赵婷

摘要：随着知识经济时代产业的飞速发展，IT项目管理中暴露出的问题也日益突出。风险管理作为IT项目管理的重要内容，是项目成功的重要因素。本文从风险分析的概念、过程以及方法出发，阐述了如何对对IT项目实施更加有效的风险管理，从而减轻项目风险所产生的后果，增加项目成功的机会。

关键字：IT项目；项目管理；风险分析

一、引言

随着科学技术进步与发展、经济全球化，IT 行业的竞争日益激烈。由于IT项目的研制开发需要新的技术，或使用许多已经过验证的技术和产品，但产品生产数目一般较少，这些技术和加工工艺不容易达到成熟或定型的程度。且一些大型项目的研制需要长时间大规模的组织指挥协调工作，以及漫长的研制周期等，使得难以预见的不确定性因素增多。这些不确定因素的存在使得项目能否按照预定的计划--费用、进度和性能完成任务往往难以预料存在着失败的风险。

在我国，项目失败的现象尤为突出，大多是由于项目风险管理失误造成。从概念上讲，项目风险管理是为了使项目能够按照预定的成本、进度、质量顺利完成，而对成本、人员、进度、质量等进行风险分析和管理的活动。而风险分析不但可加深对项目和风险的认识和理解，澄清各方案的利弊，了解风险对项目的影响，以便分散风险检查和考虑所有到手的信息、数据和资料，明确项目的各有关前提和假设批；还可提高项目各种计划的可信度，有利于改善项目执行组织内部和外部之间的沟通，编制应急计划时更有针对性；同时，为以后的规划和设计工作提供反馈，以便在规划和设计阶段就采取措施防止和避免风险损失。所以在进行项目管理时，风险分析是必要且重要的。

二、风险分析概念

（一）风险

风险是指活动或事件的消极的、人们不希望的后果发生的潜在可能性，指在特定的客观情况下、特定期间里，某一事件的预期结果与实际结果间的变动程度。变动程度越大，风险越大反之，风险越小。风险包含两个特征：不确定性，指风险的事件可能发生也可能不发生，没有发生的风险；损失，如果风险变成了现实，就会产生恶性后果或损失。

风险可分为以下几类：

1、已知风险，是通过仔细评估项目计划、开发项目的环境、以及其它可靠的信息来源之后可以发现的那些风险。

2、可预测风险，能够从过去项目的经验中推测出来，如人员调整，与客户之间无法沟通，由于需要进行维护而使开发人员精力分散。

3、不可预测风险，它们可能、也会真的出现，但很难事先识别出它们来。

（二）风险分析

风险分析是通过定性或定量的分析方法衡量风险发生的可能性和破坏程度的大小，对风险按潜在危险程度进行优先级排序和评价的一个过程。风险分析有狭义和广义两种，狭义的风险分析是指通过定量分析的方法给出完成任务所需的费用、进度、性能三个随机变量的可实现值的概率分布。而广义的风险分析则是一种识别和测算风险，开发、选择和管理方案来解决这些风险的有组织的手段。本文中所说的风险分析时，都是指后一种定义。风险分析包括风险识别、风险评估、风险管理三个方面的内容。

风险识别是指确定哪些可能导致费用超支、进度推迟或性能降低的潜在问题，并定性分析其后果。在这一步须作的工作是分析系统的技术薄弱环节及不确定性较大之处，得出系统的风险源，并将这些风险源组合成一格式文件供以后的分析参考。它属于定性分析的范围。 风险评估是指对潜在问题可能导致的风险及其后果实行量化，并确定其严重程度，得到系统风险的综合印象。

风险管理则是指在风险识别及风险评估的基础上采取各种措施来减小风险及对风险实施监控。这也可以说是风险分析的最终目的。

三、风险分析的过程

（一）风险识别

风险识别是风险管理过程的第一步，是将项目中的不确定性及问题转换为具体的可以被描述和估量的风险，使团队可以在风险影响项目之前将主要风险揭示出来。风险只有被识别并被清晰地、明确地表述出来，项目团队才能最终达成一致意見并进而进行风险的评估和管理。风险识别过程的目标就是利用多种手段识别出尽可能多的潜在威胁，为团队创建一个面临风险的详细列表，该列表应是全面的、能覆盖项目的所有领域的、并通过提供足够信息使风险分析更具效果及效率的一个文档。

风险识别是一个反复的过程，第一轮可能是由部分项目团队或风险管理团队实行整个项目团队或主要项目利益相关者完成第二轮为达到公正，需要与项目无关人员参与第三轮。有时风险一被识别出马上就可以开发或实施简单有效的应对策略。

风险识别的方法主要有：

1.头脑风暴法，由项目成员、专家、客户等各方人员组成小组，讨论所有可能的风险；

2.专家访谈法，向项目相关领域的专家或有经验人员了解项目中会遇到哪些困难；

3.查阅历史资料，通过查阅历史资料了解可能出现的问题；

4.检查表法，将可能出现的问题列出清单，可以对照检查潜在的风险；

5.评估表法，根据历史经验进行总结，通过调查问卷判别项目的整体风险和风险类型。

（二）风险评估

在进行风险识别并整理之后，必须就各项风险对整个项目的影响程度做一些分析和评价，通常这些评价建立在以特性为依据的判断和以数据统计为依据的研究上。风险分析是详细检查风险的过程，目的是确定风险的范围和程度、它们彼此如何关联及哪些是最重要的。通过风险评估，可以制定有效的决策。

风险评估在风险识别步骤中所生成风险信息的基础上，并将该信息转换成为决策制定信息。在分析步骤中，项目团队同风险列表的风险项中新添加三个元素可能性、影响和风险值。团队可以利用这些元素来进行风险分级，并依其次序用最强的力量来管理最重要的风险。 在风险评估过程中，主要注意的是由于团队成员具有不同的经验或观点，他们会对概率和影响做出不同的评定，因此团队不太可能在风险分级上完全达成一致。为了维护讨论中的客观性并减少争论，要确保在开始此步骤之前，确定作为一个团队应如何解决这种分歧。可选方案包括采取多次规则进行投票、选择最坏情况的评估或赞同对风险发生情形的处理最有经验人员的意见。

评估将风险数据转化为风险决策信息。分析为项目管理者专于管理正确的、重要的风险提供了基础。从经过排序好的主风险列表中确定顶级风险清单是一个非常有意义的工作，顶级风险清单是团队常用来跟踪风险的简单有效的技术。

风险评估的方法非常多，主要可分为定性和定量两种：

1.定性评估：定性风险评估的目的是界定风险源，并初步判明风险的严重程度，以给出系统风险的综合印象，定性地量化各种风险源可能对系统造成的破坏，从而判明系统风险大小。定性风险评价主要包括风险评估指数法RAC 、总风险暴露指数法TRPC 、直接风险评估法SCRAM 等。其主要特点是对危险的可能性和严重程度做粗略的数值分析，大致将其划分为一些等级，然后把这两者用小同的方式综合起来衡量风险的大小及重要程度，并按大小和重要程度对风险进行分类排序，最后分别对小同种类的风险采取小同的措施，确定是接受风险还是改进设计、改善材料土艺、改变工作流程、加强人员培训以减小风险。

2.定量评估：定量风险分析是在定性分析的逻辑基础上，给出各个风险源的风险量化指标及其发生概率，再通过一定的方法合成，得到系统风险的量化值。它是基于定性风险分析基础上的数学处理过程。现发展较为成熟的方法有PRA （概率风险评估），DPRA （动态风险概率评估）及仿真通用软件VERT （风险评审技术）等。

PRA 和DPRA 都是在FTA 分析基础上的量化，在可靠性及运行系统风险分析领域内应用广泛。稍作改造，我们便可将其运用到项目风险分析领域。其分析步骤如下：（1）识别项目研制过程中的困难环节，找出风险源；（2）对各风险源考察其在项目研制中的地位，及相互逻辑关系，给出项目的风险源树；（3）标识各风险源后果大小，及风险概率；（4）对风险源通过逻辑及数学方法进行组合，最后得到系统风险的度量。如果是用DPRA 进行评估，则尚须考虑它们在时间上的关系。

另一种被广泛运用于风险评估的方法是VERT。VERT是国外在八十年代初期发展的一通用仿真软件，它对项目研制构造过程网络，将各种复杂的逻辑关系抽象为时间、费用、性能的三元组的变化。网络模型面向决策，统筹处理时间、费用 、性能等风险关键性参数，有效地解决多目标最优化问题，具有较大的实用价值。它的原理是通过丰富的节点逻辑功能，控制一定的时间流、费用流和性能流流向相应的活动。每次仿真运行，通过蒙特卡洛模拟，这些参数流在网络中按概率随机流向不同的部分，经历不同的活动而产生不同的变化，最后至某一终止状态。用户多次仿真后，通过节点收集到的各参数了解系统情况以辅助决策。如果网络结构合理，逻辑关系及数学关系正确，且数据准确，我们可以较好地模拟实际系统研制时间、费用及性能的分布，从而知道系统研制的风险。

（三）风险管理

面对风险评估后得到的风险决策信息以及风险清单，项目管理者需要对风险采取相应的措施并进行风险的监控。这一阶段的风险管理主要就是风险应对和风险监控。

应对风险时，主要有以下四种策略：

1.规避。通过变更项目计划消除风险或风险的触发条件，使目标免受影响。这是一种事前的风险应对策略。例如，在项目管理的过程中澄清不明确的需求、明确资源的需求量和时间、加强与各参与方的沟通，确保项目资金等。

2.转移。不消除风险，而是将项目风险的结果连同应对的权力转移给第三方。这也是一种事前的应对策略，如，将项目的成败交给监理方控制或与用户签定补偿性合同。

3.弱化。将风险事件的概率或影响力降低到一个可以接受的程度。例如，在项目正式实施之前在测试系统上多次演练。

4.接受。不改变项目计划，而考虑发生后如何应对。例如制定应急计划，当项目实施出现问题时，按事先制定好的应急计划执行。

仅仅对风险采取了相应的措施是不够的，项目管理人员还需继续进行风险监控：监视风险的状况，确定风险是已经发生、仍然存在还是已经消失；检查风险的对策是否有效，监控机制是否在运行；不断识别新的风险并制定对策。无论项目进展的情况如何，都必须将风险管理的计划和行动结果整理汇总进行分析，形成风险管理报告。采取书面或口头、不定期的或阶段性的等多种方式，为项目的实施、控制、管理、决策提供信息基础。

四、总结

在IT项目中，风险总是和效益并存的。只有正确地识别风险、分析风险、应对风险，才能确保每一个項目的顺利实施和成功完成，并对项目的后续发展和企业的持续经营有着重要的影响，给企业带来更多的效益。

参考文献：

[1]邱莞华，项目管理学[M]，科学出版社，2001.

[2]李丽，项目管理学精要[M]，海天出版社，2001.

[3]文亚栋，软件项目的风险管理[J]，计算机系统应用，2002（2），34-36.

[4]林建平，企业信息化建设的项目管理[J]，中国民用航空，2006（2），16-18.

[5]杰克.吉多.詹姆斯，P.克莱门斯，成功的项目管理[M]，北京：机械工业出版社，2004.

[6]黄济，IT项目管理的战略规划[M]，北京：人民教育出版社，2005.