论文部分内容阅读
摘要:当前,我国IT产业虽然有了很大的进步,但是与发达国家相比还有很大的差距,信息系统项目的管理水平是其中的重要问题与差距之一。信息系统项目管理之中的风险管理会直接关系到项目建设的质量、进度等,因此,加强信息系统项目的风险管理是十分重要的。主要针对信息系统的风险管理问题展开论述。
关键词:信息系统;风险识别;风险管理
中图分类号:F27 文献标识码:A 文章编号:1671-7597(2010)1210145-01
进入二十一世纪后,我国IT产业得到迅速的发展,出现了各种各样的信息系统项目,伴随这些信息系统项目的建设,各行业的工作效率也有了很大的提高,进而推动了我国经济的发展。随之而来的是信息系统项目的风险管理问题,如何有效地应对信息系统项目的风险管理是一个不容忽视的问题。
1、信息系统项目的特点
1)成功标准的主观性。信息系统是一个人机系统,是一个比较复杂的系统形式,与其他项目相比,往往更难以确定成功的标准,无法找到一个简单而且客观的标准来衡量信息系统的成功与否,而且管理实践中信息系统的价值都会看其是否“好用”和有效,因此人们在评价相关的项目开发和实施效果时难免会存在一定的主观性。
2)客户需求变化较频繁。当今社会和组织机构处于一个激烈竞争和变化迅速的市场经济体系之中,人们对管理信息的需求也是不断变化不断增长的,因此,导致信息系统项目的组织结构以及管理功能会随着用户的需要不断进行调整。一方面人们不断调整组织结构以适应不断变化的信息市场;另一方面,信息技术也应适应组织结构的调整。由于这些潜在问题的影响,造成信息系统项目开发目标的可变性。
3)技术方法不够成熟。虽然我国信息技术在一定程度上得到了很大的提高,逐渐缩小与国外发达国家的差距,但是技术方法依然不够成熟。信息系统项目的开发需要一定的周期,但是很可能在开发出一项技术后,又有新的技术出现,因此,很难满足用户日益变化的需求。
2、信息系统项目的风险管理存在的问题
1)项目管理人才缺乏。当前,IT企业内部普遍缺乏项目管理人才,具有全面项目管理知识和丰富实践经验的项目经理更是匮乏。软件项目的项目经理,主要或者是将全部的精力都忙于具体的技术开发工作中,疏于各种项目管理任务,可能会导致项目控制问题的“积劳成疾”。另外,国内除极少数国际知名的IT公司外,多数IT企业没有设立项目管理部、质量管理部等组织机构,在服务功能、组织体系、技术管理体系、人才结构等方面不能满足信息工程总承包或大型软件项目开发的要求,在风险管理方面自然跟不上要求,导致许多项目以失败告终。
2)项目风险意识薄弱。由于当前市场竞争如此激烈,再加上市场的成熟度不足,很容易造成信息系统项目开发的恶性竞争风险。为了满足客户的需求,往往忽视必要的科学性分析以及评估,签订可能完不成的项目合同,这其中就存在很大的风险性。这些风险的存在与项目的风险意识薄弱有很大的关系。
3)风险识别以及风险处理手段落后。风险识别是信息系统项目风险管理的第一个环节,由于在信息系统项目开发的不同阶段都可能会遇到风险,也决定了风险识别不是一次性完成的任务,必须在项目进行过程中周期性的反复的完成。但是由于我国的风险管理理论以及方法与国外相比引进较晚,很多信息系统项目的管理者难以识别项目面临的真风险和假风险,对于已经潜伏的风险也缺乏前瞻性的推测和判断。项目风险处理的手段也较单一,风险管理的基础较弱,这都影响了信息系统项目的风险识别与管理。
3、信息系统项目的风险管理
信息系统项目的风险管理是项目管理人在风险识别、风险估计以及风险评估的基础上进行的。项目管理人应主动的采取行动,妥善处理风险事件,尽最大可能满足用户在项目实施后的信息需求。
1)风险管理计划的编制。凡事预则立,不预则废,风险管理计划的编制是开展信息系统风险管理的重要依据,在信息系统实施项目风险管理过程中发挥重要的指导作用。后续的风险识别、风险分析、风险处理、风险跟踪都需要建立在风险管理计划的基础上。风险管理应该由专门的小组或者人员负责,除了制定风险管理的政策、标准等之外,还需定义风险管理活动、风险级别、风险类型等内容,将这些信息明确的写入风险管理计划中。随着项目的不断推进,项目风险管理计划也要做出及时的调整,使其更完整、切实可行。
2)风险识别。风险识别是风险分析和跟踪的基础,是风险管理的第一步,主要是对项目实施过程中的不确定性因素、各种风险的来源以及风险之间的关系进行识别。风险识别的手段主要包括如下几方面:其一,从历史或者其它相似的信息系统实施中寻找线索;其二,对照风险的分类情况,找出该信息系统所具有的风险;其三,在信息系统项目风险管理计划上进行估计,对可能出现的风险进行分析,进而确定风险。风险识别的结果是一份风险列表,其中记录了项目中所发现的风险。
3)风险的分析。在对风险识别后,应进行相应的分析,分析风险存在以及发生的可能性以及可能造成的危害程度。经过分析后,再将风险进行排序,使信息系统项目的实施人员能够按照风险的轻重进行控制,既提高工作的效率,又能有效的规避风险。风险分析主要包括定性分析和定量分析。定性风险分析,主要是评估已经识别风险出现的概率以及可能造成的后果,并根据其影响程度进行排序。定量风险分析,是量化分析每一风险的概率及其对信息系统的目标造成的后果。
4)风险的处理。第一,规避风险。通过变更项目计划进而消除风险或者将产生风险的条件消除,避免风险对项目目标所带来的危害。比如,在信息系统项目的风险管理过程中,对于已经识别出的一部分技术风险,可以通过规避风险的方法来消除。第二,风险的转移。当风险发生时,可以通过转移风险的方式将风险转移给第三方,但是这种方法却不能消除风险,只是将风险有一方转移至另一方。这种方法适用于信息系统风险管理中对财产风险的管理。第三,风险的接受。当风险在其可承受范围内或者项目团队没有找到合适的解决方法时,可以采取直接应对风险的策略。第四,风险的减轻。针对风险事件的发生概率以及产生的后果采取一定的措施,将风险的负面影响降至最低。缓解风险的方法主要包括反复的论证、建立备份系统等。
5)风险的跟踪与监控。风险跟踪的目的是根据项目最新的情况修正风险列表中的数据。风险跟踪与监控部不仅是对已经识别出的风险的状态进行跟踪,还包括监控风险发生标志、更深入的分析已经识别出的风险、继续识别项目中新出现的风险、复审风险应对策略的执行情况和效果。在风险跟踪过程中,具体工作包含重新评估风险、过程审计、分析、风险跟踪与监控会议等。
参考文献:
[1]姚树春、郁春江、陈芝荣,论信息系统项目风险管理[J],中国西部科技,2010(19)
[2]姜琛凯,项目风险管理与信息和决策[J],山东省经济管理干部学院学报,2010(2)
[3]张子华,信息系统项目信息安全风险评估研究[J],项目管理技术,2008(Zl)
关键词:信息系统;风险识别;风险管理
中图分类号:F27 文献标识码:A 文章编号:1671-7597(2010)1210145-01
进入二十一世纪后,我国IT产业得到迅速的发展,出现了各种各样的信息系统项目,伴随这些信息系统项目的建设,各行业的工作效率也有了很大的提高,进而推动了我国经济的发展。随之而来的是信息系统项目的风险管理问题,如何有效地应对信息系统项目的风险管理是一个不容忽视的问题。
1、信息系统项目的特点
1)成功标准的主观性。信息系统是一个人机系统,是一个比较复杂的系统形式,与其他项目相比,往往更难以确定成功的标准,无法找到一个简单而且客观的标准来衡量信息系统的成功与否,而且管理实践中信息系统的价值都会看其是否“好用”和有效,因此人们在评价相关的项目开发和实施效果时难免会存在一定的主观性。
2)客户需求变化较频繁。当今社会和组织机构处于一个激烈竞争和变化迅速的市场经济体系之中,人们对管理信息的需求也是不断变化不断增长的,因此,导致信息系统项目的组织结构以及管理功能会随着用户的需要不断进行调整。一方面人们不断调整组织结构以适应不断变化的信息市场;另一方面,信息技术也应适应组织结构的调整。由于这些潜在问题的影响,造成信息系统项目开发目标的可变性。
3)技术方法不够成熟。虽然我国信息技术在一定程度上得到了很大的提高,逐渐缩小与国外发达国家的差距,但是技术方法依然不够成熟。信息系统项目的开发需要一定的周期,但是很可能在开发出一项技术后,又有新的技术出现,因此,很难满足用户日益变化的需求。
2、信息系统项目的风险管理存在的问题
1)项目管理人才缺乏。当前,IT企业内部普遍缺乏项目管理人才,具有全面项目管理知识和丰富实践经验的项目经理更是匮乏。软件项目的项目经理,主要或者是将全部的精力都忙于具体的技术开发工作中,疏于各种项目管理任务,可能会导致项目控制问题的“积劳成疾”。另外,国内除极少数国际知名的IT公司外,多数IT企业没有设立项目管理部、质量管理部等组织机构,在服务功能、组织体系、技术管理体系、人才结构等方面不能满足信息工程总承包或大型软件项目开发的要求,在风险管理方面自然跟不上要求,导致许多项目以失败告终。
2)项目风险意识薄弱。由于当前市场竞争如此激烈,再加上市场的成熟度不足,很容易造成信息系统项目开发的恶性竞争风险。为了满足客户的需求,往往忽视必要的科学性分析以及评估,签订可能完不成的项目合同,这其中就存在很大的风险性。这些风险的存在与项目的风险意识薄弱有很大的关系。
3)风险识别以及风险处理手段落后。风险识别是信息系统项目风险管理的第一个环节,由于在信息系统项目开发的不同阶段都可能会遇到风险,也决定了风险识别不是一次性完成的任务,必须在项目进行过程中周期性的反复的完成。但是由于我国的风险管理理论以及方法与国外相比引进较晚,很多信息系统项目的管理者难以识别项目面临的真风险和假风险,对于已经潜伏的风险也缺乏前瞻性的推测和判断。项目风险处理的手段也较单一,风险管理的基础较弱,这都影响了信息系统项目的风险识别与管理。
3、信息系统项目的风险管理
信息系统项目的风险管理是项目管理人在风险识别、风险估计以及风险评估的基础上进行的。项目管理人应主动的采取行动,妥善处理风险事件,尽最大可能满足用户在项目实施后的信息需求。
1)风险管理计划的编制。凡事预则立,不预则废,风险管理计划的编制是开展信息系统风险管理的重要依据,在信息系统实施项目风险管理过程中发挥重要的指导作用。后续的风险识别、风险分析、风险处理、风险跟踪都需要建立在风险管理计划的基础上。风险管理应该由专门的小组或者人员负责,除了制定风险管理的政策、标准等之外,还需定义风险管理活动、风险级别、风险类型等内容,将这些信息明确的写入风险管理计划中。随着项目的不断推进,项目风险管理计划也要做出及时的调整,使其更完整、切实可行。
2)风险识别。风险识别是风险分析和跟踪的基础,是风险管理的第一步,主要是对项目实施过程中的不确定性因素、各种风险的来源以及风险之间的关系进行识别。风险识别的手段主要包括如下几方面:其一,从历史或者其它相似的信息系统实施中寻找线索;其二,对照风险的分类情况,找出该信息系统所具有的风险;其三,在信息系统项目风险管理计划上进行估计,对可能出现的风险进行分析,进而确定风险。风险识别的结果是一份风险列表,其中记录了项目中所发现的风险。
3)风险的分析。在对风险识别后,应进行相应的分析,分析风险存在以及发生的可能性以及可能造成的危害程度。经过分析后,再将风险进行排序,使信息系统项目的实施人员能够按照风险的轻重进行控制,既提高工作的效率,又能有效的规避风险。风险分析主要包括定性分析和定量分析。定性风险分析,主要是评估已经识别风险出现的概率以及可能造成的后果,并根据其影响程度进行排序。定量风险分析,是量化分析每一风险的概率及其对信息系统的目标造成的后果。
4)风险的处理。第一,规避风险。通过变更项目计划进而消除风险或者将产生风险的条件消除,避免风险对项目目标所带来的危害。比如,在信息系统项目的风险管理过程中,对于已经识别出的一部分技术风险,可以通过规避风险的方法来消除。第二,风险的转移。当风险发生时,可以通过转移风险的方式将风险转移给第三方,但是这种方法却不能消除风险,只是将风险有一方转移至另一方。这种方法适用于信息系统风险管理中对财产风险的管理。第三,风险的接受。当风险在其可承受范围内或者项目团队没有找到合适的解决方法时,可以采取直接应对风险的策略。第四,风险的减轻。针对风险事件的发生概率以及产生的后果采取一定的措施,将风险的负面影响降至最低。缓解风险的方法主要包括反复的论证、建立备份系统等。
5)风险的跟踪与监控。风险跟踪的目的是根据项目最新的情况修正风险列表中的数据。风险跟踪与监控部不仅是对已经识别出的风险的状态进行跟踪,还包括监控风险发生标志、更深入的分析已经识别出的风险、继续识别项目中新出现的风险、复审风险应对策略的执行情况和效果。在风险跟踪过程中,具体工作包含重新评估风险、过程审计、分析、风险跟踪与监控会议等。
参考文献:
[1]姚树春、郁春江、陈芝荣,论信息系统项目风险管理[J],中国西部科技,2010(19)
[2]姜琛凯,项目风险管理与信息和决策[J],山东省经济管理干部学院学报,2010(2)
[3]张子华,信息系统项目信息安全风险评估研究[J],项目管理技术,2008(Zl)