1、 信息管理中心内部项目第 1 页 共 14 页 项目风险管理应用周 清 湘2007-09-21风险管理基础定义 1风险分类 .1风险来源 .2风险的定性和定量分析 .2风险应对策略 .3风险状态 .3风险识别方法 .4风险管理组织保障 4项目风险管理委员会 .4风险识别应对组 .5成员简介 .5组织责任 .6生命周期 .6工作原则 .7工作成果 .7风险管理流程 7风险管理总体流程 .7流程概述 .8流程分解 .9风险识别应对流程 9风险应对实施流程 10风险应对监控流程 10风险管理例会内容 .10文档流转流程 .11输出文档 .12风险管理基础定义风险分类IT 项目实施风险是在实施 IT
2、系统的过程中可能遇到的各种对项目产生负面影响的风险源,按照风险的来源分:技术风险、 费用风险、工期风险、管理风险、组织风险。信息管理中心内部项目第 2 页 共 14 页 技术风险:因项目所涉及软件技术、硬件技术、人员技术水平而引起的风险。 费用风险:因项目费用预算及相关因素变化引起的费用增加。 工期风险:潜在导致项目的实施时间发生变化的风险。 管理风险:在项目实施过程中,因企业管理流程变革而引起的风险。 组织风险:在项目实施中,因企业组织结构及项目成员的变动引起的风险。风险来源风险来源可以从项目过程、也可以从项目内容方面发现。在项目的全生命周期中, 项目启动、制定计划、范围定义、资源预算、人
3、员组织、进度控制、项目状态、项目的协调和管理以及信息系统的运行阶段都会产生风险。根据信息化项目的内容,风险可能来自:资金投入、人力资源、 时间和进度、应用软件和技术方面。另外一种风险来源分类是,依据风险是出现在项目内或项目以外,分为内部风险和外部风险。项目外部风险主要是指项目的政治、 经济环境的变化,包括与 项目相关的规章或标准的变化,组织中雇佣关系的变化,如公司并 购、自然灾害等。 这类风险对项目的影响和项目性质的关系较大。风险的定性和定量分析通过风险识别过程所识别出的潜在风险数量很多,但这些潜在的风险对项目的影响是各不相同的。风险分析即通过分析、比 较、评估等各种方式,对确定各风险的重要性
4、,对风险排序并评估其对项目可能后果,从而使项目实施人员可以将主要精力集中于为数不多的主要风险上,从而使项目的整体风险得到有效的控制。确定了项目的风险列表之后,接下来就可以进行风险的定量化分析了。风险定量分析的目的是确定每个风险对项目的信息管理中心内部项目第 3 页 共 14 页 影响大小,从两个角度分析:风险出现的概率和风险影响的程度,风险值 = 风险概率 影响程度。风险概率:它是风险发生可能性的百分比表示,是一种主观判断。风险定量分析的维度:风险概率级别 数值 判断标准几乎肯定 0.9 任何与之相关的都会成为问题很有可能 0.7 这样的风险转换成问题的机会很高可能(对半) 0.5 这样的风险
5、转换成问题的可能行对半不大可能 0.3 这样的风险偶尔会成为问题极不可能 0.1 这个事件几乎不可能成为问题测量风险影响项目的程度:它是指一旦风险发生可能对项目造成的影响大小。如果损失的大小不容易直接估计,可以将损失分解为更小部分再评估它们。风险定量分析的维度:影响程度级别 数值 判断标准灾难性的 0.9 导致项目失败、中途夭折、无法满足客户的关键要求严重的 0.7 影响关键任务的完成、严重质 量缺陷、 进度推延、超支等一般程度 0.5 导致可以接受的进度推延、质 量缺陷、范 围缩小等微小的 0.3 导致项目的进度、成本、质量等有微小损失可忽略的 0.1 对项目产生的影响可以忽略不记风险应对策
6、略就已经确定了项目中存在的风险以及它们发生的可能性和对项目的风险冲击,并可排出风险的优先级。此后就可以根据风险性质和项目对风险的承受能力制定相应的防范计划,即风险应对。我们建议制定风险应对策略主要考虑以下四个方面的因素:可规避性、信息管理中心内部项目第 4 页 共 14 页 可转移性、可缓解性、可接受性。 风险的应对策略在某种程度上决定了采用什么 样的项目开发方案,常见的应对策略有四个:规避、 缓解、转移和接受。风险规避涉及根除某一具体的威胁或风险,通常采用根除其原因的方法。例如,采用更熟悉的工作方法、澄清不明确的需求、增加资源和时间、减少 项目工作范围、避免不熟悉的服务商等。风险缓解涉及通过
7、减少风险事件发生的概率来减轻风险的影响。例如,选择更简单的流程、进行更多的实验、建造原型系统、增加备份设计 等。风险转移使指对将风险产生的影响转移到项目之外的其它地方。例如,签定不同种类的合同,或签定补偿性合同。风险接受是指如果风险发生,项目组采取应急措施,积极地应对风险。例如,制定 应急计划或退却计划、甚至仅仅进行应急储备和监控,待发生时随机应变。风险状态完成了风险识别后,针对具体风险的生命周期, 给出风险所处的状态。一般情况下,分为:开放(Open )、处理中( Process)、关 闭(Close )。 开放(Open ):风险已 经被识别,并作出了风险的定量和定性分析,尚未制定应对措施
8、。 处理中(Process):给 具体的风险制定应对计划,确定 责任人、 处理日期,风险正在处理之中。 关闭(Close):风险依据相应的应对措施被排除掉。风险识别方法信息管理中心内部项目第 5 页 共 14 页 风险识别没有一个单一的方法和工具,是一个充满智慧的知识管理过程,需要把项目管理的知识和经验逐步地积累起来,形成自己的项目管理知识库。根据 ENPC 项目管理的现状,提出以下识别方法: 对项目详细计划的分析:找出依赖关系、 时间长度和资 源可用性等,特 别是分析工作分解结构 WBS。 头脑风暴法:项目成员、外聘 专家、客 户等各方人员组 成小组,根据经验列出所有可能的风险。 访谈:与那
9、些有类似项目经验的人或项目组的主要成员进行面谈,可以尽早认识问题, 识别可能风险。风险管理组织保障项目风险管理委员会能否对项目实施中存在的风险做出正确的判断与分析,关键在于是否建立一个较为完善的管理组织,落实和监督项目风险管理中的各项措施的执行情况。因此,建立 项目风险管理委员会是非常必要的。 一一一一一一一一一一一一一一 一一一一一一一 一一一一一一一 风险识别应对组:识别项目风险,提出相应的应对计划;根据具体项目和 IT 项目组一起成立。 风险应对执行组:已识别的风险,在已经制定应对计划后,具体负责执行风险的信息管理中心内部项目第 6 页 共 14 页 处理;由 IT 项目组承担该角色。
10、风险跟踪监控组:跟踪项目风险的处理,定期汇报项目风险处理情况。由风险应对识别组或项目管理办承担该角色。风险识别应对组 一 一一一一一一一一一一一 AD一一一一 SO一一一一 QA一一一一 一一一一一成员简介 组长:项目风险识别应对组的领导者,负责制定该组织的行动计划,落实计划执行情况。定期召集委员会成员举行例会, 识别项目风险,制定 风险应对措施,并赋予实施行动。建议由该 IT 项目的项目经理担任。 业务人员:参与该 IT 项目的业务负责人和相关的业务骨干人员。协助主任委员识别有关业务方面存在的风险,制定风险应对计划,执行与己有关的风险处理。 IT 技术人员:参与该 IT 项目的 AD 技术负
11、责人和相关的 AD 技术骨干人员。协助主任委员识别有关 AD 技术方面存在的风险,制定 风险应对计划,执行与己有关的风险处理。信息管理中心内部项目第 7 页 共 14 页 SO 技术人员:参与该 IT 项目的 SO 技术负责人和相关的 SO 技术骨干人员。协助主任委员识别有关 SO 技术方面存在的风险,制定风险应对计划,执行与己有关的风险处理。 QA 管理人员:根据项目在 QA 方面的需求,提出有关 QA 方面的风险,制定 风险应对计划,执行与己有关的风险处理。 顾问方人员:主要指 IT 项目实施中,执行项目实施或开发的顾问和技术人员,他们是项目实施的中坚力量,对项目实施的成败起关键的作用。这
12、些人员也应该参加到风险管理委员会,利用他们的知识和经验去风险识别、风险应对。 风险管理专员:来自项目管理办。根据项目进度和风险处置状况,向风险管理委员会提出有关风险计划变更,建议召开风险评审例会;跟踪风险处理进程,督促风险责任人执行风险应对计划。定期向管理层报告项目风险状况。组织责任 风险识别:召开项目风险例会,通过使用头脑风暴法和项目详细计划的分析方法识别风险; 风险分析:将风险数据转换成风险决策的信息,包括确定风险发生的概率、影响的程度、时间范围以及紧急程度; 应对计划:将风险的信息变成决策和行动,包括制定对付风险的行动和执行的优先次序; 风险追踪:监督风险的状态和采取缓和风险的行动; 风
13、险控制:和项目集成管理一起纠正实施中违背计划的风险行动。 定期例会:根据项目进展实际情况,召开项目风险例会,讨论与风险有关的事宜。生命周期信息管理中心内部项目第 8 页 共 14 页 项目风险管理委员会同 IT 项目组一样,有着相同的生命周期;即:项目启动时成立项目风险管理委员会,项目结束时,解散 项目风险管理委员会。工作原则 全局观念:应当从项目内外环境以及项目的启动、执行、结束等各个阶段认识风险以及风险的正反两方面,有效的风险管理 应当包括人员、流程、业务和技术领域; 持续过程:时刻保持警惕,不断 评估和控制风险,并在项目的全生命期内用于决策; 向前看:时刻思考项目的明天, 识别不确定性,
14、 预防它 们产生不利的结果,在管理项目资源和过程时谨防不确定性; 交流沟通:鼓励正式、非正式的形式,开展各个层次项目相关人员的沟通和交流,培育促进对识别和管理风险有独到见解的渠道; 集成管理:使风险管理成为项目综合管理的一个核心部分,充分利用 风险管理的方法和工具,并纳入到项目管理的基础 和文化当中;团队合作:成员为着一个共同的目标,集中、共享和交流各种技能、知识和经验,共享项目的成果。工作成果项目风险管理委员会的工作成果分为两部分。其一为无形成果,其内容就是在项目实施的过程中,处理了各种项目风险,使 项目能够顺利上线、 转产,项目实施效果、应用水平得到各方用户的认可。其二为有形成果,就是在
15、项目风险处理的过程中, 诞生各类有关风险管理的文档和风险处理总结;为项目风险管理留下工作依据,为未来项目风险管理提供经验和借鉴。信息管理中心内部项目第 9 页 共 14 页 风险管理流程风险管理总体流程流程概述风险管理总体流程涉及到三个组织,分别为:IT 项目组、风险识别应对组、 项目管理办。其中项目管理办为常设机构,除了参与 IT 项目风险管理外,还从事其他与项目有关的事宜。IT 项目 组、 风险识别应对组 与 IT 项目一样,属于 临时机构,伴随着 IT 项目结束而消失。首先,项目风险管理委员会根据项目的进度和项目风险应对情况,定期召开项目风险管理例会,审视项目风险处理情况(若是风险管理委
16、员会第一次召开例会,可以不用审信息管理中心内部项目第 10 页 共 14 页 视项目风险处理情况),就项目目前风险状况给出具体的建议和意见,由项目风险管理专员整理出项目整体风险水平定性分析表,分发给项目组主要成员。紧接着,由 项目管理委员会根据 IT 项目 WBS,运用“头脑风暴法”,充分发挥委员会全体成员的项目经验和聪明才智,对项目目前存在的风险进行识别,由 项目风险专员记录已识别的风险。在识别风险以后,项目风险管理委员会依据风险的级别以及对项目影响程度,制定风险应对计划。其内容包括:确定风险概率、 风险影响程度、风险来源、应对策略。并指定该风险的责任人,明确风险应对的计划开始日期和结束日期
17、。其次,项目风险管理专员根据风险管理例会讨论内容,整理出识别项目风险一览表、风险应对计划一览表。并把上述文件及时反馈给项目经理,以便项目经理付诸实施。项目管理专员定期整理风险记录,关闭已处理风险;对风险进行归纳总结,更新十大风险监控一览表、整体风险水平定性分析表,并及时提交给项目风险管理委员会。此外,项目风险管理专员会同项目经理定期访谈项目组主要成员和项目相关人员,听取他们对项目目前所处状态的看法,对目前存在问题的处理建议,预测项目未来阶段所存在的风险。风险管理专员整理访谈记录, 补充识别项目风险一览表。在 风险应对计划付诸于实施的过程中,项目风险管理专员应跟踪计划执行情况,对重大事件及时向风
18、险管理委员会汇报。最后,项目经理根据风险应对计划一览表, 实施风险应对计划。召开 项目会议,明确将具体风险应对责任人。由风险应对责任人制定单个风险应对计划表,在实施中完善单个风险跟踪控制表。当风险消除后,将 结果反馈给项目风险管理专员。流程分解信息管理中心内部项目第 11 页 共 14 页 风险识别应对流程图 例说 明 动 作 文 档 信 息 流 向一一一一一一一一一一一一一一一一一一一一一一一一WBS一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一风险应对实施流程图 例说 明 动 作 文 档 信 息 流 向一一一一一一一一一一一一一一一一一一
19、一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一信息管理中心内部项目第 12 页 共 14 页 风险应对监控流程一一一一 一一 一一 一一一一一一一一一一一一 一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一风险管理例会内容 汇报项目风险状况项目风险管理专员向与会人员汇报项目风险状况,内容包括十大风险应对跟踪情况,其它风险应对情况;风险应对责任人处理风险跟踪情况。汇报两次会议期间对项目和非项目成员访谈中识别的已有风险。 审视项目风险状况风险管理委员会听取风险管理专员汇报后,对项目风险状况进行总结,提出下一步工作的重
20、点和努力方向;同时对风险处理不力的责任人提出警告,要求限期执行应对计划。 识别项目潜在风险信息管理中心内部项目第 13 页 共 14 页 与会人员一起核对项目 WBS,结合项目进度、 风险规避情况展开讨论,发现项目中潜在的风险。 制定风险应对计划汇总风险管理专员访谈中识别的已有风险和会议讨论发现的风险,依据项目实际情况,制定具体风险的应对计划。内容包括确定风险概率、影响程度、 风险来源、应对策略;指定风险应对责任人、 计划应对起止日期等内容。 其他问题处理包括与项目风险相关内容的讨论。会议纪要输出;会后,风险管理专员整理风险识别记录、风险应对计划,重新调整十大风险排名、上榜次数等内容。综合项目风险识别、风险应对计划,统计出项目风险整体水平定性表。相关文档分 发给具体人员。文档流转流程信息管理中心内部项目第 14 页 共 14 页 一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一图 例说 明 动 作 文 档 信 息 流 向IT一一WBS输出文档 识别项目风险一览表 风险应对计划一览表 单个风险应对计划表 单个风险跟踪控制表 十大风险监控一览表 整体风险水平定性分析表
