改进企业风险管理循环,提高项目质量
风险管理是项目管理的主要部分,其目的是追求积极活动的最大化和不利活动的最小化。在现代项目管理中,强调对项目目标的主动控制,以对项目实现过程中遭遇的风险和干扰因素可以预防作用,从而减少损失。信息系统建设项目是一项风险的过程,风险管理贯穿信息系统项目的全系统生命周期。本文通过引用ISSE—CMM风险管理的基本原则,在IS09000:2000持续改进的思想上,讲述在信息系统项目管理中建立起一套规范化并且能够持续改进的风险过程管理循环,以不断提高在信息系统项目中风险管理的质量和效率。
1、风险及风险管理
1.1风险的定义及分类
“风险就是有害事件发生的可能性。”即所有有可能影响项目目标实现的客观不确定性事件或因素的集合。风险是在项目管理中不希望发生的,但是风险是客观存在的。
风险包含三个要素:威胁、弱点、影响。如果不存在脆弱性和威胁则不存在有害事件,也就不存在风险;如果风险事件发生不产生影响,也就不是有害事件。风险管理的定义、要素及方法:
“管理风险的目的是标识、评估、监视和降低风险以便于系统工程活动和全部技术活动两者都取得成功”。我认为项目风险管理是在项目期间识别和控制能够引起不希望变化的潜在领域、事件的形式和系统的方法。
风险管理的典型活动包括:风险规划、风险标识、评估分析风险、复查风险评估、执行风险降低活动、跟踪风险降低活动、监视风险等。
项目风险管理方法范例包括:
(1)使用一个螺旋式的管理方法,即周期性的阐明和记载下一个周期的目标和整个项目的目标。
(2)在每个周期的开始和开发降低风险方法时,格式化的标识和检查风险。
(3)在每个周期结束时,回顾减少每一个风险所取得的进展。
1.2信息系统项目的生命周期和风险
1.2.1信息系统项目的生命周期
信息系统生命周期可以分为以下5个阶段:
(1)起始表述系统的需要并记录应用系统的目的。
(2)开发/采购对信息系统进行设计、购买、编程、开发、测试或其它形式的构建j这个阶段经常包含所定义的其它周期,如应用系统开发或采购、测试等。
(3)实施经过初期的系统测试后,系统被安装到位。
(4)运行和维护在这个阶段应用系统执行其工作,几乎总是要对应用系统进行修改,增加硬件、软件或发生其他变更等。
(5)推出与废弃新系统专一的工作完成后,原有的应用系统被废弃。每个应用系统又可以分为若干子系统,也有自己的生命周期。
1.2.2信息系统项目的风险
目前应用系统中主要面临和经常可能发生的风险主要有:
(1)缺乏规划或规划不合理;
(2)项目预准备不充分,如硬件及软件选型错误、合作伙伴能力不足等;
(3)设计流程缺乏有效的控制环节;
(4)系统内各个子系统自建不能很好的衔接;
(5)实施计划不完善,过程控制不严格,阶段成果未达标;
(6)新系统和组织内其他系统有冲突;
(7)实施效果未做评估或评估不合理;
(8)系统安全设计不完善;
(9)灾难防范措施不当或不完整,容易造成系统崩溃;
(10)系统退役后的处理不当引起的泄密等。
2、项目风险过程管理循环的建立
2.1风险管理规划
风险管理规划是规划和设计如何进行项目风险管理的过程。该过程包括定义项目组织及成员风险管理的行动方案及方式,选择适合的风险管理方法,确定风险判断的依据等。
2.2风险标识
风险管理的第一步是系统的、连续的识别和评估潜在的风险领域,风险标识实际上是对将来可能发生的风险事件的一种设想和猜测。因此,一般的风险标识结果应包括风险的分类、来源、表现及其后果、以及引发的相关项目管理要求。
2.3风险评估、分析
在进行风险标识并整理之后,必须就各项风险对整个项目的影响程度做一些分析和评价,通常这些评估建立在以特性为依据的判断和以数据统计为依据的研究上。
2.3.1评估影响
评估影响的目的在于识别对该项目有关系的影响,并对发生影响的可能性进行评估。影响可能是有形的或是无形的。影响是意外事件的后果,对项目资产产生影响,可由故意行为或偶然原因引起。这些后果可能直接毁灭某些资产,间接后果可以包括财政损失、市场份额或公司形象的损失。
