1、改進企業風險管理循環改進企業風險管理循環，提高項目質量風險管理是項目管理的主要部分，其目的是追求樂觀活動的最大化和不利活動的最小化。在現代項目管理中，強調對項目目標的主動掌握，以對項目實現過程中遭受的風險和干擾因素可以預防作用，從而削減損失。信息系統建設項目是一項風險的過程，風險管理貫穿信息系統項目的全系統生命周期。本文通過引用ISSECMM風險管理的基本原則，在IS09000：2000持續改進的思想上，敘述在信息系統項目管理中建立起一套規范化并且能夠持續改進的風險過程管理循環，以不斷提高在信息系統項目中風險管理的質量和效率。1、風險及風險管理1.1風險的定義及分類“風險就是有害大事發生的可能

2、性。”即全部有可能影響項目目標實現的客觀不確定性大事或因素的集合。風險是在項目管理中不盼望發生的，但是風險是客觀存在的。風險包含三個要素：威逼、弱點、影響。假如不存在脆弱性和威逼則不存在有害大事，也就不存在風險;假如風險大事發生不產生影響，也就不是有害大事。風險管理的定義、要素及方法：“管理風險的目的是標識、評估、監視和降低風險以便于系統工程活動和全部技術活動兩者都取得勝利”。我認為項目風險管理是在項目期間識別和掌握能夠引起不盼望變化的潛在領域、大事的形式和系統的方法。風險管理的典型活動包括：風險規劃、風險標識、評估分析風險、復查風險評估、執行風險降低活動、跟蹤風險降低活動、監視風險等。項目風

3、險管理方法范例包括：(1)使用一個螺旋式的管理方法，即周期性的闡明和記載下一個周期的目標和整個項目的目標。(2)在每個周期的開頭和開發降低風險方法時，格式化的標識和檢查風險。(3)在每個周期結束時，回顧削減每一個風險所取得的進展。1.2信息系統項目的生命周期和風險1.2.1信息系統項目的生命周期信息系統生命周期可以分為以下5個階段：(1)起始表述系統的需要并記錄應用系統的目的。(2)開發/選購對信息系統進行設計、購買、編程、開發、測試或其它形式的構建j這個階段常常包含所定義的其它周期，如應用系統開發或選購、測試等。(3)實施經過初期的系統測試后，系統被安裝到位。(4)運行和維護在這個階段應用系

4、統執行其工作，幾乎總是要對應用系統進行修改，增加硬件、軟件或發生其他變更等。(5)推出與廢棄新系統專一的工作完成后，原有的應用系統被廢棄。每個應用系統又可以分為若干子系統，也有自己的生命周期。1.2.2信息系統項目的風險目前應用系統中主要面臨和常常可能發生的風險主要有：(1)缺乏規劃或規劃不合理;(2)項目預預備不充分，如硬件及軟件選型錯誤、合作伙伴力量不足等;(3)設計流程缺乏有效的掌握環節;(4)系統內各個子系統自建不能很好的連接;(5)實施方案不完善，過程掌握不嚴格，階段成果未達標;(6)新系統和組織內其他系統有沖突;(7)實施效果未做評估或評估不合理;(8)系統平安設計不完善;(9)災

5、難防范措施不當或不完整，簡單造成系統崩潰;(10)系統退役后的處理不當引起的泄密等。2、項目風險過程管理循環的建立2.1風險管理規劃風險管理規劃是規劃和設計如何進行項目風險管理的過程。該過程包括定義項目組織及成員風險管理的行動方案及方式，選擇適合的風險管理方法，確定風險推斷的依據等。2.2風險標識風險管理的第一步是系統的、連續的識別和評估潛在的風險領域，風險標識實際上是對將來可能發生的風險大事的一種設想和猜想。因此，一般的風險標識結果應包括風險的分類、來源、表現及其后果、以及引發的相關項目管理要求。2.3風險評估、分析在進行風險標識并整理之后，必需就各項風險對整個項目的影響程度做一些分析和評價

6、，通常這些評估建立在以特性為依據的推斷和以數據統計為依據的討論上。 2.3.1評估影響評估影響的目的在于識別對該項目有關系的影響，并對發生影響的可能性進行評估。影響可能是有形的或是無形的。影響是意外大事的后果，對項目資產產生影響，可由有意行為或偶然緣由引起。這些后果可能直接毀滅某些資產，間接后果可以包括財政損失、市場份額或公司形象的損失。2.3.2評估威逼評估威逼的目的在于識別威逼及其性質和特征，并對項目風險的威逼進行標識和特征化。由于威逼可能發生變化，因此必需定期地對其進行監視，使項目的風險理解始終得到維持。評估威逼的實施清單：(1)識別由自然因素所引起的適當威逼;(2)識別由人為因素所引起

7、的適當威逼，偶然的或有意的;(3)識別在特定社會環境中的威逼因素;(4)評估由人為因素引起的威逼影響的力量和動機;(5)評估威逼大事消失的可能性;(6)監視威逼頻譜的變化以及威逼特征的變化。2.3.3評估脆弱性評估項目的脆弱性環節的目的在于識別和特征化項目中的薄弱環節，包括分析項目資產、定義特別的脆弱性環節以及供應對整個項目脆弱性環節的評估。2.3.4評估暴露當風險暴露(威逼，弱點，影響三者的組合)時，應當準時進行識別，識別該暴露的目的在于熟悉這些威逼和脆弱性的利害關系，進而識別消失威逼和脆弱性造成的影響。暴露打算今后實行的風險規避措施，并列出項目的暴露清單。2.4復查風險評估復查風險評估是為

8、了獲得項目風險評估的正式認可。復查風險評估的充分性，以打算是否進行、修改或取消基于風險的活動。這種復查應包括潛在的降低風險的努力和勝利的可能性。會議的方式便利溝通掌握風險的感覺，為每一種風險提出可能的降低風險策略，并取得與會者認同，認為風險估量是合理的，并且沒有遺漏明顯的降低風險的其它策略。2.5執行風險降低活動風險降低活動可列出削減風險發生的可能性或削減風險發生時所造成損失的程度，對那些應特殊關注的風險，幾種降低風險的活動可以同時開頭。降低風險的活動示例如下：(1)建立一個可測試此活動的模型。以驗證這種風險降低策略可以削減風險發生的可能性;(2)為有風險的活動建立備選方案。一旦風險發生，采納

9、備選方案可使該風險對項目整體進度的影響降低。2.6監視風險及跟蹤風險降低活動監視風險就是要跟蹤識別的風險，識別剩余風險和消失的風險，修改風險管理方案，保證風險方案的實施并評估消減風險的效果。監視風險頻譜變化和風險特征的變化，由于任何位置和狀態的風險頻譜都是動態的，新的風險可能關聯進來，而現有風險也可能發生變化。因此，監視現有風險及其特征，有規律的檢查新的風險是非常重要的。2.7持續改進持續改進過程的步驟是一種基于PDCA循環的系統化問題解決方法，改進通常是階段性的，要觀看每個階段各個過程的整體效果，而不是分散進行。不然的話，分散優化會降低整個項目的效率。詳細步驟如下：(1)識別項目風險過程改進

10、機會這一階段的目標是選擇適當的項目風險過程用于改進。(2)評價需改進的風險過程這一階段的目標是選擇有挑戰性的問題及確定改進的指標。重點就是把需改進的項目風險過程詳細指標細化，并確定改進的詳細目標。(3)分析項目實施中存在的問題這一階段目標是識別目前風險管理中存在的緣由，充分利用有關工具和方法找出緣由。(4)實行措施規劃并實行適當措施改正不規范的做法，針對風險管理工作過程進行改正。以達到目的，消退存在的問題。(5)確認改進的結果評價實行的風險管理措施是否達到了目標。(6)改進方法標準化這一階段的主要目標就是確保項目風險管理的水平得到維持，要確保已經改進的工作效果通過制定的管理流程圖、程序、制度、

11、標準等已成為日常工作的一部分，并可以把這一階段的規范化管理成果推廣到其他過程或部門。(7)為下一階段或將來項目進行方案主要針對遺留問題制定方案并評價其效果，通過學習其他部門的閱歷為下階段工作和將來項目供應規范化管理的學問。3、信息系統項目生命周期的風險管理3.1起始階段 在確定新的信息系統概念和早期設計過程中，風險管理的目標是保證業務和信息技術系統的全都性，避開在項目啟動初期消失不合理的行為導致返工。(1)系統規劃區分系統各部分交付的優先次序，了解其內部的相互依靠關系，明確交付系統的力量、容量和可能的制約因素，根據優先級次序啟動不同流程。(2)確認系統方案的可行性對系統方案交付選項進行有效的評

12、估，保證業務和信息系統在理念上的全都性，確仔細正的需求范圍和交付內容，保證預算在各個子目標之間的合理安排，利用原型法把模擬的應用轉換為實際的應用。(3)評估影響考慮新的應用系統對組織現有系統、流程和利益相關者的影響。(4)考慮全部可能的方案權衡是購買還是自行開發系統，考慮每種選擇所包含的風險并進行分析，以利于持續改進。3.2開發/選購對于大多數信息系統來說，開發/選購階段比起始階段更簡單，可以分為以下三個子階段。3.2.1需求和方案設計在開發，選購階段的初期，系統方案者定義系統的需求，風險管理的需求也應當與此同時制定，風險管理的目標是保證在系統解決方案開頭構建之前，明確方案的優缺點，避開返工。

13、方案架構設計過程應當堅持對方案進行嚴格的質量評估，同時要樂觀管理合作伙伴合同和技術選購上可能消失的風險。確定需求的優先級在整個系統方案范圍內，評估并確認需求的優先挨次和組織的力量，哪些是必需做的，哪些是可以完成的，哪些是可能完成的，哪些是可能完不成的。定義接口假如多個團隊必需同步開展系統開發，應當為最終集成在一起的多個子系統定義清楚的接口。選擇技術組件選擇需要選購、改造、修改的技術組件，確認其來源的牢靠性、質量和持續支持的力量。3.2.2系統構建(開發/選購)假如系統要自行開發，編碼工作此時已經開頭啟動，對選購軟件，則需要同步開頭進行裁剪和配置工作，這個階段需要避開的風險主要和系統各個組成部分

14、自身攜帶的缺陷有關，這些組件集成到整個系統中，也可能引入新的缺陷。系統分割和合并系統設計一般都是分開進行。這樣便于多個團隊并行工作，提高效率，最終要把這些工作集成到一起。尤其是需要多次發布的軟件，分割和合并的工作更為簡單。3.2.3系統測試系統測試階段主要的風險管理目標是通過測試識別不行接受的缺陷，并確認每個缺陷都得到了解決。確認系統的正確性和完整性依照系統規范和業務需求，按部就班地對系統實施“確定性”和“否定性”測試，以保證系統能夠正常運作。增加信念對重要的業務流程，必需從端到端的角度來驗證系統具備正確的功能。獲得用戶認可供應證據證明來自交付伙伴的方案組件和整體系統在業務上都是可以接受的。3

15、.3實施在實施階段，系統主要的風險管理目標是保持業務的持續運行，避開業務中斷。預演在系統投產前，組織用戶代表進行技術演練，使用戶對系統在時問、次序和可能造成的影響等方面都有一個清楚的了解。投產動員實施隊伍，根據方案進行應用實施，并驗證系統實施是否取得勝利。回退制定一套可以讓業務退回原有狀態的備用方案，并在實施前進行演練。3.4運行和維護由于系統的簡單性和資源限制，測試階段很難對信息系統進行窮盡測試，系統在運行中總會消失新的缺陷，同時業務的進展變化也會對系統提出變更和改進要求，此時風險管理的目標是把系統從故障狀態中恢復正常運行，避開系統改進造成新的故障。變更管理對必要的系統變更進行系統管理。定期

16、平安檢查熟悉系統平安的重要性，完善平安策略，定期進行檢查審核。災難恢復方案更新系統發生變更后準時更新災難恢復方案，并定期進行演練。3.5退出與廢棄信息系統生命周期的退出和廢棄階段涉及到信息、硬件和軟件的處置。在抱負狀況下，舊應用系統退出方案應當作為新應用系統實施和切換的一部分。信息可以轉移到其它系統、存檔、丟棄或銷毀，對信息存檔時應當考慮將來能夠取回信息的方法。硬件和軟件硬件和軟件可以被銷毀、出售、贈送或丟棄。對包含保密信息的存儲介質必需進行銷毀，對軟件的處置應遵循許可證和其它與開發商的協議。費用用來清除一個過時的 應用系統的資金一般很難得到保證，由于系統的退出不能為組織帶來明顯的經濟利益，要實行有效措施防止因處置費用不足而引起的各種風險。即使采納了全生命周期的風險管理，也不能保證完全去除信息系統中全部的風險，但引入全生命周期的風險管理方法為我們供應了很有益的一套流程，結合理解實際信息系統進展中的