论文部分内容阅读
前言
在信息系统项目的实施中,风险管理已经被普遍认为是避免项目失败的一种重要手段。当不能清晰地预测信息系统项目的发展趋势时,可以采用风险管理的方法来发现计划中的缺陷,并采取对应的措施来减少潜在问题发生的可能性和影响。本文对项目中的风险分析和管理进行了一些总结,并提出一种简单量化的风险估计方法。
一、风险的特性
所谓“风险”,从主观的角度看,风险是损失的不确定性;从客观的角度看,风险是给定情况下一定时期可能发生的各种结果间的差异。风险的两个基本特征是不确定性和损失。
根据风险的基本特征,在处理项目的风险时,量化不确定的程度和每个风险相当的损失程度。量化的重点,可以放在信息系统项目发展方向、指标选择和风险类项等几个方面。
二、风险管理
信息系统项目的风险管理是贯穿在项目实施过程中的一系列管理步骤,使项目的风险得到合理的控制。风险管理的步骤主要包括风险识别、风险估计、制定风险管理策略和风险监控四个阶段。
试图规避所有风险会造成项目资源的严重浪费,而忽视风险的存在,则大大增加了项目失败的可能性。取得两者之间的平衡就是风险管理的目标。
三、风险识别
风险识别就是通过系统化的方法,分析出可能发生的问题。在识别风险的过程中,应注意区分直接风险和间接风险。直接风险是我们能够在一定程度上加以控制的风险,而间接风险则是我们无法控制的风险。信息系统项目的风险一般有资源风险、规模风险、相关性风险、管理风险和技术风险几大类。
四、风险估计
风险估计分为两个方面,一个是估计风险发生的概率,另一个是估计风险发生时所产生的影响。在信息系统项目中,如果对风险进行准确的定量估计很困难时,可以对风险的各种情况设定权值,再以权值进行定量的计算分析。风险估计的步骤如下:
第一步 建立风险清单
风险清单是关键的风险预测管理工具,风险清单中应列出风险名称、类别、概率及该风险所产生的影响。举例如下:
风险发生的概率可以按以下标准进行量化:
(1) 高可能性P>=70%
(2) 中可能性30% (3) 不可能P<=30
风险的影响是指当预料的结果发生时可能会对项目产生的冲击,其量化评价可以从性质、范围和时间等方面考虑,分为以下三种情况:
(1) 低度影响I=1,轻微的,项目可以承受;
(2) 中度影响I=2,严重的,影响项目的成本、进度;
(3) 高度影响I=4,灾难性的,直接影响项目的成败。
按照上面的假设,我们可以得到以下的风险清单:
第二步 风险评估
在获得了风险的基本数据后,需要为每个风险计算风险值,对风险进行进一步的分析。风险值 = 概率 × 影响值。风险值越大,风险的等级就越高。通过进一步完善上面的表格,可以得到下表:
将风险发生的概率和影响结合起来,可以得到风险值矩阵。
高影响并且中高可能性的风险以及中度影响且有高度可能性的风险(阴影部分),则应当引起更多注意。将计算的风险值与风险矩阵对比,可以判断风险是否需要管理。
第三步 风险划分
量化分析后,对已经确定需要进行管理的风险进行优先级的划分。可以定义一个高优先级列表,从1级风险中选择一个子集。风险管理必须把精力集中在这种最重要的风险子集上。同时,可以把风险进行分类,同类的风险可能需要相似的处理方法。
五、风险管理策略
风险管理策略包括损失控制、风险规避、风险转移三种。
损失控制就是有意识地采取行动防止或减少风险的发生以及所造成的经济和社会损失,可以分为防损和减损两种方法。防损是指在风险发生之前为了减少可能引发损失的各种因素而采取的措施。减损是指在风险发生之后防止损失扩大的措施。
风险规避就是把风险置于信息系统项目范围之外,比如缩小项目目标的范围,减少系统功能,或者采用更先进的技术方案。
风险转移就是有意识地将风险损失或与风险损失有关的后果转嫁给其他单位或个人。例如,可以把一个具有高风险的功能转移到一个能够成功实现它的相关项目或系统中。风险转移主要包括外包、分割风险单位和复制风险单位三种方法。
六、风险监控
在信息系统项目的实施过程中,需要根据项目的情况不断调整风险管理措施。风险监控主要是制定管理计划,并通过组织级的管理策略来执行。在风险管理计划中需要说明将要监测和减轻风险的方法。
在信息系统项目的实施中,风险管理已经被普遍认为是避免项目失败的一种重要手段。当不能清晰地预测信息系统项目的发展趋势时,可以采用风险管理的方法来发现计划中的缺陷,并采取对应的措施来减少潜在问题发生的可能性和影响。本文对项目中的风险分析和管理进行了一些总结,并提出一种简单量化的风险估计方法。
一、风险的特性
所谓“风险”,从主观的角度看,风险是损失的不确定性;从客观的角度看,风险是给定情况下一定时期可能发生的各种结果间的差异。风险的两个基本特征是不确定性和损失。
根据风险的基本特征,在处理项目的风险时,量化不确定的程度和每个风险相当的损失程度。量化的重点,可以放在信息系统项目发展方向、指标选择和风险类项等几个方面。
二、风险管理
信息系统项目的风险管理是贯穿在项目实施过程中的一系列管理步骤,使项目的风险得到合理的控制。风险管理的步骤主要包括风险识别、风险估计、制定风险管理策略和风险监控四个阶段。
试图规避所有风险会造成项目资源的严重浪费,而忽视风险的存在,则大大增加了项目失败的可能性。取得两者之间的平衡就是风险管理的目标。
三、风险识别
风险识别就是通过系统化的方法,分析出可能发生的问题。在识别风险的过程中,应注意区分直接风险和间接风险。直接风险是我们能够在一定程度上加以控制的风险,而间接风险则是我们无法控制的风险。信息系统项目的风险一般有资源风险、规模风险、相关性风险、管理风险和技术风险几大类。
四、风险估计
风险估计分为两个方面,一个是估计风险发生的概率,另一个是估计风险发生时所产生的影响。在信息系统项目中,如果对风险进行准确的定量估计很困难时,可以对风险的各种情况设定权值,再以权值进行定量的计算分析。风险估计的步骤如下:
第一步 建立风险清单
风险清单是关键的风险预测管理工具,风险清单中应列出风险名称、类别、概率及该风险所产生的影响。举例如下:
风险发生的概率可以按以下标准进行量化:
(1) 高可能性P>=70%
(2) 中可能性30%
风险的影响是指当预料的结果发生时可能会对项目产生的冲击,其量化评价可以从性质、范围和时间等方面考虑,分为以下三种情况:
(1) 低度影响I=1,轻微的,项目可以承受;
(2) 中度影响I=2,严重的,影响项目的成本、进度;
(3) 高度影响I=4,灾难性的,直接影响项目的成败。
按照上面的假设,我们可以得到以下的风险清单:
第二步 风险评估
在获得了风险的基本数据后,需要为每个风险计算风险值,对风险进行进一步的分析。风险值 = 概率 × 影响值。风险值越大,风险的等级就越高。通过进一步完善上面的表格,可以得到下表:
将风险发生的概率和影响结合起来,可以得到风险值矩阵。
高影响并且中高可能性的风险以及中度影响且有高度可能性的风险(阴影部分),则应当引起更多注意。将计算的风险值与风险矩阵对比,可以判断风险是否需要管理。
第三步 风险划分
量化分析后,对已经确定需要进行管理的风险进行优先级的划分。可以定义一个高优先级列表,从1级风险中选择一个子集。风险管理必须把精力集中在这种最重要的风险子集上。同时,可以把风险进行分类,同类的风险可能需要相似的处理方法。
五、风险管理策略
风险管理策略包括损失控制、风险规避、风险转移三种。
损失控制就是有意识地采取行动防止或减少风险的发生以及所造成的经济和社会损失,可以分为防损和减损两种方法。防损是指在风险发生之前为了减少可能引发损失的各种因素而采取的措施。减损是指在风险发生之后防止损失扩大的措施。
风险规避就是把风险置于信息系统项目范围之外,比如缩小项目目标的范围,减少系统功能,或者采用更先进的技术方案。
风险转移就是有意识地将风险损失或与风险损失有关的后果转嫁给其他单位或个人。例如,可以把一个具有高风险的功能转移到一个能够成功实现它的相关项目或系统中。风险转移主要包括外包、分割风险单位和复制风险单位三种方法。
六、风险监控
在信息系统项目的实施过程中,需要根据项目的情况不断调整风险管理措施。风险监控主要是制定管理计划,并通过组织级的管理策略来执行。在风险管理计划中需要说明将要监测和减轻风险的方法。