高级IT项目管理》讲义04-IT项目的风险管理

项目风险管理李清SystemIntegrationDivisionDepartmentofAutomationTsinghuaUniversityBeijing100084,P.R.ChinaTel:010-62771152-1043Mail:liqing.thu@gmail.comMSN:liqing.thu@gmail.comBlog:liqingthu.spaces.live.comPage2导入案例B机床厂一直谋求在整个行业的技术领先地位，1990年企业领导就注意到企业信息化对增强企业竞争能力的潜在作用，于是投入巨资，请国内著名高校的著名研究团队帮企业引进了当时世界上最先进也是最昂贵的计算机辅助设计系统。可是整个项目实施以后，一直没有发挥应有的作用，几年后这套系统就因为技术落后而被淘汰了。在信息化领域有一句格言：领先一步是先进，领先三步是先烈。Page3“抱最大的希望，做最坏的准备”-英国古谚风险总是和机遇相伴随，信息化项目在其给执行组织带来巨大利益的同时，也隐含着巨大的风险，就像B机床厂遇到的问题一样，这些问题可能来自技术层面，不过很多情况下，这种风险来自管理层面，甚至来自执行组织的组织文化问题。Page4风险的概念风险是损失发生的可能性–1、主体–2、损失–3、可能性风险=损失×可能性Page5风险大小损失概率（可能性）风险增大高度风险区中度风险区低度风险区Page6风险大小之人的风险态度W（财富）U（效用值）风险喜好风险中庸风险厌恶Page7降低风险的思路损失概率（可能性）风险增大高度风险区中度风险区低度风险区Page8风险的特征客观性普遍性偶然性可变性Page9风险的类型纯粹风险、投机风险自然风险、人为风险可管理风险、不可管理风险总体风险、局部风险不同承担者的风险Page10风险管理利用科学的方法去识别风险、评价风险并设计、实施有效的方法去控制风险。Page11风险管理过程明确目标风险识别风险评价设计、评价、抉择风险应对方案实施方案评估与审核Page12风险管理策略风险回避风险减轻风险自担风险转移风险共担风险控制风险融资Page13项目风险项目风险：造成项目达不到预期目标甚至失败的可能性。IBM咨询集团发现68%的顾客/服务器项目耗时太长、55%的项目成本超出预算。《财富》公布超过80%的负责人对企业业务流程再造（BPR）的工作感到失望。Page14项目风险产生的原因1、项目的未来性2、项目的复杂性3、项目环境的变化4、项目中人的因素Page15现代项目风险产生的原因1、生产极度复杂的产品2、依赖多种数据来源3、采用功能交叉的方法4、项目管理与企业战略的紧密结合5、产品从概念到市场的时间缩短6、满足顾客需求7、市场的国际化8、鼓励参与者取得更大的合伙权和所有权9、分散经营10、应用更多专业技术11、依赖更复杂的工具Page16项目系统风险管理管理目标系统方法管理组织风险信息项目文化Page17风险识别的依据产品或服务的说明书项目的前提、假设、制约因素项目规划可以类比的项目Page18风险识别方法基于损失的识别方法与系统安全技术现场检查法检核表及问卷调查法流程图及组织结构图HazardandOperabilityStudies故障树归因策略Page19故障树容器爆炸（E）减压阀失效（B）压力上升（A）与E=A·BPage20故障树压力上升（A）过多输入（D）泵失效（C）或A=C+DPage21故障树E=A·B=（C+D）·B=C·B+D·B含义：“泵失效且阀门失效”或“输入过多且阀门失效”都可以导致最终事件---容器爆炸。Page22项目风险衡量风险事故发生造成损失衡量损失发生概率衡量Page23项目风险应对选择策略损失小损失大概率大概率小ABCDPage24信息化项目中的典型风险导入案例提到的B机床厂引进CAD的失败，原因在于没有将技术目标、企业的实际需求和企业的现实基础进行有效的平衡。只是从技术角度看到引进CAD对提高企业竞争能力的作用，没有想到当时企业设计人员根本没有接触过计算机设计，因此该信息化项目应该以帮助设计人员甩掉图板为目的。基于此目的，应该引进大量的低端CAD产品，强调的是CAD系统的普及率。这样经过一个轮回，打下基础，在下一个阶段的信息化过程中引入高端的CAD系统就能发挥作用了。当时企业的决策问题就是没有深刻挖掘这种实际需求，花同样的钱，只能引进少数高端软件，根本不能普及，而且软件本身的功能也超出使用人员的能力，项目没有发挥作用是很自然的事情。因此需求定位不准确是信息化项目最常见的风险。Page25信息化项目中的典型风险-续仍然是B机床厂，第二次信息化项目为了在技术上领先，采用了最先进的技术，由于技术都没有吃透，更不用提由于新技术引入对管理过程的影响了，项目最后没有验收就失败了。该项目铺设在整个厂区的同轴电缆网线，从铺好那一天起就没有跑过一个数据，目前虽然网络的状况良好，不过因为技术落后，已经没有任何实用价值了。这说明，信息化技术的发展和新技术所带来的不确定性，也是信息化项目需要仔细回避的。Page26信息化项目中的典型风险-续信息化项目会给组织引进新的技术，这些新的技术会对组织的管理流程和技术程序带来变化。以前已经合理地运行几十年的过程，可能在新的技术条件下就会产生新的问题，这些问题也是需要信息化项目团队预先设法控制的。例如，某企业为了加快办公信息的处理过程，新上了一套办公自动化系统，构架在该系统上的是老的公文处理流程，由于信息系统加快了信息的周转速度，企业一般管理问题也更方便地递交到上层领导的屏幕上，造成领导需要处理的信息爆炸，领导反而不能找到有用的信息，反而没有了思考战略决策问题的时间。为了规避这样的风险，先合理化再自动化是一个好的出路。Page27信息化项目中的典型风险-续由于企业上了一套财务系统，以前需要大量的会计半个月的结算只要1个小时就能完成，大量的会计人员成为富余人员需要转岗，这造成了财务人员对信息系统的抵触情绪。还有更极端的例子，由于信息化带来企业管理模式的变化，许多领导的权利和职位发生变化，他们出于自身利益的抵触，往往是信息化失败的主要原因。Page28信息化项目中的典型风险-续信息系统虽然实现了信息的自动处理，但是原始数据还是靠人输入的，如果员工的素质和责任心没有达到一定的高度，输入的是不正确的数据，信息系统产生的信息也就没有可信度了。Page29信息化项目中的典型风险-续信息化是关系企业发展战略的项目，和企业高层的战略决策和意向关系密切。常常有大量的信息化项目，在企业领导层调整后而改变了原定的方向。Page30我们所面对的信息技术和信息系统CommunicationsTechnologyProgrammableControllerProductionplanningandControlIntegratedManufacturingCentersComputer-AidedInspectionOperationsSimulationGeometricModelingFlexibleManufacturingSystemscellControllerCNCOPTHBDSRoboticsPETRIPage31Moore定理：计算机的处理能力每18个月翻一倍Gilder定理：全球通讯系统的带宽每12个月翻3倍Shugart定理：磁存储器件的价格每18个月下降一半每3年出现一批新的架构和软件系统–MRP=MRPII=ERP=ERPII(CRP)–PDM=PLMPage32项目风险管理包括与项目风险有关的辨识、分析和响应过程，其目的是使好结果最大化，并使坏结果最小化。–1风险辨识━确定哪些风险可能影响项目，并编制每一个的特征文档。–2风险量化━评估风险和风险的相互作用，以评估可能的项目结果的范围。–3风险响应的开发━定义追逐机遇的步骤，以及对威胁的响应。–4风险响应的控制━对整个项目过程中风险变化的响应。Page33在不同的应用领域中，对于这里描述的过程，往往使用不同的名称。例如：–•风险辨识和风险量化有时候被处理成两个独立的过程，其组合过程可以被叫做风险分析或者风险评估。–•风险响应的开发有时候称为响应规划或风险缓解。–•风险响应的开发和风险响应的控制有时候被当作两个独立的过程，其组合过程则可称为风险管理。Page34项目风险管理技术和工具.1工作区.2额外的风险响应开发输出.1纠正性动作.2风险管理计划刷新输入.1风险管理计划.2实际风险事件.3额外的风险确定技术和工具.1采购.2应变计划.3可供选择的战略.4保险输出.1风险管理计划.2其它过程的输入.3应变计划.4储备量.5合同协议输入.1追逐的机遇、响应的威胁.2忽略的机遇、接受的威胁技术和工具.1期望的货币价值.2统计总和.3仿真.4决策树.5专家判断输出.1追逐的机遇，响应的威胁.2忽略的机遇，接受的威胁输入.1权益人风险容忍范围.2风险源.3潜在风险事件.4成本估计.5活动工期估计工具和技术.1清单.2流程图.3访谈输出.1风险源.2潜在风险事件.3风险征兆.4其它过程的输入输入.1产品描述.2其它计划输出.3历史信息风险响应控制0.0.68风险响应开发0.0.67风险量化0.0.66风险辨识0.0.65风险管理Page35风险辨识Page36风险辨识由确定什么风险可能影响项目，以及建立每一个风险的特征文档组成。风险辨识不是一次性的事件，它应该在整个项目过程中被定期地执行。风险辨识应该陈述内部的和外部的风险。内部的风险是项目小组能够控制或/和影响的事情，如人员的分配和成本估计。外部风险是超出小组控制或影响的事物，如市场变化或者政府行动。严格地说，风险只包含承受损害和损失的可能性。然而，在项目背景中，风险辨识除了关心威胁(负面结果)外，还关心机遇(正面结果)。风险辨识通过确定原因-效果(什么可能发生，以及什么将接着发生)或者效果-原因(什么结果将被避免或者被鼓励，以及每一个是如何出现的)来完成的。Page37风险辨识工具和技术.1清单.2流程图.3访谈输出.1风险源.2潜在风险事件.3风险征兆.4其它过程的输入输入.1产品描述.2其它计划输出.3历史信息风险辨识0.0.65Page38风险辨识的输入元素.1产品描述。项目产品的特性是影响风险辨识的主要因素。采用已被证明的技术的产品，在其它情况相同的条件下，比要求创新和发明的产品的风险小。与项目产品有关的风险往往用它们的成本和进度上的影响来描述的。.2其它计划输出。其它知识领域过程的输出应该得到评价，以确定可能的风险。例如：–•工作分解结构━非传统方法可以为细化可显示的成果或文档提供机会，而这是在范围陈述中确定的高层次的可显示的成果或文档中没有明显阐明的。–•成本估计和工期估计━冒进的估计和在有限信息条件下得到的估计会承担更多的风险。–•人员计划━被确定的小组成员可能具有独特的技能，这使他们很难被替换。如果他们还承担了别的任务，就会降低本项目使用他们的可能性。–•采购管理计划━市场条件，如萧条的地方经济可能提供降低合同成本的机会。Page39.3历史信息。关于以前项目实际发生了什么的历史信息，对于确定潜在的风险特别有帮助。历史信息通常可从下列来源得到：–•项目文件━卷入项目的一个或多个组织，可能保存了以前项目结果的记录，它们足够详细，有助于风险辨识。在一些应用领域，个别小组成员可能存有这种记录。–•商业数据库━在许多应用领域，历史信息都具有商业用途。–•项目小组的知识━项目小组的个体成员能够记住以前发生的事件或假设。当这种记忆可以被利用时，它们通常比文档记录的结果的可靠性差。Page40风险辨识的工具和技术.1清单。清单一般是按照风险源组织的。其来源包括项目背景、其它过程的输出、项目的产品或者技术问题，以及如小组成员的技能(或缺