信息系统工程风险管理

风险事件 风险管理经验
风险数据库 风险管理表格
风险检查表 风险评估
系统可使用的资源 项目需求
风险管理计划
风险定义 风险的前提条件
8.1信息系统工程风险和风险管理
约束条件
– 系统可使用资源是指用来限制风险识别的，成本、工期和人员 方面的要求。
– 项目需求包括合同和人员两个方面，其中最主要的是合同方面。 – 风险管理计划指定了进行风险管理工作的人员及其相应的责任。
记录已识别的风险
– 对以上步骤得出结果的总结和归档。这里的记录有两层含义： 记录当前所开发系统可能遇到的全部风险； 更新风险检查表和风险数据库中的数据。
交流和总结
– 使用口头或者书面的方式对本次风险识别过程进行总结并将结果公诸 于众，其目的是在于使开发团队中的每一个成员能够对开发过程中所 遇到的风险有一个准确的认识。同时，风险评估人员也可以搜集对本 次风险识别工作的反馈意见，并对不足之处做出及时的修改。
– 识别风险的系统化方法包括：
使用风险检查表和风险数据库：基于风险检查表和数据库的风 险识别系统可以使风险识别活动高度自动化。
会议和座谈 问卷调查
8.1信息系统工程风险和风险管理
风险识别步骤
定义风险属性
– 在系统化识别风险之后，需要对识别出的风险进行详细定义，包括： 对风险条目的编号；对其发生概率进行描述；对风险特征的描述；对 风险损失的描述等。实际上，定义风险属性是建立和更新风险检查表 和数据库的准备工作。
要考虑风险是否会导致系统开发项目失败？ 要考虑系统开发过程中的变化 要考虑如何解决问题 要考虑风险类型
8.1信息系统工程风险和风险管理
信息系统风险分布
– 信息系统的风险分布不是均
匀的，因为在系统的不同阶 风
段有不同的风险，并且随着
险 所
系统开发的进展，不确定性 带
也会相应减少，风险所带来
8.1信息系统工程风险和风险管理
风险检查表
风险检查表
– 定义：是对各种风险的 一种抽象描述
– 目的：能够为风险识别 工作提供一个可以参考 的范畴，而不必盲目地 进行风险识别。
风险识别的方法和工具
– 风险检查表：是一组系统开发过程中比较典型的风险类型的集 合，这一集合可以按照不同的标准进行分类以便帮助风险评估 人员彻底地识别开发过程中所遇到的风险。常见的分类方法包 括：
开发阶段 系统规模 应用领域 所用技术
– 风险评估：是使用结构化风险检查表识别风险的过程。 – 风险管理表格：用来系统化登记风险识别结果的表格。 – 风险数据库：用来记录识别出的全部风险及其相关的信息，便
来 的
的损失会逐步地减少；
损
– 最大的风险来自于系统开发 失
的早期阶段，最初的决策将
对今后的各个开发阶段产生
重大影响；
– 为减少损失就必须及早地管 理和控制风险
系统开发进度
8.1信息系统工程风险和风险管理
信息系统工程风险管理
– 含义：信息系统工程风险管理是一种能够评估和控制对
信息系统工程中项目、过程、产品产生影响的风险的活 动。这一定义包括以下几个方面：
– 包括：
工程风险：又称为外部风险，是用来描述系统开发外部环 境对其影响的不确定性；
过程风险：包括管理和技术两个方面； 产品风险：技术层次方面的风险。
8.1信息系统工程风险和风险管理
信息系统风险的典型影响
– 开发成本 – 工期 – 技术
信息系统风险的量化
– 对风险发生的可能性进行量化； – 对风险所带来的损失进行量化
表。 – 风险计划，制定计划，控制风险。 – 风险跟踪，监控风险状态，发出提示信息，激活风险计划。 – 风险化解，即风险计划的执行过程，包括对风险计划的跟踪和
纠正偏差。 – 工具与数据
风险检查表、风险分类、风险数据库、风险量化指标、风险指示 器
8.2风险识别
含义：风险识别，就是用来定义发现信息系统开发风险的方法和活动。 风险识别模型
本章主要内容：
– 信息系统风险和风险管理； – 风险识别； – 风险分析； – 风险计划； – 风险跟踪； – 风险化解。
8.1信息系统工程风险和风险管理
风险的一般性概念
– 风险是一种不确定，这种不确定性包括：
发生与否不确定； 发生的时间不确定； 发生的状况不确定； 发生的结果不确定。
信息系统工程
第八章 风险管理
引言
即使信息系统工程规划的再好，也难以保证工程百分之百 能够达到规划的目标，其原因之一是存在风险。如何识别 风险、防范风险、管理风险就成了息系系统工程重要管理 内容之一。这一节将建立风险和风险管理的基本概念，并 把这一概念拓展到信息系统开发领域中去，使我们能够拥 有管理信息系统实施风险的能力。
于日后查询和分析。
8.1信息系统工程风险和风险管理
风险识别步骤 风险预估
– 定义：风险识别开始之前对系统开发过程中可能遇到的风险根据一定 标准做出一个大致的估计，从而使风险识别能够有一个较明确的范围。
– 风险预估中所涉及的评估标准包括： 风险概率 风险损失 所属阶段（系统生命周期）
系统化地识别风险
目标，风险管理要有一个具体的目标。 不确定性，即对我们所做出的假设和未来可能发生的事件
的概括。 风险损失，包括两层含义：不能令人满意的结果、丧失的
机会 时间； 决策：及时性、效果
8.1信息系统工程风险和风险管理
风险管理框架
– 风险识别，将不确定性转变为可准确定义和描述的风险。 – 风险分析，将已识别的风险描述转化为具有优先级别的风险列
风险识别所需的基本要素
– 风险事件：即风险事件发生的概率、所带来的损失等用来进行 风险评估的基本要素。
– 风险管理经验：即从以前风险管理中得到的经验，用来简化本 次风险识别过程。
风险识别的成果
– 风险识别的成果就是对每一种可能发生的风险进行精确地定义，包括 风险条目、发生的概率和所带来的损失。
8.1信息系统工程风险和风险管理
– 风险的基本因素：
事件或者风险事件 事件发生的概率 事件的影响 风险的原因 风险的可变性
8.1信息系统工程风险和风险管理
信息பைடு நூலகம்统工程中的风险
– 定义：信息系统工程风险是对系统开发中不确定性 事件的描述，即：用来度量系统建设中最终影响产 品质量的不能令人满意的事件发生的概率及其所带 的损失。