浅谈信息系统项目的风险管理

浅谈信息系统项目的风险管理

作者：李文彬

来源：《科技资讯》2017年第27期

摘要：风险管理是信息系统项目管理的重要内容之一，有时还能决定一个信息系统项目的成败，良好的风险管理有助于企业做出正确的决策，帮助企业在激烈的市场竞争中突围而出，形成坚不可摧的防火墙，本文从风险管理计划、风险识别、风险分析、风险应对计划和风险监控5个方面阐述了笔者对于信息系统项目的风险管理理论及常用方法的认识。

关键词：信息系统项目风险管理

中图分类号：F42 文献标识码：A 文章编号：1672-3791（2017）09（c）-0028-02

风险一词的来源，有一种比较普遍但未得到证实的说法：在远古的时代，沿海人民靠捕捞海鱼为生，每次出海前，为了可以安全归来，都会祈求神灵保佑风平浪静，因为大风的出现总伴随着危险，人们就把“大风”和“危险”合在一起组成了“风险”一词。在现代社会，美国项目管理大师马克思·怀德曼将项目风险定义为某一事件发生对项目目标带来不利影响的可能性。

风险贯穿了整个项目的全生命周期，在项目的不同阶段会有不同的风险。在项目的开始阶段，由于不确定性最大，项目失败的风险最高，随着项目的进展，不确定性逐渐减少，项目的风险也逐渐降低。人们愿意承担的风险高低一般与项目的投入成反比，与项目的收益成正比，即投入越大，希望风险越低，收益越高，可承受的风险就越高。

在信息系统项目的建设过程中，我们可以从风险管理计划、风险识别、风险分析、风险应对计划和风险监控5个方面对信息系统项目进行风险管理，提高项目成功的机会。

1 风险管理计划

风险管理计划（Plan Risk Management）一般是在项目的规划阶段，由项目团队举行项目风险管理计划会议制定，确定在项目中如何进行风险管理活动的过程，内容包括风险管理的活动、方法、职责、时间和预算等，是一个项目风险管理的行动纲领。

2 风险识别

风险识别（Risk Identification）的内容包括3个部分。

（1）识别并确定项目有哪些潜在的风险。

（2）识别引起这些风险的主要因素。

（3）识别风险可能引起的后果。

项目团队成员均应参与到风险识别的过程，以便增加成员对于风险的应对能力和责任感，也均应认识到风险识别是一项不断重复的过程，因为在项目的进展中可能会有新的风险出现，旧的风险也可能会消失。

风险分解结构（Risk Breakdown Structure）是风险识别常用的方法之一，该方法有助于从微观和宏观两个方面发现引起潜在风险的多种原因，具有多种分类结构，企业可以选择以往项目总结下来的结构或者引用新的结构。

3 风险分析

风险分析（Risk Analysis）包括定性风险分析和定量风险分析，后者一般在前者完成后进行。

3.1 定性风险分析

定性风险分析（Qualitative Risk Analysis）对已识别风险的发生概率和影响程度进行综合分析，排列出优先级，以便进行定量分析和风险应对计划。

风险的发生概率分为客观概率和主观概率，客观概率是通过历史数据统计或大量的试验进行推测的，主观概率是通过专家经验或讨论进行推测的。客观概率比主观概率的准确性高，但在实际项目中有时很难收集到足够的历史数据或做进行大量的实验，所以主观概率不可或缺。

概率影响矩阵（Probability and Impact Matrix）是定性风险分析常用的方法之一，通过对已识别风险的发生概率和对项目造成的影响的组合，划分出风险的高、中、低级别，并以不同的颜色标识优先级（见表1）。

3.2 定量风险分析

定量风险分析（Quantitative Risk Analysis）是对定性风险分析中排出优先级的风险进行量化分析的过程，但有时会因为缺少足够的数据建立模型，而无法实施定量风险分析。

预期货币值（Experted Monetary Value）是定量风险分析常用的方法之一，把方案中每个可能性的价值与其发生的概率相乘，再将所有乘积加在一起得出该方案的预期货币值EMV，从而辅助项目决策，通常在决策树中使用。

4 风险应对计划

风险应对计划（Plan Risk Response）是按照已识别风险的优先级来制定应对策略的过程。

风险的应对策略包括回避、转移、减轻和接受4种，等级较高的风险通常采用回避和减轻策略，等级较低的风险则采用转移和接受策略。项目经理应该为每种风险选择至少一种应对策略（高优先级的风险可能需要备用策略，以防当前策略失去效用），得到全部项目关系人认可后为其指定一个明确的应对负责人。

风险应对计划的对象是已识别的风险，但项目过程中存在着未知风险，无法进行主动管理，项目经理除了可以定期进行风险识别外，还可以通过分配一定的管理储备来应急。

5 风险监控

风险监控（Risk Monitoring and Control）是在项目中跟踪已识别的风险，监测残余风险，识别新的风险，实施风险应对计划并评估其效用的过程。

偏差与趋势分析（Variance and Trend Analysis）是风险监控常用的方法之一，例如：可以通过分析项目当前阶段的挣值和计划价值、实际成本的差别，分析出项目的进度与成本是否出现偏差，从而判断是否需要实施风险应对策略或使用管理储备应急。

6 结语

在信息系统项目中，风险管理既是一项管理流程，保证企业决策的准确性和安全性，实现项目的按时按质完成，同时风险管理也是一项投资，不仅涉及人员的投入，还有资金和物资等的投入，因此其成本不应超过项目的预期收益，当一个项目完成后，企业应该对项目的风险管理进行总结，建立主要风险清单，作为组织过程资产为下一个项目的风险管理做参考。

参考文献

[1] 柳纯录.信息系统项目管理师教程[M].北京：清华大学出版社，2008.

[2] 项目管理协会.项目管理知识体系指南（PMBOK指南）[M].5版.北京：电子工业出版社，2013.

[3] 杨俊芳.怎样做好信息系统项目风险管理[J].中国信息界，2007（5）：39-41.

[4] 李凤梅.信息系统项目风险管理浅析[J].电子技术与软件工程，2013（18）：249-250.

[5] 张挺.信息系统项目风险管理研究[D].中国石油大学（华东），2008.