0引言
广义而言,“风险”就是一些不确定性事件,风险发生通常会对项目产生某种正面或负面的影响。换而言之,项目风险既包括对项目预期的威胁,也包含促进项目目标的机遇。其中,已知的项目风险是那些已经经过识别和分析的风险。对于已知的风险,可以运用“风险管理”(Risk-Management)的方法制定相应的应对计划。项目风险管理能够识别项目潜在的风险因素,包括风险识别、风险评估和缓解措施等以期降低风险影响。按照风险的来源,项目风险通常可以分为内部风险和外部风险,按照风险的领域又可以分为技术风险、管理风险、法律风险、配套风险等。“风险控制”(Risk-Control)是指运用风险管理手段,通过识别、分析和评估去合理定位风险及其将产生的后果,并在此基础上运用管理方法、技术手段和管控工具制定与之应对的措施,对即将发生的风险实行有效的控制或利用,处置已知风险,规避未知风险,保障项目正常进展。在信息系统项目实施过程中,多数系统的受众群体是面向互联网的不确定群体,其外因的复杂性不言而喻,风险管理和风险控制是否得当是项目实施成败的关键因素。
1风险控制流程
在项目前期包括需求征集、需求分析、框架构造的策划过程中,应将风险管控置入策划议程,由包括需求方在内的多方参与,识别风险、预测风险、评估风险并制订缓解措施;在项目控制过程中,按照处理风险缓解计划合理处置风险,并将风险产生和处置结果做好登记工作,对实施过程中新发现的风险也立即纳入风险管理系统,并重新制订应对措施是风险控制的合法流程。
1.1编制风险管理计划
谨慎和清晰的计划通常能够提高风险管理过程的成功概率。参照项目归属行业、类型、规模及施工方技术实力的不同,分析可能影响目标的风险因素。在项目团队中举行风险规划会议,组织包括项目经理(ProjectManager)、项目责任人、需求方在内的团队利益群体集中策划风险识别过程,选择风险分析技术,拟定风险应对策略等管理活动。按风险分解结构(RBS)列出常见风险类别及其子类别。必要时候可以根据风险对项目的影响程度对风险进行排序,制定“概率—影响”矩阵。风险管理计划也是项目管理活动贯穿始终的主要依据。
1.2项目风险识别
风险识别是确定何种风险可能会对项目产生影响,并将这些特征形成专门的文档。常用方法有假性分析法、因果分析图、过程图解法及关系影响图法等。值得注意的是,在项目风险识别的过程中,必须全面地识别一个项目风险可能带来威胁和机遇两个方面。在分析识别过程中既要充分认识风险威胁,也要识别出风险机遇。风险识别应当在项目周期内定期进行,结果均需记录到风险登记表中进行管理。1.3项目风险评估信息系统项目风险评估可以采用定性分析和定量分析两种方式对风险发生的概率和风险产生的影响进行估算,按照公式:公式1:风险值(R)=风险概率(P)×风险影响值(I)计算出风险值,填入RBS表格,同时参考项目工作人员对风险的容忍程度以确定处置风险的相对优先顺序。对于风险值特别高、影响度特别大的风险在评估过程中应给出紧急响应的最短接受时间,以及延迟或忽略该风险将造成的后果。
1.4项目风险监控
执行风险监控是在整个项目周期内连续的对项目工作进行监督,跟踪已识别的威胁,监测残余风险及识别新的风险,保证风险计划的执行。项目团队可以通过定期安排风险分析评估会议,成员定期汇报风险记录中新增的风险及其状态,逐一排查高风险因素,在超过风险阀值的时候及时进行风险干预的作业调度,执行既定的缓解措施。
1.5风险缓解措施
风险缓解措施是在整个项目周期中定期监督每个风险的状态,并在险值高于阀值时应采取的技术手段和管理手段,旨在降低高风险对项目的影响,排除已经可以处理的妥善风险。值得注意的是每次执行风险缓解措施后,若风险未排除则还应对该风险进行二次评估,直至其被排除。
2风险管理在实际项目中的应用
2014年7月,湖北技术交易所承接了国家技术转移中部中心平台(科惠网)的建设工作。该项目是国家重点建设工程项目之一,其数据量庞大(PB级)、数据集中、多平台数据互联互通,业务逻辑相对复杂。项目首期投资过一千万元,工期2年,项目整体采用J2EE框架,以ORACLE11g(R2)为数据存储平台,以包括PC端和移动端在内的多种形式的客户端为技术市场用户提供服务。该项目把技术转移从线下搬到了互联网上,在技术转移信息化领域填补了国内的空白。因此,项目实施过程中由于既熟悉技术转移业务又了解计算机信息系统的专业技术人员凤毛麟角,需求变更颇为频繁,执行此项目的风险不容小觑。目前项目一期工程已竣工,下面是项目实施中的一些风险管控的方法。
2.1编制风险计划书
在项目正式启动后,经过需求的梳理,在制定系统架构同时,立即组织所有的项目专业技术人员召开风险研讨和告知会。由此编制了科惠网风险管理计划,并签订责任书。计划表中定义了风险管理过程,设定风险时间表,将风险管理活动纳入了项目计划,把风险管理费用计入了成本。
2.2风险识别
科惠网风险源有多个,归纳起来可以分为四类:技术风险、管理风险、决策风险、外部风险,其RBS(见图1)。在分析风险后确定了其基本特性、主要原因,及影响度并编写了详细的风险登记表(见表1)。
2.3定性风险分析
按计划中的流程,逐一分析各风险的发生概率,并做记录。进一步分析各风险在时间、质量、成本三个方面对项目的影响。项目风险的定性分析是项目风险控制过程中定性决策的过程。通常在无法确定其性质和影响的情况下,可以聘请相关行业专家做更准确更客观的评价。在确定了风险概率和影响环节后,便可以确定风险的优先级。对项目的进度影响较大或造成成本开支过多,属于高风险因素,应给予重点关注,并尽快制定风险缓解措施。
2.4定量分析
定量分析就是定性分析基础上进行数据代入计算,产生概率表、影响表、阀值等参数表格,继而按照公式1计算每个各自的风险值,当险值超过阀值,则启用干预程序,执行风险缓解措施。(1)风险概率表:量化风险的高、中、低级(见表2)。(2)风险影响表:设置5级风险影响等级指标,分别是低级、中级、较高级、高级、危急。(3)风险阀值参数表:阀值是一系列预警值,当险值低于阀值时保持定期观察暂时不需要中断进程去处理,但当险值超过阀值时,干预程序将会启动。每个项目都有自己特有的风险阀值(见表3)。
2.5风险监控
项目执行周期内,按照项目计划的要求每周进行一次风险监控汇报,并形成书面报告。监控重点是高危风险的缓解情况和由此引发的新风险情况。
2.6风险缓解措施
对风险因素进行分析,针对已知的项目风险采取了相应的缓解措施。以技术风险为例,缓解措施(见表4)。
3风险管理在信息系统中的重要意义
项目总是伴随着风险,某种意义上说风险是项目的组成部分。现代信息系统很多是面向互联网的B/S或C/S项目。随着4G移动网络的普及,许多面向移动端的信息项目更使得信息系统异彩纷呈,同时也让系统的复杂度与日俱增,而项目复杂度和风险度是成正比的。信息系统项目多数是面向社会服务的综合性平台,项目实施过程中多涉及客户、软、硬件供应商、数据库供应商、数据源供应商等多个参与方,任何一个环节都存在可能的风险。风险控制失败必然对项目造成相当的影响,或延期交付、或成本超支,或功能受限,风险严重时将影响工程交付、合同违约,甚至项目失败。据统计数据显示,因风险管理不善问题导致项目失败的比例超过两层。因此,从思想上认识到项目风险控制的重要性,在工作中按部就班的做好项目风险管控工作具有其实际的意义。
4结语
项目管理是一项系统工程,风险管理更是项目管理过程中至关重要的一个环节,良好的风险管理策略能够在很大程度将风险控制在合理的范围内。在信息系统项目中统筹各子系统风险管控、分类做好风险缓解措施是保障项目正常推进的根本。希望能为从事信息系统项目开发的新技术企业在项目风险管控中有所启示。
作者:刘湘赣 单位:湖北技术交易所
