风险管理是指要对项目风险进行认真的分析和科学的管理,这样能够避开不利条件、少受损失、取得预期的结果并实现项目目标的,能够争取避免风险的发生或尽量减小风险发生后的影响。但是,完全避开或消除风险,或者只享受权益而不承担风险是不可能的。
风险管理计划编制:如何安排与实施项目的风险管理,制定下列各步的计划。◆风险识别:识别出项目中已知和可预测的风险,确定风险的来源、产生的条件、描述风险的特征以及哪些项目可以产生风险,形成一个风险列表。
◆风险定性分析:对已经识别的风险进行排序,确定风险可能性与影响、确定风险优先级、确定风险类型。
◆风险定量分析:进一步了解风险发生的可能性具体由多大,后果具体由多严重。包括灵敏度分析、期望货币价值分析、决策树分析、蒙特卡罗模拟。
◆风险应对计划编制:对每一个识别出来的风险来分别制定应对措施,这些措施组成的文档称为风险应对计划。包括消极风险(避免策略、转移策略、减轻策略);积极风险(开拓、分享、强大)。
◆风险监控:监控风险计划的执行,检测残余风险,识别新的风险,保证风险计划的执行,并评价这些计划对减少风险的有效性。
◆项目风险:作用于项目上的不确定的事件或条件,既可能产生威胁,也可能带来机会。
◆通过积极和合理的规划,超过90%的风险都可以进行提前应对和管理。风险应该尽早识别出来,高层次风险应记录在章程里。
应由对风险最有控制力的一方承担相应的风险。
承担风险程度与所得回报相匹配原则,承担的风险要有上限。
一、风险的属性:
(1)随机性:风险事件发生及其后果都具有偶然性(双重偶然),遵循一定的统计规律。
(2)相对性:风险是相对项目活动主体而言的。承受力不同,影响不同。风险承受力影响因素:收益大小(收益越大,越愿意承担风险)﹔投入大小(投入越大,承受能力越小)﹔主体的地位和资源(级别高的人能承担较大的风险)。
(3)风险的可变性:条件变化,会引起风险变化。包括性质、后果的变化,以及出现新风险。
二、风险的分类:
◆按照后果的不同,风险可划分为纯粹风险(无任何收益)和投机风险(可能带来收益)。
◆按风险来源划分,自然风险(天灾)和人为风险(人的活动,又可分为行为风险、经济风险、技术风险、政治和组织风险等)。
◆按是否可管理划分,可管理(如内部多数风险)和不可管理(如外部政策)也要看主体管理水平。
◆按影响范围划分,局部风险(非关键路径活动延误)和总体风险(关键路径活动延误)。
◆按后果承担者划分:业主、政府、承包商、投资方、设计单位、监理单位、保险公司等。
◆按可预测性划分:已知风险(已知的进度风险)、可预测风险(可能服务器故障)、不可预测风险(地震、洪水、政策变化等)。
◆在信息系统项目中,从宏观上来看,风险可以分为项目风险、技术风险和商业风险。
◆项目风险是指潜在的预算、进度、个人(包括人员和组织)、资源、用户和需求方面的问题,以及它们对项目的影响。项目复杂性、规模和结构的不确定性也构成项目的(估算)风险因素。项目风险威胁到项目计划,一旦项目风险成为现实,可能会拖延项目进度,增加项目的成本。
◆技术风险是指潜在的设计、实现、接口、测试和维护方面的问题。此外,规格说明的多义性、技术上的不确定性、技术陈旧、最新技术(不成熟)也是风险因素。技术风险威胁到待开发系统的质量和预定的交付时间。如果技术风险成为现实,开发工作可能会变得很困难或根本不可能。
◆商业风险威胁到待开发系统的生存能力,主要有以下5种不同的商业风险:
(1)市场风险。开发的系统虽然很优秀但不是市场真正所想要的。
(2)策略风险。开发的系统不再符合企业的信息系统战略。
(3)销售风险。开发了销售部门不清楚如何推销的系统。
(4)管理风险。由于重点转移或人员变动而失去上级管理部门的支持。
(5)预算风险。开发过程没有得到预算或人员的保证。