中国船级社质量认证公司 杨文宇

随着当今信息化建设的大力发展，信息系统已逐渐成为企业重要的工作平台及管理工具。为确保信息系统的成功建设与实施，风险管理是必不可少的重要环节。并且，风险管理作为信息系统项目管理中的重要活动及过程，贯穿项目整个生命周期。

风险管理计划编制

风险管理活动首要工作是编制风险管理计划。对于信息系统工程项目，在编制风险管理计划时，最常用的方法是头脑风暴法和Delphi法。其中头脑风暴法适合于在项目启动的时候，组织召开的项目启动会议中使用，会议通过召集与项目有关的项目干系人共同参与，就项目章程、建设目标、项目范围、工程投资、工程进度以及项目面临的风险和应急措施进行充分讨论，主张与会者从各个方面踊跃提出自己的见解和意见，编织出包含面广、覆盖风险点全的“网”。Delphi适合于在专家座谈会中使用，通过征询专家成员对风险预测、管理、监控等方面的意见，梳理成条例清晰、脉络明确的“纲”。最后根据会议讨论的结果以及专家提出的意见，结合公司自身风险管理策略，编制出适合于本项目的风险管理计划。编制计划的目的是为了参照实施，故实际工作中应严格按照此计划开展风险管理活动。

风险识别

信息系统项目自身唯一、独特且繁复等特点，决定了其风险的多样性和复杂性。依据风险源进行梳理分析，一般可将信息系统项目的风险依性质划分为三类，即技术风险、管理风险和需求风险。

技术风险识别：一个信息系统项目要涉及到计算机信息技术的很多知识，比如数据挖掘、建模分析、网络架构、软件工程、信息安全、系统测试等。而随着信息化的发展及电子化的进步，这些与信息系统密切相关的软件技术、硬件技术及网络技术等都在飞速发展。得益于这些新技术，信息系统在功能及性能上也发生着翻天覆地的变化，如B/S架构的广泛启用，多路服务器取代了早年单路服务器，硬盘数据存储升级为云存储等，同时单一业务功能的信息系统也逐步发展为集业务管理、数据挖掘、决策辅助、客户管理、知识管理等多功能合一的大型系统。另外，也不能忽视具体实施信息系统的企业，其自身业务知识的重要性。这些技术的掌握与运用，对建设方提出了很高的要求，特别是人的综合能力及个人素质。

管理风险识别：项目管理所包含的范畴很广，可以说信息系统项目各环节均离不开有效的管理，因此，管理风险风险自然也是涉及面最广的。典型的管理风险包括进度风险、成本风险、范围风险、沟通风险、人力资源风险、采购风险、整理管理风险以及质量风险等。这里面，由于缺乏计划或计划落实不到位、管理层对项目支持力度不够、项目经理及团队经验不足、沟通不充分、变更控制不力等，最容易出现问题。

需求风险识别：由于信息系统项目工程中涉及的项目干系人众多，且关系复杂，常常导致各方需求的矛盾性、局限性、隐蔽性及不确定性给项目带来巨大风险。需求作为项目开展的方向标及驱动力，同样涉及项目各环节领域，这其中系统开发人员对于新技术的追逐、使用者对于功能的期望及投资者对项目进度及成本的严格要求构成了需求的主要对立面。这些项目干系人个人习惯和知识背景差异巨大，他们对项目成本、进度、范围、质量四方面的认识及要求有很多局限性和不确性，甚至矛盾冲突。另外，外部环境的影响也是不容忽视的一个问题，如国家法律法规及行业政策发生调整，以及企业自身业务流程不断发生变化等，同样会给需求带来不确定性风险。

风险分析

针对上述技术风险、管理风险及需求风险，有必要分别进行深入的分析探讨：

技术风险分析：技术风险的产生主要源于技术发展革新及项目团队对技术的熟悉程度，包括项目开发平台与工具的选择、开发技术的运用及开发策略的制订等。一般情况下，项目开发团队对某种开发平台及技术比较熟悉，会倾向于优先使用其进行开发，但某些情况下用户方会指定开发平台，这就造成了项目团队面临没有类似成功案例可参照。还有某些行业领域自身专业性较强，有特定的业务流程，如财务系统等，对于项目团队来说，不熟悉该行业领域的业务，或使用了不符合本项目特点的分析模型等，都使得开发存在较大风险隐患。另外一种情况是，项目所采用的网络架构、硬件设备、软件系统功能等没有充分考虑到今后发展的需要，造成升级困难，不得不面临重新开发等困境。当然也还存在一些不特定因素，比如项目团队希望试用一些先进但不成熟的技术工具，导致开发周期较长，系统运行不稳定；或是在开发中忽视了系统接口测试及集成测试，导致各模块单独使用正常，集成的系统存在各种故障错误等。

管理风险分析：管理风险的产生原因众多且复杂，但通常是由于项目经理缺乏项目实际管理知识与经验、项目进行中缺乏有效的管理以及对于项目出现的变更未有效控制等造成。信息系统项目的有效管理，要求项目经理在项目建设启动前明确定义项目范围和目标，确定项目成本、范围、进度、质量等有关基线计划与准则，在项目进行中对项目实施有效的监视测量及管控，评估项目整理绩效水平，判断项目实际成本、范围、进度、质量与计划基线的符合性，并及时采取预防措施及纠正措施，消除潜在的及已发生的不一致现象，确保实际情况与计划相一致。另一方面，项目经理需要加强与项目干系人的沟通交流的同时还要具备足够的风险管理和防范意识。

需求风险分析：需求风险的产生主要源于人的因素，其中项目干系人需求及其关系分析不准确，沟通协调不力造成干系人期望矛盾冲突等是需求风险的典型问题。为落实需求管理，减少需求风险对项目的影响，项目经理首先应在项目启动前的需求分析中安排熟悉业务、善于从客户视角分析问题的人员与客户进行沟通交流，深入了解客户方的实际需求，挖掘客户方所有需求。同时，在需求分析过程中，需要对项目各方面、各层次目标进行权衡考虑，确保项目干系人的利益尽可能得到满足，以便最终需求在项目干系人之间达成共识，避免出现过分强调一方利益和期望而忽视了其他方面的需求。这里有一个常见的现象，很多信息系统的需求调研及开发测试环节缺乏实际使用者的参与互动，这就使得项目需求及项目目标由企业决策层或管理层直接给出，而决策层、管理层、执行层之间对信息系统功能性能理解的不一致，造成最终开发出的系统不适用。

风险应对策略

风险识别与分析的目的在于制定相应的风险应对策略，从而最大限度的规避或降低风险对信息系统项目工程的影响。下面同样是从风险三个方面逐一分析并制订相应的策略。

技术风险应对策略：技术风险主要包括项目开发平台与工具的选择、开发技术的运用及开发策略的制订等。所以首先，项目经理要根据信息系统项目的特点，采用项目团队较为熟悉、行业通用、且有类似项目成功案例可借鉴的技术。同时，也要充分考虑到技术的发展趋势，以便新系统具备一定的先进性及改进空间。对于需要在信息系统中采用的新技术，应分析其对于系统的影响程度及所在比例，有针对性的对新技术进行先行开发，或通过购买新技术、招聘掌握新技术的人员或是组织项目团队学习掌握等方式加以实现，之后再在开发中使用。

这里还有一个关键，即与技术风险最直接相关的项目开发团队。一个良好的项目团队，将极大降低技术风险的产生及影响。项目经理应根据项目特点选择具备高素质的项目管理人员和技术人员，特别是项目经验丰富、技术扎实、业务熟悉的人员组建项目团队，并根据不同成员的特点和能力，安排适宜的工作，明确责任。

管理风险应对策略：管理风险主要包括项目经理缺乏项目实际管理知识与经验、项目进行中缺乏有效的管理以及对于项目出现的变更未有效控制等造成。所以首先，项目经理应针对项目制定严谨的项目管理计划，包括成本计划、范围计划、进度计划及质量计划等。通过将项目需求转化为项目范围说明书，明确项目范围，创建工作分解结构，并对其进一步细化成项目各活动单元，通过对活动单元的定义、排序、制作项目活动网络图，通过活动网络图找出项目的关键路径，然后进行活动资源估算及历时估算，从而建立项目进度计划，并合理设置监控点及项目里程碑。根据项目里程碑的定义，在实施过程中加强测试及检测，并在项目各阶段末期进行验收，以保证项目的质量及各计划基线的符合。另外，随着系统工程学的发展，出现了众多优秀的项目管理工具，可以实现对项目范围、进度、成本、人员等多方位的高效管理，并支持挣值分析。

需求风险应对策略：需求风险主要包括项目干系人需求及其关系分析不准确，沟通协调不力造成干系人期望矛盾冲突等。所以首先，项目经理对项目干系人进行充分调研分析，明确其沟通需求及沟通风格，制定相应的沟通方案。其次，为保证信息高速顺畅的传递，需与客户方建立统一的沟通渠道。在需求调研时，需要与客户方决策层、管理层及用户层分别进行沟通交流，明确决策层的战略意图，了解管理层的管理思路及要求，并获取最终使用用户对系统功能及性能具体要求。这个过程可能需要反复进行多次，以便深入透彻的了解客户方的真正意图。另外，信息系统项目工程多数在项目初期存在目标不明确，需求模糊等情况，目前常用的做法是采用快速原型法进行开发，这样有助于尽快完成未来系统的雏形，在此基础上根据用户反馈不断加以改进，最终达成需求共识。需要注意的是，采用迭代法对系统功能进行逐步完善，在迭代的各个阶段一定要加强与客户方的沟通，并进行风险分析及评估。

风险监控措施的实施

在分析了并制定了项目风险应对措施后，接下来便是对风险进行跟踪和监控，以及评估风险监控措施的实施效果。风险监控技术包括了风险评估、风险审计和风险定期评审、技术绩效评估、差异和趋势分析、预留管理等。监视风险就是要跟踪已识别的风险，对其深入分析，并监控风险发生的标志；同时要识别剩余风险和新出现的风险，及时修改风险管理计划，保证风险计划的实施并评估消减风险的效果。由于风险是动态的，新旧风险可能关联进来，而现有风险也可能发生变化。因此，监视现有风险及其特征，有规律的检查新的风险是十分重要的。