林超　陈旭辉　王幼玉　叶瑞哲　郑银环

摘要：基于CMMI的软件项目风险管理框架，以流程中心管理平台为例，对项目的全生命周期进行风险管理，通过确定风险源和类别，定义风险参数，建立风险管理计划并维护；运用头脑风暴法和风险检查表法对风险因素进行识别，建立项目风险列表；运用概率及影响矩阵法进行评价、分类，采取决策树分析法进行排序；根据风险分析结果提出风险应对计划并监控。通过对风险管理过程进行研究与实践使之更加完善，为高校信息化项目风险管理提供参考。

关键词：风险管理；全生命周期；CMMI；高校；信息化项目

1背景

信息化项目的风险管理存在于项目管理生命周期的各个阶段，且一直是信息化项目管理中的重点和难点，是一个经常被忽略的项目管理领域，却往往对项目成功起关键作用。因此对信息化项目的风险管理研究对于项目来说具有重大的意义。信息系统具有目标不明确、需求变化快、智力密集型、项目团队大、人员专业化、软硬件结合、项目周期短、复杂程度高、采用大量新技术等特点，决定了信息系统项目具有高风险性，同时高校本身存在的经费来源多样、需求多变、人员信息化素养低等特性，导致了项目延期、质量低劣、成本失控、范围蔓延等问题，所以高校的信息化项目风险管理需要从信息系统本身的特点出发，再结合高校信息化项目风险的复杂性、不确定性等特征，对全生命周期中可能涉及的风险进行识别、分析，编制风险管理计划，采用定性、定量方法进行风险评估，制定风险应对计划并进行监控，确保高校信息化项目风险管理有效实施。从而降低或规避信息化项目风险的危害性，提高质量。

本文是基于CMMI的软件项目风险管理框架，对信息化项目风险管理理论进行进一步的研究和扩展，在CMMI中风险管理作为一个独立的过程域，是软件工程管理的一个重要方面，体现了風险管理的过程特点，使得在过程中进行风险管理的原则得以真正体现。基于CMMI的软件项目风险管理的研究，推动了风险管理理论与以软件过程改进为主导的软件工程实践的融合，使软件项目风险管理朝着有规律、可预测、可量化的方向发展，项目风险管理过程如下图所示：

2编制风险管理计划

信息化项目风险管理需要详细的风险管理计划，风险管理计划作为风险管理的重要环节是识别风险、分析风险、监控风险的主要依据，也是缓解风险的重要依据。在项目的每个阶段都需要确认风险源、类别、概率、后果、阈值对风险进行预测与规划，形成风险分析清单，编制出风险管理计划。

编制风险管理计划最常用方法有头脑风暴和德尔菲法，考虑到高校项目涉及的干系人众多，采取会议的形式来制定风险管理计划。参加会议的人员包括：项目技术总监、项目经理、信息中心主任、信息化建设科科长、业务单位处长、业务科室科长等。在这个过程中对项目的章程、建设目标、项目范围、项目进度以及项目面临的风险和缓解措施进行充分的讨论，同时重点讨论主要技术类风险、主要管理类风险、风险减轻的可交付物、怎样减轻风险、谁负责实施风险管理计划、风险管理的里程碑、风险缓解需要的资源等。根据讨论的结果并结合本项目计划制订风险管理计划，该计划主要描述了如何组织和执行风险管理，作为风险管理实施的行动指南，同时要把风险管理的费用一并纳入预算。

3识别与分析风险

3.1风险识别

流程中心管理平台风险涉及项目全生命周期的多个阶段多个方面，其风险识别主要是对项目可能存在的风险、发生概率、损失、风险陛质进行分析，并确定处理措施。由于流程中心管理平台涉及的项目干系人众多，关系复杂，往往导致各方需求的矛盾性、局限性、隐蔽性及不确定性，这些项目干系人信息化素养差异很大，对项目范围、成本、进度、质量的认识及要求有较大差别，甚至矛盾冲突。

风险识别的方法主要有：德尔菲法、查阅历史资料法、因果图法、访谈、SWOT分析法、头脑风暴法、决策树法等。根据本项目的特点采取头脑风暴法，依照已制订的风险管理计划，召开由专家、项目组成员参加的专题会议。探讨在项目实施过程中，可能会发生的风险、引发的因素、可能造成的影响等，经过风险识别我们发现流程中心管理平台的风险可以分为需求风险、资金风险、技术风险、人员风险、管理组织风险和外部风险。需求风险是指由于需求不断变化、用户参与度不够、定义含糊等造成的信息系统不能满足用户需求的问题，本项目的需求风险如表1所示；资金风险主要是指项目所需资金超出预算，由于资金估算不足或者现金流中断从而导致项目停滞，高校信息化项目应注意资金来源、项目筹资方案等存在的风险，本项目的资金风险如表2所示；技术风险是指信息化项目涉及的硬件环境、操作系统、数据库、应用服务器、软件架构等相关技术存在的风险，本项目的技术风险如表3所示；人员风险主要是指信息化项目小组内关键岗位成员离职、其他岗位成员离职、新成员加入对项目造成的影响，此外，还包括对软件工具和环境的适应、项目组成员之间的沟通困难等，流程中心管理平台项目组成员主要包括信息中心领导、信息中心开发部、业务部门领导、业务部门科长、业务部门信息员、软件公司领导、项目经理、开发人员、相关领域的专家等。这些人员所带来的风险如表4所示；管理组织风险包括缺乏必要的规范导致工作失误或重复工作、与供应商的合作风险、资金及设备采购在内的各项资源协调不力、内部低效的项目组结构、缺乏激励措施、对于项目出现的变更未有效控制等，高校一般缺乏有效的项目组织管理办法，其风险如表5所示；外部风险是指流程中心管理平台的外部环境引起的风险，主要包括自然灾害、战争、双方合作关系发生变化以及信息安全等外部因素造成的风险，其风险如表6所示。

3.2定性风险分析

信息化项目风险评估的内容包括项目全生命周期中每项风险发生时间、发生概率、影响程度、可能造成损失等，其主要是对项目风险发生概率及影响程度进行评估。风险分析分为定性分析和定量分析，定性风险分析主要的工具和技术有：概率及影响矩阵、风险紧急度评估、风险数据质量评估等，本项目采用概率及影响矩阵的方法，专家组对风险发生概率及影响程度进行打分，然后对得到的值相乘即得到风险影响系数，而后对其进行排序，在矩阵中设置概率P（0-1）、影响I（0-1），综合考虑风险发生的概率及对项目的影响，同时将风险等级划分为很高（81%-100%）、高（61%-80%）、中（41%-60%）、较低（21%～40%）、低（0%-20%）5个级别。

3.3定量风险分析

定量风险分析的目的是量化评估项目的各种风险，关注最应该关注的风险，主要的工具和技术有：决策树分析、灵敏度分析、期望货币价值分析、建模和仿真等。本项目采用决策树分析的方法，即通过分析某一具体决策路径的概率及其影响，以计算出哪种决策具有最好的收益。决策树分析充分考虑了每种结果的可能性，适用于各种不同的风险分析。

4缓解风险

4.1制定风险应对计划

风险应对可采用规避、减轻、转移、接受等方法。对于各种主次要风险应根据其自身特点并结合实际情况，采取相应的应对措施。应对需求风险前期需要进行充分的需求调研，全面分析需求信息，经常跟业务部门沟通，含混不清的概念要及时解决，确保系统满足用户需求。在软件开发之前须进行uI设计并提供系统原型，在系统迭代的各个阶段加强与业务部门的沟通，并进行风险分析及评估。强化合同管理，严格控制变更，在项目实施前，双方需要明确变更流程，制作变更表格，在项目实施过程中确实需要进行功能修改时，双方就变更是否会扩大范围、延缓进度、增加成本、降低质量等进行评估，在评估与沟通的基础上填写变更表格并签字确认，不允许任何一方私自改动。本项目的需求风险应对计划如表1所示。

应对资金风险需要信息中心、财资处、业务部门共同参与信息化项目的预算会议，正确核算项目成本，明确经费来源。本项目的资金风险应对计划如表2所示。

应对技术风险项目经理要根据信息化项目的特点，采用行业通用、项目团队熟悉、且有类似成功案例可借鉴的技术，也要充分考虑到技术的发展趋势，使系统具备一定的先进性。对于新技术应分析其对系统的影响程度及占有比例，对新技术进行开发时可以通过招聘人员、购买新技术、组织团队人员学习掌握等方式进行实现。应提供足够带宽及稳定的网络、保证数据传输的及时陛、采用通用软硬件、加强系统兼容性、增强数据备份功能、做好系统的质量保证和质量控制、设置专职质量保证人员、加强评审、强化测试，本项目的技术风险应对计划如表3所示。

高效的團队是信息化项目顺利实施的基础，考虑到高校信息化项目的特殊性，采用Y理论，对每个成员充分信任和鼓励，提供相对宽松和谐的工作环境；加强绩效考评，做到“领先奖励、落后鼓励”，从主观上转变“要我干”为“我要干”；加强内部沟通与交流，做好冲突管理，避免重复劳动。本项目的人员风险应对计划如表4所示。

项目经理应制定严谨的项目管理计划，包括成本计划、范围计划、进度计划及质量计划等。将需求转化为范围说明书，明确项目范围，创建wBS，并进一步细化为活动单元，通过对活动单元的定义、排序、制作活动网络图，找出关键路径，进行活动资源估算及历时估算，建立进度计划，设置监控点及项目里程碑，根据里程碑的定义，在实施的过程中加强检测，在项目各阶段末期进行验收及评价，保证项目质量与各基线符合，本项目的管理组织应对计划如表5所示。

外部风险可以通过购买保险转移风险，减少损失，同时要加强异地容灾，安全防护，等级保护等工作，本项目的外部风险应对计划如表6所示。

4.2风险监控

在信息化项目实施的过程中应有效地进行风险跟踪和监控，定期检查已识别风险并及时发现潜在风险，更新风险监控列表，实施风险应对计划，评估风险缓解效果。由于风险是动态的，新旧风险可能存在关联，现有风险也可能发生变化，因此，监控现有风险及其特征的同时也要检查新的风险，当风险到达阈值启用风险缓解措施，风险缓解失败且变为问题时启动风险应急措施。风险监控技术主要有风险审计、风险评估、技术指标分析、差异和趋势分析、预留管理等。

根据本项目的特点选择差异和趋势分析法，通过对项目绩效数据的分析，掌握当前实施效果及风险管理情况，并判断项目发展趋势，把握风险缓解实施效果，一旦发现较大偏差，立即分析原因并采取相应的纠偏措施，确保项目实施处于可控范围。

5结束语

信息化项目的风险是客观存在的，想要完全避开或消除是不可能的，在流程中心管理平台建设过程中需要充分考虑其风险存在的复杂性、不确定性，在进行风险管理时，以CMMI全生命周期的风险管理作为基础，增加了风险跟踪过程，并将风险识别和风险分析作为两个主要步骤，使软件项目风险管理更加完善。本文详细描述了信息化项目风险管理过程，从制定风险管理计划、风险识别、风险分析、风险应对和风险监控，根据流程中心管理平台的特点，提出了具体适用的方法，建立一套有效的风险管理办法，降低了风险管理的难度和成本，为学校今后的信息化项目风险管理提供参考。