以下是小编精心整理的项目管理中的风险评估探讨,本文共5篇,供大家参考借鉴,希望可以帮助到有需要的朋友。
篇1:项目管理中的风险评估探讨
关于项目管理中的风险评估探讨
在项目管理的实践中,风险时常存在,风险的存在就视为安全隐患,因此风险评估是项目安全性管理的重要内容.如何能在前期准备中正确、科学的`对可能发生的风险进行预见和评估,制定相应的处理对策和预案,是关系列项目能否顺利进行的重点.本文就项目管理中的风险评估问题进行简要分析.
作 者:赵宗益 作者单位:中铁十一局集团电务工程有限公司 刊 名:中国科技财富 英文刊名:FORTUNE WORLD 年,卷(期): “”(10) 分类号: 关键词:项目 评估 探讨篇2:信息安全风险评估项目管理的论文
1前言
查找信息资产存在的漏洞,结合现有控制措施,分析这些威胁被利用的可能性和造成的影响,根据可能性和影响评估风险的大小,提出风险控制措施的过程。《国家信息化领导小组关于加强信息安全保障工作的意见》在9月被提上日程(简称27号文),提出了“信息安全风险评估是信息安全保障的重要基础性工作之一”。为了贯彻27号文的精神,进一步识别信息系统存在的风险,并对其进行控制,很多单位启动了风险评估项目。而风险评估项目又不同于一般的IT项目,有其自身的特点。
篇3:信息安全风险评估项目管理的论文
可以从五个方面解释信息安全风险评估项目的生命周期,即数据收集、计划准备、数据分析、项目验收、报告撰写,其中一三五是风险评估的主要实施阶段。
2.1计划准备阶段
(1)制定项目章程。在信息安全风险评估项目中,应尽早确认并任命项目经理,最好在制定项目章程时就任命。项目经理的职责首先就在于应该参与制定项目章程,而该章程则具有授权的作用,即它能够使得经理能够运用组织资源来进行项目的实施。显而易见,项目经理是被授权的一方,必然不能成为授权项目运行有效的一方。授权项目启动的人一般而言能够提供实施项目所需要的资金等资源,他们能够参与章程的编制。
(2)确定风险评估范围。确定风险评估范围即要了解什么方面或者对象具有风险爆发的可能,例如公司的服务器数目、电脑操作系统的安全性和稳定性、应用的防火墙种类和数目等,甚至一些人为的因素也是重要的参考。
(3)明确风险评估成果。在信息安全风险评估项目中,应该在项目开始之前,与客户将项目提交的成果及要求确定下来。明确风险评估成果之后,在项目执行过程中,该目标也应该作为项目验收的标准。
(4)制定项目实施方案。项目实施方案是项目活动实施的具体流程,主要用来为项目实施提供技术指导。
(5)制定项目管理计划。如果想要计划实施过程一切顺利,或者说对定义等计划行动的过程需要记录的话,就会需要制定一个项目管理计划。项目管理计划需要通过不断更新来渐进明细。项目管理计划不能冗余,相反应该极其精炼,但是精炼并不意味着简单,相反项目管理计划应详细论述和解释完成这个项目所需要的一些条件。
(6)组建项目团队。一个优秀的项目团队是完成项目所必不可少的,是一种必须的人力资源。在项目开始时,一般而言,由项目经理来决定优秀团队的组成,并且在组建团队时应该注意谈判技巧。
(7)召开项目启动会。项目启动会代表着一个项目从此开始了正式的运作,是一个项目的启动阶段,在项目启动会上需要完成的任务包括分析评估完成项目所需要的方法和成本等问题。
(8)风险评估培训。风险评估培训是对项目团队成员及客户的项目参与者就风险评估方法、评估过程的相关细节性进行培训,以便项目能顺利实施。
2.2数据收集阶段
主要包括收集资料、现场技术评估、现场管理评估三项任务。
(1)收集资料。数据收集阶段最开始的步骤肯定是收集资料,简而言之,收集资料就是采取一切可行的方法,尽可能详细地获得和项目相关的一些信息,例如客户的行为习惯、客户业务相关的文档,甚至信息安全系统、信息化流程等信息都要尽量详细化。
(2)现场技术评估。现场技术评估就是通过漏洞扫描、问卷调查、现场访谈、主机配置审计、现场勘查等手段对评估对象进行评估。
(3)现场管理评估。现场管理评估是最后一个步骤,但是却非常重要,它不仅关系着此次项目运行成功与否,还关系到以后项目效率的改进,现场评估需要对项目进展的流程进行综合分析,找出不足之处,寻出与优秀的项目管理之间的差距,归纳总结,从而完善管理程序。
2.3数据分析阶段
收集数据阶段已经收集了很多的数据存量,想要发现数据的内在规律,从而发现有用的东西,就必须对数据进行详细分析,只有仔细分析数据,才能够发现项目的风险所在,从而确定风险的大小,找出其资产、弱点、风险。
2.4报告撰写阶段
对收集到的数据进行了详细分析,得到初步的结论以后,就到了报告撰写阶段,即在数据分析的基础上,制作一份报告,论述项目的风险问题。
(1)撰写风险评估报告。风险评估报告应该将风险分析的结果直观地、形象地表达出来,让管理层清楚地了解当前信息系统存在的风险。
(2)撰写整改报告。整改报告则是根据风险评估的结果,提出对风险进行管理与控制的过程。可分为安全加固建议、安全体系结构建议、安全管理建议三种。
2.5项目验收阶段
在完成了以上的步骤以后,理论上就可以对项目进行验收了,项目验收即对前期风险评估成果的检验,一般包括三项内容,即报告的评审、组织会议讨论验收事宜以及内部项目总结。
(1)报告评审报告评审就是对风险评估报告及整改报告进行评审。
(2)召开项目验收会即对项目的成果进行汇报。
(3)内部项目总结不仅仅是单纯的对项目实施过程的一次简单的回顾,还是一个经验总结的过程,回顾过去,把握现在,争取在以后的项目中不再犯同样的错误。
篇4:信息安全风险评估项目管理的论文
信息安全问题影响深远,其风险评估应根据项目的特点及具体过程,且应在评估中重点加强沟通、范围、时间、成本、风险、人力资源等几个领域的管理。
3.1项目沟通管理
为了达到项目目标,项目经理首先必须通过沟通谈判从本公司获得相应的人力资源等支持;其次,为了获得客户的支持与配合,提高项目满意度,项目经理必须与客户进行有效沟通。项目的最终目标是满足或者超过干系人的需求与期望。要满足或者超过干系人的需求与期望,首先应该识别干系人,识别他们的需求与期望,制定沟通计划,在项目实施过程中管理干系人的需求与期望。
(1)识别干系人。很显然,与项目的相关程度不同,不同的人对项目信息安全风险具有不同的影响,作为客户方与项目实施方,其公司企业的信息安全风险是不一样的,一般而言客户方具有最大的影响力,公司方则次之,干系人对项目的态度也是影响项目信息安全风险的重要因素,态度一般分为无关、支持和反对三个。
(2)了解干系人的需求与期望。应该在充分了解项目背景的基础上,运用一定的方法与技巧了解干系人的需求与期望。①了解项目背景。可以咨询售前顾问、销售人员或者查阅招标时的招标书,甚至可以通过互联网获得相关信息。风险评估项目的项目背景也是复杂的,一般而言会分成很多的情况,比较常见的有项目本身实施过程中出现的信息安全事件、监管机制的不合理等。②了解干系人需求与期望的方法。马期洛需求层次理论可以帮助我们了解干系人需求与期望。通过马期洛需求层次理论可以大致了解干系人的需求,然后通过换位思考、沟通交流等手段,进一步确认干系人的需求与期望。
(3)制定沟通计划。信息安全风险评估项目需要沟通,所以需要制定一个有效的沟通计划。信息安全风险评估项目不能够随意地制定沟通计划,而应该详细地分析相关的影响因素,重点关注利益相关者的沟通情况,从而降低影响,提高效率。
(4)管理干系人的需求与期望。干系人的期望与需求也应该得到恰当的管理,最重要的是要明确期望与需求,进行类别的划分。可分为A、B、C三类:A类:必须做(need),这一类如不做,将难以通过验收;B类:应该做(want),这一类如不做,会影响验收效果;C类:可以做(wish),这一类是可做可不做的,做了客户会更加满意,不做也不会影响验收。其次,在管理干系人的需求与期望时,应该遵循80/20规则,即完成20%的`任务实现80%的价值,这部分任务必须作为重点。另外,可能还有20%的任务花费80%的成本,在资源及时间允许的情况下处理此类需求与期望。再次,在管理干系人的需求与期望时也可以根据干系人的职权(权力)进行管理。①在第一象限中的干系人权力高,但对项目关注程度低,采用令其满意的管理策略。②在第二象限中的干系人权力高,且对项目关注程度高,要对其重点管理,优先满足其需要与期望。③第三象限的人员对项目关注程度高,但权力较低,采用随时告知的策略,尽量不要影响其个人利益。④第四象限的人权力低,且对项目不关注,要监督他们对项目的反应,不引起负面影响。最后,为了满足干系人的需求与期望,需要在项目范围、项目时间、项目成本、项目质量之间做好平衡。
3.2项目范围管理
范围是一个空间的范畴,一个项目管理的范围规定了一个项目的权限范围,规定了项目可以做哪些事情,而哪些事情是不能做的,实际上是对必要工作的坚持和对不必要工作的摒弃。
(1)明确风险评估范围。项目计划准备时就要考虑风险评估范围,在这一阶段就应该定义项目范围的广泛性以及纵深等内容,并且考虑客户的需求,从而明确项目管理范围。项目范围的确定不是一方所能够决定的,相反这是一个博弈的过程,应该照顾各方的利益,制定出一个符合各方利益的项目管理范围。
(2)明确风险评估成果。应该在项目开始之前,与客户将项目提交的成果及要求确定下来。一是在项目执行过程中,以此为目标;二是设定一个验收项目的标准。
(3)创建工作分解结构。顾名思义,创建工作分解结构即将解构分解,即把项目的最后结果和其工作流程明细化,从而使得每一步变得简单,更加容易操作。在信息安全风险评估项目中,第一层一般就放置项目成果,而第二层则更加侧重中间成果。显而易见,分解工作结构并不是一件简单的事情,也不是只有一种方法,各层次都是可以相互变化的。
(4)风险评估范围控制。范围是所有计划的基础。对待客户提出范围变更应该遵循以下流程:首先不能明确拒绝,然后要分析客户变更的原因及目的,快速反应变更所需要的人工及预算对时间和质量的影响,然后再做出决定。
(5)风险评估成果核实。风险评估成果核实过程应该严谨而且细心,因为这是一个正式验收项目的过程,需要由客户和项目的执行人一起认真核实项目的最终结果。
(6)取得干系人对项目范围正式认可。它要求审查可交付成果和工作结果,以保证一切均已正确无误且令人满意地完成。
3.3项目时间管理
时间管理至关重要,因为优秀的时间管理保证项目能够不延期交付。
(1)定义活动。定义活动从字面上理解就是一个识别的过程,定义识别的是在项目的实施过程中需要采取的一切实施方法和步骤。它是在工作分解结构的基础上进行细化而完成的。
(2)排列活动顺序。活动顺序涉及到的是一个排列的问题,指的是一种依赖关系,即识别和记录项目活动的依赖关系,是一种逻辑的过程。一般而言,这里所指的依赖关系指的是信息安全风险评估项目中,各个活动之间所具有的特性,如强制性、选择性和外部依赖性。确定完活动之间的依赖关系,就可以对他们进行排序了,可以采用网络图的方法来表达他们之间的顺序,常有三种关系,即完成-开始,开始-开始,结束-结束。
(3)估算活动持续时间。估算活动持续时间是一个时间上的范畴,指的是估计资源运用和消耗,以及估计完成一项活动所需工时的过程。需要根据活动的具体情况、负责活动的人员情况来进行估算。估算不能随意,应该具有严格的依据。工时估算时,常采用三点估算法。即估算工时=(最乐观时间+4×最可能时间+最悲观时间)/6。①制定进度计划。制定进度计划首先需要对所掌握的信息进行深入分析,从而确定活动的顺序,并且在时间和空间上确定一个相对准确的点,估算对资源的需求以及项目实施流程。制定一个有效的进度计划并不是件简单的事情,而是极其复杂的过程,在这期间需要一遍又一遍分析,从而确定一个合适的时间跨度,并且对项目结果有一个合适的预期。即使制订了进度计划,也不是一成不变的,而是要根据相关审查部门的意见适当地修改计划,从而使得计划在时间和资源应用上更加合理。只有审查通过以后,这个进度计划才可以说是确定下来了。信息安全风险评估项目极其复杂,很多因素无论是内部的还是外部的,都对项目有很大的影响,并且鉴于有限的项目组成员,所以需要采用一个更加合适的进度计划形式。②控制进度。控制进度的同时也是一个对项目监督管理的过程,这一过程根据进度计划的基准不断地调整项目的进程。进度控制程序:一般分为四个步骤,即先要分析一个项目所散发的状态信息;然后如果需要调整进度,就要调整影响进度的相关参数;再次分析以后,要确定一个项目是否在原定的轨道上;如果进度脱离了轨道,就要进行相应的管理。
3.4项目成本管理
成本管理包括估算成本、制定预算、控制成本三项任务。
(1)估算成本。对成本的估算需要囊括整个项目的进程,时间跨度和空间跨度上均要全面。成本估算是在某特定时点,根据已知信息所做出的成本预测。信息安全风险评估项目的主要成本是人工成本及实施直接成本,因为人工成本占了所有成本的一大部分,所以精确地估算人工成本是成本估算最基础的一面。估算人工成本有个前提,即进度计划是准确的,从而对团队成员的人工估算做到精确。项目成本即使估算出来了,也不一定是准确的,需要时时修正,因为越到了项目的后期,需要估计的越少,影响估算准确性的因素也越少,所以成本估算需要不断进行。
(2)制定预算。制定预算也是一个估算的过程,是对一个项目的所有方面进行一个全面的评估,从而为以后资金的拨付制订了基础和基准。只有制定预算,才能够根据预算的需求来划拨资金,并且影响到了项目的实施全过程和成果评估部分。
(3)控制成本。成本的控制一般而言指的是成本不应该超出预算,控制成本是一个动态的过程,是监督项目状态,从而获得有用信息以更新项目预算。项目成本控制包括:找出影响项目成本的因素,并作相应的修改;保证修改项目参数能够成功;在修改成功以后,要随时动态地监督;控制成本,使得成本控制在预算的范围之内,甚至应该精确到每一项开支;分析成本与预算成本基准之间的差距;对照资金支出,监督工作绩效;严格禁止不相关的支出,使得每一项成本都合情合理;向有关干系人汇报项目进展和成本控制的工作;即使项目超支了,也要尽量减少成本。
3.5人力资源管理
人力资源管理在一个项目执行时包括很多方面的内容,例如管理组织一个实施团队、人员分工等。
(1)制定人力资源计划。制定人力资源计划是在项目实施之前对实施项目的团队、人员、职务、报酬等方面的规划,并且对各个人和团队的责任进行详细划分。人力资源计划包含项目角色与职责记录、分成的各个部门等。一些信息安全风险评估项目执行时间比较长,因此需要更加有效的团队,这就需要对人员进行培训以及制定团队建设策略等。风险评估项目的责任分配并不复杂,可采用责任分配矩阵(RAM),这个矩阵能够显示工作包或活动与项目团队成员之间的联系。并且根据需求的不同,制定不同层次的矩阵。
(2)组建项目团队。组建项目团队实际上是对人力资源使用和分配的过程,需要了解人力资源的各种特性,从而组建最合适的管理团队,在组建团队时需要注意:项目经理所要做的是积极地与人力资源人员进行交流,充分掌握各方面的信息,从而获得最合适和最有效率的人才。但是有时候项目经理并不能总是如愿地获得自己想要的人力资源,而是会受到如经济等其他项目对资源的占用等因素的影响,从而制约了项目的实施,作为替代,项目经理可能不可避免地使用不合适的人力资源。
(3)管理项目团队。管理项目团队是选出来运营项目的人所组成的团队,他们具有多样化的目标,例如继续学习,提高团队成员的专业技能,增强团队的执行能力从而保证项目结果的按时交付;以最低的成本完成最高质量的项目;按时完成项目,团队成员之间相互协作,增加团队效率,丰富团队成员的知识,增强其跨学科运作能力,提高团队的凝聚力,无论整体上还是个人上都有效率的提升等。项目经理在期间应该全权负责项目团队的管理运作,增加项目绩效,在团队出现问题时,分析导致问题的原因,然后解决问题。团队建设一般要经过5个阶段:
①形成阶段,这个阶段是团队形成的最初阶段,团队成员只是互相认识,并没有相应的合作。
②震荡阶段,指的是团队已经开始运作,但是成员之间需要磨合的阶段。
③规范阶段,过了磨合期以后,团队成员彼此之间逐渐适应了彼此的节奏,能够进行初步合作了,团队开始有成为一个有效整体的趋向。
④成熟阶段,这一阶段团队成员之间已经能够精诚合作,互补余缺,相互学习,团队效率较高。
⑤解散阶段,即当项目完成以后,各成员完成了职责,从而脱离团队。因为各种各样的原因,例如缺乏充足的资金、进度安排不合理、团队成员之间缺乏配合等,会造成项目环境的冲突。如果项目经理能有效管理,则意见分歧能够转变为团队的多样化管理,不仅能够提高团队创造力还有利于做出更好的决策。如果管理不当,团队之间的分歧没有得到解决,就可能会加大团队成员之间的鸿沟,从而对项目的实施产生负面的影响。要建设高效的项目团队,项目经理需要获得高层管理者的支持,获得团队成员的承诺,采用适当的奖励和认可机制,创建团队认同感,有效管理冲突,团队成员间增进信任和开放式沟通,特别是要有良好的团队领导力。项目团队管理的一些工具与技术包括:
①人际关系技能。通过了解项目团队成员的感情来预测其行动,了解其后顾之忧,并尽力帮助解决问题,项目管理团队可大大减少麻烦并促进合作。
②培训。旨在提高项目团队成员能力的全部活动,培训可以是正式或非正式的。应该按人力资源计划中的安排来实施预定的培训。
③制定管理规范,对项目团队成员的可接受行为做出明确规定。尽早制定并遵守明确的规则,可减少误解,提高生产力。规则一旦建立,全体项目团队成员都必须遵守。
④认可与奖励。如果想要提高项目团队的效率,使得每个人更加尽心和更加富有责任感,就应在团队建设过程中引进相应的激励机制,在制定项目计划时就应该考虑到团队成员的奖惩问题。在管理项目团队的过程中,团队成员的奖励不是随意而发的,而是通过项目绩效评价,以正式或非正式的方式做出奖励决定。只有优良行为才能得到奖励。
3.6项目风险管理
项目风险管理旨在降低风险,或者把风险控制在可控范围之内。其目标是尽力使得项目运行向着有利的方面转化,对消极负面的一部分则注意防范。信息安全风险评估项目不属于特别大的项目,所以一般分为识别风险、评价风险、规划风险应对、监控风险四个过程。
(1)识别风险。识别风险是风险管理的前提,是一个信息处理的过程,在这个过程中判断分析什么样的风险会影响项目。可采用核对表的方式进行风险识别。
(2)评价风险。对于信息安全风险评估项目,评价风险只需要定性评价即可。实施定性风险分析根据风险发生的相对概率或可能性、风险发生后对项目目标的相应影响以及其他因素来评估已识别风险的优先级。
(3)规划风险应对。规划风险应对是风险管理最重要的步骤,其规划的是项目的目标及降低风险的步骤。对于消极风险,常有回避、转移、减轻、接受四种方式;对于积极风险,常有开拓、分享、提高、接受四种方式。
(4)监控风险。监控风险是风险管理的最后一步,也是第一步,因为它是贯穿在整个项目之中,是一个制定风险应对计划、监控已知风险、加强管理以解决风险以及发现新风险的过程。
4结语
信息安全风险评估项目是个新兴的行业,整体项目管理水平有待提高。在进行项目管理时,需要结合项目特点灵活运用项目管理的知识,有些知识领域应该重点加强,有些知识领域可以适当忽略,按时、合格地完成项目,得到满意的项目结果,符合干系人的预期。
篇5:论IT项目管理中的风险管理论文
论IT项目管理中的风险管理论文
【摘要】本文针对IT项目中风险管理的方法进行分析和研究,指出IT项目在项目管理的过程中,通过风险管理来降低项目管理中的风险系数,规避项目管理中的风险问题,达到风险预防和及时正确的处理相关风险的效果,从而提高IT项目的成功率。
【关键词】IT项目 风险管理
一、前言
IT项目的风险管理研究在国外已有十多年的历史,而我国尚未普遍开展关于IT项目风险的研究或实践。随着IT的发展,应用领域的扩大和深化,IT系统的结构越来越复杂,客户对其性能需求越来越高,所以IT项目上存在着许多不确定性,决定IT项目中存在各种风险,这些风险使IT项目的成功率大大下降,由此可见,IT项目的风险需要得到明确的、系统的、综合的管理。
所有投资活动都会有风险,但是相对于其他项目来说,软件开发的风险更高,以各国开展IT项目的成功率来看,2001年中国IT项目成功率不足30%,2002年,美国方面的IT项目绝对成功为34%,彻底失败的15%,其余中的51%存在费用超支或超出工期的问题。IT项目之所以失败的概率很大,主要是面临着以下几方面的原因,
1.客户的需求不明确。一方面,客户对IT项目和计算机知识缺乏认识,自己并不清楚自己所需的IT项目的结果,不断补充和修改需求,使得项目不断的改变原来的实施方案。另一方面,IT项目管理人员对于行业知识缺乏和设计人员水平低下,不能完全理解客户的需求说明。
2.不充分的项目计划和过于乐观的批评估。没有良好的开发计划和开发目标,项目的成功就无从谈起。IT项目的工作量估算是一项很重要的工作,对于工作量估算不足是最常见的问题,例如使用人员的培训时间,各开发阶段的评审时间的忽略。
3.采用了经验实践不足的新技术。新技术、新硬件是IT项目实施的主要风险源。
4.管理方式和方法不恰当。
5.开发出的系统性能不能满足用户需求,例如系统运行速度慢,体统维护更新困难。
6.团队组织不当或项目组成员流失。如何规避上述IT项目开发过程中的风险,在IT项目开发过程中进行风险管理显得尤为重要。
本文在实践项目经验的基础上针对IT项目中存在的各种风险进行系统性的分析和研究,在风险管理理论与实际工作相结合,找到适合我国软件开发中风险预防和处理方法的一些思考和建议。
二、风险管理
IT项目风险管理是风险管理理论在IT项目上的具体应用。
任何IT项目都要制定项目计划,而项目计划在许多方面都是以估算为基础的,并且受到以下因素的影响,对现状的理解是否充分,可获取的信息是否充足,无法判断而不得不做的假设等。在这些因素的影响下,在预测将来的事件的结果时,无疑会有不同程度的不确定性,这些不确定性给IT项目带来了风险。任何事情都是很少能完全按照计划发展,而IT项目更是处于一种动态的环境中,在项目进行过程中,各种风险就会伴随出现,因此风险管理显得由为重要,成为是IT项目的一个重要组成部分。我们所研究的项目风险管理主要是讨论如何有效地制定风险计划,风险识别,进行风险评估,并且根据风险识别和风险评估提出风险策略,进行风险监控和风险对应,最后进行风险评价的总结。还有一点我们必须明白风险的目的不为了不惜代价去规避所有的风险,而是运用风险管理去规避显而易见的风险,对于一些隐性风险变为现实时,如何针对风险做出合理的决策。即哪些风险我们可以避免,哪些风险我们必须面对,采用任何方式有效对应这些风险。
很多IT项目并不遵循正规的风险管理方式,缺乏对风险管理的早期规划,最后这些项目走入了困境。他们不能有效地处理项目中的问题,最好导致项目管理成了长期的“危机管理”。下面可以例举一些在IT项目中最常见的风险:1.不理解风险管理的好处。通常项目发起人和客户总是要求最终结果,他们不关心项目团队通常会采用非常激进的风险策略,而且根本不考虑他们的决策会对项目造成什么影响。他们经常非常乐观地忽视项目中存在的风险,但遗憾的是,这些风险最终都变成了现实,而且对项目的成功了极大的破坏作用。这样的项目团队只是坐等风险的发生。看着项目出现了进度延误、质量问题和预算超支。由于对风险的管理的忽视最终导致项目中生产率下降,项目的失败率提高。
2.没有为风险管理留出充足的时间。风险管理及相关过程是项目规划过程的重要组成部分,而且贯穿项目的整个项目生命周期。评估项目风险的最佳时机是项目开始最早阶段。在这个阶段,项目的不确定性最高。在项目早期识别风险并且规避风险所花费的代价,要比在风险变成问题之后对它进行正所花费的代价低得多。应对风险的方法包括降低风险发生的可能性和准备风险发生后的应对方案,如果风险发生,要在最快的时间内执行应对的措施,从而最大程度地降低风险对项目进度和预算的影响3.在识别和评估风险时没有采用标准的化的方法。如果没有采用标准化的方法去管理风险,那么就有可能忽视项目中的某种威胁和机会。本来能够避免的问题没有去避免,当它出现之后需要花费更多的时间和资源进行纠正。项目中存在的机会被人们一再错过,项目中的决策过于仓促,缺乏依据,项目成功概率下降。
项目中的突发事件增多,而且没有任何事先预警,而且,项目团队总是发现他们处于危机状态。这种状态延续下去,团队士气、生产效率都会受到严重影响。
为了遵循正规的风险管理方式,建立风险管理体系,科学地运用风险管理体系降低项目消极事件发生的概率和影响,我门针对IT项目风险管理的过程,把风向管理体系分为风险规划,风险识别,风险评估,风险策略,风险监控,风险应对,风险评价七个步骤。
(一)风险规划
风险规划是风险管理的第一步,它必须得到所有项目利益关系者对风险管理方法的坚定承诺,保证有足够的资源使用在风险管理的过程中,这些资源包括时间、人员、技术等等。同时在处理风险时要按照风险管理流程进行。
(二)风险识别
风险识别就是采取严格计划的步骤,在妨碍项目成功的因素要成问题之前发现并定它们,无论多么有效的风险管理手段,都必须在正确识别出风险因素后才能发挥作用。
风险识别的基本原则有以下方面:
1、注重积累的经验。就是充分利用已有的IT项目开发的经验,提高风险的识别效果。同时不断的积累经验和教训,使识别能力不断提高。
2、杜绝直觉管理。
风险直觉管理依靠的是项目管理者的能力和经验,但是风险往往发生在管理者无法直接控制的下层,不能很好的处理风险。
3、不能遗漏任何重大的风险。风险识别的效果体现在没有遗漏将可能威胁项目的重大事件。
风险识别的方法和途径:
首先基于IT项目的风险分为开发环境类,系统环境类和管理环境类三类:
1.开发环境类,包括:开发工具因为版权问题无法及时到位使用,开发工具培训力度不够或者工具本身无法提供相象的有效,导致开发人员需要额外的时间。功能要求和性能要求无法达到原定计划的要求。
2.系统环境类,包括:计算机硬件远远不能达到开发系统的要求。开发人员对系统软件不熟悉。项目经理不是一个合格项目管理者,解雇或消减项目开支,项目组织结构不合理导致开发效率低下,项目管理和决策人员审查项目和决策项目时间过长,项目计划因为进度压力和市场急迫需求导致开发陷入混乱、低效的境地。
3.管理环境类,包括:项目需求仅恁市场或者客户口头的说明,计划的作出是基于对项目本身并不太了解的.人员的分析,产品的规模比估计的要大(包括代码行数、功能点等),实际工作量远远大于估计计量,长期过度在压力下工作导致生产率严重下降,涉及了软件开发项目组中不熟悉的领域等。资金和设施发生短缺,计划进度被延长。
根据以上风险来源,可以制定相应的计划进度询问表来进行风险识别。例如设计以下问题:
1.进度估计方法是否基于以前积累下来的经验?
2.进度估计时是否遗漏了如培训时间、技术分析等活动?
3.与外界的接口是否完全确定?通过这样的书面调查来达到风险识别的效果。
(三)风险评估
风险评估是风险数据转化为风险对应信息的过程,起到风险管理过程中奉行识别和风险控制间的桥梁作用。风险评估的目的是确定每个识别出的风险发生的可能性和造成的影响;风险评估的目的是把识别出的风险进行优先顺序排列,从而对严重的风险制定有效的应对策略。
定性风险分析法:
定性风险分析法是一种主观分析方法,它基于项目利益关系者的经验和判断。虽然每个利益关系者都可以对风险做定性分析,但是为了让结果更加客观有效,通常通过小组的形式来完成分析。
小组流程可以让每个利益关系者听到其他人的不同意见而且可以把项目中存在的威胁、机会、问题或看法进行全面和充分的讨论。
为了简单起见,我们通过图表来进行讨论。
IT项目风险影响得分表
风险(威胁)0%~100%概率0~10影响P~1得分关键项目成员离开项目组客户不能定义范围和需求客户遇到财务问题。
表中的第二列是通过主观分析得出的各个风险发生的概率。
在这里你可以看出所有风险发生的概率加起来并不等于百分百,因为在这些风险并不是相互独立的事件,也就是说,在这些风险有可能都不发生,有可能发生其中的一部分,也有可能全部发生。
如果概率等于零,表示这个事件基本上完全不可能发生;如果概率等于百分之百,则意味着这个事件一样要发生。第三列是各风险发生之后可能造成的潜在影响,这也是一种主观估算。评分从0~10,0表示对项目没有影响,10表示对项目有非常严重的影响。
确定了每个风险事件的概率和影响之后,就可以把概率和影响相乘得到风险分数。虽然这些分数是基于项目利益关系者的主观判断,但它还是可以告诉我们一些信息,如果哪些风险需要监控,哪些风险需要应对。计算出风险分数之后,就可以把风险按照下表的方式进行排序。
从表中可以看出,项目中最重的风险是“客户不能定义范围和需求”.对风险进行评分的时候已经考虑利益关系者对风险的容忍度,因为对风险概率和影响的主观估计已经包含利益关系者的态度。
(四)风险策略
对风险进行评估的目的,是为了确定哪些风险威胁需要我们去关注。因为我们不可能对所有的风险都进行应对,一方面我们没有那么多的资源,另一方面它会扰乱我们对项目主要工作的注意力。因此,是否要对某个具体的风险制定应对策略主要依赖于下面几个方面。
1.接受或者忽视风险。接受忽视相对而言是比较被动的风险应对措施。采取这钟措施表示项目利益关系者认为这个风险基本上不会发生,所以在它发生之前,利益关系者并不对此有过多的忧虑。通常采用这钟策略的风险都是发生概率比较低、造成影响比较小的风险。如果发生的概率比较低,而造成的影响又比较高,那么就需要采用主动一点的方法,如留取一定的储备金,这部分的储备金有高层管理者负责控制,并且对它的使用负责批复。这类的储备金通常没有包含在项目的预算之内,但是它也可能用来作为处理意外事件的缓冲基金。制定应急预案有时候也叫后备方案,或B类方案。当某个风险事件发生时,就可以启动该应急方案,虽然我们认为这钟方案是在万不得已的情况才会使用的,但是它却非常有用。
2.避开风险。这钟策略就是采取各种方法避开风险,比较积极的方法是采取措施阻止威胁的发生,或者是降低威胁发生的可能性。
3.减轻风险。减轻这个词语的本意是说让它变得少一些。因此,减轻的策略包括降低风险发生的可能性,或者降低风险发生之后造成的影响,或者双管齐下。
4.转移风险。转移的策略主要是把风险的责任转移给其他人。
通常在项目中使用的方式有:为某个特定的风险购买;把项目中的某一部分工作分包给更具有专业技能的人员或组织等。采取这钟策略管理和应对风险时,通常需要增加额外的成本。
5.风险监控。风险监控也称为风险跟踪,它由监控风险的状态和改善风险状态的活动两部分组成。IT项目中所有的项目活动都必须处于风险监控之下、考虑到监控的成本只在事件突发时或定期实施监控。
(六)风险应对和评价
在风险应对计划里我们定义了一些风险触发因素,在这些因素通常是一些项目绩效指标,当这些指标的值达到某一界限时,就表示着某个风险有可能发生。风险的监控系统应该对这些因素进行监控,同时把风险状况在不同的风险责任人之间进行沟通,风险的责任人应该非常重视谨慎和仔细地观察这些触发因素的变化。触发因素一旦出现,项目的风险责任人就应当采取措施。通常来说,风险应对计划中已经确定了需要采取的措施。另外,还要有足够的资源来保证应对措施的落实。
采取风险应对措施之后。其效果可能是有利的,也可能是不利的,不管如何,我们都要对风险管理的正个过程(包括风险规划、准备、识别、分析和评估、应对等)进行总结,从中提取经验教训和最佳实践,并且同组织内其他项目进行分享。
这就是风险评价。
三、总结
本文主要从理论和实践方面讨论了IT项目风险管理的体系和方法,希望提高IT项目管理中对风险的认识。通过建立IT项目开发过程中风险管理机制,分七个步骤实施风险管理,更加系统的规避和处理风险事件,从而提高了IT项目管理效率,节约了IT项目开发的成本,使IT项目的成功率得到提高。当然上面所分析和研究的风险管理机制必须在不断积累的实践经验的前提下,不断提高分析的效率和力度,更好符合风险管理的科学规律。
文档为doc格式
