3.2 信息系统项目风险管理
3.2.1 项目风险管理的定义
项目风险管理,是指项目管理团队在项目开发的整个生命周期中,对项目风险进行管理规划、风险识别、风险分析评价、风险应对和控制的完整的系统过程,其目标在于减少风险发生的概率,降低风险的影响程度。
3.2.2 信息系统项目风险管理的作用与意义
与其他项目相比,信息系统项目具有其特殊性。首先,信息系统开发主要是进行软件编写,具有知识的无形性,其开发进度和质量难以估量,生产进度也难以预测和保证,不能说编写代码的数量就等同于项目的完成量,软件开发的智力因素将对软件项目产生重要影响;其次,信息系统的复杂性也导致了信息系统项目开发过程中存在各种难以预见和控制的风险。为了保证项目的进度和成本预算,进行项目的风险管理是十分必要的。在信息系统开发项目中,项目风险管理具有以下作用:
(1)风险管理可以尽早发现在项目开发中存在的潜在风险,预先制定相应措施,保障项目的顺利进行;
(2)风险管理可以有效的分清责任范围,确定风险责任人,防止互相推诿;
(3)风险管理的风险监控能够在风险发生后有效降低风险造成的损失,达到利益最大化;
(4)风险管理记录可以为未来的项目组织提供管理经验和历史数据,提高项目组织的管理能力;
(5)风险管理能提高项目管理团队成员的风险意识,提高项目团队的风险预知能力和风险抵抗能力。
3.2.3 信息系统项目风险管理的依据
项目风险管理是在项目管理的基础上,对项目开发过程中可能存在的项目风险进行识别、分析、预防和控制的过程。风险管理要以项目管理知识作为理论依据,贯穿于项目管理的整个流程之中。
一般来说,项目风险管理需要以以下文件为基础。
1.项目基本假设
前面提到,项目的开发是基于一定的项目假设的,但我们并不能保证项目的假设就一定是正确的。因此,项目风险管理要以项目假设为基础,对其进行分析,找出可能存在的风险和漏洞。
在风险管理中,对项目的基本假设要十分注意。对项目来说,基本假设考虑的是比较重要的问题,基本假设的推翻意味着项目从一开始就是一个错误。
2.历史数据资料
历史数据是项目组织在以前进行类似项目时保留下来的经验和教训的总结,是历史劳动成果的结晶,具有重要的参考价值。历史数据中的风险列表和风险清单详细记录了项目组在进行类似项目时遇到的风险,以及风险的性质、风险出现的次数和风险的影响程度等信息,使项目团队在进行风险管理中能够有的放矢,提高项目的管理效率。
3.项目需求说明书
项目需求说明书对信息系统项目的需求做出明确定义,是进行项目可行性研究、项目计划以及其他后续工作的基础。项目需求说明书是指导项目风险管理的重要依据,同时也是项目风险管理的对象。
4.项目合同、项目章程及项目计划书
项目合同,是投资方与开发方共同确定的,开发方必须完成的契约,是实施方组织项目开发的基础和前提,是投资方进行项目验收的重要依据。项目章程更加正式、详细地叙述符合公司的项目视图和目标,确定项目的运作规则和管理关键。项目计划书对整个项目进行系统的规划和安排。风险管理计划是项目计划的重要组成部分,对项目风险管理工作做出了规划,是项目风险管理的基础。
5.项目可行性研究报告
项目可行性研究对整个项目进行了全面而系统的研究和探讨,其研究的内容是信息系统项目决策及开发的重要依据,也是项目风险管理的基础和前提。
项目章程范例:
项目:操作系统升级到Vista
项目发起人:李小成
项目经理:王洁
项目团队:李伟 何伟先 赵凯
项目目标:公司所有的计算机在2008年12月10日前升级到Vista。
业务情况:
在过去5年中,我公司都是使用Windows XP操作系统。我们学会了用它,越来越喜爱它,接受它并和它一起成长。但现在该让它成为历史了。我们将接受一项来自微软的新技术——Vista。它更灵活、更安全,也更简单可以帮助我们提高效率。
项目结果:
为每一台计算机新安装Vista。
对所有的客户进行操作系统使用培训。
所有的工作在2008年12月10日前完成。
项目资源:
175000元人民币(包括Vista客户访问许可证、咨询费、培训费)的预算
使用4个月的测试实验室。
Donaldson Education的现场咨询指导。
(摘自:《实用IT项目管理》并作修改)
3.2.4 信息系统项目风险管理规划
认真、详尽的风险管理规划能够提高风险管理过程的效率和成功的概率。项目风险管理规划是项目管理团队决定如何进行项目风险管理活动的过程。项目风险管理规划对项目风险管理起着重要的作用。首先,风险管理规划使项目风险管理有了一定的章程,明确了风险管理的方法和步骤;其次,风险管理规划可以对风险管理组织的建立起到指导作用;最后,风险管理规划能够为组织预留出进行风险管理所需要的资源。
项目风险管理规划的主要工作是召开规划会议,制定风险管理计划。在会议期间,项目团队将界定风险管理活动的基本计划,确定风险管理的费用和所需的进度计划,并将其纳入项目预算和进度计划中。同时,对风险管理的责任进行分配,并根据具体项目对一般通用的组织风险类别和词汇定义等模板文件进行调整,这些活动的最终成果将被汇总为项目风险管理计划书。
3.2.5 信息系统项目风险管理周期
在信息系统项目风险管理中,我们将风险管理的步骤分为风险识别、风险分析和风险控制3个阶段。这3个阶段是一个循环的结构,形成一个完整的项目风险管理周期。对这个周期,我们可以用下面的一个环形结构来表示。
信息系统项目风险管理的3 个阶段并不是互相独立的,在时间上也不能将其完全划分开来,是一个过程的3种功能。项目控制阶段的结束并不意味着风险管理的结束,因为项目风险是随时变化的。风险的识别、分析、控制呈现循环流动的状态直到项目结束。
1.项目风险识别
项目风险识别,是指确定在项目开发过程中有可能会出现的影响项目的风险,并形成风险列表。风险列表应该包括风险来源、分类、表现及其后果等定性描述。通过风险识别,可以使项目管理者预先意识到可能存在的风险并估算该风险可能造成的影响,进而便于避免这些风险,或在必要时对这些风险进行控制。
识别项目风险的主要方法有历史数据法、风险树法、鱼刺图法、头脑风暴法、德尔菲法等。
2.风险分析和评价
项目风险分析和评价,是对已经识别的项目风险进行评估和评价,并从项目风险发生的概率和风险对项目目标的影响程度两个方面来描述每个风险。风险评价有助于使项目团队确定哪些项目是可以被忽视的、哪些风险是可以被接受的、哪些风险需要应对以及哪些风险应该受到重视。
风险评估常用的方法主要有决策树法、蒙特卡洛模拟法以及层次分析法等。
3.风险应对和控制
在风险识别和分析之后,项目管理小组应该对识别出的风险提出应对措施和方案。风险应对和控制,是指执行风险应对计划以设法避免或转移风险,或在风险发生之后采取应对措施,将风险的影响和损失程度降到最低点。另外风险识别和控制还包括对风险的监控、识别新生风险、更新风险应对计划等。
风险应对和控制的策略主要有:风险的远离、包容、缓解、接受和转嫁。
3.2.6 项目风险管理的组织
在每一个信息系统项目中,有必要设立一个专门的组织管理项目风险。项目风险管理组织,是指项目团队为了实现项目风险管理的目标而在项目组织内部设立的专门组织结构,包括组织结构、人员配备、管理体制和职责范围。一个完整健全的项目风险管理组织是风险管理的有力保证。
在信息系统项目中,风险管理组织是多是以风险管理团队的形式而存在的。风险管理团队的设立要考虑到信息系统项目的实际特点,并要与软件开发相适应。
(1)项目风险管理团队要得到项目高层的支持。只有得到高层支持才能够获得相应的授权,适当地行使风险管理的权力,完成项目管理的任务。同时,高层授权使风险管理团队能够获得必要的资源。
(2)项目风险管理团队的成员要能够包含必要的项目利益相关方。首先,信息系统开发项目的客户是必需的,客户对信息系统的需求有最为明确的要求,并且能够随时感知需求的变化。其他项目利益相关方包括主要承包商或分包商、潜在的合作伙伴以及设计方等也应该参与到风险管理中来。
(3)项目风险管理组织的结构、规模、技术和组织的复杂程度与项目组织规模的大小、项目风险的大小、风险的复杂和严重程度以及高层对风险的重视程度有重要关系。
(4)项目风险管理组织的顶端应该是项目经理。项目经理负起项目风险的主要责任,其下可以再设一名风险管理专职人员,帮助项目经理负责协调整个项目的风险管理工作。
3.2.7 项目风险管理成本
项目风险管理成本需要从2个方面来考虑:一是项目风险管理的直接成本;二是项目风险管理的机会成本。虽然这两方面成本的表现形式和性质都不一样,但它们确确实实构成了项目成本,需要加以研究。
1.项目风险管理的直接成本
在项目风险管理中,我们认为项目风险管理的直接成本包括为进行风险管理而直接投入的资金、时间、人力、物力和技术。在进行风险管理时,项目组织要投入一定的资源支持风险管理工作,这种资源的投入在项目可行性研究时是需要计入到项目成本中的。
2.项目风险管理的机会成本
机会成本也可以称其为“间接成本”,是指对项目风险管理投入资源,从而影响到其他工作的资源投入而带来的经济的损失。在项目中,机会成本在长期决策时发挥着重要的作用。一般情况下,信息系统项目是在一定的资源约束下执行的,关键人员,如项目经理的时间可能会变得极为宝贵。而关键资源由于其稀缺性,虽然购入价格可能不是十分高,但对项目的重要性不是由其价格衡量的,在这种情况下,项目风险管理的机会成本就变得很高。一般情况下,项目风险管理的机会成本不体现在项目的可行性研究中。