信息系统项目的质量与风险课件

2025/3/131第6章信息系统工程的

质量与风险2025/3/132第6章信息系统工程的质量与风险6.1信息系统工程质量管理6.2信息系统平安、监理与审计6.3信息系统工程风险管理十一五规划教材?信息系统工程管理?讲义2025/3/1336.1信息系统工程质量管理十一五规划教材?信息系统工程管理?讲义2025/3/1346.1.1信息系统工程的全面质量管理什么是质量？质量是反映实体〔产品、过程或活动等〕满足明确的和隐含的需要的能力特性总和。——国际标准化组织2025/3/135什么是信息系统的质量？管理方面的即工程管理过程质量，包括系统建设的准备、规划、组织、协调以及运行管理方面所反映的工作质量问题；技术方面的即产品实现过程质量，包括系统生命期各阶段的产品质量十一五规划教材?信息系统工程管理?讲义2025/3/136制造业效劳业怎么实现质量管理？全面质量管理是一个组织以质量为中心，以全员参与为根底，目的在于通过让顾客满意和本组织所有成员及社会受益而到达长期成功的一种质量管理模式。——国际标准化组织2025/3/137全面质量管理的指导思想分两个层次：整个组织要以质量为核心组织的每个员工要积极参与全面质量管理全面质量管理的根本目的：使全社会受益和使组织长期成功十一五规划教材?信息系统工程管理?讲义2025/3/138全面质量管理的核心思想：全员性：全员参与质量管理；全过程性：管理好质量形成的全过程；全要素性：管理好质量所涉及的各个要素。2025/3/139什么是信息系统的全面质量管理？信息系统的全面质量管理包括：系统实现时的质量管理；系统分析、系统设计时的质量管理；对系统实现时软件的质量管理；包括对文档、系统建设人员和用户培训的质量管理

十一五规划教材?信息系统工程管理?讲义2025/3/1310为什么要对信息系统采取全面管理？对信息系统采取全面质量管理，是因为在信息系统生命期的各个阶段，对上一阶段的理解和本阶段的设计与实现上都存在着这样那样的问题，如以下图所示：2025/3/1311系统分析说明书分析员：我可以提供什么用户需求用户：我要什么系统设计说明书设计员：我要让系统怎么做源程序与文档程序员：我要让计算机怎么做运行结果计算机：信息系统提供的结果理解正确性设计正确性表达正确性理解正确性编码正确性输入正确性运行正确性相符吗理解正确性表达正确性图6.1信息系统生命期各阶段之间的关系2025/3/1312信息系统全面质量管理的主要措施〔1〕实行工程化的开发方法〔2〕实行阶段性冻结与变更控制〔3〕实行里程碑式审查与版本管理〔4〕实行面向用户参与的原型演化〔5〕强化工程管理，引入外部监理与审计〔6〕尽量采用基于重用的方法进行系统开发〔7〕按照CMM持续改善的要求管理软件的开发过程〔8〕进行全面测试十一五规划教材?信息系统工程管理?讲义2025/3/1313软件能力成熟度模型的英文为CapabilityMaturityModelforSoftware，缩写为CMM。CMM模型是1986年由美国卡内基·梅隆大学〔CarnegieMellonUniversity〕软件工程研究所〔SoftwareEngineeringInstitute，SEI〕提出的。十一五规划教材?信息系统工程管理?讲义6.1.2软件能力成熟度模型2025/3/1314软件能力成熟度模型有什么作用？软件能力成熟度模型是评估软件能力与成熟度的一套标准，该标准基于众多软件专家的实践经验。主要用于对软件过程改善和软件过程评估，是国际上流行的软件生产过程标准和软件企业成熟度等级认证的标准。

2025/3/1315CMM模型的内容是什么？CMM模型提供了一个基于过程能力阶梯式进化的框架，阶梯共有五级。这五级由低到高依次为：初始级可重复级定义级定量管理级优化级

十一五规划教材?信息系统工程管理?讲义2025/3/1316〔1〕初始级初始级的软件过程是未加定义的随意过程，工程的执行是随意甚至是混乱的。〔2〕可重复级第二级的焦点集中在软件管理过程上。一个可管理的过程应该是一个可重复的过程，一个可重复的过程那么能逐渐进化和成熟。2025/3/1317〔3〕已定义级要求制定企业范围的工程化标准，包括管理和工程开发，并将这些标准集成到企业软件开发标准过程中去。所有开发的工程需根据这个标准过程，剪裁出与工程适宜的过程，并执行这些过程。十一五规划教材?信息系统工程管理?讲义2025/3/1318〔4〕定量管理级是定量化的管理。所有过程需建立相应的度量方式，所有工作产品和提交给用户的产品都需要有明确的度量指标。〔5〕优化级目标是到达一个持续改善的境界。所谓持续改善是指可根据过程执行的反响信息来改善下一步的执行过程，即优化执行步骤。2025/3/1319图6.22025/3/13202002年，新的软件集成能力成熟度模型〔CMMI：CapabilityMaturityModelIntegration〕正式发布。十一五规划教材?信息系统工程管理?讲义2025/3/1321CMMI与CMM有什么不同？CMMI与CMM的不同在于，CMMI可以解决现有不同能力成熟度模型的重复性、复杂性，并减少由此引起的本钱、缩短改进过程；它的涉及面更广，专业领域覆盖软件工程、系统工程、集成产品开发和系统采购等方面。2025/3/13226.1.3信息系统工程的质量规划什么是信息系统工程的质量规划？信息系统工程的质量规划就是要将与信息系统有关的质量标准标识出来，并提出如何到达这些质量标准和要求。2025/3/1323如何制定信息系统工程质量管理方案？首先搜集本组织以前的历史数据，统计分析出该组织质量管理工作量占工程总工作量的一般比例；根据新工程的大体工作量，计算出本工程的质量管理工作量；根据质量管理工作量情况，安排该工程的质量管理任务，其中还要确定该工程的相关质量标准，决定各质量管理任务的频度和相应的各种工作资源；制定并评审通过信息系统工程的质量规划十一五规划教材?信息系统工程管理?讲义2025/3/1324质量规划的依据和成果质量规划主要的依据包括如下两个局部：组织的质量方针工程的合同文件中对交付产品的要求十一五规划教材?信息系统工程管理?讲义2025/3/1325质量方针质量方针是由组织的高层管理者对所有信息系统工程应到达的质量目标和方向制定的一个指导性文件。工程的合同文件合同文件中有关产品的描述包含了更多的技术细节和性能标准，是制定质量管理方案必不可少的局部工程质量管理方案的制定还必须参考相关领域的各项标准和特殊规定2025/3/1326信息系统工程质量规划的主要成果有哪些？主要包括质量管理方案、检查表和相应的操作说明等。十一五规划教材?信息系统工程管理?讲义2025/3/1327质量管理方案主要描述工程质量保证团队应该如何实施工程质量方针。各种检查表是记录工程执行情况和进行分析的工具。操作说明包括如何进行工程工作、如何控制、如何度量、以及在何种情况下采取何种质量管理措施和方法等的说明。2025/3/1328全面质量管理的根本工作步骤PDCA循环PDCA循环表达了全面质量管理的根本思想，也是全面质量管理的根本工作步骤和程序，是在质量规划中可以采用的一种思路和方法。

十一五规划教材?信息系统工程管理?讲义2025/3/1329PDCA把质量管理过程具体划分为：方案〔Plan〕、执行〔Do〕、检查〔Check〕、处理〔Action〕四个阶段和八个工作步骤，强调按此顺序不断循环从而进行所有质量管理活动。2025/3/1330〔1〕P〔Plan〕——方案，确定工程质量管理方针和目标，确定工程质量方案；〔2〕D〔Do〕——执行，实地去做，实现工程质量方案中的内容；〔3〕C〔Check〕——检查，总结执行工程质量方案的结果，注意效果，找出问题；〔4〕A〔Action〕——处理，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教训加以总结以免重现，未解决的问题放到下一个PDCA循环。十一五规划教材?信息系统工程管理?讲义2025/3/1331表PDCA循环的步骤和方法阶段步骤主要方法P1、分析现状，找出问题排列图，直方图，控制图2、分析各种影响因素或原因因果图3、找出主要影响因素排列图，帕累托图4、针对主要原因，制定措施计划

回答“5W1H”的问题：为什么制定该措施（Why）？达到什么目标（What）?

在何处执行（Where）？由谁负责完成（Who）?

什么时间完成（When）?

如何完成（How）?十一五规划教材?信息系统工程管理?讲义2025/3/1332D5、执行、实施计划

C6、检查计划执行结果排列图，直方图，控制图A7、总结成功经验，制定相应标准制定或修改工作规程、检查规程及其它有关规章制度8、把未解决或新出现问题转入下一个PDCA循环

表PDCA循环的步骤和方法〔续〕十一五规划教材?信息系统工程管理?讲义2025/3/13336.1.4信息系统工程的质量保证什么是质量保证？质量保证是在质量体系中实施的全部有方案的、有系统的活动，提供满足工程相关标准的措施，贯穿整过工程实施的全过程。

2025/3/1334与关注产品质量检查、质量控制相比，质量保证关注的是质量方案中规定质量管理过程是否被正确执行，是对过程的质量审计。2025/3/1335信息系统工程的质量保证要对信息系统的开发方案、标准、过程、系统需求、系统设计、数据库、手册以及测试信息等进行评审；要对系统产品的评审过程、工程的方案和跟踪过程、系统需求分析过程、系统设计过程、系统实现和单元测试过程、集成和系统测试过程、工程交付过程、子承包商的控制过程、配置管理过程等进行评审十一五规划教材?信息系统工程管理?讲义2025/3/1336质量保证工作的依据和内容实施工程质量保证的依据主要有工程质量管理方案、质量控制的度量结果以及质量工作的操作说明。质量控制的度量结果可以用于比较和分析。工程质量工作说明是对于工程质量管理具体工作的描述，以及对于工程质量保证与控制方法的具体说明。十一五规划教材?信息系统工程管理?讲义2025/3/1337质量保证主要包括以下几个方面的工作：〔1〕清晰的质量要求说明〔2〕科学可行的质量标准〔3〕组织和完善工程质量体系〔4〕配备合格和必要的资源〔5〕持续开展有方案的质量改进活动〔6〕工程变更的全面控制十一五规划教材?信息系统工程管理?讲义2025/3/13382.质量保证工作的方法和技术当进行工程的质量保证时，采用的方法和技术主要是质量审计和质量改进。质量审计也称为质量审核，是对特定质量管理活动的结构化审查。十一五规划教材?信息系统工程管理?讲义2025/3/1339目的是确定质量活动及其相关结果是否符合质量方案安排，以及这些方案安排是否有效地贯彻执行，并且是否适合于到达工程目标。质量审计可以包括质量体系审计、工程产品质量审计、过程质量审计、监督审计、内部质量审计、外部质量审计等2025/3/1340质量改进是以“增加工程的有效性和效率，提高工程投资人收益〞为主要目的而采取的各种行动。其方法包括工程质量改进建议和质量改进行动两个方面。十一五规划教材?信息系统工程管理?讲义2025/3/1341一般的工程质量改进建议至少包括：目前存在的工程质量问题及其后果；发生工程质量问题的原因分析；进行工程质量改进的建议目标；进行工程质量改进的方法和步骤；进行工程质量改进所需的资源；工程质量改进成果确实认方法。2025/3/1342工程质量改进行动的方法多数是根据工程质量改进建议而确定的具体工作方法。质量保证的成果主要是工程质量的改进。2025/3/13436.1.5信息系统工程的质量控制工程的质量控制主要是监督工程的实施结果以决定它们是否符合相关的质量标准及确定排除不满意结果原因的方法。2025/3/1344工程质量控制和工程质量保证有什么区别？工程质量控制和工程质量保证最大的区别在于：工程质量保证是一种预防性、提高性和保障性的质量管理活动；而工程质量控制是一种纠偏性和把关性的质量管理活动十一五规划教材?信息系统工程管理?讲义2025/3/1345质量控制工作的依据和成果信息系统工程的质量控制是指对工程实施全过程中的产成品进行持续不断地检查、度量、评价和调整的活动。质量控制的依据工程的阶段工作成果工程质量管理方案操作描述工程质量控制标准与要求十一五规划教材?信息系统工程管理?讲义2025/3/1346质量控制成果通过工程质量控制之后，所得到的最重要的成果就是工程质量的改进。除质量改进外，质量控制的结果还可能是接受工程成果、返工或对工程管理过程进行调整。2025/3/1347质量控制工作的方法和技术工程质量控制的方法工程质量控制的方法有很多，最常用也是最直接的方法就是检查，包括：为确定工程的各种结果是否符合用户需求所采取的诸如测量、检查和测试等活动，既可能检查单个活动的结果，也可能检查工程的最终产品的结果。十一五规划教材?信息系统工程管理?讲义2025/3/1348质量控制工具检查表和流程图是很常用的质量控制工具。下面我们重点介绍帕累托图、因果图和控制图。十一五规划教材?信息系统工程管理?讲义2025/3/1349帕累托图帕累托图〔Paretochart〕是以意大利经济学家V.Pareto的名字而命名的。帕累托图又叫排列图、主次图,是按照发生频率大小顺序绘制的直方图；是分析和寻找影响质量主要因素的一种工具。

原那么：关键的少数和次要的多数。2025/3/1350帕累托图的表示帕累托图用双直角坐标系表示,左边纵坐标表示频数,右边纵坐标表示频率.分析线表示累积频率。横坐标表示影响质量的各项因素,按影响程度的大小(即出现频数多少)从左到右排列。其形式如以下图：2025/3/135129%52%69%79%〔频数〕件N=1235040302010甲乙丙丁戊其他质量影响因素帕累托图10080604020〔频率〕%87%十一五规划教材?信息系统工程管理?讲义2025/3/1352影响质量的因素分三类：主要因素：累计百分数在70%—80%范围内的因素；次要因素：累计百分数在80%—90%范围内的因素；一般因素：累计百分数在90%—100%范围内的因素。2025/3/1353因果图又称鱼骨图、树枝图是由日本石川馨创造的，故又名石川图。鱼骨图是一种发现问题“根本原因〞的方法。问题的特性总是受到一些因素的影响，通过头脑风暴法找出这些因素，并将它们与特性值一起，按相互关联性整理而成的层次清楚、条理清楚，并标出重要因素的图形。2025/3/1354原因类别主要缺点第一层原因第二层原因第三层原因

因果图十一五规划教材?信息系统工程管理?讲义2025/3/1355控制图控制图又称为管制图。第一张控制图诞生于1924年5月16日，由美国的哈特〔W.A.Shewhart)博士首先提出。控制图就是对生产过程的关键质量特性值进行测定、记录、评估并监测过程是否处于控制状态的一种图形方法。它是根据假设检验的原理构造的一种图，用于监测生产过程是否处于控制状态。它是统计质量管理的一种重要手段和工具。2025/3/1356十一五规划教材?信息系统工程管理?讲义中心线下限上限样本序号〔时间〕控制图质量特性值2025/3/13576.2信息系统平安、监理与审计十一五规划教材?信息系统工程管理?讲义2025/3/13586.2.1信息系统平安信息系统平安工作的目的：进不来拿不走看不懂改不了跑不掉2025/3/1359信息系统平安的含义与层次信息系统平安是指采取技术和非技术的各种手段，通过对信息系统建设中的平安设计和运行中的平安管理，使运行在计算机网络中的信息系统是有保护的，没有危险，即组成信息系统的硬件、软件和数据资源受到妥善的保护，不因自然和人为因素而遭到破坏、更改或者泄露系统中的信息资源，信息系统能连续正常运行。十一五规划教材?信息系统工程管理?讲义2025/3/1360十一五规划教材?信息系统工程管理?讲义应用层面平安〔应用软件、支撑软件、工具软件〕系统层面平安〔操作系统、数据库管理系统〕网络层面平安〔网络系统各层的协议与软件〕物理层面平安〔计算机硬件、网络硬件、各类设备及介质、环境〕安全管理层图平安等级保护五个层面所涉及的具体内容2025/3/1361信息系统平安的设计信息系统平安的设计包括：物理实体平安的设计硬件系统和通信网络的平安设计软件系统和数据的平安设计十一五规划教材?信息系统工程管理?讲义2025/3/1362信息系统软件和数据的平安应注意的事项〔1〕选择平安可靠的操作系统和数据库管理系统〔2〕设计、开发或采购平安可靠的应用程序〔3〕注重信息系统中数据平安的设计数据存取的控制防止数据信息泄露防止计算机病毒感染和破坏数据备份的方法设计2025/3/13636.2.2信息系统监理信息系统监理的含义信息系统监理，是指具备相应资质的第三方〔丙方〕，根据信息系统的建设规律以及国家法律法规、建设合同和监理合同的要求，对信息系统建设过程中的行为、事件和文档进行审查和监督，为用户方〔甲方〕提供与工程有关的信息和信息处理能力的支持，以确保信息系统工程的建设成功。监理与工程管理主要区别在于主体不一样，对于本钱、进度、质量考虑的重点不一样十一五规划教材?信息系统工程管理?讲义2025/3/1364信息系统监理的内容工程管理工作的核心可以归纳为“三控两管一协调〞。所谓“三控〞，是指本钱、进度和质量三者的控制；所谓“两管〞，是指合同管理和信息管理；所谓“一协调〞，是指甲乙丙三方关系的协调。十一五规划教材?信息系统工程管理?讲义2025/3/1365信息系统监理的工作内容也是从“三控两管一协调〞出发，包括6个根本内容：质量控制进度控制投资控制合同管理信息管理关系协调2025/3/1366具备良好素质的监理人员能够极大地降低信息系统工程建设的风险：能帮助甲方对系统建设方案进行正确评价和选择；并能对乙方提供的证明材料等进行辨析；能判明乙方是否偏离了甲方的实际需求，是否简化了系统的功能模块，是否选用了性能低的配置或质量较差的产品，是否隐含了平安问题或系统的缺陷等；能减低由于甲方因管理改革不到位或不及时造成的风险。2025/3/1367监理方对甲乙双方都有约束对乙方是监督和管理，重在监督；对甲方是催促和助理，重在助理。2025/3/1368信息系统监理的类型按照监理对象的类型划分，可以分为三类：硬件网络集成工程的监理、软件产品实施型工程的监理、以及软件开发型工程的监理。按照业主的要求和介入工程的深度分类，可分为咨询式监理、里程碑式监理和全程式监理三种类型：十一五规划教材?信息系统工程管理?讲义2025/3/1369咨询式监理咨询式监理以咨询工作为主，重点在于工程前期组织的信息化整体规划和需求分析；工作完成的方式是以提交组织的信息化整体规划书为主要任务，对于信息系统工程实施阶段发生的问题，主要根据业主提出要求，答复相应问题。监理根本上不需要和建设方发生过多接触，是一种咨询参谋的角色。对甲方单位而言，这种方式的本钱相比较是最低的十一五规划教材?信息系统工程管理?讲义2025/3/1370里程碑式监理是指按照信息系统的建设规律，将信息系统的建设划分为假设干个阶段，在每一个阶段结束都设置一个里程碑，在里程碑到来时通知监理方进行审查或测试。一般来讲，这种方式比咨询式监理的费用要多，当然，监理方也要承担一定的责任。监理合同确实立也需要开发方的参与，防止里程碑的界定不同而互相扯皮。十一五规划教材?信息系统工程管理?讲义2025/3/1371全程式监理

最复杂的一种，不但要求对信息系统建设过程中的里程碑进行审查，还应该派相应人员全程现场跟踪、收集系统开发过程中的信息，不断评估信息系统建设方的质量和效率。这种方式费用最高，监理方的责任也最大，适合那些对信息系统的建设不太了解、技术力量偏弱的用户方采用。

十一五规划教材?信息系统工程管理?讲义2025/3/13726.2.3信息系统审计信息系统审计的含义和内容信息系统审计是审计技术与信息技术共同开展的必然产物，是一个获取并评价证据，以判断信息系统是否能够保证资产的平安、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程十一五规划教材?信息系统工程管理?讲义2025/3/1373信息系统审计与控制协会〔InformationSystemsAuditandControlAssociation，ISACA〕是从事信息系统审计的专业人员惟一的国际性组织。信息系统审计师资格〔CertifiedInformationSystemAuditor，CISA〕是惟一的职业资格。2025/3/1374信息系统审计的根本内容包括计算机资源管理审计；硬件、软件的获取审计；系统软件审计；程序审计；数据完整性审计；系统开发审计；应用系统开发审计；系统运行审计；系统维护审计；操作审计；平安审计。十一五规划教材?信息系统工程管理?讲义2025/3/1375计算机资源管理审计硬件、软件等获取审计系统开发审计操作审计系统软件审计平安审计程序审计应用系统开发审计系统维护审计数据完整性审计系统运行审计十一五规划教材?信息系统工程管理?讲义图信息系统审计根本内容相互关系图2025/3/1376信息系统审计与信息系统监理、信息系统测试和信息系统评价的区别：监理重在对系统规划与开发过程监督和管理，而审计不但要对开发过程审计，还要对系统运行过程审计；系统测试主要测试系统是否实现了设计的逻辑模型，并且主要是从技术上测试；而审计是测试系统是否忠于组织的实际运作原型，是否符合国家法律法规；系统的评价是信息系统审计的延伸，信息系统的评价更带有主观性，与评价指标的选择有关；而信息系统的审计比较客观，强调的是数据的真实性和性能的客观性。2025/3/1377信息系统审计的流程〔1〕信息系统审计的方案阶段是整个信息系统审计过程的起点，是通过调查被审计单位的内部环境，初步评价审计风险，接受审计委托，在此根底上制定审计方案。〔2〕信息系统审计的实施阶段是根据方案阶段确定的范围、要点、步骤、方法进行取证、评价，借以形成审计结论，实现审计目标的中间过程，是审计全过程的中心环节，由符合性测试阶段和实质性测试阶段构成。十一五规划教材?信息系统工程管理?讲义2025/3/1378符合性测试阶段目标是审查系统内部控制制度的建立及遵守情况，根据测试结果修订审计方案，确定后续测试。实质性测试阶段是对交易和事项的详细测试，以获得审计期间这些事项或交易合法、完整、准确的审计证据。2025/3/1379〔3〕信息系统审计的报告阶段信息系统审计人员运用专业判断，以经过核实的设计证据为依据，形成审计意见，出具信息系统设计报告。审计报告中应说明信息系统审计的范围、目标、期间和所执行的审计工作的性质和范围，以及信息系统审计结论和建议等2025/3/13806.3信息系统工程风险管理十一五规划教材?信息系统工程管理?讲义工程风险就是为实现工程目标的活动或事件的不确定性和可能发生的危险。2025/3/1381工程风险管理就是对工程风险进行识别、分析和应对的系统过程。主要包含三个内容：信息系统工程风险的识别信息系统工程风险的定性定量分析信息系统工程的风险应对与监控2025/3/13826.3.1信息系统工程的风险识别风险识别指确定哪些风险会影响工程，并将其特性记载成文。风险识别是一项贯穿工程实施全过程的工作。2025/3/1383风险识别的依据和成果风险识别主要考虑以下三个内容：事业环境因素在风险识别过程中，任何一种以及所有存在于工程周围并对工程成功有影响的组织事业环境因素与制度等，都可以成为风险识别的依据。组织过程资产从先前工程的工程档案或知识库中获取相关信息。十一五规划教材?信息系统工程管理?讲义2025/3/1384工程范围说明书和工作分解结构工程范围说明书中有关工程假设条件的不确定性，应作为工程风险的潜在成因进行评估；风险都是和具体工作联系在一起，需借助工作分解结构识别风险。2025/3/1385进行风险识别还要参考风险管理方案和工程管理方案：风险管理方案中阐述了工程的风险管理政策：哪些是一级风险，哪些是二级风险；实际情况与工程管理方案比照，得出的范围偏差、进度偏差、本钱偏差等可能反响各种风险。十一五规划教材?信息系统工程管理?讲义2025/3/1386风险识别过程的主要成果风险识别过程的主要成果是形成工程管理方案中风险登记册的最初记录，即形成风险事件列表，又叫风险清单。2025/3/13872.风险识别的方法和工具要进行风险识别，首先需要对与该工程有关的各种文件进行审查，对工程文件〔包括方案、假设、先前的工程文档和其他信息〕进行系统和结构性的审查。其次，需要根据历史资料，特别是以往类似工程所形成的风险分解结构〔RiskBreakdownStructure，RBS〕模板〔参见以下图〕，来识别RBS上的各种可能出现的风险。十一五规划教材?信息系统工程管理?讲义2025/3/1388十一五规划教材?信息系统工程管理?讲义技术风险需求界面复杂性可靠性安全外部风险政策市场气候客户分包商和供应商项目风险管理风险进度成本质量计划编制控制组织风险内部制度优先权项目依赖关系资金资源风险分解结构〔RiskBreakdownStructure，RBS〕2025/3/1389我们还可以采用很多其他的风险信息搜集技术，包括访谈、因果图分析、挣值分析、头脑风暴法、德尔菲技术、SWOT分析、假设分析、核对表分析等。

十一五规划教材?信息系统工程管理?讲义2025/3/1390头脑风暴法选择人员明确会议的中心议题与会专家轮流发言，并记录发言的内容终止发言评价所提出的所有意见。2025/3/1391德尔菲法从企业内外部挑选相关专家组成专家小组，专家彼此不会面，不交流要求所有专家匿名对中心议题提出看法将所有专家的意见整理形成综合意见，并将综合意见分发给专家。各专家根据综合意见提出自己的看法。重复以上过程知道得出满意的结果。十一五规划教材?信息系统工程管理?讲义2025/3/139292风险检查表风险检查表是从以往类似工程和其他信息途径收集到的风险经验的列表，通过查找此表可以简便快捷地识别风险。缺点：风险表的完备性受历史和类似工程的限制，对没有列出的风险可能被调查表所局限。2025/3/1393流程图法通过对工程的流程分析，发现工程风险可能发生在哪些工序和活动中，以及风险对各项活动可能造成的影响。流程图可以通过网络图和工作分解结构来表示。系统分析法系统分析法是一种将复杂的工程风险分解成比较容易识别的风险子系统，进而识别子系统风险的方法。2025/3/1394SWOT分析从工程内部的优势〔Strength〕、弱点〔Weakness〕，以及外部的时机〔Opportunity〕与威胁〔Threat〕四个角度对工程进行审议，以扩大风险考虑的广度。SWOT分析有四种不同类型的组合：优势——时机〔SO〕弱点——时机〔WO〕优势——威胁〔ST〕弱点——威胁〔WT〕。十一五规划教材?信息系统工程管理?讲义2025/3/1395SWOT分析一般分成五步：〔1〕列出工程的优势和劣势，可能的时机与威胁，填入道斯矩阵的I、II、III、IV区，如以下图所示。2025/3/1396III优势列出自身优势IV劣势具体列出弱点I机会列出现有的机会VSO战略抓住机遇，发挥优势战略VIWO战略利用机会，克服劣势战略II挑战列出正面临的威胁VIIST战略利用优势，减少威胁战略VIIIWT战略弥补缺点，规避威胁战略图

道斯矩阵2025/3/1397〔2〕将内部优势与外部时机相组合，形成SO策略，制定抓住时机、发挥优势的战略，填入道斯矩阵的V区。如：一个资源雄厚〔内在优势〕的企业发现某一国际市场未曾饱和〔外在时机〕，那么它就应该采取SO战略去开拓这一国际市场。2025/3/1398〔3〕将内部劣势与外部时机相组合，形成WO策略，制定利用时机克服弱点的战略，填入道斯矩阵VI区。如：一个面对计算机效劳需求增长的企业〔外在时机〕，却十分缺乏技术专家〔内在劣势〕，那么就应该采用WO战略。把聘技术专家，或购入一个高技术的计算机公司作为策略。2025/3/1399〔4〕将内部优势与外部威胁相组合，形成ST策略，制定利用优势减少威胁战略，填入道斯矩阵VII区；如：一个企业的销售渠道〔内在优势〕很多，但是由于各种限制又不允许它经营其他商品〔外在威胁〕，那么就应该采取ST战略，走集中型、多样化的道路。2025/3/13100〔5〕将内部劣势与外部挑战相组合，形成WT策略，制定弥补缺点、躲避威胁的战略，填入道斯矩阵VIII区。如：一个商品质量差〔内在劣势〕，供给渠道不可靠〔外在威胁〕的企业应该采取ＷＴ战略，强化企业管理，提高产品质量，稳定供给渠道，或走联合，合并之路以谋生存和开展。2025/3/13101101假设分析通过先给出工程状态或情况的描述，然后变开工程的某种因素，分析变动后工程整个情况会怎样？会有什么样的风险发生？风险的后果怎么样？等等。步骤：描述项目状态确定影响项目的主要因素预测哪些风险会发生确定风险的后果2025/3/13102假设分析法比较适合于：可用于分析和识别工程风险的后果；分析和识别工程风险可能涉及的范围；研究某些关键因素对工程的影响。2025/3/131036.3.2信息系统工程的风险定性定量分析通过工程风险识别后得到风险清单并记录在风险登记册后，就可以进一步对风险进行定性分析和定量分析。风险的定性分析风险分类、评估发生概率、后果风险的定性分析量化影响，得到风险期望值，对风险排序、确定级别2025/3/13104风险的定性分析风险定性分析是析风险的性质、估算风险事件发生的概率及其后果的严重程度2025/3/13105风险的定性分析主要包括两个局部：风险发生概率的评估风险造成影响或后果的评估。

风险定性分析的目的就是得到某个具体风险事件的风险概率和风险影响值。十一五规划教材?信息系统工程管理?讲义2025/3/13106风险概率评估指调查每项具体风险发生的可能性。风险影响评估旨在调查风险对工程目标〔如时间、费用、范围、质量〕的潜在影响，既包括消极影响或威胁，也包括积极影响或时机。针对识别的每项风险，确定风险的概率范围和影响范围。2025/3/13107风险的定性分析可通过采用召开会议或进行访谈等方式对风险进行评估：参与者对每项风险事件的概率级别及其对每项工程目标〔本钱、时间、范围、质量〕的影响进行评估，确定风险概率和风险影响值的等级。

十一五规划教材?信息系统工程管理?讲义2025/3/13108粗略评估风险概率及影响之后，通过查询风险概率〔可能性〕度量表以及风险影响值度量表〔见以下图〕，就可以将定性分析的结果转化为一个定量的数值。2025/3/13109十一五规划教材?信息系统工程管理?讲义表6.2风险概率〔可能性〕度量表现象分析风险可能性范围分级计算数值顺序计量分值非常不可能发生0％～10％5％1发生可能性不大11％～40％25％2可能在项目中发生41％～60％50％3较可能发生61％～80％70％4极有可能发生81％～100％90％52025/3/13110十一五规划教材?信息系统工程管理?讲义表6.3风险对四大工程主要目标影响值表定性度量非常低低中等高非常高非线性度量0.050.10.20.40.8项目目标成本不显著的成本增加成本增加<10%成本增加10～20%成本增加20～40％成本增加>40%时间不显著的进度拖延进度拖延<5%进度拖延5%~10%进度拖延10~20%进度拖延>20%范围范围减少不易察觉范围次要部分受到影响范围主要部分受到影响范围减少到干系人无法接受项目最终结果不可用质量质量退化不易察觉只有要求很高的应用受到影响质量降低需要干系人确认质量降低到干系人无法接受项目最终结果不可用2025/3/13111例如：如果有一个风险事件是信息系统的人机界面很不友好，该风险较可能发生，预测该风险事件一旦发生对于进度的影响将是12%，对本钱的影响是7%，对于质量的影响很小，对范围的影响几乎觉察不到。2025/3/13112对照表6.2，该事件对应的风险概率可用三种方式给出为：75%、70%、4。现象分析风险可能性范围分级计算数值顺序计量分值较可能发生61％～80％70％42025/3/13113十一五规划教材?信息系统工程管理?讲义参见表6.3，该事件的影响值为定性度量非常低低中等高非常高非线性度量0.050.10.20.40.8项目目标成本7%不显著的成本增加成本增加<10%成本增加10～20%成本增加20～40％成本增加>40%时间12%不显著的进度拖延进度拖延<5%进度拖延5%~10%进度拖延10~20%进度拖延>20%范围觉察不到范围减少不易察觉范围次要部分受到影响范围主要部分受到影响范围减少到干系人无法接受项目最终结果不可用质量影响很小质量退化不易察觉只有要求很高的应用受到影响质量降低需要干系人确认质量降低到干系人无法接受项目最终结果不可用2025/3/13114该风险的最终影响值是上述四个影响的最大值，即0.4。任何一个风险事件都是从工程的本钱、进度、范围、质量四个方面对工程产生影响，所以必须要分析出每个风险事件对上述四个方面的具体影响，参考上表，找出四个方面影响最大的值作为该风险事件的风险影响值。2025/3/13115二、风险定量分析

风险定量分析是在不确定情况下进行决策的一种量化的方法2025/3/13116风险的定量分析风险的定量分析是指在得到风险概率和风险影响值之后，进一步得到每个风险的风险期望值，在此根底上，对所有风险进行排序和确定风险级别。十一五规划教材?信息系统工程管理?讲义2025/3/13117风险期望值是评价风险预期损失或时机的重要参数，它的计算公式为：风险期望值＝风险概率×风险影响值根据风险期望值确定风险等级，不同的等级应该对应不同的负责人。2025/3/13118例如：以前面的人机界面不友好为例，采用第三列的分级风险概率数值70%，而风险影响值为0.4，那么风险期望值＝风险概率×风险影响值＝0.7×0.4=0.28。含义：比方工程合同金额为100万，那么该风险事件的风险期望值为28万。2025/3/13119119工程风险评估工具决策树□——决策节点○——状态节点，或时机节点△——结果节点。优点：能够进行多级决策；决策的层次性和相互影响一目了然。缺点：当分级过多时，将变得非常复杂2025/3/13120120例题：某工程准备投产生产两种产品甲和乙，分别需要投资50万元和55万元，两种产品的生产年限是一样的。经过市场调研后，预测新产品上市后，畅销的概率为70%，滞销的概率为30%。甲乙两种产品在不同情况下的收益如表所示：产品畅销（70%）滞销（30%）甲160万元-80万元乙180万元-120万元2025/3/13121121决策树分析0121234甲产品乙产品-50万元-55万元畅销70%滞销30%畅销70%滞销30%160万元-80万元180万元-120万元2025/3/13122十一五规划教材?信息系统工程管理?讲义表

风险等级划分表风险等级风险值范围风险负责人一级风险0.2＜风险期望值≤1总经理负责，通知客户二级风险0.1＜风险期望值≤0.2公司主管项目副总负责，通知客户和总经理三级风险0.05＜风险期望值≤0.1项目经理负责，通知主管副总四级风险0≤风险期望值≤0.05项目成员负责，通知项目经理2025/3/13123以上仅是某IT公司的数据模板，不同的工程团队应该有自己的风险等级政策。对于识别出的每个风险事件，还可以对每个风险事件的紧迫性进行评估。实施风险应对措施所需要的时间、风险等级等都可以作为确定风险紧迫性的指标。2025/3/131246.3.3信息系统工程的风险应对与监控

风险应对规划指为工程目标增加实现时机，减少失败威胁而制定方案，决定应采取对策的过程。2025/3/13125风险的应对风险应对过程包括确认与指派相关风险应对负责人，从几个备选方案中选择一项最正确的风险应对措施来应对识别出的风险。十一五规划教材?信息系统工程管理?讲义2025/3/13126信息系统工程风险应对的措施可以分为两大类，一类是对于威胁大于时机的消极风险的应对策略(躲避、转移、缓解)，一类是对于时机大于威胁的积极风险的应对策略(开拓、分享、提高〕2025/3/131271〕消极风险的应对策略：〔1〕躲避风险躲避是指在考虑到某工程的风险及其损失都很大时，主动放弃或终止该工程，以防止与该工程相联系的风险及其损失的一种处置风险的方式。特点：处置最彻底、但同时失去了可能的利益。2025/3/13128〔2〕转移风险转移是指工程组将风险有意识地转移给其他有相互经济利益关系的另一方承担的风险处置方式。如：购置保险、租赁合同、分包合同等。特点：风险本身没减少，只是承担者发生了变化。2025/3/13129〔3〕缓解风险缓解是为了最大限度地降低风险事件的发生的概率和减小损失幅度而采用的风险处置技术。如：有些时候实施风险预案需要时间和条件，权宜措施就是为了争取时间和创造条件。当客户拖延付款的时候，你当务之急也许不是催讨债款而是拆借周转资金。2025/3/131302〕积极风险的应对策略〔1〕开拓风险开拓是指通过确保时机肯定实现而消除与特点积极风险相关的不确定性。如：为工程分配更多的资源，增派有经验、能力强的工程成员。2025/3/13131〔2〕分享将风险的责任分配给最能为工程利益获取时机的第三方。建立风险分享合作关系，签订时机利润分享活动。2025/3/13132〔3〕提高通过提高积极风险的概率或其积极影响，识别并最大限度地发挥这些积极风险的驱动因素，强化其促发条件，提高时机发生的概率。2025/3/13133不管是威胁还是时机都可以采用风险接受的策略。风险接受又称作风险自留，是由工程团队自行准备风险准备金以承担风险的处置方法，在实践过程中有主动接受和被动接受之分。十一五规划教材?信息系统工程管理?讲义2025/3/13134风险应对措施分为两大类，预防措施和纠正措施：预防措施是指为防止风险事件发生采取的措施；纠正措施是指一旦风险发生时所采取的应对措施

2025/3/131352.风险的监控风险监控是指识别和分析新生风险，追踪已识别风险和“风险应对表〞中的风险，重新分析现有风险，审查风险应对策略的实施并评估其效力的过程。十一五规划教材?信息系统工程管理?讲义2025/3/13136在风险监控中，一般要关注以下五个工作〔1〕风险再评估安排定期进行工程风险再评估；〔2〕偏差和趋势分析通过挣值分析、工程偏差和趋势分析等对工程总体绩效进行监控；〔3〕风险准备金分析将剩余的风险准备金金额与拟接受的风险进行比较，确定剩余的风险准备金是否充足；十一五规划教材?信息系统工程管理?讲义2025/3/13137〔4〕更新风险登记册将新的风险识别和应对情况，原有风险的变动情况纳入风险登记册中；〔5〕更新风险数据库对于典型的风险事件可以形成记录并对风险分解结构和组织的风险数据库进行更新。2025/3/13138风险监控的方法1、系统的工程监控方法2、风险预警系统风险预警管理是指对于工程管理过程中有可能出现的风险，采取超前或预先防范的管理方式，一旦在监控过程中发现有发生风险的征兆，及时采取校正行动并发出预警信号，以最大限度地控制不利后果的发生。2025/3/13139风险监控的成果风险监控的成果随机应变措施纠正行动变更请求修改风险应对计划2025/3/131406.3.3案例：学院网站建设工程的风险识别、分析与应对本工程风险的识别与应对经过了以下三个步骤。风险识别：列出所有可能的风险事件；风险分析：为每个风险事件分析风险概率和风险影响值，计算风险期望值，确定风险的级别和顺序；风险应对：确定风险应对的策略、应对措施及其截止时间和负责人十一五规划教材?信息系统工程管理?讲义2025/3/13141风险的识别风险识别的方法是确定“风险编号〞、找出可能发生风险的“WBS模块〞、再拟定“风险事件名称〞工程组成员依据前已有的WBS中那些没有下一层工作的底层工作包，通过头脑风暴法识别出可能会影响工程进度、本钱、范围、质量的潜在风险，对每个风险事件都进行编号，赋予一个含义明确的名称记录在下面的风险识别、分析和应对表中。十一五规划教材?信息系统工程管理?讲义2025/3/13142风险的分析风险的分析阶段由工程团队分别确定“风险概率〞、“风险影响描述〞、“风险影响值〞、“风险期望值〞、“排序〞、“风险级别〞〔1〕对每件风险事件，由工程组有经验的成员分别对该风险事件发生概率进行估计，加总平均得出此事件的风险概率。十一五规划教材