管理计划非常重要，为了保证风险管理的级别、类型和可见性和风险本身以及该项目对公司的重 要程度相匹配，以便有充足的资源和时间来实施风险管理。按照风险管理指南，我组织了规划 会议来制订风险管理计划，参加人员包括产品线经理、分项目的项目经理、技术总监、业务顾问等， 通过这次会议确定一个基本的风险管理活动，然后充分利用了公司财富库中定义的风险管理处理办 法和风险类别、模板等，完成了风险管理计划的编制。该风险管理计划作为项目计划的一部分，进 行了评审，通过评审后纳入了配置管理。 主要采用了风险核对表、阶段评审、过程审查等手段实现软件项目风险的识别，充分考虑软件 项目风险来源的不同。风险识别是确定何种风险可能对项目产生影响，并将这些风险的特征形成文 档。由于在项目的进展中可能会有一些新的风险，我们在每个项目阶段中均包括了风险的识别过程。 项目团队、业务顾问、典型的客户代表和公司外部的一些专家参与了风险的识别。从软件项目风险 来源角度，除了考虑了传统的风险管理计划、项目计划输出、风险分类和项目历史记录几个来源， 还注意从软件工程和软件开发过程两个方面细化了风险识别的内容，比如从系统结构、项目成本和时间估计等角度充实软件开发整个过程中的风险识别输入。 软件项目的风险识别是针对软件项目特有的风险检查本项目的情况，因此该项目的风险核对清单是建立在以前项目曾经遇到的风险的经验积累基础上的，这个表称谓风险检查单。我们将风险分 为项目风险、技术风险、商业风险、战略风险、管理风险和预算风险、团队风险等。按照团软件项 目阶段划分的风险检查表如下： 需求阶段 可能的风险事件，在这个阶段进行大部分需求分析、少部分设计项目目标不清项目范围不明确(范围太大、太小都不行)用户参与少或用户沟通少对业务了解不够对需求了解不够没有进行可行性研究 可能的风险事件 项目队伍缺乏经验，缺乏有经验的系统架构师 没有变更控制计划，以至于变更没有依据。设计阶段 从业界公布的数据来看，软件项目的主要风险如下： 1）项目规模风险。项目风险直接与项目和项目组的规模成正比，常见的风险有： 估算产品规模的方法 产品规模估算值的可信度 产品规模与以前产品规模平均值的偏差 产品的用户数、应处理的数据规模 复用的软件有多少 产品的需求改变多少 2）需求风险 软件需求常常会有很多的不确定性，如果不控制需求的风险，那门就可能产生无法交付的产品或者 埋下危险的祸根。 需求风险主要有： 用户对产品缺少清晰的认识； 用户对产需求缺少认同 项目组在收集和分析需求时，客户参与不够 没有定义需求的优先级 由于不确定的需要导致丢失确定的市场 不断变化的需求 缺少有效的需求变更控制管理 对需求的变化却缺少相关的波及、影响和评估分析3）外部因素风险 许多风险都是项目的外部环境或因素造成的。通常，项目组不能很好的协调并控制与外部有关的事 情，造成内部计划不够贯彻执行。主要因素有： 客户配合和协调环境 内部和外部转包商的关系 交互成员或交互团体的依赖性 经验丰富人员的可得性 4）管理风险 计划和任务定义不够 项目实施状态不清楚 项目使用者和决策者分布清楚 不切实际的承诺 团队的配合与员工之间的冲突 5）技术风险 软件技术的飞速发展和经理丰富员工的缺乏，意味着项目团队可能会因为技巧的原因影响项目 的成功。 缺乏培训 对方法、工具和技术理解的不够 应用领域的经验不够 采用新的技术和开发方法 不正确的开发方法 最后，对于风险识别的结果进行了整理，形成了风险识别表，针对该项目的情况，采用调查、访问 的方式补充该项目的风险情况一览表，这里我们得到一个重要的信息是办公所在地夏季会经常停电，导 致无法开展工作以及数据的丢失。根据风险事件，对风险进行分类，将风险落实具体的工作中。然后根 据风险将要发生的症状，描述出风险触发点。将项目实施情况的假设条件列入了项目风险。找出相关阶 段的改进需求。 二、对软件项目全过程实施风险控制，加强项目风险的监控。 对于软件项目要对全过程进行风险防范和控制。具体的： 1）项目计划和进度阶段，标识出可能延误风险。 2）建立项目需求定义的过程中，标识出需求不确定或不足的风险，并建立补救措施计划文档，并将该计划贯彻整个项目生命周期。 3）软件发行最初版本和主要修订版本时，标识可能的缺陷风险，在项目审查、确认阶段，要经过 同行评审后才可发行。 4）在有选择的项目里程碑处、在指定的风险检查阶段点和对软件项目有影响的计划重大变更过程 中，对于软件项目风险要进行跟踪，再评估和重新计划。 5）当风险逐渐显著并需要跟踪时，应在每周、每月或定期工作报告中加入风险跟踪表，以便跟踪。 6）在每次检查和评审后，项目经理要检讨并修正风险级别，平时要利用风险监控所获得的信息进 一步修订风险评估和管理计划。 对于项目风险监控主要是对风险管理计划执行得过程，包括对于已经识别的风险进行跟踪；对于 已经发生的风险，根据风险管理计划和应对计划进行处置；风险事件发生后，评估风险化解的效果，总 结经验和教训，对已制订的风险管理计划进行调整和修改。 除了一般的监控手段和方法，特别采用了 在项目关键点对项目表现进行的评估的办法，以里程碑为标志，对项目表现进行评估，以进一步识别风 险，考察项目风险形式；注重及时地沟通和交流，对于很多实施细节的隐蔽性，要深入的与团队成员进 行沟通，及时发现非技术的管理方面的问题；对项目进行阶段评审，每个阶段的评审就是这个阶段风险 检查点的跟踪检查时机，同时也是这个阶段项目风险识别的主要方法。 三、提前做好风险应对准备，制订详细的风险应对计划 在前面的第一项工作中，按照所能收集到的行业的、组织的风险检查表，根据自己的调查、询问、 定性和定量分析，定义出了一个项目的风险记录，包括风险项（风险因素、风险事件）的类型、发生概 率、影响程度、触发机制的统计和排序，有了一个最紧急、最严重到不紧急和轻微的风险趋势表。对于 风险，我们已经知道了，那么最重要的就是制订有针对性地应对措施和预案，形成了风险应对计划，一 旦发生某项风险，则实施计划中的应对行动。 对于风险的对策，一般有规避、转移和减轻，而从这三个策略出发，可以考虑的应对措施主要有 外包、预防性计划、替代战略、投保，对于这个项目的风险，外包和投保基本不适用，我们主要的应对 措施是预防性计划和替代战略，预防性计划包括对一个确认的风险事件如果发生如何制定行动步骤。而 替代战略是通过及时改变计划来化解或避免风险。风险应对计划中，除了明确采用那种对策，何种应对 措施，最重要的是制订出详细的应对步骤。 比如：这个项目周期长，对于技术人员的能力依赖大。项目开始，从项目的人力资源计划中了解到， 项目组中有 3-5 人将在项目周期中合同到期，其中有 2 位续约的可能性非常小，而如果他们离职，对项 目造成的影响会比较大，针对这个风险，采用预防性计划作为应对措施，制定出如果该风险发生则采取 如下步骤： 1） 进行调查分析，确定造成不正常流动的组织内部的消极因素 2） 项目开始前，将缓解这些流动因素的工作列入风险管理计划。 3） 工作安排时，尽量将工作细分，并考虑人员的互补性，作出相应安排。 4） 一旦人员离开，根据互补安排进行调整，确保人员离开后项目仍能继续进行。 5） 制定文档标准，并在配置管理的要求下，保证文档、代码等交付成果符合项目组规定的质量， 使接手人员马上就能投入工作，不会对项目计划产生大的影响。 6） 加强确认和审查工作，保持对开发状态的细致保卫，确切知道人员离开对项目进度、质量的影 响，使调整工作心中有数。 7） 对每个关键性人员培养后备人员，减少对核心人员的依赖性。 项目执行时，该人员果然离职，这时按照这个措施，我们已经安排了替补人员，同时交付成果也在 执行过程中及时归档，后备人员及时补上，基本没有对项目造成影响。 而对于软件实现过程中可能的技术问题，则主要采用了替代性战略的应对措施，如果证明一种方法 达不到预期时，就可以采用另一种方法。比如，产品采用 B/S，WebService 架构，同时替代的战略为 B/S 结构，webSphere 结构。而针对系统中的重要业务，设置了多种算法和接口方式。 对于出现夏天经常停电的问题， 策略是购买了一台柴油发电机， 同时为服务器 UPS 电源进行了升级， 而为每个个人电脑配备了小型的 UPS 电源。 四、处理好与其它项目过程的关系 项目风险管理是项目管理的一部分，目的是保证项目总目标的实现。处理好风险管理与其它过程的 关系对于整个项目的有序进行非常重要。 项目风险管理把风险导致的各种不利后果减少到最低程度，正符合各项目有关方在时间和质量方面 的要求。项目范围管理主要内容之一是审查项目和项目变更的必要性。风险管理通过风险分析对市场需 求进行预测，指出市场和社会需求的可能变动范围，并计算需求变动时项目盈亏大小，这就为项目的财 务可行性研究提供重要依据。在项目变更带来不确定性时，风险管理通过风险识别、估计和评价这些不 确定性，向项目管理提出任务。从项目管理计划职能来看，风险管理为项目计划的制订提供了依据，减 少项目整个过程中的不确定性。项目风险管理通过风险分析，指出有哪些可能意外的费用，并个估计出 意外费用的多少，同时计算出可以接受的损失，列为一项成本。这就为项目预算中列入必要的应急费用 提供了重要依据。从而增强了项目成本预算的准确性和现实性，能够避免因项目超支而造成的项目各方 的不安。比如关于停电风险的应对措施需要购买设备，这笔费用列入成本计划中。从项目的实施过程来 看，许多风险都在项目实施过程中由潜在变成现实。风险管理就是在认真地风险分析的基础上，拟订出 各种具体的风险应对措施，以备风险事件发生时采用。项目可支配的资源中，人是最重要的。项目人力资源管理通过科学的方法激励团队， 调动项目有关各方全体人员的积极性， 推动项目的顺利进展。 另外， 项目风险管理通过风险分析，指出哪些风险同人有关，项目团队成员身心状态的哪些变化会影响到项目 的实施，也就可以有针对的制订应对措施，比如技术人员合同到期离职风险的处理。项目收尾时，对于 该项目的风险管理工作进行了专项总结，将特别的风险项补充到公司财富库中的历史风险列表中，对于 已经得到验证的风险应对措施补充至对应的风险列表中。项目风险管理的所有文档资料均纳入配置管理 的范畴，同样遵循变更控制的原则。 经过这个项目，我对于项目风险管理，尤其是软件项目的风险管理有了更加深入的认识，其中最重 要的几点体会是：1）项目经理对于项目风险管理的所有过程，一定要有明确的文件记录；2）建立一套 系统化的风险管理过程来识别、分析、评估、监视、应对和控制、记录和沟通风险对于项目风险管理的 成功意义重大。3）应对措施一定要非常的详细全面，真正执行的时候才有效。 3 论项目的风险管理*摘要2008 年 6 月，本人参与了“省图书馆 RFID（无线射频识别技术）信息管理系统” 的项目建设，担任项目经理一职。系统通过数字化标签读取技术，极大地提高了图书的流通 和管理效率，降低了馆员的工作强度，全面提高了图书馆的服务质量和整体形象。该项目做 为拟在全省范围内应用推广的数字图书馆建设重点工程之一， 受到省市及有关领导的高度重 视。做为建设方的项目经理，本人在项目的风险管理过程中，科学的运用项目风险管理的理 论知识， 结合自己的项目实践， 在项目的实施过程中， 将风险管理当做一项重点的工作来抓， 依照风险管理计划编制、风险识别、风险分析、风险应对计划编制、风险监控等过程，全面 展开对风险的管控，使得项目顺利进展，保证了项目的工期、成本及质量，受到用户方的高 度评价。 正文随着中国的社会经济文化持续发展， 人们对科学文化教育事业的投入愈来愈多， 图书馆 的建设管理也是其中之一。图书馆的职能涵盖图书的采购、编目、典藏、流通、检索等，目 前都是依靠传统的手工方式实现，效率低下，工作人员劳动强度大，应用RFID技术，可以 将上述所有的业务环节进行信息化管理， 提高各环节的服务品质和工作效率， 全面提高图书 馆的服务质量和社会效益。 本系统内容主要包括：图书出入库采编管理子系统、图书数字识别分类管理子系统、图 书安全管理子系统、图书自助检索借还子系统等。项目主要工作是RFID标签及其读写设备 的安装调试、RFID信息管理系统配套软件的规划开发和实施等。 图书馆的管理流通模式，突出图书馆以人为本的管理模式，强调图书馆的服务功能，读 者在馆内拥有最大的自由活动空间，提高图书馆的管理效率，藏阅合一。结合图书馆的实际 建设情况，在图书馆各层出入口设置图书流通安全管理子系统，在各阅览室内设置RFID馆 员工作站和自助服务区，方便馆员对图书的管理以及读者进行查询和借/还书处理，在图书 馆书库集中区域设置RFID图书馆典藏识别分检子系统，馆员可快速查找图书、分类管理， 减轻馆员的总工作量，提高图书的流通及管理效率。 项目启动后，本人被公司任命为该项目的项目经理，全面负责项目的建设工作。 在有关领导的亲切关怀下，以及项目各组干系人的配合与支持下，我与项目组全体成 员一起并肩作战，通过近 10 个月的努力，终于在 2009 年 3 月全面通过系统验收，项目总花 费成本为 98.38 万元，比计划提前了 15 天完成项目建设。 该项目的成功与很大程度上归功于在项目整体实施过程中对项目风险的有效管理。众所周知，项目需要以有限的成本在有限的时间内达到项目目标，而风险对项目目标的影响不 容忽视。 风险管理的目的就是使风险对项目目标产生的负面影响得以最小化， 同时要抓住风 险带来的机会，增加项目干系人的收益。下面本人分别就本项目的风险管理计划编制、风险 识别、风险分析、风险应对计划编制、风险监控等过程加以简要论述。 一、风险管理计划编制 在项目启动初期， 我组织有关人员编制了风险管理计划， 具体描述如何为该项目处理和 执行风险管理活动。该计划的编制是非常重要的，因为它要保证风险管理的级别、类型及可 控性，要保证组织能够提供充足的资源、时间来实施风险管理活动，建立得到一致同意的风 险评估基础。 考虑到该项目涉及的干系人众多， 我们采用了会议形式来制订风险管理计划。 参加会议的人员包括：项目高层经理、项目经理、省图书馆的各部门相关负责人、系统应用管理人员以及读者代表等。在这个过程里，我们对以下几方面进行了重点的讨论：影响项目目标的管理类以及技术类风险主要包括哪些方面；风险减轻的可交付成果是什么；怎样减轻风险；谁负责实施风险管理计划；什么时候是同风险减轻方法相关的里程碑； 需要多少资源来减轻风险等等。根据讨论的结果，并结合项目计划来制订本项目的风险管理计划，该计划主要描述了在项目当中如何组织和执行风险管理， 并将其作为项目管理计划的组成部分， 对风险的管理费用也一并纳入成本费用计划内。 二、风险识别风险识别的目标是指确定项目中那些可能影响项目目标实现 （导致费用超支、进度推迟 或性能降低）的潜在问题，明晰何种风险可能会对项目产生影响，并将这些风险的特征形成 文档。根据本项目的实际情况，我们把风险划分为技术类风险、管理类风险两大类，每一大类下又细分为各小类。比如技术风险包括：需求、设计、测试等等。我在结合组织级的风险列表库基础上，通过采用访谈以及优势/劣势/机会/威胁（SWOT）分析等方法，形成了风险清单。同时在项目实施过程中，我以周为单位，定期对风险清单中的风险内容进行审查，以便根据项目的进展重新检查及识别可能的风险来源和触发条件，从而进一步发现以前没有注意到的或者是未知的风险。 三、风险分析风险分析是指对已识别的风险做出进一步的分析， 定义出风险的优先级以及发生的可 性。在分析过程中，我组织风险专家对风险的概率及影响进行了科学的分析评估，对风险清 单中列明的所有风险计算出一个确定的风险值，其计算公式为：风险概率*风险影响，以便确定风险的可接受度或不可接受度， 然后再根据风险值确定风险相对优先顺序。 对于优先级高的风险 （比如： 进度延误大于 30%， 或者费用超支大于 30%； 风险发生的几率为 1.0 0.8） ， 我们会将其单独列在风险管理报告中，并提交高层经理和项目管理部。同时由我分派项目风险管理人员对高级别的风险展开实时跟踪监控及记录。 在项目实施过程中， 我们列在风险管理报告中的高级别风险主要有以下几条： 1、 客户的真正需求很难把握，此前我们一直是校园 IC卡系统业务，图书馆 RFID 系统是我们接触的新行业， 行业经验的缺乏， 可能导致我们对客户需求的理解不充分、 不透彻。 另外由于项目干系人众多，项目用户量大，涉及面广，更是增加了需求管控的难度。 2、 系统完全性风险：由于采用 B/S 结构，只要能上网就能使用系统，在带来方便性的同时，也带来了很大的安全隐患，如果有人成功入侵服务器，严重的话可能出现最坏的结果。 3、 人员稳定性问题：在目前的软件企业里面，如果在开发过程中走掉关键的开发人员而无合适的人员顶上，项目可能直接宣告失败，后果十分严重。四、风险应对计划编制通过对风险的定性与定量分析， 我开始根据风险的重要性、 影响范围及发生概率等制订了风险应对计划。在该计划中，我充分考虑了以下几个因素：风险重要性、成本有效性、应对的及时性、项目环境中的现实性、是否可以被项目干系人所接受，并为每一个风险指定了相关的责任人以及应采取的风险应对措施。 对于风险管理报告中所列的重点监控风险，我专门组织了高层经理、项目组骨干成 员、 项目管理部、 客户代表等人参与的讨论会议，对重点风险的应对给予更有效的应对策略， 并使其应对办法取得重点项目干系人的认同与支持。会后形成的主要应对策略如下： 1、 对于客户的需求问题，我们采取了目标转化法，从高层到底层的逐步调研，形成用户需求说明书的正式文档。有部分不一致的地方，组织专题讨论，并让客户确认需求 文档。在对需求进行系统概要设计的时候，采取比较保守的做法，不轻易重组客户的操作流 程，充分尊重客户的意见，以控制因为行业经验的缺失而造成理解上的偏差，从而有效减少了这个问题所导致的系统设计上的错误。 由于需求风险控制到位， 我们所提交的系统设计方 案也得到了用户的肯定。 2、 对于安全性问题，我们认为服务器采用托管在电信机房比较好，电信机房安全性高，24 小时有人执守，他们的专业的 IDC 机房可保证服务器物理安全性能。在系统平台上， 我们采用机房的硬件防火墙，操作系统采用 UNIX 并安装网络版的杀毒软件。在软件系统里 面，增加对网卡 MAC 地址的控制和校验，只有登记授权的机器才能登录系统。以控制系统的 使用范围，防止数据在未经过授权的机器泄露。通过这些措施的实施，使得客户对于系统的 安全性信心大大增强。 3、 对于人员稳定性问题，由于本系统建设周期较长，因此在项目人员挑选上也采取了一定的措施。对于参与人员进行了详细的调查，如果确定某些人存在离职念头的，都不能参与此项目。参与项目的人员与签订相应的意向书，并做了一定的物质补偿，以保持内部人员的相对稳定。五、风险监控风险监控是指执行风险应对措施，并且连续对项目工作进行监督以发现新的风险。随 着项目实施的进展，内部和外部的环境的变化，记录在风险应对计划中的风险优先级、发生的概率、影响的范围等都可能出现变化，另外还可能出现一些之前没有预计到的风险，为此对已识别风险进行定期跟踪、监测残余的风险、识别新产生的风险，对于保证风险计划的有效执行是必不可少的。有本项目的风险管理中，我以周和里程碑为单位，定期对风险实行评估、审计。每周的项目例会中将风险管理作为一个议程，对风险应对措施实施的有效性以及 当前风险的状态进行检查， 并识别项目中可能出现的各类新的风险。在里程碑阶段， 里通过程碑报告来总结此阶段的风险措施的执行情况，并组织相关项目干系人重新评估风险，同时更新风险应对计划。对于在项目执行过程中新出现的风险，我将其提交项目管理部门组织进行评审后，更新到组织级风险列表库中，为后续的项目制定风险管理计划提供依据。 通过以上各项有力措施的实行， 系统的风险得到了逐步化解， 项目沿着我们预定的方向一步步进行，并在预期内完成了项目的开发任务，得到了客户的好评。在实施过程中，我们对项目风险的有效管理是项目成功的一大重要因素。 但也存在一些不足之处， 比如由于用户变更需求，导致我们被迫调整设计；还有因前期需求分析做的不够充分，没有全面考虑到各分校间业务流程存在的差异性，造成教务管理下的“课表生成管理”模块的全面返工。在今 后的工作中，本人将继续总结经验教训，加强对项目实行科学、规范的过程管理，从而实现 最大限度地满足项目干系人的需求和希望的目的。4 论项目风险管理摘要 风险就是会给项目带来威胁或机会的一些不确定事件。 2010 年 4 月我所在的单位承建某市安全生产综 合信息化管理平台的建设工作，在项目中，我担任了项目经理工作，主要负责项目整体规划、组织实施和 管理控制工作。首先阐述了项目风险及风险管理的基本过程。在该项目中我充分重视了风险管理，本文结 合项目风险管理理论和自己的项目实践就如何有效进行项目风险管理进行论述。重点阐述制定切实可行的风险管理计划、风险识别、风险分析；针对不同的风险采取相应的措施；有效的进行风险跟踪与控制等过程。最后列出在本项目风险管理方面的不足与改进之处。 正文 项目概况 2010 年 4 月， 我所在的单位受某市安全生产监督管理部分的委托为其开发一套安全生产综合信息化管 理平台，该平台包括安全生产监测监控系统、应急救援抢险系统和安全生产监督信息管理系统三个系统 21 个子系统组成。安全生产监测监控系统利用现代通信技术、网络技术和计算机技术实现将全市煤矿瓦斯监 测数据、井下人员定位数据、重大危险源监测监控数据通过接入到应急指挥中心，实现对全市煤矿、重大 危险源全天候 24 小时监控，将安全生产事故消灭在萌芽状态。安全生产监督信息管理系统实现将全市被监 管企业信息全方位、动态化管理，为安全执法检查提供信息支持。应急救援抢险系统已地理信息平台为基 础实现可视化的指挥调度、有序调度救援物资、救援力量，应急预案快速生成、以往类似案例分析快速决 策等。我有幸参与了该项目并作为该项目的负责人。负责制定项目开发计划、编写需求说明书及项目管理 工作。经过项目组的努力和客户的大力配合项目于 2010 年 10 月份顺利交付使用，目前运行良好。 风险及风险管理基本过程 风险就是会给项目带来危险或机会的一些不确定性事件。项目是在复杂的自然环境和社会环境中进行的，受众多因素的影响。对于这些内外因素，项目管理里人员往往认识不足或没有足够的力量加以控制。 项目的过程和结果常常出乎人们的意料，有时不但未达到主体预期的目标，反而使其蒙受各种各样的损失， 而有时又会带来很好的机会。项目同其他经济活动一样带有风险。要避免或减少损失，将威胁转化为机会， 我们就必须了解和掌握项目风险来源、性质和发生规律，进而实行有效管理。 项目风险管理要贯穿于项目的整个过程，成功的风险管理会大大增加项目成功的概率。我带领团队成员主要从制定切实可行的风险管理计划、有效识别风险因素、分析风险对目标影响程度；针对不同风险采 取相应措施、有效进行风险跟踪与控制五个方面对该项目进行有效风险管理。 1. 制定切实可行的风险管理计划 风险有可预见的风险和不可预见的风险。风险管理计划时项目风险管理的总章程和计划，是进行风险分析、风险应对和风险监控的纲领性文件。在项目初期，我组织项目组成员、技术专家、客户代表、最终用户、项目相关领域专家和项目干系人等认真分析，制定了可行的风险管理计划。在计划中具体描述可预见风险的种类其发生的概率和影响、风险应对方法、职责分工、资源分配、费用估算、如何执行风险管理活动等（如 15 天召开一次风险评估会议） 。明确了风险如何管理、采用什么样的方法、某种风险由谁来负责，明确责任；风险评估的方法；若风险出现时，项目干系人能承受的程度是多少？每项风险的预算是多少？风险如何监控？如何跟踪、记录等。根据项目管理理论和公司项目实践，估计了风险管理的时间表和费用，将风险管理活动纳入项目管理计划，把风险管理费用纳入成本计划。 2. 有效识别风险因素 信息系统项目有其自身的独创性，决定了其风险的多样性和复杂性。风险识别是确定何种风险可能对 项目实施产生影响，并把这些风险特种描述出来。风险识别是在整个项目中反复多次的过程，几乎在每次 项目例会上都会对项目风险进行回顾。已识别的风险哪些确实发生了，影响程度如何，是如何应对的？还有哪些潜在可能发生的风险？解决了前一个风险，有没有残留风险或次生风险等。 在该项目中我们主要从立项报告、WBS、范围说明书、费用和进度估算、资源计划、假定和限制条件清单几个方面来识别风险。采取的方法主要有项目文档审阅和信息收集技术，项目文档审阅是找出项目文 档中的假设条件，限制因素，理解项目的目标、项目范围、项目的资源计划、项目成本估算、进度计划等， 这些计划和项目需求、假设条件的一致性都可能存在风险。信息收集技术采取头脑风暴法和德尔菲技术。 通过上述方法与技术我们找出了该项目的主要风险种类以及引起这些风险的主要因素，这些风险可能会对项目哪些方面造成影响，形成详细的风险记录。风险的种类有：需求风险、管理风险和技术风险等。 3. 风险分析 判断各个已识别风险的重要程度， 进行优先级的排序， 作为进一步风险管理活动的依据。 在该项目中， 我组织团队成员、技术专家、行业领域专家采用风险分析会议的方式进行风险分析，以提高分析结果的准确性。例如：对于技术类风险的分析，我们就邀请了业内著名的架构专家参与评估。风险优先级是一个综合性的指标，其高低反映了风险对项目的综合影响，我们采用风险优先级矩阵来评估风险优先级。最后得出的结论是需求风险排在第一位，该风险的可能性很高，影响也很大。 在定性分析的基础上，进行风险定量分析，目标是确定风险因素的出现会对项目目标影响的程度，量化地评估各项分先，判定最应关注的项目风险。在这个过程中我们采用专家评估的方法，组织相关人员对风险项进行乐观、最有可能和悲观估计，同时，也利用我公司历史项目的数据，来辅助评估。进行定量分析之后更新风险记录。 4. 针对不同风险采取相应措施 根据定性和定量分析的结果，我们对已识别的风险制定了应对计划。使制定的措施和方法遵循风险 应对计 划与风险的严重程度想适应、经济有效、可操作、责任落实到任。同时，兼顾增加对项目有利的机会，减少对项目的威胁。针对不同的风险采取不同的措施。如：对需求风险，在需求调研阶段，与系统应用部门进行反复、深入交流，了解他们的真正意图，同时区分不同层次人员的需求特点，特别是决策层的战略意图。通过建立系统原型展示目标系统，尽早得到用户的反馈然后加以改进，最终达成双方一致共识，形成双方一致认可和签署的需求说明书。 5. 有效进行风险跟踪与控制 制定了项目的应对措施，还需要对风险进行跟踪和监控。安排专人定期监督已识别的风险和残留风险、 识别可能出现的新风险，并根据出现的风险执行风险应对计划、评估执行计划的有效性。主要判断：风险应对措施是否按计划实施；风险应对措施是否有效；是否需要制定新的措施；项目假设调试是否依然存在等。在这个过程中我们主要采用了偏差缝隙、项目绩效分析和监控会议的方式。 经过项目组的努力和客户的大力配合项目于 2010 年 10 月份顺利交付使用至今已经一年多。 在实际的 应用中安全生产事故得到了有效的控制、执法水平有了明显的提升，得到了客户和公司领导的一致好评。 风险管理是信息系统项目管理中的一项重要活动和过程，也是一门复杂的管理科学与艺术。我们必须深入 的认识和研究风险，不断的积累风险管理知识、经验和技能，才能正确的管理和监控风险，才能在项目管 理过程中规避风险和降低风险，完成项目建设目标，取得项目建设成果。5 论大型信息系统项目的风险管理摘要风险就是会给项目带来威胁或机会的一些不确定性事件。 风险就是会给项目带来威胁或机会的一些不确定性事件。在 2010 年 3 月，笔者参与了“某汽车制造集团公司 ERP 系统”项目的建设，在项目中，我担任承建方项目经理参与了“ 汽车制造集团公司ERP系统”项目的建设，在项目中，主要负责项目的整体规划、组织实施和管理控制工作。由于此项目为了按照既定的进度、成本和质量完成项目的目标，在该项目中，笔者充分重视了风险管理，根据风险管理理论，结合自己的项目实践，就大型项目进行有效的风险管理进行了论述。重点阐述了制定切实可行风险管理计划；风险识别；风险分析；针对不同风险采取相应的措施；有效地对风险进行跟踪与控制等过程，有条不紊地进行风险管理。最后列出了项目实施过程中不足之处。项目于 2011 年 6 月顺利完工，目前系统运行情况正常，基本上构建起公司数字化运营管理的平台。正文 某汽车制造集团公司是一家专业从事汽车制造的集团厂商，设有分公司二十多个， 市场覆盖全国，在全国汽车制造行业有一定影响力。在过去的几年中，该公司得到飞 速的发展。但是，公司自成立以来一直采用传统的管理模式，整体信息化水平较低，暴 露出多方面的漏洞。 为适应新的形势及公司准备上市需求， 应用信息技术重构核心业务， 加强运作控制，进而提高公司竞争力，高层经过深思熟虑研究分析决定立项开发公司的 ERP 系统，该项目总投资 800 万元，建设期为 15 个月，计划 2009 年 6 月完工。 项目根据“整体规划，分步实施“的原则，包括一期工程核心模块财务、成本、 物