见微知著,未雨绸缪——浅析信息系统项目的风险管理
 

2009-12-09 作者:商蓉蓉 来源:网络

 

“故圣人见微知著,睹始知终。”    ——汉·袁康《越绝书·越绝德序外传》

缩水的IT预算

金融风暴的余威仍在,经济衰退还在由金融行业向传统行业漫延,企业面临的经济形势和生存压力正前所未有的严峻。

几乎是一夜之间,各家企业忽然意识到,是时候压缩开支准备过冬了,甚至做好了“冬眠”的打算。在09年初各家企业的年度预算中,老板们有志一同的把目光瞄向了IT预算,一改往日的豪爽,开始“算计”着度日。

在年景丰裕时,连年上涨的IT支出是可以令老板脸上贴金的投资。IT投入啊,多么高精尖的领域,投入越多越显得老板高瞻远瞩远见卓识。而到了年景堪忧时,IT预算却一下子成了老板眼中急待瘦身的可压缩性支出。这个时候还往无底洞里砸钱?也太不懂得轻重缓急艰苦朴素了!

如此这般的“随行就市”,致使IT投资成为企业在危机环境下最早被削减、同时也是缩水幅度最大的一项开支,也给负责信息化建设的CIO们出了一道难题。

以往财大气粗的CIO们突然摇身一变,成了捉襟见肘的小媳妇,兜里没钱,活要照干!IT系统支撑着企业运营,一刻也耽误不得,硬件要维护,软件要升级,还有早就定好的IT规划摆在那里,若干个新系统排着队等待选型和实施,却突然遭遇预算缩水……唉,巧妇难为啊!

IT风险好好管

危机当前见仁见智,在IT系统已经全面融入企业运营的今天,盲目的削减合理的IT投入并非明智之举。越是严峻的经济形势,市场竞争越是激烈,企业生存越要依靠信息系统来增强运营效率,降低管理成本和生产成本,提高满足客户需求的能力,增强适应市场的能力,成为许多有远见的企业在经济寒冬里的选择。

但是,毕竟今时不同往日,危机之下,企业对风险的耐受性更差,抗风险能力也更低,对企业经营决策的正确性和时效性要求更高,哪怕只有一点点的偏颇和失当,都可能引起不可挽回的后果。

危机环境下的信息化建设,也因此而具有了一些新的、特定的、不容忽视的特点,尤其是那些大型的信息系统项目,因为投资规模大、功能复杂、用户众多,并且很多系统还涉及到了业务流程的重整和优化,建设和实施的难度和风险更高,对实施者的业务素质和风险管理水平提出了更高的要求。

信息系统建设要在当前的危机之下取得成功,必须加强项目的风险管理和控制。项目预算紧张、环境变化剧烈、业务流程不稳,都增加了项目实施过程中的风险系数,而确保项目成功的重要保障,就是尽量降低项目实施的风险,避免风险的发生,如履薄冰的企业已经承受不起任何一次IT投资失误的后果。

因此,高风险的经济环境下,如何加强信息系统项目,尤其是大型项目的风险管理,成为所有信息化工作者关注的共同话题。

稳扎稳打降风险

21世纪的商业环境,风险无处不在,没有任何一个项目的负责人敢说自己的项目不会遇到任何风险。千锤百炼的墨菲定律明确的告诉我们,只要有变坏的可能,无论可能性多么的小,总是会发生。

当然,墨菲的存在并不代表我们要对现实悲观失望,它的作用在于承认风险的存在,并且不会目空一切的轻视它们。对待风险,我们同样要学习李冰治水的经验:疏堵结合,因势利导。

对信息化建设的项目来说,风险管理的本质是见微知著——在风险成为危机之前,消灭其于萌芽当中;也是未雨绸缪——在风险发生之前,准备好应对之策。只有稳扎稳打的做好风险管理的每一步,才能使项目的风险可控,赢得从容应对风险的时间,把损失降到可以承受的范围之内。

第一步,提高认识

正确认识项目可能遇到的各种风险,是加强项目风险管理的基础,是制定风险应对预案的基础,是及时预警风险信号的基础。既然是基础,其重要性也就不言而喻,然而真正能够做到这一点的却并不多。

许多项目经理的风险管理计划完全是敷衍了事——既然有风险列表可以参考,那么随便选出三五个风险因素,然后照抄一下以往的应对措施,再随意琢磨出几个概率和强度,一份有模有样的风险管理计划就新鲜出炉了。至于如此一份“因繁就简”的风险管理计划,对防范和应对当前项目中可能遇到的风险到底有多大的用处,就可想而知了。

所以,只有当组织的所有成员都诚恳的意识到风险的破坏性和风险管理的迫切性,从思想上充分重视项目风险的识别、监控和应对,风险管理才可能发挥其应有的作用,成为促进信息化项目成功的重要保障。

第二步,有备无患

实施风险管理的第一步是风险识别。项目经理要在制定项目计划的同时,制定出风险管理计划,根据项目的特点,明确在项目进程中可能遇到的风险,并对不同的风险内容分别制定可行的应对策略。

风险的识别有很多种方法,信息化项目中最常用的是风险列表分析法。

具体的作法可以是,组织把以往项目中曾经发生过的风险整理到一起,并按照项目的类型、规模和特点进行分类,分别编制成适用于不同种类项目的风险列表,供项目组评估和分析当前项目所面临的风险时使用。

当然,这个列表不应该限制项目经理发现项目中新的风险,而只是让项目的风险识别有的放矢,让组织的历史经验得到重用。

信息化项目当中,不断积累起来的项目经验和组织过程资产,是保证新项目顺利执行的宝贵资产。无论是整理出来的风险识别列表,还是以往曾经采取的处理方法,或是各种不同方法的实施效果,对于新的项目来说都是极珍贵的参考资料,对整个项目的风险管理更是意义非凡。

无论采用何种方法,准确的识别出当前项目的风险,是有效管理项目风险的前提,也是后续各步骤的基础。

第三步,精确度量

每种风险发生的概率和造成的损害各不相同。一个项目需要关注的东西很多,不可能对每一个风险都给予同等的注意,必然会对发生概率高、危害大的风险投入更多的关注。这样就带来了一个问题,如何才能确定某个风险发生的概率和强度?

关于风险发生的概率,可以通过历史数据的分析来获得。对历史项目中这类风险发生的频度进行统计,可以大致估算出这类风险发生的概率,当然,在评估具体项目中某个风险的概率时,也要考虑到该项目的特点,只有对具有可比性的项目数据进行统计,才会对风险的概率度量有所帮助。

风险的强度系数,主要依靠对假设的风险发生状态下,可能会给组织造成的直接损失和间接损失。对信息化项目来说,最常用的衡量损失的指标就是进度和质量,这是最直接的损失,当然还会有间接的比如满意度等方面的损失。

无论是概率系数还是强度系数,都是为了衡量某个风险的重要性服务的,并不要求绝对精确,只要能够找到项目中最可能发生的、危害程度最大的风险,并加以重点防范,以避免给项目造成重大损失。

第四步,重点监控

罗马不是一天建成的,风险也不是突然出现的。在风险演化为后果严重的危机之前,总会有蛛丝马迹可寻,风险监控的意义就在于此。只要我们足够的细心,给予足够的重视,很多情况下是可以化危机于无形的,或者,至少可以降低所造成的危害。

前面几步明确了风险的内容、概率和强度,接下来我们需要对优先级最高的风险进行重点监控,把有限的精力放在最有价值的工作上。

信息化建设的项目有许多信息和指标反映项目的进展状态,比如项目进度是否落后,项目质量是否波动,需求是否又有变动,功能点完成了多少?项目的风险管理者(比如项目经理、项目度量员等角色)应该时刻关注这些项目信息,并从各种状态评估报告、项目进展报告等文件中收集所需的信息,利用这些信息拼凑成一幅完整的项目现状图。

掌握了全面的项目状态信息之后,风险管理者需要根据风险管理计划中提供的风险列表,对其中的异常信息进行重点分析,及时发出风险预警,提醒项目组成员确认风险并采取相关的风险应对措施,达到风险管理的目标。

防微杜渐是风险监控的目的,见微知著是风险监控的原则,无论计划制定的多么完美,没有及时准确的风险监控和预警体系,项目的风险管理就实实在在的成了一句空话。

第五步,沉着应对

最可怕的不是风险本身,而是当风险成为事实后的惊慌失措。既然墨菲存在,那么风险变为现实也就没什么好奇怪的,重点是我们应该怎样面对已成事实的风险,怎样努力降低风险造成的损失。

如果我们认真做到了前面的几个步骤,那么即使风险真的发生,其严重程度也不会太离谱,因为早在风险萌芽之初,已经采取了预防措施。但如果很不幸的,风险来得异乎寻常的猛烈,或者预防措施效果不佳,也没有必要惊慌,还有计划中的应急预案可以帮我们度过难关。如果更加不幸的,遍寻不到可用的应对预案,那么我们只好检讨制定风险管理计划时敷衍了事了。

风险处理的方法有很多种。比如“躲避风险”,采取其它途径绕开遭遇风险的环节,当然这是一种消极的应对策略,很可能由于采用了计划外的方法而引入新的风险。还有“承担风险”,当发生风险的环节无法规避,那么只有硬着头皮上了,当然,这么做的前提是损失在项目可以承受的范围内,或者不这么做就会引起更大损失的情况下,不得已而为之。最后,“转嫁风险”也是一种手段,把风险转移给其它组织或个人,避免自己的损失,只不过这种自扫门前雪的做法,未免有些不厚道。

风险应对是当所有预防措施失效之后才采取的,是项目的风险管理计划中的最后一道防线,通过措施得力的风险应对,可以尽量降低风险所造成的损失,避免遭遇致命性的打击,提高风险过后的恢复能力。

提升抗风险系数

单个项目的成功并不代表所有项目都会成功,即使在同一组织内,也会有成功和失败的项目同在。但是,当组织的项目管理水平得到提升后,组织所承担的项目成功率就会得到提升,项目的结果变得可以预期。

同样,对于项目的风险管理的成功,除了需要项目组成员的努力之外,也需要提高组织的风险管理水平,使整个组织的抗风险系数得到提升,增加项目的整体成功概率。

提高组织的风险管理水平,可以从以下这几个方面加以尝试。

首先,提高组织成员对风险管理的重视程度

思想决定行为。

只有让组织成员清醒的认识到缺乏管理的风险和可能给项目造成怎样不可挽回的损失,提高他们的风险管理意识,才能从思想上接受项目风险管理的必要性,进而从行动上支持风险管理的活动。

没有思想上的接受,即使被分派了风险管理的任务,也可能敷衍了事,无法取得预期的效果。

其次,制定完备的风险管理制度

制度是保证组织行为稳定和可预见的前提。

风险管理作为一项重要和复杂的项目管理任务,只靠个人的热情和某个项目组的努力是不够的,组织必须制定出清晰完备的制度,来保证风险管理的过程可监控、可预测、可管理。

有了可遵循的制度,风险管理的行为就会变成组织的标准行为,收到效果显著而且稳定的成效。

再次,建立完善的人员配备

组织的行为是通过合理的角色分配和完善的组织架构来保障的。

良好的风险管理需要全面的信息,也需要合适的人员。例如准确度量风险、分析项目信息、及时发出预警等任务,都需要有能力、有经验的风险管理人员来承担。

没有合理的角色分配和组织架构,组织的风险管理水平是无法得到保证的。

最后,积累有价值的过程资产

只有积累下来的才是可用的。

每个项目都会面临不同类型的风险,每个风险都会有不同形式的表现,每次处理都会有不同程度的效果,只有当这些流水般的经验在组织里积累和沉淀下来,才能成为有用的组织知识,为以后的项目提供宝贵的风险管理经验。

当组织慢慢的积累了足够的风险管理经验,制定了完备的风险管理制度,配备了恰当的风险管理人员,具备了充分的风险管理意识,组织的风险管理水平也就达到了一个新的台阶。

火龙果软件/UML软件工程组织致力于提高您的软件工程实践能力,我们不断地吸取业界的宝贵经验,向您提供经过数百家企业验证的有效的工程技术实践经验,同时关注最新的理论进展,帮助您“领跑您所在行业的软件世界”。

资源网站: UML软件工程组织