第六章管理信息系统开发的风险分析与管理第一节风险分析与管理概述第二节管理信息系统开发的风险分析第三节管理信息系统开发的风险管理复习思考题六第一节风险分析与管理概述风险是与人类社会的生产和生活相伴产生的,是与人类的经济生活密切相关的。随着我国经济的发展和21世纪信息化社会的形成,在对信息系统开发投资日益增长的同时,也对信息系统开发的要求越来越高,风险分析与管理已经成为保证信息系统开发成功的重要环节之一。一、风险分析与管理的概念1、风险(Risk)风险是现代社会中经常用到的一个术语。但是由于人们站在不同的角度各有各自不同的解释:按照字面通俗地解释:风险就是不幸事件(生命与财产受到损失或损伤)发生的可能性,或者说风险是一个事件产生人们不希望的后果的可能性(概率)。这种解释强调了风险是某预期后果遇到了不利的情况,而且这种不利的情况是可以用概率去描述的。美国CooperD.FandC.B在《大项目风险分析》一书中对风险给出了较为权威的定义:“风险,是由于从事某项特定活动过程中存在的不确定性而产生的经济或财务损失,自然破坏或损伤的可能性”。这种解释强调了两点:一点是风险是由可确定因素和不确定因素所产生的,可以用已知的或能得到专家们一致估计的概率分布去描述各种可能的后果;另一点是产生的后果具有损失或盈利的两种可能,即风险是一种损失和盈利并存的机会。第一节风险分析与管理概述1、风险(Risk)总结以上的定义,风险可以归纳为:可以分析的不确定性产生的损失或盈利的机会。信息系统开发风险的定义:它是指在信息系统开发的生命周期全过程中,影响系统目标实现的不确定性产生积极或消极影响的事件发生机会。2、风险分析(RiskAnalysis)美国ChapmanC·B在1987年所著的“RsikAnalysisforProjects”一书中如下定义:风险分析是分析处理由不确定性产生的各种问题的一套方法,包括风险的辨识、风险的估计和风险的控制与管理。这个定义指出了风险分析的工作对象是由不确定性产生的各种问题,同时也指出了风险的辨识、风险的估计和风险的评价是风险分析工作包括的主要内容。第一节风险分析与管理概述3、风险管理(RiskManagement)风险管理是指在风险分析的基础上,为了将风险控制在最低限度而进行的各项管理工作的总称。风险分析与管理的工作程序框架如图6--1所示。N开始停止系统风险调查风险控制管理能否控制风险风险弥补管理风险评价、检查效果满意否?选择方法、定量风险的大小及影响风险的分类与因素的辨识健全风险管理组织确定风险管理策略YNY二、风险的特征事实和经验告诉人们:天有不测风云,人有旦夕祸福。无论是自然界中的风暴、洪水、地震、雪灾、海啸等天灾,还是人类社会领域中的战争、犯罪、过失或意外事故等人祸,都是不以人的意志为转移的客观存在。而且无论是过去、现在还是将来,风险都是客观存在的必然现象。1、风险的客观必然性2、风险的偶然性风险的偶然性也称为不确定性。它是指风险的发生和损失在时间、地点、种类和损失程度上,完全是杂乱无章不确定的结果。例如:中国唐山1976年的大地震、每年世界各地的旱、涝灾害等,都是偶然的、不确定的。第一节风险分析与管理概述3、风险的可变性风险的可变性是指风险的产生及其后果在一定的条件下是可以发生变化的。这是因为随着人类生活方式的变化和科技水平的发展,风险因素的变化和人们识别风险和抵御风险能力的提高而必然存在的特征。风险的相对性是指对于不同的主体风险的涵义是不同的。例如:发生暴雨对于在地面和野外施工的工程项目的风险很大,而对于在室内施工的工程项目的风险就比较小;因此风险的内涵是随着主体的不同在变化的,在风险分析与管理工作中必须根据具体的情况具体的分析。4、风险的相对性第一节风险分析与管理概述二、风险的特征5、风险的可测量性风险的可测量性是指工程项目的某种风险发生的频率以及造成损害或收益的程度是可以通过过去的历史数据资料来统计、测量、判断的。现代的计量手段和技术为风险测量的实现提供了科学的基础和保障。6、风险与效益的共存性风险与效益的共存性是指风险不仅可以给工程项目造成损失,也可以带来效益。事实与经验证明,工程项目中的很多风险不一定全是灾难性的,有一些风险是可以通过合同谈判、工程索赔等措施来减少损失,甚至取得一定收益的。风险与效益共存是人们现代风险观念的重大转变。第一节风险分析与管理概述二、风险的特征第二节管理信息系统开发的风险分析风险分析是通过风险辨识、风险估计和风险评价的工作对风险做出全面的、综合的分析。其主要内容及任务如图6.2所示。风险分析风险识别风险估计风险评价哪里有风险?风险类别、因素是什么?后果影响?概率大小及分布?后果大小?风险、效益成本分析?风险对策如何?图6.2风险分析的内容及任务一、风险的辨识风险的辨识是指在信息系统开发之前对可能引起风险的因素和产生后果所进行的分析工作。(一)风险的分类风险的分类是按一定的原则对可能发生的风险进行归类。按照研究风险的不同角度,大致有以下几种风险分类的方法。第二节管理信息系统开发的风险分析(1)按风险的严峻程度可以分为两类。特殊风险,也称为非常风险。这类风险主要指由于战争、政变等政治原因引起的政权更迭,导致项目合同作废,没收承包商财产等后果的政治风险,以及由于地震、洪水、火灾等导致工程项目无法进行,财产遭受损失的自然风险。这种风险一般是致命的几乎无法弥补的风险。非特殊风险,泛指特殊风险以外的风险。这类风险一般通过必要的防范措施是可以转移或者避免的。(2)按风险来源的性质可分为五类。社会环境风险,是指由于国际、国内的政治、经济政策的波动,或者由于自然界产生的灾害而给信息系统开发的双方带来的后果。例如政策变化、外汇汇率的涨落,以及各种自然灾害等。这种风险是属于大环境下因素变化造成的,它所带来的后果是泛指处在这一环境变化中的所有项目,而不是某一个具体项目的承包商,这类风险造成损失的大小主要取决于承包商调整承包战略的能力。经济风险,是指由于与信息系统开发相关的经济因素变化,而给项目开发双方带来的可能后果。例如价格、税收、工资等因素的变化。第二节管理信息系统开发的风险分析技术风险,是指由于与信息系统开发相关的技术因素的变化,而给开发双方带来的可能后果。如系统开发各阶段的设计质量水平,设备的功能指标等因素的变化。公共关系风险,是指由于与信息系统开发相关的各种内部、外部的关系因素的变化,而给项目开发双方带来的可能后果。如信息系统开发部门内部各个阶段,各个层次人员之间的关系,与外部各主要部门之间的关系,以及与开发商、同行业之间的关系等因素的变化。管理风险,是指由于与信息系统开发的管理职能与管理对象等因素的变化,而给开发双方带来的可能后果。如管理组织,领导素质,各阶段开发监督、协调等因素的变化。第二节管理信息系统开发的风险分析(2)按风险来源的性质可分为五类。(二)风险因素的辨识风险因素的辨识实际上是以风险分类为基础,对各种风险因素的细划与归类,也就是要找出该项目将遇到的风险因素是什么?若按信息系统开发的风险来源性质进行各类子风险的因素辨识,如图6.3所示。信息系统开发的风险社会风险经济风险技术风险公共关系风险管理风险战争和内乱国际关系国家政策外汇汇率通货膨胀新技术发展同行业竞争设备价格税收变动工资变动人员的增加减少工期变化系统规划系统分析系统设计系统实施系统运行系统保护系统各项文件编制设备功能机房设施与立项单位关系与主管部门关系开发单位内部各方的关系计算机人员与管理人员关系开发方同行业之间的关系领导素质组织机构计划开发各项目组成员素质开工准备各阶段的协调图6.3信息系统开发风险分类及因素识别第二节管理信息系统开发的风险分析(二)风险因素的辨识(三)风险辨识的方法由于风险辨识工作一般不要求对风险及其后果作出定量的估计,并且有些风险很难在短时间内用数学模型精确计算或用实验手段得到证实,所以风险辨识工作经常运用定性分析的方法。常用的有以下两种方法:1、智暴法(Brainstorming)这种方法一般采用专家小组会议的形式进行。专家们在一起对某一项具体工程项目可能发生的风险广泛发表个人意见,畅所欲言,想说什么说什么,新思想、新看法越多越好。这种方法适用于问题单纯、目标明确的情况,并且要求会议的组织者具有广泛的知识和极强的组织能力,善于提出问题,引导大家不断地产生发表新的思想。第二节管理信息系统开发的风险分析2、特尔斐法(Delphi)这种方法又称为专家咨询法,它一般是以定期向有关专家发放调查表,并且对调查数据进行数理统计的形式进行。这种方法比较接近客观实际,适用于那些很难在短时间内用数理统计、实验分析等方法得到确切的风险因素估计的工程项目,尤其是适用于比较大的信息系统开发的风险辨识工作。风险的估计是指对风险辨识得到的各种风险要素进行测量,得到工程项目的某一风险要素发生的概率以及导致后果的性质大小和概率。如果说风险辨识回答的是要遇到的风险是什么?风险估计则回答的是这种风险有多大?二、风险的估计(一)风险估计工作的内容与任务第二节管理信息系统开发的风险分析(三)风险辨识的方法风险的估计是对未来风险不确定因素的测量,它是一种定量的估计,估计的结果具有一定的近似性。风险估计方法有很多,常用的方法包括以下几种:(二)风险估计的方法1、概率与数理统计法这种方法是运用三点估计的模型和概率分布与计算去估计、分析工程项目风险程度的一种方法。第二节管理信息系统开发的风险分析(1)三点估计法是依靠历史发生的数据资料以及专家的个人经验、对于工程项目的每一个可能出现的风险因素给出三种估计值,运用以下公式计算出确切的估计值的方法:式中:是某工程项目风险第i个因素的估计;是某工程项目风险第i个因素最乐观的估计;是某工程项目风险第i个因素最悲观的估计;是某工程项目风险第i个因素最可能的估计。第二节管理信息系统开发的风险分析1、概率与数理统计法64iiiibmaX然后运用数理统计模型计算风险因素的方差、期望值、标准差和风险度等参数。iXiaibimim(2)概率分布法是通过对风险的概率分布的分析得到风险变化规律的方法。主要的概率分布有均匀分布、梯形分布、三角分布、伪正态分布等形式,其主要概率分布的形式和期望值、方差的计算如表6.1所示。表6.1几种概率分布形式的期望值和方差表第二节管理信息系统开发的风险分析概率数理统计的方法计算简单、确切,但对于专家估计的客观性和权威性要求较高。估计点两点三点四点分布均匀分布伪正态分布三角分布梯形分布图形p0abxp0abxp0abxp0abx期望值E(x)1/2(a+b)1/2(a+b)1/3(a+b+c)1/3(a+b+c+d)+(ac-bd)/(d+b-a-c)方差D(x)1/12(b-a)^21/36(b-a)^21/18(b-a)^21(c-a)(c-b)1/[6(d+b-a-c)][(b+d)(b^2+d^2)-(a-c)(a^2+c^2)]-[E(x)]^2它是基于对历史发生的事实或大量假定的数据进行反复实验,估计工程项目风险程度的方法。这种方法简单,能够借助计算机软件的快速运算,适用于包含随机变量较多的工程项目风险辨识的估计。2、蒙特卡罗模拟法第二节管理信息系统开发的风险分析除了以上方法以外,还有很多的风险估计的方法,如外推法、数字仿真法、逻辑树法和敏感性分析法等。这些方法各有各自的特点,需要根据具体情况灵活运用。风险的评价是对各种风险要素发生的概率以及对后果产生的影响进行的分析、比较、论证、选出最优方案的工作。也就是要回答各种风险因素的影响是什么?对待这些风险因素的方法是什么?最优的方案是什么?风险评价的方法很多,最常用的包括专家打分法、费用--概率曲线法等。三、风险的评价第三节管理信息系统开发的风险管理一、系统的风险管理思想系统的风险管理就是指贯穿于信息系统开发全过程的风险管理。信息系统开发过程的风险管理应该分为三个主要环节,如图6.4所示。立项过程的风险管理准备投标签订合同开发过程的风险管理总结过程的风险管理系统评价文件规范总系系系体统统统规分