IT基础设施项目的风险评估与管理

IT基础设施项目的风险评估与管理

引言

机构或企业通过投资建设IT项目、运用信息技术、建立信息系统来提高工作绩效，实现业务目标。而IT基础设施项目是为IT关键设备和装置能安全、稳定和可靠运行而建设配置的基础工程。如：信息中心（数据中心）就是通常意义上提供一个物理空间与环境为计算机设备、服务器设备、存储设备、网络设备、通讯设备等IT关键设备实现对数据信息的集中处理、存储、传输、交换、管理的场所。信息中心（数据中心）的工程建设也就是一种典型的IT 基础设施项目。

IT基础设施项目由于其特点与特征所导致着诸多方面的不确定性，按照现代项目管理的理论，即存在着风险的因素，这不仅对IT基础设施项目的范围、质量、进度、费用等基本目标的实现产生影响，而且，也对机构或企业的IT 项目的整体目标的实现造成影响。为此，进行对IT基础设施项目的风险评估与管理是一项重要的也是基本的工作。

1 IT基础设施项目

IT基础设施在不同的文献中，所表征的范围有所不同。在本文中，IT基础设施是特指为IT关键设备提供物理空间与环境的信息中心（数据中心）场地环境以及相关的基础设施系统。主要涉及信息中心（数据中心）场地的选址、场地规划、装饰装修、电源配电、暖通空调、应急照明、防雷接地、火灾消防、安全防范、环境监控、信息安全等。IT基础设施项目是涉及多种技术系统的综合工程。 IT基础设施项目有着以下几个方面的特点与特征：

依赖性：IT基础设施是为机构或企业中的IT关键设备以及IT项目运用提供保障的基础。IT基础设施项目的需求依赖于IT关键设备的要求和IT项目的运用要求。

复杂性：IT基础设施项目涉及建筑、结构、装饰、暖通、电气、电子、信息等多种专业技术系统，系统的作用与功能相对独立，但应用与管理又相互关联。系统的构建较为复杂。

连续性：对于机构或企业的业务连续性管理要求，需要IT基础设施为IT关键设备运营管理和数据信息安全，提供可靠的、可用的、连续的（24×7）保障环境。

阶段性：IT基础设施项目作为一种工程形式，其建设将划分为前期规划、中期设计、后期施工以及建设后的运行维护等阶段。各阶段的项目涉及单位（项目甲方、设计单位、施工单位、监理单位、使用单位）的职责分工和责任承担，各不相同。

资产性：对于机构或企业而言，IT项目作为资产的一种特殊的形式被直接赋予了价值并成为需要保护的对象，显然，IT基础设施项目也包含在其中。

基于以上的这些特点与特征，预示着IT基础设施项目存在着诸多的不确定因素，将会对IT基础设施项目产生相应的影响。

2 IT基础设施项目的风险

根据PMI PMBOK的定义：“项目风险是一种不确定的事件或状况，一旦发生，会对至少一个项目目标如时间、费用、范围或质量目标产生积极或者消极影响。风险的起因可能是一种或多种，风险一旦发生，会产生一项或多项的影响。”

而“风险管理包括项目风险管理规划、风险识别、分析、应对和监控的过程。项目风险管理的目标在于增加积极事件的概率和影响，降低项目消极事件的概率和影响。”

本文只从项目的消极事件的概率和影响（即不利于项目）的方面来讨论项目风险及风险管理。

在IT基础设施项目的实践中，原本各方的主观愿望都是基于：项目是在稳定和谐的内外环境中、由正常健全的项目涉及单位、各方拥有丰富充沛的项目（人，财、物）资源、采用理想可靠的技术系统，进行项目的建设。但实际并非如此，在项目的进程中，会出现各种不以主观愿望为“准则”的不确定的事件或状况。

对于IT基础设施项目不确定的事件或状况，即风险因素是由其项目的特点与特征所表征的，项目的风险也是由会发生的消极事件的概率和影响以及影响的严重程度所决定的。因此，首先需要对项目风险进行梳理、进行规划；再对风险识别、分析、评估；然后对制定应对措施并进行风险监控。通过项目的风险管理使风险程度最小化，采取措施使之能在可接受的费用范围之内。以利确保IT项目的运营与目标的实现。

笔者认为：由于项目的特点与特征所表征的侧重面不同，IT基础设施项目的风险可以从项目整体层面和项目的专业技术层面（这两大层面）来规划、识别、分析项目风险，并以此制定相应的应对措施和监控手段。

2.1 项目整体层面的风险

项目整体层面的风险是基于项目的IT基础设施项目中，“阶段性”的特点与特征，考虑各阶段（前期规划、中期设计、后期施工以及运行维护）以及各项目涉及单位（项目甲方、设计单位、施工单位、监理单位、使用单位）以及项目内外环境所会产生的“不确定的事件或状况”对项目的整体影响。

项目的整体层面涉及IT基础设施项目的范围、质量、进度、费用等的基本目标，而此目标的实现，是受项目的内外环境、项目的涉及单位、项目的各阶段过程、项目的各项资源、项目的技术系统，以及信息、沟通、协调、管理等诸多因素的影响。

在标准的《项目管理》教材或书籍中，项目风险的分类通常是按政治风险、法律风险、自然风险、经济风险、社会风险等大类别分类的。在实际特定的IT基础设施项目中，涉及项目整体风险可以按照符合IT基础设施项目特点与特征的一些关键因素类别来进行项目的整体风险分类。可以是以项目各阶段过程中，项目涉及单位以及各方的职责分工和责任承担为主线来进行项目风险的梳理。见表1。

从表1中可以看出，在这里的IT基础设施项目的整体风险分类中，某一个风险项的“一种不确定的事件或状况”，一旦发生，将会涉及至少两个项目涉及单位，这说明了项目整体风险中影响作用的对称性和关联性。

例如：合同风险中，若甲方要进行设计的合同变更，由于是与设计方的设计合同相对应的，由此会直接涉及到设计方的合同变更。又如：财务风险中，甲方的项目费用的支付能力是与施工方的项目费用的垫资能力相关联的，甲方支付得越多，施工方可垫资的越少。再如：质量风险中，施工方施工质量没有达到设计要求或施工验收标准的规定要求，则甲方就没有得到质量达到设计要求或验收标准的成果，使用方就不能确保IT关键设备的运行。这正表明了项目整体风险的一些特征。

2.2 项目技术层面的风险

项目技术层面的风险是基于IT基础设施项目中，“依赖性”、“复杂性”、“连续性”、“资产性”的特点与特征，涉及考虑IT关键设备的要求和IT项目的运用要求；多种专业技术系统的融合设计；高可靠性高可用性的连续运营保障；以及作为资产的信息安全和价值保护等等。以专业技术为主导，涉及技术层面会产生“不确定的事件或状况”对项目的技术层面的影响。

虽然，在项目整体层面的风险中，也涉及到技术风险，但这是以涉及单位的各方技术职责分工和责任承担以及相互之间的技术协调为主线的，并没有涉及具体的技术细节。

专业技术系统是IT基础设施项目中，综合地反映了规范标准、系统结构、功能应用、产品特性、材料工艺以及管理要求等诸多方面的因素，也是IT基础设施项目具体建设要求的体现与实现。对于IT基础设施是为IT关键设备提供物理空间与环境的信息中心（数据中心）场地环境以及相关的基础设施系统这一“框定”。在信息中心（数据中心）中，从专业技术的层面对前期规划、中期设计、后期施工以及运行维护各个阶段来梳理容易产生“一种不确定的事件或状况”，这里更多地从技术细节的角度