|
|
|
任何项目都有风险,由于项目中总是有这样或那样的不确定因素,所以无论项目进行到什么阶段,无论项目的进展多么顺利,随时都会出现风险,进而产生问题。风险发生后既可能给项目带来问题,也可能会给项目带来机会,关键的是项目的风险管理水平如何。
|
|
|
|
|
|
项目风险是一种不确定的事件或条件,一旦发生,会对项目目标产生某种正面或负面的影响。风险有其成因,同时,如果风险发生,也导致某种后果。当事件、活动或项目有损失或收益与之相联系,涉及某种或然性或不确定性和涉及某种选择时,才称为有风险。以上三条,每一个都是风险定义的必要条件,不是充分条件。具有不确定性的事件不一定是风险。
|
|
|
|
风险管理就是要对项目风险进行认真的分析和科学的管理,这样,是能够避开不利条件、少受损失、取得预期的结果并实现项目目标的,能够争取避免风险的发生或尽量减小风险发生后的影响。但是,完全避开或消除风险,或只享受权益而不承担风险是不可能的。
|
|
|
|
|
|
Robert Charette在他关于风险分析和驾驭的书中对风险的概念给出定义,他所关心的是三个方面:
|
|
|
|
|
|
(2)关心变化:在用户需求、开发技术、目标机器,以及所有其他与项目及工作和全面完成有关的实体中会发生什么样的变化?
|
|
|
|
(3)关心选择:应采用什么方法和工具,应配备多少人力,在质量上强调到什么程度才满足要求?
|
|
|
|
风险表达了一种概率,具有偶发性。对于项目中的风险可以简单地理解为项目中的不确定因素。从广义的角度说,不确定因素一旦确定了,既可能对当前情况产生积极的影响,也可能产生消极的影响。也就是说,风险发生后既可能给项目带来问题,也可能会项目带来机会。
|
|
|
|
在对于风险的理解上,不要把风险简单地看作是问题。风险并不是一发生就消失了。首先,历史经常会重演,只要引发风险的因素没有消除,风险依然存在,它很可能在另外某个时候跳出来影响项目进程。例如,不充分的设计是一种常见的风险,这个风险在编码阶段转化为问题。但问题发生了并不意味着设计就充分了,如果没有采取相应的措施,设计的问题还会接二连三地冒出来。其次,对于整个项目来说,发生问题则意味着系统状态发生了变化,这种变化往往带来新的不确定因素,引发新的风险。例如,团队成员不稳定的风险也是项目中常见的,风险一旦发生,出现人员的流失,即便是补充了新的成员进来,新成员是否能够在多长时间内熟悉问题域也会成为新的风险。
|
|
|
|
不过,对于项目而言,风险不仅仅意味着问题的隐患,风险与机会并存,高风险的项目往往有着高的收益。相反,没有任何风险的项目(如果存在的话),不会有任何利润可图。作为项目经理,要管理好项目中的风险,避免风险造成的损失,提高项目的收益率。
|
|
|
|
|
|
虽然不能说项目的失败都是由于风险造成的,但成功的项目必然是有效地进行了风险管理。任何项目都有风险,由于项目中总是有这样那样的不确定因素,所以无论项目进行到什么阶段,无论项目的进展多么顺利,随时都会出现风险,进而产生问题。
|
|
|
|
风险具有两个基本属性,分别是随机性和相对性。随机性是指风险事件的发生及其后果都具有偶然性;相对性是指风险总是相对项目活动主体而言的,同样的风险对于不同的主体有不同的影响。人们对于风险的承受能力因活动、人和时间而不同,主要受以下3个因素的影响:
|
|
|
|
(1)收益的大小。损失的可能性和数额越大,人们希望为弥补损失而得到的收益也越大。反过来,收益越大,人们愿意承担的风险也就越大。
|
|
|
|
(2)投入的大小。项目活动投入得越多,人们对成功的希望也越大,愿意冒的风险也就越小。
|
|
|
|
(3)项目活动主体的地位和拥有的资源。管理人员中级别高的与级别低的相比,能够承担较大的风险。个人或组织拥有的资源越多,其风险承受能力也越大。
|
|
|
|
|
|
(1)风险存在的客观性和普遍性。作为损失发生的不确定性,风险是不以人的意志为转移并超越人们主观意识的客观存在,而且在项目的全生命周期内,风险是无处不在、无时没有的。这些说明为什么虽然人类一直希望认识和控制风险,但直到现在也只能在有限的空间和时间内改变风险存在和发生的条件,降低其发生的频率,减少损失程度,而不能也不可能完全消除风险。
|
|
|
|
(2)某一具体风险发生的偶然性和大量风险发生的必然性。任一具体风险的发生都是诸多风险因素和其他因素共同作用的结果,是一种随机现象。个别风险事故的发生是偶然、杂乱无章的,但对大量风险事故资料的观察和统计分析,发现其呈现出明显的运动规律,这就使人们有可能用概率统计方法及其他现代风险分析方法去计算风险发生的概率和损失程度,同时也导致风险管理的迅猛发展。
|
|
|
|
(3)风险的可变性。在项目实施的过程中,各种风险在质和量上是可以变化的。随着项目的进行,有些风险得到控制并消除,有些风险会发生并得到处理,同时在项目的每一阶段都可能产生新的风险。
|
|
|
|
(4)风险的多样性和多层次性。大型开发项目周期长、规模大、涉及范围广、风险因素数量多且种类繁杂,致使其在生命周期内面临的风险多种多样。大量风险因素之间的内在关系错综复杂、各风险因素之间与外界交叉影响又使风险显示出多层次性。
|
|
|
|
|
|
从不同的角度进行分类,就有不同的分类方法,风险的分类如下表所示。
|
|
|
|
|
|
|
|
|
|
项目需要以有限的成本,在有限的时间内达到项目目标,而风险会影响这一点。风险成本是指风险事件造成的损失或减少的收益,以及为防止发生风险事件采取预防措施而支付的费用。风险成本可以分为有形成本、无形成本,以及预防与控制风险的费用。有形成本包括直接损失和间接损失,直接损失是指财产损毁和人员伤亡的价值,间接损失是指直接损失以外的其他损失;无形成本指由于风险所具有的不确定性而使项目主体在风险事件发生之前或发生之后付出的代价,主要表现在风险损失减少了机会、风险阻碍了生产率的提高、风险造成资源分配不当。
|
|
|
|
风险管理的目的就是最小化风险对项目目标的负面影响,抓住风险带来的机会,增加项目干系人的收益。作为项目经理,必须评估项目中的风险,制订风险应对策略,有针对性地分配资源,制订计划,保证项目顺利的进行。项目风险管理的基本过程包括下列活动:
|
|
|
|
(1)风险管理计划编制。描述如何为项目处理和执行风险管理活动。
|
|
|
|
(2)风险识别。识别和确定出项目究竟有哪些风险,这些项目风险究竟有哪些基本的特性,这些项目风险可能会影响项目的哪些方面。
|
|
|
|
(3)风险定性分析。对已识别风险进行优先级排序,以便采取进一步措施,如进行风险量化分析或风险应对。
|
|
|
|
(4)风险定量分析。定量地分析风险对项目目标的影响。它对不确定因素提供了一种量化的方法,以帮助管理人员做出尽可能恰当的决策。
|
|
|
|
(5)风险应对计划编制。通过开发备用的方法、制定某些措施以便提高项目成功的机会,同时降低失败的威胁。
|
|
|
|
(6)风险监控。跟踪已识别的危险,监测残余风险和识别新的风险,保证风险计划的执行,并评价这些计划对减轻风险的有效性。
|
|
|
|
|
|
在得到了项目风险列表后,需要对其中的风险做进一步的分析,以明确各风险的属性和要素,这样才可以更好地制定风险应对措施。风险分析可以分为定性分析和定量分析两种方式。风险定性分析是一种快捷有效的风险分析方法,一般经过定性分析的风险已经有足够的信息制定风险应对措施并进行跟踪与监控了。在定性风险分析的基础上,可以进行风险定量分析。定量分析的目的并不是获得数字化的结果,而是得当更精确的风险情况,以便进行决策。
|
|
|
|
|
|
风险定性分析包括对已经识别的风险进行优先级排序,以便采取进一步措施。进行定性分析的依据是项目管理计划(风险管理计划、风险记录)、组织过程资产、工作绩效信息、项目范围说明、风险记录。在分析过程中,需要根据这些输入对已识别的风险进行逐项的评估,并更新风险列表。风险定性分析的工具和技术主要有风险概率及影响评估、概率及影响矩阵、风险数据质量评估、风险种类、风险紧急度评估。
|
|
|
|
(1)风险可能性与影响分析。可能性评估需要根据风险管理计划中的定义,确定每一个风险的发生可能性,并记录下来。除了风险发生的可能性,还应当分析风险对项目的影响。风险影响分析应当全面,需要包括对时间、成本、范围等各方面的影响。其中不仅仅包括对项目的负面影响,还应当分析风险带来的机会,这有助于项目经理更精确地把握风险。对于同一个风险,由于不同的角色和参与者会有不同的看法,因此一般采用会议的方式进行风险可能性与影响的分析。因为风险分析需要一定的经验和技巧,也需要对风险所在的领域有一定的经验,因此在分析时最好邀请相关领域的资深人士参加以提高分析结果的准确性。例如,对于技术类风险的分析就可以邀请技术专家参与评估。
|
|
|
|
(2)确定风险优先级。在确定了风险的可能性和影响后,需要进一步确定风险的优先级。风险优先级的概念与风险可能性和影响既有联系又不完全相同。例如,发生地震可能会造成项目终止,这个风险的影响很严重,直接造成项目失败,但其发生的可能性非常小,因此优先级并不高。又如,坏天气可能造成项目组成员工作效率下降,虽然这种可能性很大,每周都会出现,但造成的影响非常小,几乎可以忽略不计,因此,优先级也不高。
|
|
|
|
风险优先级是一个综合的指标,优先级的高低反映了风险对项目的综合影响,也就是说,高优先级的风险最可能对项目造成严重的影响。一种常用的方法是风险优先级矩阵,当分析出特定风险的可能性和影响后,根据其发生的可能性和影响在矩阵中找到特定的区域,就可以得到风险的优先级。
|
|
|
|
(3)确定风险类型。在进行风险定性分析的时候需要确定风险的类型,这一过程比较简单。根据风险管理计划中定义的风险类型列表,可以为分析中的风险找到合适的类型。如果经过分析后,发现在现有的风险类型列表中没有合适的定义,则可以修订风险管理计划,加入这个新的风险类型。
|
|
|
|
|
|
相对于定性分析来说,风险定量分析更难操作。由于在分析方法不恰当或缺少相应模型的情况下,风险的定量分析并不能带来更多有价值的信息,反而会在分析过程中占用一定的人力和物力。因此一般先进行风险的定性分析,在有了对风险相对清晰的认识后,再进行定量分析,分析风险对项目负面的和正面的影响,制定相应的策略。
|
|
|
|
定量分析着重于整个系统的风险情况而不是单个风险。事实上,风险定量分析并不需要直接制定出风险应对措施,而是确定项目的预算、进度要求和风险情况,并将这些作为风险应对策略的选择依据。在风险跟踪的过程中,也需要根据最新的情况对风险定量分析的结果进行更新,以保证定量分析的精确性。
|
|
|
|
风险定量分析的工具和方法主要有数据收集和表示技术(风险信息访谈、概率分布、专家判断)、定量风险分析和建模技术(灵敏度分析、期望货币价值分析、决策树分析、建模和仿真)。
|
|
|
|
(1)决策树分析。决策树分析法通常用决策树图表进行分析,描述了每种可能的选择和这种情况发生的概率。期望货币价值分析分析方法常用在决策树分析方法中,有关这方面的知识,请阅读19.3.3节。
|
|
|
|
(2)灵敏度分析。灵敏度分析也称为敏感性分析,通常先从诸多不确定性因素中找出对模型结果具有重要影响的敏感性参数,然后从定量分析的角度研究其对结果的影响程度和敏感性程度,使对企业价值的评估结果的判断有更为深入的认识。托那多图(Tornado Diagram,龙卷风图)是灵敏度分析中非常有效的常用图示,它将各敏感参数按其敏感性进行排序,形象地反映出各敏感参数对价值评估结果的影响程度。运用托那多图进行灵敏度分析的具体步骤包括:选择参数、设定范围、敏感性测试、将各敏感参数对价值结果的影响按其敏感性大小进行排序。
|
|
|
|
(3)蒙特卡罗模拟。蒙特卡罗(MonteCarlo)方法作为一种统计模拟方法,在各行业广泛运用。蒙特卡罗方法在定量分析中的运用较为复杂,牵涉复杂的数理概率模型。它将对一个多元函数的取值范围问题分解为对若干个主要参数的概率问题,然后用统计方法进行处理,得到该多元函数的综合概率,在此基础上分析该多元函数的取值范围可能性。蒙特卡罗方法的关键是找一组随机数作为统计模拟之用,这一方法的精度在于随机数的均匀性与独立性。就运用于风险分析而言,蒙特卡罗方法主要通过分析各种不确定因素,灵活地模拟真实情况下的某个系统中的各主要因素变化对风险结果的影响。由于计算过程极其繁复,蒙特卡罗方法不适合简单(单变量)模型,而对于复杂(有多种不确定性因素)模型则是一种很好的方法。其具体步骤包括选取变量、分析各变量的概率分布、选取各变量的样本、模拟价值结果、分析结果。
|
|
|
|
|
|
到目前为止,本节先后介绍了制订风险管理计划、识别并分析风险。风险管理的最终目的是减少项目中风险发生的可能性、降低风险带来的危害、提高险带来的收益。可见,还必须针对识别出的风险制定相应的措施来防范风险的发生或增加风险收益,这些措施就体现在风险应对计划中。在风险应对计划中,包括了应对每一个风险的措施、风险的责任人等内容。项目经理可以将风险应对措施和责任人编排到项目进度表中,并进行跟踪和监控。
|
|
|
|
制订风险应对计划时有多种不同的策略,对于相同的风险,采用不同的应对策略会有不同的应对方法。通常可以把风险应对策略分为两种类型:防范策略和响应策略。防范策略指的是在风险发生前,项目组会采取一定的措施对风险进行防范;而响应策略则是在风险发生后采取的相应措施以降低风险带来的损失。
|
|
|
|
|
|
消极的风险(负面风险,威胁)防范策略是最常用的策略,其目的是降低风险发生的概率或减轻风险带来的损失。例如,避免策略、转移策略和减轻策略。
|
|
|
|
(1)避免策略。指想方设法阻止风险的发生或消除风险发生的危害。避免策略如果成功则可以消除风险对项目的影响。例如,针对技术风险可以采取聘请技术专家的方法;针对项目进度风险可以采取延长项目时间或缩减项目范围的办法。
|
|
|
|
(2)转移策略。指将风险转嫁给其他的组织或个体,通过这种方式来降低风险发生后的损失。例如,在固定成本的项目中,进行需求签字确认,对于超出签字范围的需求变更需要客户增加费用。这种方式就是一种将需求风险转移的策略。经过转移的风险并没有消失,其发生的可能性也没有变化,但对于项目组而言,风险发生后的损失降低了。
|
|
|
|
(3)减轻策略。当风险很难避免或转移时,可以考虑采取减轻策略来降低风险发生的概率或减轻风险带来的损失。风险是一种不确定因素,可以通过前期的一些工作来降低风险发生的可能性,或也可以通过一些准备来降低风险发生的损失。例如,对于需求风险,如果认为需求变化可能很剧烈,那么可以考虑采用柔性设计的方法降低需求变更的代价。尤其对于IT项目而言,越早发现问题越容易解决。例如,对于需求风险带来的问题,在设计阶段发现要好过编码阶段才发现。针对这种特点,也可以采用尽早暴露风险的方法降低风险的发生损失。
|
|
|
|
对于正向风险(机会)的应对策略也有3种,分别是开拓、分享和强大。
|
|
|
|
(1)开拓。当组织希望更充分地利用机会的时候采用开拓策略,其目的是创造条件使机会确实发生,减少不确定性。一般的做法是分配更多的资源给该项目,使之可以提供比计划更好的成果。
|
|
|
|
(2)分享。包括将相关重要信息提供给一个能够更加有效利用该机会的第三方,使项目得到更大的好处。
|
|
|
|
(3)强大。目的是通过增加可能性和积极的影响来改变机会的大小,发现和强化带来机会的关键因素,寻求促进或加强机会的因素,积极地加强其发生的可能性。
|
|
|
|
需要说明的是,制定的风险防范措施需要对应到项目进度表中,安排出专门的人员来执行一些工作来防范风险的发生。否则制定风险防范措施也不会对项目有太大的意义。
|
|
|
|
|
|
虽然采用了很多方法来防范风险的发生。但风险本身就是一种不确定因素,不可能在项目中完全消除。那么,还需要制定一些风险发生后的应急措施来解决风险带来的问题。例如,对于系统性能的风险,由于不清楚目前的系统体系结构是否能够满足用户的需求,可能在系统发布后出现系统性能不足的问题。对于这个风险,可以定义其风险响应策略来增加硬件资源以提高系统性能。
|
|
|
|
风险响应策略与风险防范策略不同,无论风险是否发生,风险防范策略都需要体现在项目计划中,在项目过程中需要有人来执行相应的防范策略;而风险响应策略是事件触发的,直到当风险发生后才会被执行,如果始终没有发生该风险,则始终不会被安排到项目活动中。
|
|
|
|
|
|
本节从宏观、微观、细节三个方面,介绍信息系统项目常见的风险。
|
|
|
|
|
|
从宏观上来看,信息系统项目风险可以分为项目风险、技术风险和商业风险。
|
|
|
|
项目风险是指潜在的预算、进度、个人(包括人员和组织)、资源、用户和需求方面的问题,以及它们对项目的影响。项目复杂性、规模和结构的不确定性也构成项目的(估算)风险因素。项目风险威胁到项目计划,一旦项目风险成为现实,可能会拖延项目进度,增加项目的成本。
|
|
|
|
技术风险是指潜在的设计、实现、接口、测试和维护方面的问题。此外,规格说明的多义性、技术上的不确定性、技术陈旧、最新技术(不成熟)也是风险因素。技术风险之所以出现是由于问题的解决比人们预想的要复杂,技术风险威胁到待开发系统的质量和预定的交付时间。如果技术风险成为现实,开发工作可能会变得很困难或根本不可能。
|
|
|
|
商业风险威胁到待开发系统的生存能力。5种主要的商业风险是:
|
|
|
|
(1)开发的系统虽然很优秀但不是市场真正所想要的(市场风险)。
|
|
|
|
(2)开发的系统不再符合公司的整个产品战略(策略风险)。
|
|
|
|
(3)开发了销售部门不清楚如何推销的系统(销售风险)。
|
|
|
|
(4)由于重点转移或人员变动而失去上级管理部门的支持(管理风险)。
|
|
|
|
|
|
|
|
从微观上看,信息系统项目面临的主要风险分类如下表所示。
|
|
|
|
|
|
|
|
|
|
在具体细节方面,对于不同的风险,要采用不同的应对方法。在信息系统开发项目中,常见的风险项、产生原因及应对措施如下表所示。
|
|
|
|
|
|
|
