信息管理中心內部項目PAGE第12頁共12頁項目風險管理應用周清湘2007-09-21風險管理基礎定義 1風險分類 1風險來源 2風險的定性和定量分析 2風險應對策略 3風險狀態 3風險識別方法 4風險管理組織保障 4項目風險管理委員會 4風險識別應對組 5成員簡介 5組織責任 6生命周期 6工作原則 7工作成果 7風險管理流程 7風險管理總體流程 7流程概述 8流程分解 9風險識別應對流程 9風險應對實施流程 10風險應對監控流程 10風險管理例會內容 10文檔流轉流程 11輸出文檔 12風險管理基礎定義風險分類IT項目實施風險是在實施IT系統的過程中可能遇到的各種對項目產生負面影響的風險源，按照風險的來源分：技術風險、費用風險、工期風險、管理風險、組織風險。技術風險：因項目所涉及軟件技術、硬件技術、人員技術水平而引起的風險。費用風險：因項目費用預算及相關因素變化引起的費用增加。工期風險：潛在導致項目的實施時間發生變化的風險。管理風險：在項目實施過程中，因企業管理流程變革而引起的風險。組織風險：在項目實施中，因企業組織結構及項目成員的變動引起的風險。風險來源風險來源可以從項目過程、也可以從項目內容方面發現。在項目的全生命周期中，項目啟動、制定計劃、范圍定義、資源預算、人員組織、進度控制、項目狀態、項目的協調和管理以及信息系統的運行階段都會產生風險。根據信息化項目的內容，風險可能來自：資金投入、人力資源、時間和進度、應用軟件和技術方面。另外一種風險來源分類是，依據風險是出現在項目內或項目以外，分為內部風險和外部風險。項目外部風險主要是指項目的政治、經濟環境的變化，包括與項目相關的規章或標準的變化，組織中雇傭關系的變化，如公司并購、自然災害等。這類風險對項目的影響和項目性質的關系較大。風險的定性和定量分析通過風險識別過程所識別出的潛在風險數量很多，但這些潛在的風險對項目的影響是各不相同的。風險分析即通過分析、比較、評估等各種方式，對確定各風險的重要性，對風險排序并評估其對項目可能后果，從而使項目實施人員可以將主要精力集中于為數不多的主要風險上，從而使項目的整體風險得到有效的控制。確定了項目的風險列表之后，接下來就可以進行風險的定量化分析了。風險定量分析的目的是確定每個風險對項目的影響大小，從兩個角度分析：風險出現的概率和風險影響的程度，風險值=風險概率×影響程度。風險概率：它是風險發生可能性的百分比表示，是一種主觀判斷。風險定量分析的維度：風險概率級別數值判斷標準幾乎肯定0.9任何與之相關的都會成為問題很有可能0.7這樣的風險轉換成問題的機會很高可能（對半）0.5這樣的風險轉換成問題的可能行對半不大可能0.3這樣的風險偶爾會成為問題完成了風險識別后，針對具體風險的生命周期，給出風險所處的狀態。一般情況下，分為：開放（Open）、處理中（Process）、關閉（Close）。開放（Open）：風險已經被識別，并作出了風險的定量和定性分析，尚未制定應對措施。處理中（Process）：給具體的風險制定應對計劃，確定責任人、處理日期，風險正在處理之中。關閉（Close）：風險依據相應的應對措施被排除掉。風險識別方法風險識別沒有一個單一的方法和工具，是一個充滿智慧的知識管理過程，需要把項目管理的知識和經驗逐步地積累起來，形成自己的項目管理知識庫。根據ENPC項目管理的現狀，提出以下識別方法：對項目詳細計劃的分析：找出依賴關系、時間長度和資源可用性等，特別是分析工作分解結構WBS。頭腦風暴法：項目成員、外聘專家、客戶等各方人員組成小組，根據經驗列出所有可能的風險。訪談：與那些有類似項目經驗的人或項目組的主要成員進行面談，可以盡早認識問題，識別可能風險。風險管理組織保障項目風險管理委員會能否對項目實施中存在的風險做出正確的判斷與分析，關鍵在于是否建立一個較為完善的管理組織，落實和監督項目風險管理中的各項措施的執行情況。因此，建立項目風險管理委員會是非常必要的。風險識別應對組：識別項目風險，提出相應的應對計劃；根據具體項目和IT項目組一起成立。風險應對執行組：已識別的風險，在已經制定應對計劃后，具體負責執行風險的處理；由IT項目組承擔該角色。風險跟蹤監控組：跟蹤項目風險的處理，定期匯報項目風險處理情況。由風險應對識別組或項目管理辦承擔該角色。風險識別應對組成員簡介組長：項目風險識別應對組的領導者，負責制定該組織的行動計劃，落實計劃執行情況。定期召集委員會成員舉行例會，識別項目風險，制定風險應對措施，并賦予實施行動。建議由該IT項目的項目經理擔任。業務人員：參與該IT項目的業務負責人和相關的業務骨干人員。協助主任委員識別有關業務方面存在的風險，制定風險應對計劃，執行與己有關的風險處理。IT技術人員：參與該IT項目的AD技術負責人和相關的AD技術骨干人員。協助主任委員識別有關AD技術方面存在的風險，制定風險應對計劃，執行與己有關的風險處理。SO技術人員：參與該IT項目的SO技術負責人和相關的SO技術骨干人員。協助主任委員識別有關SO技術方面存在的風險，制定風險應對計劃，執行與己有關的風險處理。QA管理人員：根據項目在QA方面的需求，提出有關QA方面的風險，制定風險應對計劃，執行與己有關的風險處理。顧問方人員：主要指IT項目實施中，執行項目實施或開發的顧問和技術人員，他們是項目實施的中堅力量，對項目實施的成敗起關鍵的作用。這些人員也應該參加到風險管理委員會，利用他們的知識和經驗去風險識別、風險應對。風險管理專員：來自項目管理辦。根據項目進度和風險處置狀況，向風險管理委員會提出有關風險計劃變更，建議召開風險評審例會；跟蹤風險處理進程，督促風險責任人執行風險應對計劃。定期向管理層報告項目風險狀況。組織責任風險識別：召開項目風險例會，通過使用頭腦風暴法和項目詳細計劃的分析方法識別風險；風險分析：將風險數據轉換成風險決策的信息，包括確定風險發生的概率、影響的程度、時間范圍以及緊急程度；應對計劃：將風險的信息變成決策和行動，包括制定對付風險的行動和執行的優先次序；風險追蹤：監督風險的狀態和采取緩和風險的行動；風險控制：和項目集成管理一起糾正實施中違背計劃的風險行動。定期例會：根據項目進展實際情況，召開項目風險例會，討論與風險有關的事宜。生命周期項目風險管理委員會同IT項目組一樣，有著相同的生命周期；即：項目啟動時成立項目風險管理委員會，項目結束時，解散項目風險管理委員會。工作原則全局觀念：應當從項目內外環境以及項目的啟動、執行、結束等各個階段認識風險以及風險的正反兩方面，有效的風險管理應當包括人員、流程、業務和技術領域；持續過程：時刻保持警惕，不斷評估和控制風險，并在項目的全生命期內用于決策；向前看：時刻思考項目的明天，識別不確定性，預防它們產生不利的結果，在管理項目資源和過程時謹防不確定性；交流溝通：鼓勵正式、非正式的形式，開展各個層次項目相關人員的溝通和交流，培育促進對識別和管理風險有獨到見解的渠道；集成管理：使風險管理成為項目綜合管理的一個核心部分，充分利用風險管理的方法和工具，并納入到項目管理的基礎和文化當中；團隊合作：成員為著一個共同的目標，集中、共享和交流各種技能、知識和經驗，共享項目的成果。工作成果項目風險管理委員會的工作成果分為兩部分。其一為無形成果，其內容就是在項目實施的過程中，處理了各種項目風險，使項目能夠順利上線、轉產，項目實施效果、應用水平得到各方用戶的認可。其二為有形成果，就是在項目風險處理的過程中，誕生各類有關風險管理的文檔和風險處理總結；為項目風險管理留下工作依據，為未來項目風險管理提供經驗和借鑒。風險管理流程風險管理總體流程流程概述風險管理總體流程涉及到三個組織，分別為：IT項目組、風險識別應對組、項目管理辦。其中項目管理辦為常設機構，除了參與IT項目風險管理外，還從事其他與項目有關的事宜。IT項目組、風險識別應對組與IT項目一樣，屬于臨時機構，伴隨著IT項目結束而消失。首先，項目風險管理委員會根據項目的進度和項目風險應對情況，定期召開項目風險管理例會，審視項目風險處理情況（若是風險管理委員會第一次召開例會，可以不用審視項目風險處理情況），就項目目前風險狀況給出具體的建議和意見，由項目風險管理專員整理出項目整體風險水平定性分析表，分發給項目組主要成員。緊接著，由項目管理委員會根據IT項目WBS，運用“頭腦風暴法”，充分發揮委員會全體成員的項目經驗和聰明才智，對項目目前存在的風險進行識別，由項目風險專員記錄已識別的風險。在識別風險以后，項目風險管理委員會依據風險的級別以及對項目影響程度，制定風險應對計劃。其內容包括：確定風險概率、風險影響程度、風險來源、應對策略。并指定該風險的責任人，明確風險應對的計劃開始日期和結束日期。其次，項目風險管理專員根據風險管理例會討論內容，整理出《識別項目風險一覽表》、《風險應對計劃一覽表》。并把上述文件及時反饋給項目經理，以便項目經理付諸實施。項目管理專員定期整理風險記錄，關閉已處理風險；對風險進行歸納總結，更新《十大風險監控一覽表》、《整體風險水平定性分析表》，并及時提交給項目風險管理委員會。此外，項目風險管理專員會同項目經理定期訪談項目組主要成員和項目相關人員，聽取他們對項目目前所處狀態的看法，對目前存在問題的處理建議，預測項目未來階段所存在的風險。風險管理專員整理訪談記錄，補充《識別項目風險一覽表》。在風險應對計劃付諸于實施的過程中，項目風險管理專員應跟蹤計劃執行情況，對重大事件及時向風險管理委員會匯報。最后，項目經理根據《風險應對計劃一覽表》，實施風險應對計劃。召開項目會議，明確將具體風險應對責任人。由風險應對責任人制定《單個風險應對計