无论是系统集成还是软件开发,IT公司经常需要对各种项目进行实施和管理,面临着如何确定项目的投资价值、评估利益大小、分析不确定因素、决定投资回收时间等众多问题。并且,一个IT项目,无论其规模大小,必然会使用户在管理、业务经营等多方面带来变革,这就使IT项目必然具有高风险性的特点。尤其是近年来,IT项目的广泛实施,一方面为众多的企业带来了管理、经营方面的革新,而另一方面,夭折、中断、失败的项目也不在少数。因此,如何在项目实施中有效地管理风险、控制风险,已经成为了项目实施成功的必要条件。
项目风险管理不仅贯穿于整个项目过程,而且在项目事件发生之前风险的分析就已经开始。我们可以根据风险控制与项目事件发生的时间将风险管理划分为三个部分:事前控制——风险管理规划,事中控制——风险管理方法,事后控制——风险管理报告。
1.事前控制
风险管理规划是在项目正式启动前或启动初期对项目的一个纵观全局的基于风险角度的考虑、分析、规划,也是项目风险控制中最为关键的内容,包括风险形势评估、风险识别、风险分析和风险评价等几部分。
(1) 风险形势评估
风险形势评估以项目计划、项目预算、项目进度等基本信息为依据,着眼于明确项目的目标、战略、战术以及实现项目目标的手段和资源。从而实现:通过风险的角度审查项目计划认清项目形势,并揭示隐藏的一些项目前提和假设,使项目管理者在项目初期就能识别出一些风险。尤其是项目建议书、可行性报告或项目计划一般都是在若干假设、前提、预测的基础上完成的,这些假设、前提、预测在项目实施期间有可能成立,也有可能不成立。而这其中隐藏的风险问题又通常是被忽视的。一旦问题发生,往往造成项目管理方的措手不及或无法应对。例如,项目计划中假设用户实施小组全力支持、脱产或几乎脱产投入IT项目的实施,但在实际过程中,用户方人员却不得不抽出大量时间处理原有的业务,造成IT项目实施进度的拖延和实施效果不尽人意的风险。诸如此类的例子还有很多。为了找出这些隐藏的项目条件和威胁,就需要对与项目相关的各种计划进行详细审查,如人力资源计划、合同管理计划、项目采购计划等等。由此我们可以得出,风险形势评估一般应重视以下内容:项目的起因、目的、项目的范围、组织目标与项目目标的相互关系、项目的贡献、项目条件、制约因素等。
(2) 风险识别
在对项目的基础的风险形势评估之上,就需要对各种显露的和潜在的风险进行识别。风险识别实际上是对将来可能发生的风险事件的一种设想和猜测。因此,一般的风险识别结果应包括风险的分类、来源、表现与其后果以及引发的相关项目管理要求。在具体识别风险时,一方面可利用一些常识、经验和判断,通过以前经历的项目中积累起来的资料、数据、经验和教训,或者请教相关的专家和资深从业人员,采用集体讨论的方式。另一方面,可以通过分解项目的范围、结构来识别风险,理清项目的组成和各个组成部分的性质之间的关系与外因的联系等内容,从而减少项目实施过程中的不确定性。除此之外,还可以利用一些技术和工具。比如,结合经验和教训,将项目成功和失败的原因罗列成一张核对表,或者是项目的实施范围、质量控制、项目进度、采购与合同管理、人力资源与沟通等。以上都是风险识别常用的一些手段和方法,当然还有其他更多的途径,因项目而异,灵活运用。
(3) 风险分析和评价
在进行风险识别并整理之后,必须就各项风险对整个项目的影响程度做一些分析和评价,通常这些评价建立在以特性为依据的判断和以数据统计为依据的研究上。风险分析的方法非常多,一般采用统计学范畴内的概率、分布频率、平均数众