IT项目风险管理概述(风险概念、IT项目风险特点、风险成本)风险管理风险管理计划风险管理识别风险评估风险处理与控制IT项目风险监督1.1项目风险概述风险定义:--损失或损害的可能性--不确定性,机会与威胁并存--预期与后果之间的差异风险分类IT项目风险特点客户需求变动、膨胀利益的不一致性技术变革技术风险系统部署风险流程重组风险组织与人力资源变动商业模式风险自主开发还是外包合作风险风险成本定义:风险事故造成的损失或减少的收益以及为防止发生风险事故采取预防措施而支付的费用。分类:有形成本无形成本风险预防和控制费用1.2风险管理风险管理是对项目风险进行识别、分析和应对的系统化过程。它包括把对于项目目标而言正面事件的概率和影响结果扩到最大和把负面事件的概率和影响结果减少到最小。项目风险管理主要过程风险识别风险分析风险报告风险控制风险管理计划执行检查实施DaMingCycle表示的风险管理过程项目风险管理主要过程风险管理计划编制:决定如何采取和计划一个项目的风险管理活动。风险识别:确定何种风险可能影响项目,并将这些风险的特性整理成文档。风险定性分析:对项目风险和条件进行定性分析,将它们对项目目标的影响按优先顺序排列。风险定量分析:测量风险出现的概率和结果,并评估它们对项目目标的影响。风险应对计划编制:开发制定一些程序和技术手段,用来提高实现项目目标的机会和减少风险对实现项目目标的威胁。风险监控:在项目的整个生命周期内,监视残余风险,识别新的风险,执行降低风险计划,以及评价这些工作的有效性。1.3风险管理计划编制风险管理计划编制是决定如何采取和计划一个项目的风险管理活动的过程。风险管理的水平、类型和可见度不仅要与风险相称,也要与项目对组织的重要性相称.为了保证这一点,对随后进行的各种风险管理过程做好计划是非常重要.风险管理计划编制主要流程输入:1项目章程2组织单位的风险管理政策3明确的岗位和职责4项目风险管理计划模板5组织风险管理计划模板6WBS工具和技术输出:计划编制会议风险管理计划风险管理计划编制的输入1.项目章程2.组织单位的风险管理政策:某些组织可能有即定的风险分析和应对方法。对于一个特别的项目,必须因地制宜地对这些方法进行修订。3.明确的岗位和职责:预先明确的岗位、职责和决策权等级会影响计划的编制。4.项目干系人的风险承受限度:不同的组织和不同的个人对风险有不同的承受限度。这些不同可能会在政策文件中阐明,或反映在行动中。5.组织风险管理计划模板:某些组织编制了工作模板(或标准形式)供项目团队使用。组织要根据这些模板在项目中的应用和有效性不断改进这些模板。6.工作分解结构风险管理计划编制的工具和技术计划编制会议:项目团队召开计划编制会议来制订风险管理计划。与会人员包括项目经理、项目团队的负责人、组织中任何对风险计划编制和应对措施负有管理责任的人员、关键的项目干系人,以及其他使用风险管理模板和其它适用的输入的必要人员。风险管理计划内容岗位和职责:在风险管理计划中明确定义每一类别的领导、辅助、和风险管理小组人员。在项目班子以外组成的风险管理小组,与那些项目的倡议和赞助者相比,可能能提供更为独立和不带偏见的项目风险分析。预算:为项目建立一个风险管理的预算。时间:定义在整个项目生命期中执行风险管理的频率。风险管理要尽早得出分析结果以辅助决策。在项目执行过程中,要对决策进行定期的回顾。评分和解释:评分和解释方法要与采用的定性和定量风险分析的形式和时间相适应。评分和解释方法必须提前制定,以保证连贯性。风险管理计划内容承受度:风险承受以谁为标准,采取何种方式。项目业主、客户或赞助者可能会有不同的风险承受度。可接受的风险承受度是项目队伍衡量风险应对计划执行效果的标准。报告格式:描述风险应对计划的内容和格式。定义如何对风险管理过程的结果进行归档、分析并将其与项目队伍、内部和外部的项目干系人、赞助者及其他有关方面进行沟通。追踪:为了有利于项目本身、未来需要、以及吸取经验教训,风险行为的方方面面都要记录下来。将如何进行这种记录、是否对和如何对风险过程进行审计,将这些内容进行归档。1.3项目风险识别风险识别是确定何种风险可能会对项目产生影响,并将这些风险的特征形成文件。一般而言,风险识别的参与者尽可能地包括以下人员:项目团队、风险管理小组、来自公司其它部分的某一问题的专家、客户、最终用户、其他项目经理、项目干系人和外界的专家等。风险识别是一个反复重复的作业过程。第一次反复可能是由项目团队的某一部分或由风险管理小组进行的。项目团队整体和主要项目干系人可能做第二次复查。为了取得一个不带偏见的客观分析,可能由没有参与项目的人员进行最终的复查。一旦风险被识别出来,通常就可以编制甚至执行简单和有效的风险应对措施。项目风险识别主要流程输入:1风险管理计划2项目计划输出3风险分类4历史资料工具和技术输出:1文件审核2信息收集手段3检查表4假设分析5图解手段1风险2触发器3对其他过程的输入输入风险分类:可能按对项目产生影响的风险,无论好坏,都可用风险分类进行识别和归纳。风险分类应该是经过精心定义的,而且应当反映出自身行业或应用领域内的常见风险来源。分类包括以下内容:技术、质量或操作风险---例如,依赖未被证实的或复杂的技术;绩效目标不现实;在项目执行过程中所用技术或工业标准发生变更。项目管理风险---如时间和资源的不良配置,项目计划质量不高,项目管理原则使用不当。组织风险---如成本、时间和范围目标在内部不统一,缺乏对项目的优先排序,资金不足或中断,与组织中的其它项目之间出现资源需求冲突。外部风险一如法律和法规环境的变化、劳工问题、项目业主的优先次序发生变化、国家风险以及天气等。对于不可抗力,如地震、洪水、国家的不稳定等,一般来讲需要的是灾后恢复措施,而不是风险管理。历史信息:以往项目的资料可以从以下几个供方获得:项目档案---参与项目的一个或多个组织可能会保留过去项目结果的记录,这些记录可以用来识别风险。这些记录可能是项目最终报告或风险应对计划。资料中可能描述了出现的问题及其解决办法,有条理地记录了一些经验教训;或者,这类信息也可从项目干系人或组织中其他人的经验中获取。公开发表的资料:在许多应用领域都可找到有关的商业数据库、学术研究报告、标准、以及其它公开发表的研究成果。风险识别的工具和技术1.文件审核:项目团队通常采取的第一个步骤是从项目整体和详细的范围层次两个方面对项目计划和假设、以前的项目文件及其它资料进行一次结构性的审核。2.信息收集技术:在风险识别中使用的信息收集技术,举例来说包括:头脑风暴法、德尔菲法、访谈和优势-劣势-机会-威胁(SWOT)分析。3.检查表:从以往类似项目和某些其它信息来源中积累的历史信息和知识,可以用于编制风险识别检查表。使用检查表的一个优点是它使风险识别工作快而简单。它的不足之处在于我们不可能编制一个详尽的风险检查表,检查表的使用者可能会被表中的条目所局限。要注意发现那些在标准检查表中未列出的,而又似乎与某一特定项目相关联的风险。检查表应详细列出项目所有可能的风险类别。将审核检查表作为每一项目收尾程序中的一个正式步骤,来完善可能风险的清单和风险说明是非常重要的。4.假设分析:每一个项目都是从一系列假设、设想、推测中孕育和发展而来。假设分析是分析假设有效性的一种技术手段。它从不准确、不连贯、不完整的假设中识别项目的风险。5.图解技术:图解技术可能包括以下几种:因果分析图:也称Ishikawa或鱼骨图,用于确定风险的起因系统或作业流程图:反映某一系统内部各要素之间是如何互相联系的,并反映发生因果关系的机制。影响图:是一种用图解表示问题的方法,反映了变量和结果之间因果关系的相互作用、事件的时间顺序及其他关系。财务报表法现场视察法相关部门配合法询问法风险识别输出1.风险来源表:项目风险是一种不确定的事件或条件。风险如果发生,会对项目目标产生某种正面或负面的影响。2.触发器:触发器,有时也称做风险征兆或预警信号,它表示风险已经发生或即将发生。例如,未能达到中间的里程碑可能是一个临近的进度计划受到拖延的早期预警信号。3.其他过程的输入:风险识别可以确定是否在另一个领域采取进一步的行动。例如,WBS中细节可能不够充分,因而无法进行充分的风险识别工作;或者进度计划可能不完整或是不完全地合乎逻辑。4.风险分类分组1.4项目定性评估定性风险分析是评估已识别风险的影响和可能性的过程。这一过程按风险对项目目标可能的影响对风险进行排序。定性风险分析是在明确特定风险和指导风险应对两方面确定其重要性的方法。与定性风险分析要求使用已有的定性分析方法和工具来评估风险的概率和后果。重复进行定性分析得到的结果变动趋势表示需要采取或多或少的风险管理措施。运用这些工具可以帮助人们修正项目计划中经常出现的偏差。在项目生命周期内,为了跟上项目风险的变化应再次进行定性风险分析。这一过程可以引发进一步的定量风险分析项目定性评估主要流程输入.1风险管理计划.2已识别的风险.3项目状态.4项目类型.5数据精确性.6概率和影响的范围.7假设工具和技术.1风险概率和影响.2风险概率/影响等级评定矩阵.3项目假设检验.4数据精确等级输出.1项目总体风险等级排序.2主要风险的次序清单.3需加以进一步分析和管理控制的风险清单.4风险定性分析结果中反映的“趋势”风险定性分析的输入1.风险管理计划2.已识别的风险:对风险识别过程中发现的风险及这些风险对项目的潜在影响进行评估。3.项目状态:风险的不确定性,经常由项目在其生命周期中所处的不同发展阶段所决定。在项目的早期阶段,许多风险尚未浮出水面,项目设计还不成熟,并且会发生变更,以后可能会发现更多的风险。4.项目类型:对普通类型或重复性项目的风险事件发生的概率及其后果有更深入的认识。采用最新发展水平或第一流技术的项目或--高度复杂的项目--可能有更大的不确定性。5.数据精确性:数据精确性描述风险被了解与认识的程度。它衡量可获得数据的范围以及数据的可靠程度。用于识别风险的数据的来源必须得到评估。6.概率和影响范围:这些范围,将用于评估风险的两个关键维度,7.假设:在风险识别过程中甄别出的假设要作为潜在风险进行评估风险定性分析的工具和技术1.风险概率及其影响:使用定性术语可以将风险的概率及其影响描述为极高、高、中、低、极低五档。风险概率是指某一风险发生的可能性。风险影响是指某一风险事件发生对项目目标产生的影响。风险的这两个维度适用于具体风险事件,而不适用于项目整体。使用风险概率和风险影响来分析风险,可以帮助我们甄别出那些需要强有力地控制与管理的风险。风险定性分析的工具和技术概率/影响风险评分矩阵:在结合概率和影响的基础上,可以建立一个为风险或条件打分(极高、高、中、低和极低)的矩阵。高概率和影响严重的风险可能需要进一步的分析(包括量化分析)和积极主动的风险管理。通过使用矩阵及给出每一项风险的风险范围,可以完成风险评分。通常,风险的概率值介于0.0(没有可能)和1.0(确定)之间。由于专家的判断经常缺乏历史信息数据的支持,估计风险概率可能会很困难。可以使用一种顺序度量法,代表从极不可能到几乎确定的相对概率值。除此以外,也可以使用普通度量法(如0.1/0.3/0.5/0.7/0.9)为具体概率赋值。风险的影响范围反映风险影响项目目标的严重程度。可以采用顺序度量法或基数度量法来表示风险影响。具体使用哪种方法取决于进行风险分析的组织的习惯做法。顺序度量法是指简单顺序排列的值,比如:极低、低、中、高和极高。基数度量法是将不同的值赋予不同的风险。这些值通常是线性的(如:.1/.3/.5/.7/.9),但也经常是非线性的(如:.05/.1/.2/.4/.8),使用非线性度量法反映出组织对规避高风险的愿望。两种方法的意图都是在假设某一可怀疑的风险发生的情况下,给这种风险对项目目标产生的影响赋予一个相对值