探究IT項目風險管理過程與方法

（上海交通大學信息安全工程學院上海 200030）

美國項目管理協會在相關體系指南中提道：項目管理主要指的是將專業知識、技能、工具等結合在一起的事物，進而滿足個體的項目需求。實現項目目標并非十分容易，并且在這些過程中會形成封閉模式，按照制定、實施、完成的順序進行實現。在項目管理設置中分為五步，一是確立項目；二是設計方案；三是實施項目；四是控制管理；五是評估[1]。在項目運行時，要根據內部變化進行調整，要求管理者能夠適應項目。相比于常規項目，IT項目的不確定性更加突出，在具體運行時可能會遇到以下風險，具體有：（1）項目需求與目標二者不統一；（2）各方利益不一致；（3）技術的發展與變革；（4）技術路線風險；（5）系統部署風險；（6）流程構建風險；（7）人力資源風險；（8）商業模式風險；（9）自主與外包的抉擇；（10）合作風險。

1 項目風險管理過程與方法

1.1 IT項目風險規劃

在項目開始之前，對項目進行風險管理的首個階段是風險規劃。風險規劃是采用專家座談方式進行研究，在相關信息系統上面能夠看到針對風險管理的判斷包括方式、范圍、人員和經費等等，能夠在一定基礎上形成階段性的風險管理計劃[2]。在風險管理規劃階段主要包括：項目特性的了解、獲取風險管理需求、合理規劃風險管理相關成員、編制科學合理的風險管理計劃。

1.2 IT項目風險識別

選擇合適的風險管理方法是在風險識別過程中提高識別效率和規范性的關鍵[3]。通常情況下，廣泛使用的風險識別有很多，如：德爾菲法、頭腦風暴法等，本文主要描述了以下七種方法[4]，具體論述如下：

（1）頭腦風暴法

這一方法主要指的是在項目運行時，收集全體參與人員的想法和建議，在沒有具體決定前都按照新方法的提出和建議實施，沒有批判性的存在，最終在風暴式的交流產生新思維的共享中獲取更多知識和信息，能夠使得決策以后獲得更好的結果[3]。

（2）德爾菲法

在搜集專家不同意見的時候充分發揮團隊的優勢，這樣能夠避免當面商議的偏見。在實際操作過程當中，對專家很少進行多次詢問，因為采用這種方法容易產生成本上的超額，決策者和中層決策者需要有一個良好的把握。

（3）核對表法

在項目風險發生時，根據以前相關項目類似的做法進行編制和核對，在以前項目的編制表上進行實際實施，方便判斷某一個項目的具體存在或者類似項目的風險性，能夠更加有效地幫助管理人員啟發和聯想。

（4）流程分析法

這個方法需要對整體的流程圖有一個總體和分體的表示，一定程度上可以將所有的活動展示出來。在描述和分析項目整體流程的基礎上確定項目風險的位置和步驟，以及相關環節能夠影響的程度和范圍，在很多研究當中流程分析法都能夠準確地運用到實際生活和項目當中。

（5）現場視察法

對于項目經理而言，需要針對項目現場開展實際勘查工作，以此來識別項目可能會存在的潛在風險，這一方法廣泛使用于項目部署階段[5]。

（6）相關部門配合法

在使用這一方法時，需要各個部門進行配合，其中包括部門經理在不同場合進行隨時的活動了解，以及課程的收聽，定期時間內進行業內的組織和規劃，對于各個部門的風險具有一定識別作用。

（7）詢問法

這一方法主要指的是借助郵件、通話等形式，搜集相關信息并對預測結果進行討論，其對詢問者的項目經驗提出了較高要求，廣泛應用在項目需求確認等階段[5-11]。

1.3 IT項目風險評估

通常情況下，項目風險評估主要指的是對項目進行一定程度的定義與描述，在某些方面能夠對風險發生的可能性大小和風險程度進行判斷，了解其在項目中的實際影響程度。風險評估主要指的是針對識別出來的風險進行量化評估和排序進而制定合理的應對措施。項目風險評估一般有定性和定量兩種方法。

1.4 IT項目風險應對

1.4.1 風險應對的基本概念

為了降低風險發生帶來的不利影響，就需要制定合理的應對策略，這一過程就是風險應對。通常情況下，最常用的風險處理對策有以下三個，一是風險自留；二是風險轉移；三是風險控制。風險應對的參考依據有五個，一是風險排序結果；二是編制的風險管理計劃；三是風險主體；四是風險認知；五是一般風險應對[12-13]。

1.4.2 IT項目風險應對方法

通常情況下，IT項目風險應對方法包含以下六種[10]，具體論述如下：

（1）風險預防

從根本上對風險進行審核是項目控制效果最優的方法，這種審核方式主要是有形和無形兩種。有形當中的工程法是被利用最多的一種，按照工程技術手段，對項目進行實際的規避[12-14]。在無形手段當中教育法和程序法是運用最為廣泛的一種，教育能夠讓項目人員從實際項目當中學習到新的知識，能夠實際掌握相應的風險應對方法；后者主要是從流程方面出發規避損失。

（2）風險回避

這是一種比較消極的風險控制方法，主要應用在風險發生后果難以承受、沒有其他可行性應對策略的時候，在使用這一方法之前，需要全面把握風險威脅和產生的后果[15]。在項目運行后期使用這一策略會付出較多的成本，在項目活動沒有全面開展的時候可以使用風險回避法。

（3）風險減輕

一定程度上，風險的降低可以減少負面影響。在策略實施的過程當中，對項目能夠有一個良好的規劃和接收。風險減輕在一定程度上面指的是可預測的風險，在不可預測的風險當中，能夠將風險減輕的概率很小，由此就可以有效控制那些不可預測的風險。

（4）風險轉移

這一方法也被稱之為合伙分擔風險，主要指的是通過合同、協議等手段，將風險可能會帶來的損失轉移給第三方，但是項目整體風險所發生的可能性和帶來的不利后果并沒有減弱[16]。主要存在以下四種轉移方式，一是外包；二是開脫責任合同；三是出售；四是保險與擔保[17]。

（5）風險自留

這一方法主要指的是結合財務風險規劃，在企業風險的項目本身當中能夠利用企業本身的資金對項目風險做出一個保障。主要包含以下兩種形式，一是主動形式，以企業為主，企業能夠有規劃和有意識地對風險進行保留[18]；二是被動形式，主要指的是風險對某一種項目的費用進行沒有大影響的規劃。

（6）風險后備

風險后備是對風險的一種積極處理手段，在后備當中，有一些第三方轉嫁的積極意義，這是一種能夠有著獨特風險的對應方法，在這種方法當中一般包括三種方案，分別是預控、應急和挽救方案，他們在一定程度上能夠有效控制著方案的變化和延伸，能夠在一定程度上維護方案的原來目標，在基本方案的基礎上進行方案優化，確保項目的具體實施[19-22]。

2 結束語

本文在項目管理當中，筆者對于風險管理部分有著一定的理論基礎和實踐經驗，首先界定了項目風險的概念，隨后整合了IT項目在運行的過程中可能會遇到的風險，詳細介紹了項目風險管理方法，如：風險轉移等，為實際的項目管理提供了實際有效的理論依據。