3.3 信息系统项目的风险识别
3.3.1 信息系统项目风险识别的目的
在项目实施之前风险管理小组或专家需要通过对项目信息资料的收集和分析,对项目相关人员的调查等,对项目可能出现的状况进行预测和识别,并进行简单的分析。风险识别可以使项目管理团队和项目管理者在信息系统项目计划和实施之前就意识到风险的存在,并对风险进行预防和应对。另外,风险识别可以使后续的工作更有效率和效果,为风险监控和风险分析打下良好的基础。
3.3.2 项目风险识别的过程
一般情况下,风险识别可以分为3步来进行。第一步,详尽的收集资料,包括历史资料和调查;第二步,对资料进行分析和研究;第三步,结合分析结果、直接和间接的症状,将已经存在的和将要发生的风险识别出来。其具体的项目风险识别过程分别如下:
第一步,收集资料。为了识别信息系统项目的所有风险,项目风险管理团队首先要有目的地收集有关项目本身、项目环境、项目投资者、项目实施单位和参与单位等方面的资料和数据。数据资料收集的详细程度和有效性都会影响风险识别工作的结果。所收集到的数据需要能够说明项目有可能遭遇什么风险,风险出现的预兆是什么。一般情况下,这些资料应该包括有关项目本身、项目环境以及项目组织的历史经验资料等内容。具体地说,一般需要收集以下资料。
(1)项目的前提和假设。不管项目团队是否意识到或者承认,项目的所有工作包括前期的项目机会研究、项目建议、项目可行性研究、项目计划等都是在一定的假设前提下进行的。但我们一般无法真正确定这些假设是否正确和可靠。因此,在项目前提和假设中存在一定的风险。
(2)项目的制约因素。在信息系统开发项目中,项目是处于一定的环境中的,受到各种各样内外部环境与条件的约束和制约。如法律法规、国家政策等外部因素是项目组织所无法控制的。还有一些制约因素,如资源因素、技术因素等内部因素,也只能在一定范围内可控。这些都是在项目团队的控制能力之外,隐藏着潜在的风险。
(3)项目说明书及可行性研究报告。信息系统项目的开发过程是以项目可行性研究报告中的内容作为项目管理的重要依据,最终的成果则是由项目说明书来描述。但由于项目环境和各种内、外部因素的变化,项目的实际进程可能并不会严格按照事先所制定的计划来进行,最终会导致信息系统项目的进度、成本和交付受到影响,这是我们需要研究的风险。
(4)历史资料。项目团队在以往信息系统项目中的经验和教训对于当前项目的风险识别具有非常重要的意义。在项目管理团队中,有很多人对信息系统的开发有丰富的经验,也经历了惨痛的教训,这是一笔宝贵的财富,对于识别风险有极大地帮助。统计资料主要是通过调查方法获取,并最终形成正式的文档。
以往信息系统项目的风险列表以及相关资料都有助于本项目的风险识别。项目风险管理团队应该充分利用这些宝贵的资料,从中获取有效信息,节省风险识别的成本,提高项目风险识别的效率和准确性。
第二步:资料整理分析。这一步是应用相应的工具和方法,对第一步中收集到的资料和数据进行统计和分析。第一步中收集到的资料信息量大且内容复杂,有效性也较差,并不能被直接应用到项目风险识别中去。包括的内容主要有以下两点。
(1)资料整理。将所收集到的资料进行初步整理,剔除不完整的、无效的数据,将有效数据进行分类,转变成能够被直接应用的形式。
(2)资料分析。应用统计分析工具,对数据进行分析,得出项目中可能出现的风险,并简单估计每种风险出现的概率,以及风险影响程度。
第三步,识别项目风险。依据前两步的结果,将项目中可能出现的和已经表现出来的风险识别出来,并按照规范的格式制作正式的项目识别文档以及项目风险列表。
3.3.3 项目风险识别的工具和方法
在项目风险的识别过程中,我们要用到一系列的工具和方法,主要有以下几种:
(1)历史数据法。历史数据法,是指通过对历史资料和数据的收集,掌握必要的信息,通过对历史经验和教训的总结分析,识别项目可能遇到的风险。
(2)调查法。调查法,是通过使用问卷调查、访谈等对选定的对象进行调查,获取相关信息的方法。调查对象要求范围广泛,包括项目组成员、信息系统行业专家、项目客户、供应商等与项目有较为密切关系的单位和个人。
(3)头脑风暴法。头脑风暴法,是要求参与者在群体参与的基础上,尽可能地激发创造性,产生尽可能多的设想和方法,最后逐渐统一思想并提出合理的方案。在风险管理中,应用头脑风暴法的目的就是要求项目参与人员及风险管理相关人员尽可能多的产生关于项目风险的想法和观点,将不同的风险可能性全部列示出来。在头脑风暴的过程中,一定要注意相应的原则,即自由畅谈、延迟评判、禁止批评、追求数量,以使会议在比较轻松和开放的状态下进行,以获得尽可能多的风险可能性。会后再由风险管理团队和相关专家对已获得的设想进行整理、分析,筛选出有价值的创造性设想并加以开发实施。这个工作就是设想处理。头脑风暴法的设想处理通常有两种方式:一种是专家评审,可聘请有关专家及有关代表若干人(5人左右为宜)承担这项工作;另一种是二次会议评审,即由头脑风暴畅谈会的参加者共同举行第二次会议,集体进行设想的评价处理工作。
(4)德尔菲法。德尔菲法,是专家就某一议题达成一致意见的某种方法。项目风险管理团队将会邀请项目风险管理专家以信涵和匿名方式参与此项活动,用问卷征询专家对项目风险的有关见解,待问卷答案交回并汇总后,再发给专家征询意见。在经过若干轮的传阅和发表意见之后,就会得到关于项目风险的比较一致的看法。德尔菲法主要依赖于专家经验,能够很好地减少个人意见的偏颇和缺陷。
(5)风险树法。风险树法,就是利用树状图的形式,首先确定项目中大的风险,再进一步分解成各种小的、具体的风险;或者对各种风险的原因进行分解。这是风险识别的有效工具。该法是利用树状图将项目风险由粗到细、由大到小、由模糊到清晰依次识别,这样容易识别出所有的明确的风险因素。
(6)敏感性分析法。敏感性分析法,是研究项目在生命周期范围内,当项目的变数(如销售数量、单价、投资、成本、项目寿命等)以及各种前提发生变化时,项目经济指标会出现的变化以及变化的范围。敏感性分析是一种定量识别方法。
(7)鱼刺图法。通过头脑风暴找出影响项目的因素,并将它们与特性值一起,按相互关联性整理而成的层次分明、条理清楚,并标出重要因素的图形叫因果图。因其形状如鱼刺,所以又叫鱼刺图,它是一种透过现象看本质的分析方法。
3.3.4 信息系统项目风险识别的内容
信息系统项目风险识别的目的,就是要将项目中可能发生的和已经存在的风险识别出来,并形成项目风险列表。风险识别的内容就是需要明确什么才是影响项目的风险,以及影响项目风险的因素是什么。可以用以下几项指标描述一个风险。
(1)项目风险名称。在描述风险时,首先要给出项目风险的一个标识,也就是项目风险的名称。项目风险名称的要求是简单实用,尽量能够使人们在看到名称时就对风险有简单而清晰的认识。
(2)项目风险归属。风险归属是指对风险的一个简单分类。前面的章节已经对项目可能存在的风险类别做了一个描述,这里要将每种风险划分到相应的类别中去,以便于管理和控制。
(3)项目风险产生的原因。在这一指标中,要求对风险产生的可能原因做出简要的分析和描述。
(4)项目风险出现的征兆。风险出现的征兆,是指项目风险管理者要明确每一种风险出现的前兆是什么。任何风险的出现都不是无缘无故的,也不是突然就毫无征兆的表现出来,在风险发生之前,项目外部环境和内部因素一般会有所变化,识别这些变化对风险识别有重要意义。
3.3.5 信息系统项目风险识别的成果
信息系统项目风险识别的成果主要表现为以下两个方面:
(1)项目风险清单。项目风险清单是对项目风险识别阶段的一个总结,其具体内容为一个风险列表,将所有可能存在的风险按照一定的顺序列示。一般要将风险按照其归属分类后,再按照其出现的概率排列。
(2)项目风险说明书。项目风险说明,是对项目风险的具体描述,在风险识别阶段,其描述的范围包括风险名称、风险的类别归属、风险产生的原因以及风险的征兆。项目风险说明书在风险分析阶段需要进一步充实。
访问Greg Kirkland
Greg Kirkland在Pranklin大学获得计算机信息科学学士学位。毕业后开始编写COBLE财务应用软件,之后转而从事PC和网络支持工作,担任IT项目经理10年。
问:开始创建IT项目预算时,您首先考虑的是什么?
答:我尽量不把问题集中在成本上。我为一家CPA公司工作,他们会无比详细地分析提出预算支出。我所要做的工作是对影响项目的各种因素进行系统地分析,从而找到解决问题的最佳方案。在项目实施过程中密切注意问题出现的苗头,使开发项目成本费用有效地控制在预算范围内,从而实现项目的目标。
问:如果供应商不能如期交货,就会打乱计划,这时怎么办?
答:为了防止供应商不能如期交货,项目经理应该在项目计划中制定应对和供应商的行为相关的可能发生的事件的备用计划。和供应商讨论一下按时发货的重要性,这样,在计划被严重打乱之前,他们可以帮助找出一些补救措施。在确定供应商之前就应该进行这样的讨论。
问:在和管理层打交道时,项目经理最容易犯错误的地方是什么?
答:项目经理很容易认为项目是“自己的孩子”,但实际上你的角色只是助产士。管理层和他们的成员构思了项目、对它负最终责任。当项目完成后,他们还要和它一起成长。
问:什么是项目经理一般都容易误入的陷阱,如何避免?
答:不知有多少次,技术成为每一件事的理由。您要搞清楚什么时候它才真正是某件事的理由。项目扩展,或者是在项目计划已经实施而且章程已经通过后再添加一些条款到项目中,会毁掉整个项目。项目经理应该学会说“不”或者至少会说“我们看看项目后再说”。有些发起人会帮助您抵御这方面的进攻。
(摘自:《实用IT项目管理》)