免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2014年下半年 信息系统项目管理师 上午试卷 综合知识
  第47题      
  知识点:   风险应对规划   分包   风险管理   风险应对措施   技术风险   培训   项目风险管理
  关键词:   分包   风险应对   技术风险   人力资源   系统集成   项目风险管理   项目经理   协议   风险   风险管理   项目风险        章/节:   项目风险管理过程       

 
某系统集成企业迫于经营的压力,承接了一个极具技术风险的项目,该项目的项目经理为此调用了公司最有能力的人力资源,组织项目组核心团队成员培训,与该项目技术领域最强的研究团队签订项目技术分包协议,从项目风险管理的角度来看,该项目经理采取了(47)的应对策略,并采取了(48)风险应对措施
 
 
  A.  应急风险
 
  B.  正向风险
 
  C.  转移风险
 
  D.  负面风险
 
 
 

 
  第47题    2019年上半年  
   40%
某信息系统建设项目中,为防范系统宕机风险,项目经理建设采购服务器时均配置冗作电源和冗余风扇。项目经理采用的风险应对策略为..
  第48题    2018年下半年  
   42%
A公司刚刚中标一个大型系统集成项目,其中一台设备计划从国外采购,近期汇率波动明细,A公司准备与客户协商使用国产进行替代,这..
  第63题    2018年下半年  
   27%
小王在设计测试用例时,由于忽视了边界条件、异常处理等情况,没有完全覆盖需求。这类风险属于测试工作中的()
   知识点讲解    
   · 风险应对规划    · 分包    · 风险管理    · 风险应对措施    · 技术风险    · 培训    · 项目风险管理
 
       风险应对规划
        风险应对规划过程是针对项目目标,制订提高机会、降低威胁的方案和措施的过程。在风险应对规划过程中,需要根据风险的优先级来制订应对措施,并把风险应对所需的资源和活动加进项目的预算、进度计划和项目管理计划中,还应确定和分配实施风险应对措施的风险应对责任人。
        输入
        1.风险登记册
        风险登记册最初在风险识别过程中形成,在定性和定量风险分析过程中进行了更新。风险应对规划过程需要风险登记册中的所有内容作为输入。
        2.风险管理计划
        风险管理计划的主要内容包括角色和职责、风险分析定义、审查时间安排以及关于低、中、高风险的风险临界值。风险临界值有助于识别需要特定应对措施的风险。
        工具与技术
        1.消极风险或威胁的应对策略
        有三种典型的方法可用来应对消极风险或威胁:
        .回避。指改变项目管理计划,以完全消除威胁。项目经理可以把项目目标从风险的影响中分离出来,或改变受到威胁的目标(如延长进度、改变策略或缩小范围)。最极端的回避策略是取消整个项目。在项目早期出现的某些风险,可以通过澄清需求、获得相关信息、改善沟通或取得专有技能来加以回避。
        .转移。指把某风险的部分或全部消极影响连同应对责任转移给第三方。转移风险只是把风险责任转移给另一方,而并非消除风险。转移风险对处理风险的财务问题最有效,需要向风险承担者支付风险费用。风险转移的方法包括保险、履约保函、授权、担保书和保证书等。
        .减轻。指把不利风险事件的概率和影响降低到一个可接受的范围内。提前采取行动来降低风险发生的概率和影响,比风险发生后的补救往往要有效得多。减轻措施的例子有采用更简单的流程、进行更多的测试、选择更稳定的供应商、开发原型等。
        2.积极风险或机会的应对策略
        对积极风险的应对策略包括以下三种:
        .开拓。旨在消除与某个特定积极风险相关的不确定性,确保机会肯定出现。直接开拓包括把组织中最有能力的资源分配给项目来缩短完成时间或节约成本。
        .分享。指把应对机会的部分或全部责任分配给最能为项目利益抓住该机会的第三方,使项目受益,各方受益。如建立风险共担的合作关系,为特殊目的成立公司或联营体等。
        .提高(强化)。提高机会的发生概率和积极影响。识别那些会影响积极风险发生的关键因素,并使这些因素最大化,可以提高机会的发生概率。如为尽早完成活动而增加资源。
        3.适用威胁和机会的应对策略
        既适用威胁又适用机会的应对策略为接受。
        项目团队已经决定不通过改变项目管理计划来应对风险,或者无法找到任何其他的合理应对策略。该策略可以是被动的或主动的。被动地接受风险,只需记录本策略,待风险发生时再由项目团队进行处理。最常见的主动接受策略是建立应急储备,安排一定时间、资金或资源来应对风险。
        4.应急应对策略
        可以针对某些特定事件,专门设计一些应对措施。对于有些风险,项目团队可以制订应急应对策略,即只有在某些预定条件发生时才能实施的应对计划。如果确定风险的发生会有充分的预警信号,就应该制订应急应对策略。应对促发应急策略的事件进行定义和跟踪,如未实现的阶段里程碑或获得供应商更高程度的重视。
        输出
        1.风险登记册(更新)
        在风险规划过程中,选择适当的风险应对措施,并记录到风险登记册。此时风险登记册应该包括如下内容:
        .已识别的风险及其描述、受影响的项目领域(如WBS要素)、风险起因(如RBS要素),及其对项目目标的潜在影响。
        .风险责任人及其职责。
        .定性和定量风险分析过程的输出,包括项目风险的优先级排序及概率分析。
        .一致认同的应对策略。
        .执行选定的应对策略所需的具体行动。
        .风险发生时的预警信号。
        .执行应对策略所需的预算和进度活动。
        .应急计划以及启动应急计划的触发器。
        .回退计划,以便在风险发生并且主要应对措施无效时使用。
        .残余风险(采取预定应对措施以后仍然存在的风险)和已经有意接受的风险。
        .次生风险(执行风险应对措施而直接导致的风险)。
        .应急储备(根据项目定量风险分析以及组织的风险临界值计算出来)。
        2.项目管理计划(更新)
        风险应对策略一经认可,则需要根据增加的应对活动对项目管理计划进行更新,可能需要更新的内容包括进度、成本、质量、采购、人力资源管理计划等。
        3.风险相关的合同决策
        本过程可能做出转移风险的决策,如采用保险协议、服务协议和其他协议。相关的合同决策可能是减轻或转移部分或全部威胁的需要,也可能是提高或分享部分或全部机会的需要。选定的合同类型也是分担风险的一种机制。在许多情况下,成本补偿合同可以把成本风险转移给买方,而总价合同可以把风险转移给卖方。这些决策是采购规划过程的输入。
 
       分包
        中标人应当按照合同约定履行义务,完成中标项目。中标人不得向他人转让中标项目,也不得将中标项目肢解后分别向他人转让。中标人按照合同约定或者经招标人同意,可以将中标项目的部分非主体、非关键性工作分包给他人完成。接受分包的人应当具备相应的资格条件,并不得再次分包。中标人应当就分包项目向招标人负责,接受分包的人就分包项目承担连带责任。
 
       风险管理
        没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
        风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
               风险分析
               风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
               风险评估
               进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               控制风险
               对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
 
       风险应对措施
        到目前为止,我们先后介绍了制定风险管理计划、识别并分析风险。我们最终的目的是减少项目中风险发生的可能性、降低风险带来的危害、提高风险带来的收益。可见,还必须针对识别出的风险制定相应的措施来防范风险的发生或增加风险收益,这些措施就体现在风险应对计划中。在风险应对计划中,包括了应对每一个风险的措施、风险的责任人等内容。项目经理可以将风险应对措施和责任人编排到项目进度表中,并进行跟踪和监控。
        制定风险应对计划时有多种不同的策略,对于相同的风险,采用不同的应对策略会有不同的应对方法。通常可以把风险应对策略分为两种类型:防范策略和响应策略。防范策略指的是在风险发生前,项目组会采取一定的措施对风险进行防范;而响应策略则是在风险发生后采取相应措施以降低风险带来的损失。
               制订风险防范策略
               消极的风险(负面风险,威胁)防范策略是最常用的策略,其目的是降低风险发生的概率或减轻风险带来的损失。例如:避免策略、转移策略和减轻策略。
               (1)避免策略。指想方设法阻止风险的发生或消除风险发生的危害。避免策略如果成功则可以消除风险对项目的影响。例如,针对技术风险可以采取聘请技术专家的方法;针对项目进度风险可以采取延长项目时间或缩减项目范围的办法。
               (2)转移策略。指将风险转嫁给其他的组织或个体,通过这种方式来降低风险发生后的损失。例如,在固定成本的项目中,进行需求签字确认,对于超出签字范围的需求变更需要客户增加费用。这种方式就是一种将需求风险转移的策略。经过转移的风险并没有消失,其发生的可能性也没有变化,但对于项目组而言,风险发生后的损失降低了。
               (3)减轻策略。当风险很难避免或转移时,可以考虑采取减轻策略来降低风险发生的概率或减轻风险带来的损失。风险是一种不确定因素,可以通过前期的一些工作来降低风险发生的可能性,或者也可以通过一些准备来降低风险发生的损失。例如,对于需求风险,如果认为需求变化可能很剧烈,那么可以考虑采用柔性设计的方法降低需求变更的代价。尤其对于IT项目而言,越早发现问题越容易解决。例如,对于需求风险带来的问题,在设计阶段发现要好过编码阶段才发现。针对这种特点,也可以采用尽早暴露风险的方法降低风险发生的损失。
               对于正向风险(机会)的应对策略也有3种,分别是开拓、分享和强大。
               (1)开拓。当组织希望更充分地利用机会的时候采用开拓策略,其目的是创造条件使机会确实发生,减少不确定性。一般的做法是分配更多的资源给该项目,使之可以提供比计划更好的成果。
               (2)分享。包括将相关重要信息提供给一个能够更加有效利用该机会的第3方,使项目得到更大的好处。
               (3)强大。目的是通过增加可能性和积极的影响来改变机会的大小,发现和强化带来机会的关键因素,寻求促进或加强机会的因素,积极地加强其发生的可能性。
               需要说明的是,制定出的风险防范措施需要对应到项目进度表中,安排出专门的人员来执行一些工作来防范风险的发生。否则制定出风险防范措施也不会对项目有太大的意义。
               制订风险响应策略
               虽然我们采用了很多方法来防范风险的发生。但风险本身就是一种不确定因素,不可能在项目中完全消除。那么,我们还需要制定一些风险发生后的应急措施来解决风险带来的问题。例如,对于系统性能的风险,由于不清楚目前的系统体系结构是否能够满足用户的需求,可能在系统发布后出现系统性能不足的问题。对于这个风险,我们可以定义其风险响应策略来增加硬件资源以提高系统性能。
               风险响应策略与风险防范策略不同,无论风险是否发生,风险防范策略都需要体现在项目计划中,在项目过程中需要有人来执行相应的防范策略;而风险响应策略是事件触发的,直到当风险发生后才会被执行,如果始终没有发生该风险,则始终不会被安排到项目活动中。
 
       技术风险
        监理单位尽管履行了《监理委托合同》中所规定的监理职责,但受监理工程师的技术水平和业务素质所限,未能发现本应该发现的问题。另外,某些信息系统质量隐患的暴露需要一定的时间和条件,现有的技术手段和方法并不能保证及时发现所有问题。对于软件开发的监理,目前还没有特别成熟的办法。监理可以有效地提高软件开发和软件系统的质量,但无法保证软件中不存在任何错误。
        为防范这种风险,监理工程师应努力学习信息技术和监理知识,不断提高自身素质,努力防范由于自身技能不足带来的风险。监理单位应加强对监理工程师的技术培训和业务培训,同时也要为监理工程师配备必要的硬件设备和软件工具。
 
       培训
        培训包括旨在提高项目团队成员能力的全部活动。
        培训可以是正式或非正式的。培训方式包括课堂培训、在线培训、计算机辅助培训、在岗培训(由其他项目团队成员提供)、辅导及训练。
        应按人力资源管理计划中的安排来实施预定的培训。也应根据管理项目团队过程中的观察、交谈和项目绩效评估的结果,来开展必要的计划外培训,培训成本通常应该包括在项目预算中,或者由执行组织承担(如果增加的技能有利于未来的项目)。培训可以由内部或外部培训师来执行。
 
       项目风险管理
        项目风险管理的目标在于提高项目中积极事件的概率和影响,降低项目中消极事件的概率和影响。项目风险管理包括六个过程,分别为:
        .规划风险管理:定义如何实施项目风险管理活动的过程。
        .风险识别:判断哪些风险可能影响项目并记录其特征的过程。
        .定性风险分析:评估并综合分析风险的发生概率和影响,对风险进行优先排序,从而为后续分析或行动提供基础的过程。
        .定量风险分析:就已识别风险对项目整体目标的影响进行定量分析的过程。
        .规划风险应对:针对项目目标,制订提高机会、降低威胁的方案和措施的过程。
        .控制风险:在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险,以及评估风险过程有效性的过程。
        组织和干系人对待风险的态度受多种因素影响,对待风险的态度不同,愿意接受风险的程度也不同。这些因素大体可分为三类:
        .风险偏好:为了预期的回报,愿意承受不确定性的程度。
        .风险承受力:能承受的风险程度、数量或容量。
        .风险临界值:特别关注的特定的不确定性程度或影响程度。低于风险临界值会接受风险;高于风险临界值将不能承受风险。
        积极和消极风险通常称为机会和威胁。如果风险在可承受范围之内,并且与冒风险可能得到的回报相平衡,那么项目就是可接受的。为了增加价值,可以在风险承受力允许的范围内,追求那些能带来机会的积极风险。例如,采取激进的资源优化技术,就是为减少资源使用量而冒风险。
        以上项目风险管理各过程之间的依赖关系及输入、输出、工具与技术已经在知识结构图中给出,本节对各过程的输入、输出和工具技术进行进一步解释。
   题号导航      2014年下半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第47题    在手机中做本题