论项目风险管理及其应用<br />项目风险是一种不确定的事件或条件，一旦发生，会对项目..

免费智能真题库 > 历年试卷 > 系统分析师 > 2015年上半年系统分析师下午试卷论文

第1题

知识点：风险管理风险识别项目风险管理项目管理项目目标

论项目风险管理及其应用
项目风险是一种不确定的事件或条件，一旦发生，会对项目目标产生某种负面（或正面）的影响。项目风险管理是项目管理人员通过风险识别、风险估计和评价，并以此为基础合理地使用多种管理方法、技术和手段，对项目活动设计的风险实施有效的控制，采取主动行动，创建条件，可靠地实现项目的总体目标。

问题：1.1 1．概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。
2．论述在信息系统项目中，风险管理的基本过程。
3．针对你参与的实际项目中的风险，阐述该项目的风险管理过程，并具体说明其实施效果。


知识点讲解
· 风险管理 · 风险识别 · 项目风险管理 · 项目管理 · 项目目标

风险管理

没有绝对安全的环境，每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式，并且不只同计算机有关。考虑信息安全时，必须重视的几种风险有：物理破坏；人为错误；设备故障；内、外部攻击；数据误用；数据丢失；程序错误，等等。在确定威胁的时候，不能只看到那些比较直接的容易分辨的外部威胁，来自内部的各种威胁也应该引起高度重视，很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。

风险管理是指识别、评估、降低风险到可以接受的程度，并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别，进而确定信息系统的安全保护需求；风险管理则根据风险评估的结果从管理（包括策略与组织）、技术、运行三个层面采取相应的安全控制措施，提高信息系统的安全保障能力级别，使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。

风险分析

风险分析的方法与途径可以分为：定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法，通过定量分析可以对安全风险进行准确的分级，但实际上，定量分析所依靠的数据往往都是不可靠的，这就给分析带来了很大的困难。定性分析是被广泛采用的方法，通过列出各种威胁的清单，并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验，但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围，指定小组进行评估，并给予时间、资金的支持。风险小组应该由不同部门的人员组成，可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。

风险评估

进行风险评估时需要决定要保护的资产及要保护的程度，对于每一个明确要保护的资产，都应该考虑到可能面临的威胁以及威胁可能造成的影响，同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的，对有形资产（设备、应用软件等）及人（有形资产的用户或操作者、管理者）进行分类也是非常重要的，同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类，如：机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致。

控制风险

对风险进行了识别和评估后，可通过降低风险（例如安装防护措施）、避免风险、转嫁风险（例如买保险）、接受风险（基于投入／产出比考虑）等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时，首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击，对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面：产品费用、设计／计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作／支持费用。

风险识别

风险识别是判断哪些风险可能影响项目并记录其特征的过程，其主要作用是对已有风险进行文档化，并为项目团队预测未来事件积累知识和技能。

在项目生命周期中，随着项目的进展，新的风险可能产生或为人所知，所以风险识别是一个反复进行的过程，反复的频率及每轮的参与者因具体情况不同而异。对风险的描述应该便于比较项目中的某个风险与其他风险的相对后果。项目团队成员应参与风险识别过程，以便增强对风险及其应对措施的主人翁感和责任感，项目团队之外的干系人可以提供其他客观的信息。

输入

风险管理计划

风险管理计划为识别风险过程提供一些关键要素，包括角色和职责分配、已列入预算和进度计划的风险管理活动，以及可能以风险分解结构的形式呈现的风险类别。

成本管理计划

成本管理计划中规定的工作流程和控制方法有助于在整个项目内识别风险。

进度管理计划

进度管理计划有助于了解可能受风险影响的项目时间、目标及预期。

质量管理计划

质量管理计划中规定的质量测量和度量基准，可用于识别风险。

人力资源管理计划

人力资源管理计划中包括角色与职责、项目组织图和人员配备管理计划，它们是识别风险过程的重要输入。

范围基准

项目范围说明书中包括项目的假设条件，应该把项目假设条件中的不确定性作为项目风险的潜在原因加以评估。WBS是识别风险过程的关键输入，它方便人们同时从微观和宏观两个层面认识潜在风险，可以在总体、控制账户或工作包层级上识别并继而跟踪风险。

活动成本估算

对活动成本估算进行审查，有利于识别风险。成本估算区间的宽度代表风险的相对程度。

活动持续时间估算

对活动持续时间估算进行审查，有利于识别与活动或整个项目的应急储备时间有关的风险。估算区间的宽度代表着风险的相对程度。

干系人登记册

可以利用干系人的信息确保关键干系人，特别是发起人和客户参与识别风险的过程，为风险识别提供各种输入。

项目文件

项目文件能为项目团队更好地识别风险提供与决策有关的信息。项目文件有助于跨团队沟通和干系人之间的沟通。项目文件包括项目章程、项目进度计划、进度网络图、问题日志、质量核对单以及对风险识别有用的其他信息。

采购文件

如果项目需要采购外部资源，采购文件就成为识别风险过程的重要输入。

事业环境因素

可能影响风险识别过程的事业环境因素包括公开发布的信息、学术研究资料、公开发布的核对单、标杆对照资料、行业研究资料和风险态度等。

组织过程资产

可能影响本过程的组织过程资产包括项目文档、组织和项目的过程控制资料、风险描述的格式或模板、经验教训等。

工具与技术

文档审查

对项目文档（包括各种计划、假设条件、以往的项目文档、协议和其他信息）进行结构化审查。项目计划的质量，以及这些计划与项目需求和假设之间的匹配程度，都可能是项目的风险指示器。

信息收集技术

可用于风险识别的信息收集技术包括：

.头脑风暴：目的是获得一份综合的项目风险清单。可用风险类别作为基础框架，然后依风险类别进行识别和分类，并进一步阐明风险的定义。

.德尔菲技术：组织专家达成一致意见的一种方法。项目风险专家匿名参与，组织者使用调查问卷就重要的项目风险征询意见，然后对专家的答卷进行归纳，并把结果反馈给专家做进一步评论。这个过程反复几轮后，就可能达成一致意见。德尔菲技术有助于减轻数据的偏倚，防止任何个人对结果产生不恰当的影响。

.访谈：同有经验的项目参与者、干系人或相关主题专家进行访谈，有助于识别风险，

.根本原因分析：发现问题、找到其深层原因并制定预防措施的一种特定技术。

核对单分析

可以根据以往类似项目和其他来源的历史信息与知识编制风险识别核对单。

假设分析

假设分析是检验假设条件在项目中的有效性，并识别因其中的不准确、不稳定、不一致或不完整而导致的项目风险。

图解技术

风险图解技术可包括：

.因果图：又称石川图或鱼骨图，用于识别风险的起因。

.系统或过程流程图：显示系统各要素之间的相互联系及因果传导机制。

.影响图：用图形方式表示变量与结果之间的因果关系、事件时间顺序及其他关系。

SWOT分析

这种技术从项目的每个优势（strength）、劣势（weakness）、机会（opportunity）和威胁（threat）出发，对项目进行考察，并把产生于内部的风险都包括在内，从而更全面地考虑风险。

专家判断

项目经理可以借助拥有类似项目或业务领域经验的专家来识别风险。

输出

风险登记册

风险识别过程的输出是风险登记册中的初始内容。随着其他风险管理过程的实施，风险登记册中的信息种类和数量会逐渐增加。最初的风险登记册包括如下信息：

.已识别风险清单：对已识别风险进行尽可能详细的描述。可采用结构化的风险描述语句对风险进行描述。

.潜在应对措施清单：在识别风险过程中，有时可以识别出风险的潜在应对措施。这些应对措施应作为规划风险应对过程的输入。

项目风险管理

项目风险管理的目标在于提高项目中积极事件的概率和影响，降低项目中消极事件的概率和影响。项目风险管理包括六个过程，分别为：

.规划风险管理：定义如何实施项目风险管理活动的过程。

.风险识别：判断哪些风险可能影响项目并记录其特征的过程。

.定性风险分析：评估并综合分析风险的发生概率和影响，对风险进行优先排序，从而为后续分析或行动提供基础的过程。

.定量风险分析：就已识别风险对项目整体目标的影响进行定量分析的过程。

.规划风险应对：针对项目目标，制订提高机会、降低威胁的方案和措施的过程。

.控制风险：在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险，以及评估风险过程有效性的过程。

组织和干系人对待风险的态度受多种因素影响，对待风险的态度不同，愿意接受风险的程度也不同。这些因素大体可分为三类：

.风险偏好：为了预期的回报，愿意承受不确定性的程度。

.风险承受力：能承受的风险程度、数量或容量。

.风险临界值：特别关注的特定的不确定性程度或影响程度。低于风险临界值会接受风险；高于风险临界值将不能承受风险。

积极和消极风险通常称为机会和威胁。如果风险在可承受范围之内，并且与冒风险可能得到的回报相平衡，那么项目就是可接受的。为了增加价值，可以在风险承受力允许的范围内，追求那些能带来机会的积极风险。例如，采取激进的资源优化技术，就是为减少资源使用量而冒风险。

以上项目风险管理各过程之间的依赖关系及输入、输出、工具与技术已经在知识结构图中给出，本节对各过程的输入、输出和工具技术进行进一步解释。

项目管理

构建嵌入式系统是一项复杂的任务，尤其是涉及到很多人员共同长期工作的时候。为了使嵌入式项目开发获得成功，必须对系统开发项目的工作范围、花费的工作量（成本）、可能遇到的风险、进度的安排、要实现的任务、经历的里程碑以及需要的资源（人、硬／软件）等做到心中有数，而项目管理可以提供这些信息。项目管理的过程一般包括初启、计划、执行、监控、结项，项目管理的范围覆盖整个系统生命周期过程。

管理范围

有效的项目管理集中于4P，即人员（People）、产品（Product）、过程（Process）和项目（Project）。必须将人员组织起来以有效地完成产品构建工作；必须和客户及其他利益相关者很好地沟通，以便了解产品的范围和需求；必须选择适合于人员和产品的过程；必须估算完成工作任务的工作量和工作时间，从而制订项目计划。

“人的因素”非常重要，在所有项目中，最关键的因素是人员，涉及项目管理人员、高级管理人员、开发人员、客户和最终用户。人员能力成熟度模型（People Capability Maturity Model，PCMM）针对人员定义了以下关键实践域：人员配备、沟通与协调、工作环境、业绩管理、培训、报酬、能力素质分析与开发、个人事业发展、工作组发展以及团队精神或企业文化培育等。PCMM成熟度达到较高水平的组织，更有可能实现有效的项目管理事件。

在制订项目计划之前，首先确定产品的目标和范围，考虑可选的解决方案，识别技术和管理上的限制。如果没有这些信息，就无法进行合理（精确）的成本估算，也无法进行有效的风险评估和适当的项目任务划分，更无法制定可管理的项目进度计划来给出意义明确的项目进展标志。确定产品的目标只是识别出产品的总体目标，而不用考虑如何实现这些目标。确定产品的范围是识别出产品的主要数据、功能和行为特性，并且应该用量化的方式界定这些特性。然后开始考虑备选解决方案，不讨论细节，使管理者与参与开发的人员根据特定的约束条件选择相对最佳的方案，约束条件有产品的交付期限、预算限制、可用人员、技术接口以及其他各种因素。

开发过程提供了一个框架，一小部分框架活动适用于所有的项目，多种不同的任务集合使得框架活动适合于不同项目的特性和项目团队的需求。普适性活动（如质量管理、配置管理、测量等）覆盖了过程模型，独立于任何一个框架活动，且贯穿于整个过程之中。

为了成功地管理项目，需要有计划、可控制，这样才能管理复杂的系统开发；需要了解可能会出现的各类问题以便加以避免。可以采用的方法有：

（1）在正确的基础上开始工作。

（2）保持动力。

（3）跟踪进度。

（4）做出正确的决策。

（5）进行事后分析。

成本估算

系统开发成本估算主要指系统开发过程中所花费的工作量及相应的代价。为了使开发项目能够在规定的时间内完成，而且不超过预算，成本预算和管理控制是关键。项目开发成本的估算主要靠分解和类推的手段进行。分解技术是将项目分解成一系列较小的、容易理解的问题进行估算。常用的分解技术有：基于问题的估算、基于代码行（LOC）估算、基于功能点（FP）的估算、基于过程的估算、基于用例的估算。选择或结合使用分解技术，进行成本估算。基本的成本估算方法有如下几种。

（1）自顶向下估算方法。估算人员参照以前完成的项目所耗费的总成本（或总工作量）来推算将要开发的系统的总成本（或总工作量），然后把它们按阶段、步骤和工作单元进行分配。

自顶向下估算方法的主要优点是对系统级工作的重视，所以估算中不会遗漏集成、配置管理等系统级事务的成本估算，且估算工作量小、速度快。其缺点是不清楚低级别上的技术性困难，而这些困难将会使成本上升。

（2）自底向上估算方法。自底向上估算方法是将待开发的系统细分，分别估算每一个子任务所需要的开发工作量，然后将它们加起来，得到系统的总开发量。这种方法的优点是对每一部分的估算工作交给负责该部分工作的人来做，所以估算较为准确。其缺点是缺少对各项子任务之间相互联系所需要工作量和与开发有关的系统级工作量的估算，因此预算往往偏低。

（3）差别估算方法。差别估算方法是将开发项目与一个或多个已完成的类似项目进行比较，找出与某个相类似项目的若干不同之处，并估算每个不同之处对成本的影响，导出开发项目的总成本。该方法的优点是可以提高估算的准确度，缺点是不容易明确“差别”的界限。

除以上方法外，还有许多方法，大致可分为三类：专家估算法、类推估算法和算式估算法。

（1）专家估算法。该方法依靠一个或多个专家对要求的项目做出估算，其精确性取决于专家对估算项目的定性参数的了解和他们的经验。

（2）类推估算法。在自顶向下的方法中，它是将估算项目的总体参数与类似项目进行直接比较得到结果；在自底向上方法中，类推是在两个具有相似条件的工作单元之间进行。

（3）算式估算法。专家估算法和类推估算法的缺点在于它们依靠带有一定盲目性和主观性的猜测对项目进行估算。算式估算法则是企图避免主观因素的影响，用于估算的方法有两种基本类型：由理论导出和由经验导出。

典型的成本估算模型主要有动态多变量普特南（Putnam）模型和层次结构的结构性成本模型（Constructive Cost Model，COCOMO）的升级模型COCOMOII等。普特南模型基于软件方程，它假设在软件开发的整个生命周期中有特定的工作量分布。COCOMOII模型层次结构中有三种不同的估算选择：对象点、功能点和源代码行。

风险分析

新的系统建立时，总是存在某些不确定性。例如，用户要求是否能确切地被理解？在项目最后结束之前要求实现的功能能否建立？是否存在目前仍未发现的技术难题？在项目出现严重延期时是否会发生一些变更？等等。风险是潜在的，需要识别、评估发生的概率、估算其影响、并制定实际发生时的应急计划。

风险分析在项目管理中具有决定性作用。当在软件工程的环境中考虑风险时，主要关注以下三个方面。一是关心未来。风险是否会导致项目失败；二是关心变化。用户需求、开发技术、目标机器以及所有其他与项目有关的实体会发生什么变化；三是必须解决需要做出选择的问题，即应当采用什么方法和工具，应当配备多少人力，在质量上强调到什么程度才满足要求等。

风险分析实际上是贯穿软件工程中的一系列风险管理步骤，其中包括风险识别、风险估计、风险管理策略、风险解决和风险监控。

进度管理

进度安排包括把一个项目所有的工作分解为若干个独立的活动，并描述这些活动之间的依赖关系，估算完成这些活动所需的工作量，分配人力和其他资源，制定进度时序。进度的合理安排是如期完成软件项目的重要保证，也是合理分配资源的重要依据，因此进度安排是管理工作的一个重要组成部分。有两种安排软件开发项目进度的方式：

（1）系统最终交付日期已经确定，系统开发部门必须在规定期限内完成；

（2）系统最终交付日期只确定了大致的年限，最后交付日期由软件开发部门确定。

进度安排的常用图形描述方法有Gantt图（甘特图）和PERT（Program Evaluation&Review Technique，项目计划评审技术）图。

（1）Gantt图。Gantt图中横坐标表示时间（如时、天、周、月、年等），纵坐标表示任务，图中的水平线段表示一个任务的进度安排，线段的起点和终点对应在横坐标上的时间分别表示该任务的开始时间和结束时间，线段的长度表示完成该任务所持续的时间。当日历中同一时段中存在多个水平条时，表示任务之间的并发。下图所示的Gantt图描述了三个任务的进度安排。该图表示：任务1首先开始，完成它需要12周时间；任务2在2周后开始，完成它需要18周；任务3在12周后开始，完成它需要10周。

Gantt图实例

Gantt图能清晰地描述每个任务从何时开始，到何时结束，任务的进展情况以及各个任务之间的并行性；但是它不能清晰地反映出各任务之间的依赖关系，难以确定整个项目的关键所在，也不能反映计划中有潜力的部分。

（2）PERT图。PERT图是一个有向图，其基本符号如下图所示。

PERT图的基本符号

PERT图中的有向弧表示任务，可以标上完成该任务所需的时间，图中的结点表示流入结点的任务已结束，并开始流出结点的任务，这里把结点称为事件。只有当流入该结点的所有任务都结束时，结点所表示的事件才出现，流出结点的任务才可以开始。事件本身不消耗时间和资源，它仅表示某个时间点。每个事件有一个事件号及出现该事件的最早时刻和最迟时刻。最早时刻表示在此时刻之前从该事件出发的任务不可能开始；最迟时刻表示从该事件出发的任务必须在此时刻之前开始，否则整个工程就不能如期完成。每个任务还可以有一个松弛时间（slack time），表示在不影响整个工期的前提下，完成该任务有多少机动时间。为了表示任务间的关系，图中还可以加入一些空任务（用虚线有向弧表示），完成空任务的时间为0。

PERT图的一个实例如下图所示，该图所表示的工程可分为12个任务，事件号1表示工程开始，事件号11表示工程结束（完成所有任务需要23个时间单位）。松弛时间为0的任务构成了完成整个工程的关键任务，其事件流为1→2→3→4→6→8→10→11，也就是说，这些任务不能拖延，否则整个工程就不能在23个时间单位内完成。

PERT图示例

PERT图不仅给出了每个任务的开始时间、结束时间和完成该任务所需的时间，还给出了任务之间的关系，即哪些任务完成后才能开始另外一些任务，还可以找出如期完成整个工程的关键任务。任务的松弛时间则反映了完成任务时可以推迟其开始时间或延长其所需完成的时间。PERT图不能反映任务之间的并行关系。

项目目标

以柔性制造系统、敏捷制造等信息化改造为建设目标，利用传感器技术、无线通信技术、计算机网络技术、智能数字化技术、物联网应用服务平台技术等多种现代化技术，打造基于物联网的综合示范平台，建立起一个示范性应用基地。

通过WIP（在制品管理）+SCADA（设备联网）实现敏捷制造的生产管理目标，以信息可视化提供的数据支撑，准确掌握各类生产的资源负荷状况，提高瓶颈资源利用率，提升原料工装夹具配送精准度、提升生产应变能力。以信息可视化达到问题预判、问题预防，减少生产问题。及时传递操作中的生产作业状态信息，促使解决问题流程的实施及现场管理组体系的完善。以信息化手段，实现可视化全息车间管理。提供多种统计分析，为决策者提供充足的数据依据。打造具有先进性、科学性、前瞻性的现代化生产体系。

可视化的车间管理可以提升效益。通过原料准备、生产计划信息、加工过程的透明化、实时化，提升配送精准度，监控生产设备运行情况，确保及时生产配送，提高效率。以设备信息可视化，提高设备信息化水平，提升效率，降低不合格品率，提高用户满意度。以产品生命周期可视化，分析流程瓶颈，有效推进生产协调，降低生产执行出错率，提升部门协作效率。以工艺内容可视化，加强员工自主性，提高数据共享效率，增加产线应变能力。以异常信息可视化，快速响应并有效解决，避免停线，降低风险。通过库存信息透明化、实时化，避免信息传递延时而导致的物料出入库出错，降低仓储成本。形成透明化、实时化、现代化的智慧车间。目标总结如下。

（1）打造具有先进性、科学性、前瞻性的现代化生产标杆。

（2）通过信息化手段实现智能调度排产、生产数据跟踪，提高生产协同效率。

（3）通过信息可视化促进精益生产以提升管理过程的问题解决能力，达到问题预判、问题预防的效果，可视化包括：

生产进度可视化：实时对生产进度进行跟踪，挖掘生产瓶颈，提升交期把控。

生产质量可视化：分析生产过程中的不良问题，归纳总结不良原因，整理解决方案，提高生产质量。

异常信息可视化：提高异常情况响应速度，保证生产过程流畅性，提高生产效率。

（4）打造信息化工艺流程，生产排产、生产过程高度自动化，将生产工艺标准化，准确化。

（5）通过信息化，智能化，缩减人工成本，提升设备高度协同能力。

（6）通过物联网技术实现设备数据自动采集，设备数据和生产数据自动报工。

（7）提供多种统计分析，为决策者提供充足的数据依据。

题号导航 2015年上半年系统分析师下午试卷论文

本试卷我的完整做题情况



	第1题在手机中做本题