面向it项目风险管理方法的研究

面向IT项目风险管理方法的研究上海交通大学硕士学位论文面向IT项目风险管理方法的研究姓名张子华申请学位级别硕士专业项目管理指导教师李生红20090201上海交通大学工程硕士学位论文摘要摘要IT项目风险管理是在项目中管理有可能影响项目目标的风险的一组过程，即制定IT项目风险管理规划、风险识别、风险评估和风险监控。其中风险评估根据实际项目需要可以是定性风险分析和定量风险分析。项目的风险管理作为PMBOK项目管理九大知识体系之一，有着非常关键的作用。可以说，风险存在于任何项目中，并往往会给项目的推进和项目的成功带来负面影响。不过，人们也无须恐惧风险，只要掌握风险发生的因果关系，风险是完全可以管理的。因此，关注项目风险，掌握风险管理的知识与技能，从项目组织、职责、流程与制度上建立一套风险管理机制是确保项目成功的前提与保障。虽然PMBOK项目风险管理过程提供了完整的知识体系，但目前能够结合我国IT项目的现实特征，并针对完善IT项目的风险管理理论体系和提高IT项目风险管理效率的研究成果很少。从而使IT项目风险管理成为我国IT项目实施过程中的薄弱环节，大大增加了因项目风险管理不当而导致整个IT项目失败的概率。本文在PMBOK理论基础上，结合IT项目实施经验，对能够适应我国IT项目现状的项目风险管理新方法进行研究。在项目管理知识体系的基础上，本文介绍了IT项目风险管理的特殊性，回顾了学术界和工业界在不同方向上为解决这些问题所做的努力、获得的成果。根据本人参与的多个项目的经验、归纳总结，提出了IT项目风险管理框架的结构，组成和驱动改进的方法。IT项目风险框架将IT项目的目标和业务目标联系起来。从业务的角度去评价IT项目风险，用业务的指标来标示项目风险的界别。这样可以避免管理层因为不熟悉技术而忽略了项目的风险，而导致对I上海交通大学工程硕士学位论文摘要项目的支持力度不够。在另一方面，将项目的业务目标和项目的成功联系到一起，也使得项目经理在管理过程中更注重项目的实际价值，即项目对于组织业务发展的支撑。作为一种管理方法，没有实践是不行的。本文还以本人亲历的一个比较典型的IT项目作为案例进行分析，对新方法的实际作用进行检验和总结，同时也证明了这种方法的可行性和有效性。关键词项目管理，风险管理，风险评估II上海交通大学工程硕士学位论文ABSTRACTABSTRACTITPROJECTRISKMANAGEMENTIS8ASETOFPROCESSESWHICHMANAGETHEPOTENTIALTHREATSTOTHEPROJECTGOAL1INTHOSEPROCESSES,WECANFINDRISKMANAGEMENTPLAN,RISKIDENTIFICATION,RISKASSESSMENTANDRISKMONITORINGANDRISKASSESSMENTCOULDBEQUALITATIVEANALYSISORQUANTITATIVEANALYSISANDITISDEPENDINGONTHEREQUIREMENTOFTHEPROJECTASONEOFTHENINEDOMAINSINPMBOK,RISKMANAGEMENTPLAYSAVERYCRITICALROLEINTHEWHOLESYSTEMRISKISEVERYWHEREANDITMAYDOHARMTOBOTHTHEPROGRESSANDTHEGOALOFTHEPROJECTWHENITCOMESTRUEBUTITISSTILLMANAGEABLEIFTHEBASICPRINCIPLESAREMASTEREDBYPROJECTMANAGERPAYENOUGHATTENTIONTORISK,UNDERSTANDTHENECESSARYKNOWLEDGEANDSKILLFORRISKMANAGEMENTTHENYOUCANSECURETHEPROJECTGOALBYSETTINGASECURITYMANAGEMENTFRAMEWORKWITHORGANIZATIONALMEASURESANDPROCESSESPMBOKOFFERSACOMPLETEDKNOWLEDGESYSTEMFORPROJECTMANAGEMENTBUTITISSTILLEASYFORUSTOFINDSOMESPACEFORIMPROVEMENT,LIKEITPROJECTMANAGEMENTINNOWADAYSTHEREAREFEWARTICLES,BASEDONCURRENTSITUATION,ABOUTRISKMANAGEMENTPRACTISESANDTHEEFFECTIVENESSMEASUREMENTONRISKMANAGEMENTFRAMEWORKATTHESAMETIME,ALOTOFPROJECTSFAILEDBECAUSEOFLOUSYRISKMANAGEMENTINTHISARTICLE,ITSTARTSFROMCURRENTSITUATIONOFRISKMANAGEMENTINPROJECT,COMPOSESTHEEXPERIENCEANDSETUPAFRAMEWORKFORTHEPRACTICEINRISKMANAGEMENTINPROJECTBASEDONPMBOK,WEGOTHROUGHTHECURRENTRESEARCHINGABOUTTHERISKMANAGEMENTANDTHEACHIEVEMENTSALSOTOGETHERWITHMYPRACTISESANDEXPERIENCEFROMPROJECTMANAGEMENTANDIII上海交通大学工程硕士学位论文ABSTRACTFINALLYCOMETOTHEITPROJECTRISKMANAGEMENTFRAMEWORKANDITSSTRUCTURE,COMPONENTSANDDRIVINGPATTERNTHISFRAMEWORKGETSPROJECTGOALANDBUSINESSGOALALIGNEDTHROUGHTHISALIGNMENT,WECANIDENTIFYTHERISKWHICHISREALLYNEEDSTOBEMANAGEDALSOBYTHISMANAGEMENTPATTERN,THEOUTPUTFROMRISKMANAGEMENTBECOMESEVENMOREUNDERSTANDABLETOHIGHLEVELMANAGEMENTASACONSEQUENCE,PROJECTCANHAVEBETTERSUPPORTFROMPROJECTSTAKEHOLDERANDFOCUSINGONTHEREALBUSINESSTARGETEVENMORENOREALMANAGEMENTTHEORYWITHOUTPRACTISEINTHECHAPTERFOUR,ITCOMESAPRACTISEOFTHISMANAGEMENTPATTERNWITHAREALCASEHAPPENEDTOMEITISALSOAGOODOPPORTUNITYTOTESTTHEPATTERNPRACTICABLEORNOTANDMAKEITTOBEDEVELOPEDFORWARDKEYWORDSPROJECTMANAGEMENT,RISKMANAGEMENT,RISKASSESSMENTIV上海交通大学工程硕士学位论文第一章绪论第一章绪论11研究背景目前一些典型的企业信息系统，如企业资源计划ERP、物料需求计划MRP、制造资源计划MRPII、计算机辅助制造CAM等，已经在技术上成熟，成为有效的管理模式和重要的技术手段1。信息系统可以使企业实现对业务流程中的资源进行有效利用，从而达到改善管理水平与管理效率目标。然而在注意到信息系统项目的优点的同时，我们也看到信息系统项目相对于一般的项目而言在管理、技术、时间、资金、实施和维护等方面存在更多的风险因素。我们也有很多信息系统项目失败的案例。以ERP为例，据统计，在其实施项目中，一般只有15左右能按期、按预算成功实施，实现系统集成；约一半左右的实施项目遭到失败。目前我国成功实施ERP的企业，大多是三资企业。在国外，STANDISHGROUP关于ERP项目实施的最近报告揭露平均而言，ERP项目的实际费用超出预算费用180，实际时间比预计时间长了25倍，然而仅达到30的预期效果2。所谓IT项目，是指在一定期限内，依托一定的资源，为达成一定的信息化目标而进行的一系列活动3。信息系统项目作为一个完整的定义，至少有三个关键要素，即时间、资源、目标。其中资源的最终体现是成本，目标的最终体现是绩效。因此，一个信息系统项目核心的制约因素就是时间要素、成本要素、绩效要素。而绩效的评价和控制往往量化到质量上，即质量要素。所有项目的失败必然是失败在这三个要素中至少其中的一个要素，即要么是项目进度控制不够，要么是项目成本超标，要么是项目质量失控。而项目管理正是对项目计划、组织以及对项目所需资源的控制，目的是确保项目在规定时间内、规定预算内达成预定的绩效目标。项目管理落到实处，就是对项目的进度控制、成本控制和质量控制。根据美国HACKETT公司的一项调查发现，只有37的信息系统项目在计划时间内完成，只有42的信息系统项目在预算内完成。在我国，开展信息化20年来，大约有70与信息系统有关的项目超出预定的开发周期，功能和性能达不到预期的效果，其中大型项目平均超出计划交付时间2050，90以上的软件项目开发费用超出预算，ERP的实施成功率不到10，并且信息系统项目越大，超出项目计划的程度越高。我国以往的信息化建设总是在投资高峰之后，1上海交通大学工程硕士学位论文第一章绪论旋即进入低谷，留给各个单位和企业的是大量瘫痪的系统，损失少的也有几十亿元。造成企业信息系统项目失败的原因有许多，许多学者已从不同的角度作过许多的分析，如没有把握好各类风险、实施过程的主导者不明确、信息资源没有合理应用、信息不透明等等。IT项目的开展是以信息技术为支撑，以业务活动为主体，以现代化管理为指导思想的一项全新的、复杂的系统化工程。全新在于信息技术这一新生事物的飞速变化与发展，复杂在于信息技术、业务工作、项目管理思想的一体化融合与集成化应用，这正是IT项目管理问世的缘由。信息化建设的成功经验告诉我们，结合信息化应用特点，采用项目管理技术而开发的专用方法对IT项目在计划落实、质量跟踪、成本管理和风险控制等方面进行管理，是保证IT项目达到预期目标的有效手段。12研究现状IT项目管理的特殊性信息技术发展快、渗透广等特点，使得IT项目与一般工程项目存在着明显的差别，这种差异性造成了基于工程项目管理理论与经验基础上发展起来的项目管理知识体系在处理IT项目时面临诸多的难题4。第一，IT项目的需求来源广泛，涉及国民经济的各个领域，几乎所有领域都能够和信息技术相结合而构成信息化项目。信息技术可以支持多种业务需求的发展市场要求如商业银行提供网上支付业务，以支持越来越频繁的电子商务活动。环境需求如企业为了应对各国越来越严格的环境标准中对产品回收再利用的要求，启动一个构建产品全生命周期管理系统的项目。经营需要如一个传统的大型商业企业开展网上销售业务，以扩大其销售收入。技术发展如飞机制造企业为了提高设计水平而开展虚拟制造系统的项目用户要求如快递公司要构建一个物流管理系统，以满足顾客对跟踪其委托的快递物件过程状态的查询需求。法律需求如一个城市为了减少合同犯罪的数量，而启动企业印鉴信息系统；为了杜绝假文凭的泛滥而建立文凭查询信息系统。正是由于信息化项目涉及到了几乎所有的经济领域，因此很难形成有针对性的规范和标准，这无疑增加了项目管理的难度。2上海交通大学工程硕士学位论文第一章绪论第二，与一般工程项目所涉及的领域经过了长时期的发展、技术相对成熟不同，IT领域是目前发展最快、最活跃的领域，新的技术层出不穷，技术更新也非常迅速，因此IT项目开展过程中会具有更多的风险因素。有统计表明，每18个月，CPU的速度就会翻一番，与之关联的计算机体系结构、软件架构等也发展非常迅速。例如早期的集成信息系统采用大型主机带终端的结构，随着网络技术和分布式计算技术的发展，出现了CLIENT/SERVER结构的信息系统，而目前流行的架构则是在互联网上基于BROWSER/SERVER结构的信息系统，C、C、JAVA等各种开发工具更是一代又一代迅速更迭，各类操作系统、协议、标准等都是IT项目必须面对的，这些都会增加项目过程中的风险。为了处理好技术发展迅速所带来的问题，IT项目团队必须在先进性、实用性、经济性、成熟性等诸多方面进行权衡，片面追求技术的先进性往往会事与愿违。在保证项目所采取的技术具有相当的前瞻性、先进性、可扩展性和可集成性的同时，从需求出发，注意技术的可靠性、成熟性和经济性。第三，信息技术的应用主体在管理领域，管理信息系统包含了特定的管理理念，将这些管理理念同企业的发展战略与业务逻辑进行整合是信息系统实施的关键任务。IT项目的阻力75以上是来自人和管理的因素。因此，IT项目特别强调技术、管理与人的集成。如何处理好信息系统所涉及的人的问题是成功管理IT项目的关键。从更深层的角度而言，经典项目管理理论是构建在土建工程项目的研究和实践基础上的，基本的项目管理方法并不能解决IT项目的特殊问题。例如如何衡量项目进度的问题。土建工程使用完成土石方的量来标识工程进度，但是完成软件90的代码编写工作并不意味着还有10的时间就可以完成软件开发项目了。业界普遍认为在工程项目中广泛使用的挣值法在IT项目中缺乏适应性。在计划的调整方法上，土建工程在计划拖期时，可以通过增加资源的方式来加快进度，但是对于一个软件开发项目，如果出现同样的问题，寄希望于增加编程人员的数量来追赶工期，只能造成更大的麻烦。另外，除了信息技术之外，IT项目还涉及信息系统应用单位的组织、管理的调整与经营过程/业务流程的重构，单靠信息技术是无能为力的。因此，要成功管理IT项目，要成为IT项目的合格从业人员，需要一套全面的IT项目的知识体系与方法的支撑，它的内容将覆盖项目管理、信息技术、现代管理技术、系统集成技术、软件工程技术等多学科领域，这正是IT项目管理技术研究和实践的目标与方向。IT项目管理技术的发展脉络3上海交通大学工程硕士学位论文第一章绪论目前在信息化领域的不同方向，许多学者开发了针对不同方面的项目管理方法，其中比较有代表性的是软件项目管理和广义的IT项目管理。软件项目管理是软件工程和项目管理的有效结合，将项目管理中重视过程、重视计划控制的观点引入软件工程领域。目的是控制软件开发项目的成本、进度、质量、风险等问题。近几年IT领域进一步引进全面质量管理理念，认为软件开发企业自身质量控制体系和控制能力的优劣，将会极大地影响软件产品的质量。这就要求软件企业从修炼内功入手，也就是确认质量是控制出来的而不是检测出来的，从根本上保证软件产品的质量，由此提出了软件过程改进和软件能力成熟度模型CMM的概念。CMM基于经典的产品质量原理，建立了定量控制软件过程的项目管理和项目工程的基本原则。与此同时，CMM有关能力成熟度的操作方法也被引入经典项目管理领域，用以测评承担项目的组织的项目管理能力。广义IT项目管理是目前业界讨论比较多的，也出了不少这方面的专著，其基本思路是将IT项目当作一般工程项目，使用PMBOK的方法体系，结合一些信息技术项目的案例，研究如何在信息技术项目中应用项目管理方法。广义IT项目管理是将所有与IT有关的项目不加区分地通盘考虑，包括IT产品开发项目的管理和IT应用项目的管理。实际上广义IT项目可以细分出多个类别，各个类别之间的差距是非常巨大的。计算机硬件开发项目与一般家用电器产品的开发设计具有非常高的相似度，而软件设计开发则完全不同，信息技术应用项目与上述两个分支领域更是存在巨大的差异。因此广义的IT项目管理实际上是在经典项目管理知识体系的基础上，尝试解决IT项目的具体问题。目前来看这种处理方式比软件项目管理体系的针对性差很多，对其进行细分研究具有非常重要的意义。为了提高IT项目管理的针对性，提高解决方案的系统性，学术界和企业界在企业信息化、数字化城市与电子政务、数字化军工、供应链与物流、电子商务等不同领域分别开展了体系结构、实施指南、参考模型等的研究和实践，取得了一定的成果。IT项目管理的体系结构与方法论系统参考体系结构是“一组用以描述所研究系统的不同方面和不同开发阶段的、结构化的、多层次多视图的模型和方法的集合，体现了对系统的整体描述和认识，为对系统的理解、设计、开发和构建提供工具和方法论的指导”。系统参考体系结构为IT项目的管理提供了体系参考和方法论，经过各国专家的努力，已经形成了一批相当有代表性和广泛影响力的体系结构及其建模方法，并进行了大量的工业实践。如CIM开放系统体系结构CIMOSA、GRAI集4上海交通大学工程硕士学位论文第一章绪论成方法论GIM、IMPACS、普度参考体系结构PERA、集成的信息系统体系结构ARIS、通用企业参考体系结构与方法论GERAM，以及在我国提出的阶梯形CIM系统参考体系结构SLA等。在信息化项目管理过程中，系统的认识和构建是阶梯上升的。在概念定义阶段需要明确企业的战略目标，并据此形成集成系统的目标。然后围绕系统目标，从组织、资源、信息、产品、功能和经营过程等角度描述企业的现状，形成对企业基本框架和运行机制的完整描述。在这些描述的约束下，采用合适的模型分析手段进行分析，找出现有系统中的问题进行改进，然后构建目标系统，形成多视图的目标系统的描述。在形成目标系统描述时，除了使用各个视图的描述方法外，还可以应用其他建模方法，以便提供对系统更为完整的描述。完成基于模型的设计后，就是在构建工具集的帮助下，将设计转化为实际系统构建的技术说明，并构建实际系统。系统描述对于系统的运行仍然能够发挥作用，可以作为实际系统运行的参考，并据此进行系统的优化与调整。一方面由于信息化项目的多专业性，为了解决沟通和分析设计的问题，需要借助建模的手段实现对被处理对象系统的描述；另一方面由于信息化处理对象的复杂性，依据“化繁为简、分而治之”的原则，使用多层次多视图的模型来描述目标系统。视图的划分包括反映结构信息的信息视图、资源视图、组织视图、产品视图，反映系统时间和逻辑特征的过程视图，结合反映系统功能结构和功能关系的功能视图，以及反映企业经济性和目的性的经济视图。静态结构反映了系统的存在，行为结构给出了系统的属性和运行方式，而评价结构则将系统和它的目的性关联在一起。透过多视图，为IDEF、ARIS等其他建模方法和工具的集成，对于制造企业原模型和企业本体的开发提供了技术框架。利用模型技术解决IT项目的交流、设计、技术转移、系统构建乃至运行维护的问题是目前学术界和业界的普遍看法，模型驱动的体系结构是目前的一个研究和实践的热点。随着信息技术的发展和应用范围的不断扩大，IT项目管理越来越具有普遍性。分析IT项目的内在特征和特有问题，在项目管理知识体系的架构下，有针对性地开发适应性的理念和方法，将是IT项目管理领域的发展方向。需要强调的是，信息技术本身的发展并不是IT项目的目的，满足应用对象的需求和战略目标才是其出发点。因此需要切实做好项目的需求分析，一切从业务工作的实际需求出发。在集成理念的指导下，充分考虑整个系统的集成要求，并在此基础上选择相关的成熟技术、应用系统和产品。同时做好项目的技术经济分析，才能保证信息化项目发挥实效。国家863计划CIMS主题专家组在5上海交通大学工程硕士学位论文第一章绪论大量信息化工程实践的基础上提出的“需求牵引、效益驱动、总体规划、分步实施”的策略是IT信息化项目管理的总体指导思想。13论文内容的安排本课题来源于企业发展中的IT项目，属于IT项目管理。从我国各行业IT项目成功和失败的经验中可以看出，正确标示的项目风险、有效的项目风险监控是项目成功的基础和前提。而在我国的IT项目，特别是企业对IT系统的建设项目中，由于对没有有效地监控项目风险而导致项目失败的情况时有发生，这样就使得企业对IT系统的投资回报率变得很低，更严重的是企业的业务发展受到影响。因此，探索合理高效的项目风险管理方法成为项目成功的必要条件。因此，本论文将致力于通过对现有项目管理理论体系的研究，对适合我国IT行业特殊性的项目风险管理的过程进行探索和研究。结合我国IT项目实施的实际经验，提出有针对性的IT项目风险管理新方法和新思路，并通过在IT项目管理过程中尝试运用新方法来检验其有效性则是本论文的主要研究目的。本论文的章节安排如下本文于第一章首先介绍了本文的研究背景，IT项目风险管理理论的研究现状，并分析了对IT项目风险管理新方法进行探索和研究的重要意义。在第二章，本文从项目管理理论出发，详细论述了项目风险管理的过程与方法以及与项目生命周期的联系。在第三章，本文首先结合我国目前IT项目的特点与现状，对IT项目风险管理的关键性进行了论证。同时，通过对目前IT项目中常见的风险因素进行分析。并在分析的基础上提出了项目风险管理框架。风险管理框架由框架建立、风险分析和框架应用三部分组成。框架的建立由项目的业务目标所引出，因为有了业务目标上的推进才有了项目的产生。风险分析，从管理、技术和组织三个方面描述并分析了IT项目的常见风险。框架应用则介绍了从风险因子定义、计算到项目风险评估并追踪的整个框架流程。在第四章，根据本人亲历的一个项目风险管理案例，在案例中实践了项目风险管理框架。介绍了整个实践的过程，包括风险因子定义、量化和追踪。验证了管理框架的可行性。并希望通过案例，给IT项目经理们参考和讨论的空间。6上海交通大学工程硕士学位论文第二章项目风险管理基础第二章项目风险管理基础21项目管理过程人类的活动可以分为两大类5一类是重复性、连续不断、周而复始的活动，称为“运作”；另一类是独特的、一次性的活动，称为“项目”。更确切的说，项目是为完成某一特定或共同的目标而进行的一组互相关联的活动，有明确的开始时间和明确的结束时间。今天，几乎在所有领域，将工作细化为一个个相对独立的“项目”的趋势日益明显。项目管理，是在项目活动中运用知识、技能、工具和技术，以便达到或超过项目干系人对项目的要求和期望。这一定义不仅仅是强调了使用专门的知识和技能，还强调了项目管理中各个参与人的重要性。项目经理不仅仅要努力实现项目的范围、时间和质量等目标，还必须协调整个项目过程，以满足项目参与者及其他利益相关者的需要和期望。目前，共有英国、法国、美国、德国等十几个国家的项目管理协会推出了适合自己国家国情的项目管理知识体系。其中，由美国项目管理协会PROJECTMANAGEMENTINSTITU6TE，PMI在1984年推出的项目管理知识体系PROJECTMANAGEMENTBODYOFKNOWLEDGE，PMBOK得到了较为广泛的使用。理解项目管理要从理解项目干系人和项目管理知识领域开始，见图21。项目干系人是指参与项目和受项目活动影响的人，包括项目发起人、项目组、协助人员、顾客、使用者、供应商，甚至是项目的反对人。人们的需要和期望在项目的开始直至结束都是非常重要的。成功的项目经理都会与各项目干系人发展良好的关系，以确保对其需要和期望有较好的了解。PMBOK把项目管理从功能上归纳为整体管理、范围管理、时间管理、成本管理、质量管理、人力资源管理、沟通管理、风险管理、采购管理等九大知识领域，这些领域代表项目经理必须具备的一些重要的知识和能力。项目管理的四大核心知识领域是指范围、时间、成本和质量。它们被视作核心知识领域，这是因为在这几个方面会形成具体的项目目标。而人力资源管理、风险管理、沟通管理和采购管理被称为辅助知识领域。7上海交通大学工程硕士学位论文第二章项目风险管理基础图21项目管理九大知识领域FIGURE21THENINEKNOWLEDGEDOMAINSOFPROJECTMANAGEMENT项目范围管理确定和管理为成功完成项目所要做的全部工作；项目时间管理包括项目所需时间的估算，制定可以接受的项目进度计划，并确保项目的及时完工；项目成本管理包括项目预算的准备和管理工作；项目质量管理确保项目满足明确约定的或各方默认的需要；项目人力资源管理关心的是如何有效利用参与项目的人；项目沟通管理产生、收集、发布和保存项目信息；项目风险管理对项目相关的风险进行识别、分析和应对；项目采购管理指根据项目的需要从项目执行组织外部获取和购进产品和服务；项目综合管理发挥项目管理整体上的支撑作用，它与其他项目管理知识领域相互影响。项目管理是一项系统整合工作。一般情况下，IT项目所需要解决的问题都不是简单几个问题的集合，而多为规模巨大且复杂的问题7。在某个时候，在某个知识领域所做的决定和行动常常会影响到其他方面。处理这种影响不得不权衡项目的三项约束（范围、时间和成本），同时还要在其他领域平衡，比如在风险和人力资源之间进行平衡。为了更好地管理和控制项目，可以把项目视做一系列相互联系的过程。过程是为实现某个特定的目标而进行的一系列活动。因此项目管理可以被划分为五个过程组启动、计划、执行、控制和收尾。项目管理的五个过程组，依靠其结果相互关联。如图22中所示，一个过程组的输出是另一个过程组的输入，每个阶段结束会成为下一阶段启动的前提条件。8上海交通大学工程硕士学位论文第二章项目风险管理基础图22项目管理五个过程组FIGURE22THEFIVEPROCESSGROUPSOFPROJECTMANAGEMENT启动过程组包括开始或结束项目和项目阶段的有关活动。在概念阶段，启动一个项目要做好几件事。必须有人负责定义项目的商业需求，有人为项目提供资助，有人来承担项目经理这个角色。项目的每一个阶段都会有启动过程。比如，在项目生命周期的每一个阶段，为了判断项目工作是否值得继续下去，项目经理和项目组人员都必须重新考察项目的商业需求。甚至结束项目也需要启动过程。在结束项目过程中，必须有人负责开始有关工作，来确保所有工作都已完成，并确保客户能够接受项目成果，项目组对有关的经验教训进行归档，以及全部的项目资源得到重新分配。计划过程包括定制与保持一个可行的计划，以便实现项目所要满足的商业需求。制定项目计划可以确定某时间点上项目相关的各个知识领域。比如，我们必须制定详细的计划，以明确项目的范围、项目的进度，明确各项活动的执行时间、执行人、成本以及需要采购的资源等。为了应对项目条件的变化和组织环境的变换，项目生命周期中的每个阶段都常常会对项目计划加以调整。执行过程包括协调人员和其他资源，以便实施项目计划并生产出项目或项目阶段的产品或可交付成果。执行过程的例子有组建一个项目组，进行有关9上海交通大学工程硕士学位论文第二章项目风险管理基础领导工作，核实项目范围，确保项目质量，发布有关信息，采购必需的资源，交付实际工作成果等。控制过程就是确保项目目标的实现。项目经理和项目人员要对照计划对项目进度进行监督和测评，并在必要的时候采取纠正行动。一般的控制过程包括执行绩效和状态评审。如果有必要进行某些变更，必须有人负责对这些变更进行识别、分析和监控。收尾过程主要指进行正式的项目或项目阶段验收工作，使其有一个有序的完结。这里会涉及许多管理活动，比如，项目文件的存档，工作的总结，以及对作为项目或项目阶段所设定的任务的正式验收工作等。必须要注意的是，过程组并不是离散的、一次性的事件。它们以不同的程度存在于项目的各个阶段。根据具体项目的不同，每个项目过程组的活动水平和时间长度都会有所不同。一般情况下，执行过程组消耗的资源和时间最多，其次是计划过程。而启动和收尾过程通常最短，所需的资源和时间也最少。控制过程组在整个项目过程中的活动水平最为平均但贯穿始终。每一个项目都具有一定的特殊性，因此例外也是有的。这五个项目过程组中的每一个过程都是以完成一定的任务为特征的。以控制过程组为例，控制过程组就是按照项目目标，对项目进度进行评测，监控其与计划的偏离程度，并采取纠正措施使项目进展符合计划要求。控制过程的理想结果就是，在要求的时间、成本和质量限度内提交双方同意的项目范围，从而成功地完成项目。如果需要对项目目标或项目计划进行变更，变更过程确保这些变更以有效的方式满足项目干系人的需要和期望。如果我们把每个项目过程组中的主要活动放大到九大项目管理知识领域中。每一个必要的项目管理过程都与大部分活动所在的过程组对应起来。例如，当某一个通常属于规划过程组的活动在执行期间重新使用或更新之后。该过程仍然是规划过程中进行的同一过程，而不是一个新的过程。22项目风险管理过程及方法221项目风险管理过程项目风险管理是指为了最好的达到项目的目标，识别、分配、应对项目生命周期内的风险的科学与艺术8。项目风险管理的目标是使潜在机会或回报最大化，使潜在风险最小化。风险识别在项目的开始时就要进行，并在项目执行中不断进行。就是说，在项目的整个生命周期内，风险识别是一个连续的过10上海交通大学工程硕士学位论文第二章项目风险管理基础程。项目风险管理包括项目风险管理规划、风险识别、风险分析（也称作风险量化）、风险应对和风险监控。风险管理规划决定如何进行、规划和实施项目风险管理活动风险识别判断哪些风险会影响项目，并以书面形式记录其特点定性风险分析对风险概率和影响进行评估和汇总，进而对风险进行排序，以便进一步分析或行动定量风险分析就识别的风险对项目总体目标的影响进行定量分析风险应对规划针对项目目标制定提高机会、降低威胁的方案和行动风险监控在整个项目生命周期中，跟踪已识别的风险、检测残余风险、识别新风险和实施风险应对计划，并对其有效性进行评估项目风险源于任何项目中都存在的不确定性。已知风险指已经识别并分析的风险，可通过风险管理过程对这些风险进行规划。但是无法对未知风险进行积极管理。对于未知风险，项目团队可采取的比较谨慎的应对措施就是为这些风险分配应急储备。项目风险管理的每一个过程不仅彼此交互作用，而且还与其它知识领域的过程交互作用。每个过程在项目中至少出现一次，并在项目的一个或多个阶段出现。项目团队对风险持有的态度，将影响其对风险认知的准确性，也将影响其应对风险的方式。对风险的态度应尽可能明确表述，制定满足项目需求的风险应对措施。风险应对可以反映出项目管理者在冒险和躲避风险之间的平衡。要想取得成功，必须在整个项目进程中积极并一贯地采取风险管理。222项目风险管理方法风险识别风险识别就是确定风险事件及其来源。由于风险的不确定性，风险识别实际上只能算是一种预测分析，是对可能会给项目目标实现带来负面影响的环节和因素所进行的假想。目的是做到有备无患，当实际风险发生时能有效应对。需要注意的是，风险识别将贯穿于项目实施的全过程，而不仅仅是项目的开始阶段。风险因素可能来自需求、技术、资金、实施方等各个方面，但项目实施最根本的目标是实现项目的期望，因此风险识别也应重点关注影响项目期望的因素。同时在风险识别过程中，也需要辩证地分析风险因素的负面效应（即风险带来的威胁）和正面效应（即潜在的机会）。11上海交通大学工程硕士学位论文第二章项目风险管理基础具体的项目风险识别方法主要有9头脑风暴法就是由项目小组成员在一起，反复假设“如果，那就会”。充分预测信息化项目中出现的各种情况，从而尽可能多的找出影响项目成功实施的因素。专家判断法即请教擅长信息化项目实施的专家、学者、教授，经验丰富的项目经理、实施顾问等，从理论与实践多方面来判断项目风险因素的正面效应和负面效应。调查问卷法即事先设计相应的表格、问卷，然后选取特定的调查对象，然后总结出项目的风险；另外，询问项目组成员也非常有帮助，问问他们以前做过的项目里曾发生过哪些意料不到的问题。也许管理部门又提出了新的优先项目，也许最好的成员突然不能参加进来了，也许预算减少了，也许其中的一项任务完成拖期了，也许另一个小组超出了预算，或者也许出现了未预见到的技术问题要把进度（包括可能延误项目的因素）、人员（包括威胁到位的因素）、财务（包括威胁预算的因素）以及范围（包括导致最终产品的难以完成的因素）等各方面的风险一一区分开来。经验总结法就是借助以往企业信息化项目实施的经验教训，来类推、联想这个信息化项目中的风险因素。理论分析法即通过建立数学模型等方法从理论上来分析信息化项目的风险，比如决策树、敏感性分析、蒙特卡罗模拟等。风险评估风险评估又称作风险量化，就是比较风险的大小，从而决定是否需要采取相应的应对措施。风险评估的方法很多，归纳起来主要包括以下几种用风险发生的概率来评估风险发生的可能性；用风险带来的损失来评估风险发生的严重性；用现有的手段能否控制风险的发生来评估风险发生的可控性；用风险影响的地域大小、对象多少等来评估风险影响的范围；用风险发生在项目生命周期的阶段来评估风险发生的时间。实际项目风险管理过程中，常常用逐项评分的方法来量化风险的大小，即事先确定评分的标准，然后由项目小组一起，对预先识别的项目风险一一打分，然后得出不同风险的大小。例如，可以从1到10分的等级来评估风险，如果项目小组在评估发生资金短缺的风险时，认为它非常不可能发生，得3分，但是一旦发生后果则非常严重，得9分；而且资金短缺，项目小组很难控制，得8分，然后把三个分数相乘，即得到该风险的风险级别。风险级别越高，表示风险越大，需要项目小组制定相应的措施认真对待。12上海交通大学工程硕士学位论文第二章项目风险管理基础需要量化的指标有风险发生的可能性、风险发生的严重性和风险发生的可控性。风险应对风险应对就是针对风险评估的结果，制定相应的应对措施去响应风险，就是风险应对，其目的是创造机会，回避威胁10。风险应对中，需要对风险的正面效应（即潜在的机会）制定增强措施，对风险的负面效应（即可能的威胁）制定应付方法。对于不同的风险，需要根据其重要性、影响大小以及已经确定的处理优先次序，采取相应的措施加以控制，对负面风险的反应可以是尽量避免、努力减小或设法接收。另外，在处理风险时需要注意应对的“及时性”和“反复性”，即在第一时间对各种突发的风险做出判断并采取措施；对已经发生或已经得到控制的风险经常进行回顾，确保风险能够得到稳定长期的控制。常见的风险应对措施有修正项目目标或范围尽管有深入的项目调研和详尽的项目规划，但信息化项目过程中的需求改变常常难以避免，因此为保证项目的实施效果，对项目的目标或范围加以必要修正，能够有效应对项目偏离需求的风险。加强培训加强项目培训能够提高参与项目的IT人员和业务人员甚至管理人员、决策者对信息化项目的认知，对规避项目的实施风险有良好的效果。准备风险保证金适当预留项目计划时间。信息化实施往往周期较长，在项目预算中预留一定数量的风险保证金，时间计划中预留一定的时间，能够有效应对由于项目需求改变或者范围增加而造成的时间和成本风险。始终贯彻项目管理的标准流程严格执行项目管理中的时间、成本、质量控制等标准流程，能够有助于控制项目风险。引入第三方的咨询和监理信息化项目初期尤其是刚刚开展信息化项目的企业，在信息化项目实施中引入第三方的咨询和监理，能够利用第三方的专家优势和对项目实施的经验来应对项目风险。加长模拟阶段的周期信息化项目中最重要的是信息系统与企业业务流程的结合，因此加长系统模拟业务流程的周期，使之充分适应企业业务流程，能够保证项目对企业的适应性，从而降低项目的实施风险。行政强制手段项目实施应以培训和沟通为主，但并不排除采用行政手段强制实施，对于项目中的某些难点，采用行政强制手段能够起到很好的效果。终止项目这是一种极端的做法，往往由于项目目标没有明确所致，采用这种做法虽然会导致项目的彻底失败，但也是万不得已，能够避免企业更大的损失。13上海交通大学工程硕士学位论文第二章项目风险管理基础23项目生命周期与项目风险管理项目风险管理作为一个管理过程贯穿于整个项目。我们可以根据风险控制与项目事件发生的时间将风险管理划分为三个部分项目前期风险管理规划，项目中期风险管理方法，项目后期控制风险管理报告。项目前期风险管理规划风险管理规划是在项目正式启动前或启动初期对项目的一个纵观全局的基于风险角度的考虑、分析、规划，也是项目风险控制中最为关键的内容，包括风险形势评估、风险识别、风险分析和风险评价等几部分11。风险形势评估是以项目计划、项目预算、项目进度等基本信息为依据，着眼于明确项目的目标、战略、战术以及实现项目目标的手段和资源。从而实现通过风险的角度审查项目计划认清项目形势，并揭示隐藏的一些项目前提和假设，使项目管理者在项目初期就能识别出一些风险。尤其是项目建议书、可行性报告或项目计划一般都是在若干假设、前提、预测的基础上完成的，这些假设、前提、预测在项目实施期间有可能成立，也有可能不成立。而这其中隐藏的风险问题又通常是被忽视的。一旦问题发生，往往造成项目管理方的措手不及和无一应对。例如项目计划中假设用户实施小组全力支持、脱产或几乎脱产投入IT项目的实施，但在实际过程中，用户方人员却不得不抽出大量时间处理原有的业务，造成IT项目实施进度的拖延和实施效果不尽人意的风险。诸如此类的例子还有很多。为了找出这些隐藏的项目条件和威胁，就需要对与项目相关的各种计划进行详细审查，如人力资源计划、合同管理计划、项目采购计划等等。由此我们可以得出，风险形势评估一般应重视以下内容项目的起因、目的、项目的范围、组织目标与项目目标的相互关系、项目的贡献、项目条件、制约因素等。风险识别是在对项目的基础的风险形势评估之上，就需要对各种显露的和潜在的风险进行识别。风险识别实际上是对将来可能发生的风险事件的一种设想和猜测。因此，一般的风险识别结果应包括风险的分类、来源、表现及其后果、以及引发的相关项目管理要求。在具体识别风险时，一方面可利用一些常识、经验和判断，通过以前经历的项目中积累起来的资料、数据、经验和教训，或者请教相关的专家和资深从业人员，采用集体讨论的方式。另一方面，可以通过分解项目的范围、结构来识别风险，理清项目的组成和各个组成部分的性质、之间的关系、与外因的联系等内容，从而减少项目实施过程中的不确定性。除此之外，还可以利用一些技术和工具。比如，结合经验和教训，将项目成功和失败的原因罗列成一张核对表，或者是项目的实施范围、质量控制、14上海交通大学工程硕士学位论文第二章项目风险管理基础项目进度、采购与合同管理、人力资源与沟通等。以上都是风险识别常用的一些手段和方法，当然还有其他更多的途径，因项目而异，灵活运用。风险分析和评价则是在进行风险识别并整理之后，必须就各项风险对整个项目的影响程度做一些分析和评价，通常这些评价建立在以特性为依据的判断和以数据统计为依据的研究上。风险分析的方法非常多，一般采用统计学范畴内的概率、分布频率、平均数众数等方法。但无论是哪一种工具，都各有长短，而且不可避免的会受到分析者的主观影响。可以通过不同角度不同人员的分析或者采取头脑风暴法等尽可能避免。此外，我们应当明确，风险是一种变化着的事物，基于这种易变条件上的预测和分析，是不可能做到十分的精确和可靠的。所有的风险分析都只有一个目的，即尽量避免项目的失控和为具体的项目实施中的突发问题预留足够的后备措施和缓冲空间。风险评价之后，项目面临着两种选择，即面临着不可承受风险和可承受风险。对于前者，或者终止项目，或者采取补救措施，降低风险或改变项目；对于后者，则需要在项目之中进行风险控制。项目中期风险管理方法管理风险，即控制风险，通过风险监视和风险规避消除一些潜在的威胁项目健康实施的事件。风险的管理在整个项目生命周期中是连续、反复进行的，消除了某些风险来源后，有可能又会出现其他的风险，而且，为减少风险损失而进行的风险管理本身也会带来新的风险。比如，管理风险所耗用的项目资源造成项目其他部分的可用资源减少，规避风险的行动影响原定项目计划而带来风险等。因此，在项目实施过程中，项目管理人员必须制订标准并按阶段衡量项目进展状况，时时监视项目实际进展情况，根据风险情况果断调整和纠正项目行动。由于时间对项目的影响是很难预计的，因此风险监视是项目实施过程中的一项重要工作。监视风险即监视项目产品、以及项目过程的进展和项目环境的变化，通过核查项目进展的效果与计划的差异来改善项目的实施。一般情况下，随着时间的推移，有关项目风险的信息会逐渐增多，风险的不确定性会逐渐降低，但风险监视工作也随信息量的增大而日渐复杂。我们一般可采取项目的审核检查的方式，通过各实施阶段的目标、计划、有关项目风险的信息会逐渐增多，风险的不确定性会逐渐降低，但风险监视工作也随信息量的增大而日渐复杂。我们一般可采取项目的审核检查的方式，通过各实施阶段的目标、计划、实际效果的对比、分析，寻找问题的根源，提出解决问题的方法。风险规避就是在风险管理规划基础上进行风险控制，一旦监视到风险，就应采取合理措施进行风险规避，可以从改变风险性质、改变风险发生的概率、15上海交通大学工程硕士学位论文第二章项目风险管理基础改变风险的影响大小等多方面着手。风险规避的策略一般有预防、转移、回避、接受、后备措施等几种方式。其中，预防风险尤其不能忽视项目的教育培训和按程序办事两个方面。由于项目实施成员的任何不当行为都会构成项目的风险因素，要减轻与之相应的影响，就必须对有关人员进行详细和有效的风险教育和项目培训，教育培训的内容应该包含项目相关的策略、计划、标准、规章规范、项目知识、产品知识等。在项目活动中，应该严格按照项目制度，如进度、人力调配、文档管理、资源分配等。常用的风险规避的方法有转移风险在IT项目中使用最频繁的应该要数合作伙伴、项目外包、保险与担保等手段了。无论是与合作伙伴的协同实施还是项目的外包，都能在人力资源、成本费用、项目进度等方面分散风险，开脱责任。但是转移风险的同时也必然带来利润的一部分流失。回避风险是指当项目风险潜在威胁的可能性极大，并会带来严重的后果，无法转移又不能承受时，通过改变项目来规避风险。通常会通过修改项目目标、项目范围、项目结构等方式来回避风险的威胁。接受风险作为规避风险的常见方法，主要是指主动将风险事件的不利后果承担下来，这种后果通常主要反映在实施周期、成本费用的有限增加上，以牺牲项目收益而不影响项目整体。用于规避风险的后备措施，主要体现在后备费用、预留进度时间、后备技术力量三个方面，这些后备措施在项目计划中就应预留，保证在项目实施过程中，能充分调用后备力量解决问题。项目后期风险管理报告无论项目进展的情况如何，都必须将风险管理的计划、行动、结果整理、汇总、进行分析，形成风险管理报告。风险管理的持续性要求风险管理报告的连贯性和不间断性，因此，该报告不是仅仅在项目结束之后才制作的，而是应该视项目的进展状况、项目计划、报告的对象等条件采取书面或口头、不定期的或阶段性的等多种方式，为项目的实施、控制、管理、决策提供信息基础。24本章小结通过对项目管理的相关基本概念和知识结构体系在国内外发展情况及现状的综述，介绍了项目管理的理论结构和框架。同时从项目风险管理理论出发，详细论述了项目风险管理的过程与方法，并结合项目生命周期阐述了风险管理在项目总体管理中的表现形式。16上海交通大学工程硕士学位论文第三章面向IT项目风险管理方法的研究第三章面向IT项目风险管理方法的研究31IT项目风险管理现状分析随着技术进步和经济全球化，IT行业的竞争日益激烈，行业利润逐渐下降，越来越多的企业注重IT项目的风险管理。从项目提案获得批准、项目启动到项目实施监控、项目结束，风险管理一直伴随项目的整个过程。目前，国外和国内的部分IT企业通过了ISO质量认证，在项目风险管理方面作的较好，降低了项目和对企业的风险。还有部分