浅谈信息系统项目的风险管理
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅谈信息系统项目的风险管理范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:随着信息技术的高速发展,各种信息系统项目发展迅速。然而,类似建设工程项目一样,信息系统项目也存在各种不确定因素。在项目实施过程中,随时都有可能出现风险,从而产生各种问题。所以,我们需要做好信息系统项目的风险管理。在经过风险管理计划的编制、风险识别、定性和定量风险分析之后,笔者认为项目实施中最主要的风险有:项目频繁变更、系统功能和质量达不到要求、团队效率低下等,需要对其进行重点管理,采取相应的应对措施。对于其他相对次要的风险,也要给予一定的关注。最后,做好风险监督与控制。鉴于风险管理的重要性,我们必须高度重视,做到理论与实际相结合,真正做好信息系统项目的风险管理。
关键词:信息系统;项目;风险;管理
中图分类号:F270.7文献标识码:A文章编号:1007-9599 (2012) 01-0000-03
The Risk Management of Information Systems Projects
Xu Li
(Zhejiang Railway Technology Industrial Co.,Ltd.,Hangzhou310009,China)
Abstract:With the rapid development of IT,the rapid development of various information systems projects.However,a similar construction projects,information systems project there are a variety of uncertainties.Implementation of the project at any time may be at risk,resulting in a variety of problems.Therefore,we need to do a good job of risk management information system project.After the preparation of the risk management plan,risk identification,qualitative and quantitative risk analysis,I believe that the main risk in the implementation of the project are:the frequent changes of the project,mainly the system functionality and quality,inefficient team,need to be key management,and take the appropriate response measures.For other relatively minor risks,but also give some attention.Finally,do a good job of risk oversight and control.Given the importance of risk management,we must attach great importance to do the combining theory and practice,a good job in information systems project risk management.
Keywords:Information systems;Projects;Risk;Management
随着信息技术的高速发展,信息系统在越来越多的企业得到了迅速发展和广泛应用。很多尚未建立信息系统的企业,出于生产经营的要求,迫切需要建立属于自己的信息系统。于是,各种信息系统项目发展迅速,其发展速度丝毫不亚于建设工程项目。对此,铁路多元经营领域也不例外,如笔者所在企业已经进行过多个信息系统项目(如铁路多经企业办公系统、集经企业办公系统、工地人员管理系统等)的建设实施。
通常,信息系统项目是在复杂的自然和社会环境中进行,因此在实施期间经常受到各种外部和内部因素的影响。即类似建设工程项目一样,信息系统项目也存在各种不确定因素。在项目实施过程中,随时都有可能出现风险,从而产生各种问题。要保证整个项目的顺利实施,保证项目的范围、进度、成本、质量等均在可控范围之内,就需要做好项目的风险管理,充分了解和掌握项目在实施过程中可能发生的风险,并对其采取有效的应对措施。
一、做好风险管理计划的编制
作为风险管理的第一步,编制风险管理计划的目的是确定风险管理的方法和活动,决定怎样进行项目的风险管理。首先,可以参考风险管理计划模板。模板一般包括了计划简介、风险概要、风险管理任务、组织和职责、预算、工具和技术、要管理的风险项等内容,提供了基本框架。另外,还可以查阅本企业历史上做过的信息系统项目的相关文档,以及咨询请教有关专家,充分汲取宝贵经验,以便进一步完善计划的编制。
二、做好风险识别,得出常见的风险
风险识别可依据项目的相关资料,使用头脑风暴法、Delphi法、访谈、SWOT分析等方法来进行。通常可以采用头脑风暴法。即根据已制订的风险管理计划,召开由项目部全体成员、有关专家等参加的专题会议。主要探讨在项目实施过程中,可能会发生哪些风险?引起它们的因素是什么?它们可能会造成什么影响?等等。会议要尽量自由畅谈、各抒己见,但不要批评和评判。这样,就可以集思广益多方面的意见,从而较为全面的识别项目的风险。
经过风险识别之后,可得出信息系统项目的常见风险,比如:项目频繁变更、系统功能和质量达不到要求、团队效率低下、缺乏开发工具和平台、人员技能不足、使用过时技术、人员变动、用户使用困难、对工作分析评估不足等。值得注意的是,风险识别有时不仅仅存在于项目开始时,而是可能在以后的过程中都需要进行。
三、做好定性风险分析和定量风险分析,确定最主要的风险
风险有大有小,其发生的概率、造成的影响均不相同。对于风险管理来说,重点是对发生概率大、造成影响大的主要风险进行防范。为此,需要对已识别出的风险进行分析,包括定性风险分析和定量风险分析。
定性风险分析是对已识别出的风险进行优先级排序,以便进一步采取措施。主要的工具和技术有:概率及影响矩阵、风险数据质量评估、风险紧急度评估、风险种类等。通常可以采用概率及影响矩阵的方法。即通过在矩阵中设置概率P(0-1.0)、影响I(0-1.0),综合考虑风险发生的概率及其对项目的影响,将风险等级划分为高(红色)、中(黄色)、低(绿色)等级别。风险等级的规则可由项目部根据经验并结合实际情况来制订。
然后,进行定量风险分析。目的是量化评估项目的各种风险,判定最应该关注的风险。主要的工具和技术有:决策树分析、灵敏度分析、期望货币价值分析、建模和仿真等。通常可以采用决策树分析的方法。即通过结构化的决策分析方法,来分析某一具体决策路径的概率及其影响,得出何种决策具有最好的收益。决策树分析充分考虑了每个结果的可能性,能适用于各种不同的风险分析。
经过对已识别出的常见风险进行定性和定量分析,并结合自身经验,笔者认为最主要、最应该关注的风险有:项目频繁变更、系统功能和质量达不到要求、团队效率低下等,需要对其进行重点管理。
四、做好风险的应对措施,重点管理主要风险,同时关注次要风险
风险应对可采用规避、减轻、转移、接受等方法。对于各种主要和次要的风险,通常应根据其自身特点并结合实际情况,采取相应的应对措施。
(一)项目频繁变更的风险
根据对各种风险的识别和分析,笔者认为:变更是一个信息系统项目的头号风险。信息系统项目由于自身的特点,在实施过程中经常会发生以下这种情况:不管项目实施者做的多好多完美,用户却似乎永远不满意。用户总是提出新的需求,要求项目实施者在原有基础上来完成。于是,项目不断变更。一个项目往往做了很久,却感觉总是做不完,就像一个无底洞一样。最后,项目轻则成本超支、进度延误,重则实在做不下去导致失败。
为此,必须采取有效措施来应对项目频繁变更的风险,比如:
1.强化项目合同管理。技术开发人员及时参与项目合同的签订过程,及时了解相关信息,并与销售部门共同明确项目的目标和范围,以防止销售人员向用户做出过度承诺。同时,重视合同条款的描述。合同必须要对项目交付的产品(信息系统)的功能、内容以及项目的范围、进度等有着清晰的说明描述,特别是对于项目的验收标准、步骤、流程,以及交付之后的维护等要做出明确规定。合同条款要尽可能细化,并确保双方对条款的理解达成一致。
2.严格按照规定控制变更。通常,变更控制流程包括了变更的申请、评估、决策、实施、验证、沟通存档等环节。为了更好的控制变更,同时兼顾用户关系,可以制订以下规定:在项目部中设置变更控制委员会(CCB),统一处理变更。在项目实施过程中,如果用户提出变更,则一律要求其以书面(变更申请书)的方式提出。变更申请书中必须详细写明本次变更申请的理由、具体内容、申请人、申请时间,并需要申请人签字和加盖企业公章。然后,由变更控制委员会进行讨论。主要讨论本次变更对项目的影响如何?变更实施的难度及工作量如何?等等。根据讨论结果,如果此次变更对项目的影响较小,且实施的难度及工作量较小,则原则上予以响应,但须让用户清楚了解变更对项目进度、成本等的影响,以便进行补偿。在变更完成后,及时请用户书面确认,签字盖章并存档;而如果此次变更对项目的影响较大,或实施的难度及工作量较大,则原则上不予响应。但此时要向用户充分说明不予变更的理由,争取得到用户的理解和同意。如果用户仍执意要变更,则必须让用户清楚明白此次变更对项目可能造成的严重影响和后果。只有当用户书面确认完全接受变更的代价(须用户方高层领导签字并加盖企业公章),并在取得本单位高层领导同意的情况下,方可实施。
3.其他措施。包括做好宣传与沟通,促成双方保持良好的合作关系;及时提供项目绩效报告,请用户对阶段成果进行确认;创建合适的WBS,避免工作遗漏和镀金;做好项目的配置管理及文档建设,防止版本混乱等等,这些都是应对此类风险的可行措施之一。
(二)系统功能和质量达不到要求的风险
对于信息系统项目而言,系统的功能和质量也是重要的风险之一。如果实施的信息系统不符合用户需求,或者在运行中频频出现问题,则项目无疑是失败的。为此,可以采取以下措施来应对此风险:
1.做好需求分析和沟通,确保系统符合用户需求。前期需求分析人员要和用户方关键项目干系人充分沟通,全面了解对方的具体需求和想法,以及可能存在的问题,做好详细记录。要注意挖掘隐性需求,可以通过引导、系统原型等方法让用户在前期充分暴露自己的想法。有时,可能用户的业务模式不一定适合于计算机处理,这时就需要以业务咨询的角色向用户提出建议,使其能最大程度上的使用好信息系统。还有,对于用户需求的理解要及时进行反馈,以保证双方达成共识,保证需求准确获取。另外,尽量采取上门拜访的沟通方式。如确实不方便,则多用电话、电子邮件等方式远程沟通。注意要和用户保持定期沟通,并多利用沟通技巧,多进行非正式的沟通。有时,通过非正式的沟通往往能取得意想不到的效果。
2.做好系统的质量保证和质量控制。在项目部中设置专职质量保证人员(QA),明确其“老师、警察、医生”的职责。在项目实施过程中的各个阶段末(如需求分析、设计、编码、测试等),设置相应的里程碑。当前一阶段的工作完成之后,须经过项目部评审(包括技术评审、阶段管理评审等)。只有当评审通过,确认符合要求之后,方可进入下一阶段。另外,强化测试,严格控制质量。测试时,采用黑盒、白盒、代码审查、代码走查等方法,做好单元、集成、确认、系统等各个阶段的测试。对于发现的问题(如死锁、内存溢出、输出错误结果等),立即查找并分析原因,及时妥善的解决。决不允许忽略任何问题,特别是那些看起来似乎无关紧要的小问题。并且,对于发现的所有问题均要详细记录并存档,以备随时查阅。此外,多利用相关工具和技术,比如排列图和因果分析图。前者可以方便的找出主要存在的问题和原因,以便进行重点管理和控制;而后者可将发生问题的所有可能原因(包括人、机器、材料、方法、环境等方面)都一一列出,以供分析参考和改进。
3.其他措施。包括加强对用户及项目背景的了解,防止信息失真;加强对成员的培训,提高其工作水平;建立组织级质量管理体系,做好质量的持续改进等等,这些都是应对此类风险的可行措施之一。
(三)团队效率低下的风险
高效的团队是信息系统项目顺利实施的基础。如果团队效率很低,不仅影响项目实施,还可能会导致团队内部的不和谐。为此,可以采取以下措施来应对此风险:
1.适当运用Y理论。Y理论主要认为,一般人的本性不是厌恶工作,如果能给予适当的机会,人们会努力工作,并渴望发挥其才能。对此,笔者认为:一个项目团队的管理,首先要树立“以人为本”的观念,要做到人性化管理。现实中,项目部的每个成员,不管其年龄、经验、技术如何,都有自身的特点,都会有优点和长处。要做到项目团队的高效,关键是如何利用好每个成员的优点和长处。如果能适当运用Y理论,给予每个成员充分的信任和鼓励,提供其自主发展的空间,并创造出相对宽松、和谐的工作环境,不仅有利于每个成员发挥自身的优势特点和潜能,同时也有利于化解各种矛盾,从而达到团队内部的和谐以及个人和团队的双赢。反之,如果仅仅依靠考核、惩罚、威胁等方式来强制管理,只会导致成员缺乏信心、抱怨甚至抵触,造成团队矛盾重重,进而影响项目实施。
2.做好绩效考评。Y理论需要合适的绩效考评机制才能更好的发挥作用,即要做到激励与约束并重,并与可行的规章制度相结合。所以,在相对宽松、和谐的工作环境下,实施恰当的绩效考评是很有必要的。通常,可以在项目阶段例会上进行绩效考评,将考评结果与成员的收入大小适当挂钩。在每次会议中,项目部可根据当前工作的完成情况,对每个成员前一阶段的表现(完成的工作数量、质量、效率等)进行考评。根据考评结果,对领先的成员给予公开表扬和适当物质奖励,对落后的成员通过积极沟通等方式帮助其找出原因,鼓励并要求其迎头赶上,从而在实现“多劳多得”的同时,做到“领先奖励、落后鼓励”。通过这种方法,能充分调动成员的积极性,使之真正从主观上“要”转变成“我要干”。这样,就较好的保证了团队的工作效率。
3.其他措施。包括做好项目人力资源的选拔和培训,合理配置人员;加强团队内部的沟通和交流,做好冲突管理;多取得上层领导的支持,确保承诺的奖励及时落实等等,这些都是应对此类风险的可行措施之一。
(四)其他相对次要的风险
某些风险,虽然和以上的最主要风险相比,显得相对次要,但是在项目实施中仍然需要引起注意。比如:用户使用困难的风险。如果在系统交付之后,用户使用困难、难以上手,就会给项目后期的清算、维护等带来很多麻烦。此时,做好用户帮助手册等文档的建设,以及做好相关的使用培训就显得非常必要了。又比如:人员技能不足的风险。通常,这可以通过加强对成员的培训和招聘技术人才来应对。然而,有时可能会因为某些原因(如项目采用了新技术),在短期内难以靠培训和招聘来解决。此时,就需要考虑在自制/外购分析的基础上,将部分任务外包,利用外部资源以规避风险。所以,对于其他相对次要的风险,也要给予一定的关注,不能忽视了它们。毕竟,只要是风险,不管是主要还是次要,对项目而言都会产生影响。还有,主要和次要之分也不一定是绝对的,随着项目所处环境位置的不断变化,在某种特定环境下,次要风险也有可能会转化成主要风险,从而对项目造成大的影响。
五、做好风险监督与控制
风险监督与控制主要是监督已识别的风险和残留风险,并识别可能出现的新风险,保证风险应对措施的执行并评估其有效性。主要的工具和技术有:差异和趋势分析、预留管理、风险审计、技术绩效评估等。通常可以采用差异和趋势分析,以及预留管理的方法。
差异和趋势分析通过对项目绩效数据的分析,从而掌握项目当前的实施情况和风险管理的情况,并判断和预测项目发展的趋势。通常可以借助挣值计算,通过计算挣值EV、计划值PV、实际成本AC、剩余工作成本估算ETC,得出项目当前的进度偏差SV、进度绩效指数SPI、成本偏差CV、成本绩效指数CPI以及完工估算EAC等指标,从而掌握项目的实施情况和风险应对措施的执行效果。一旦发现存在较大偏差,立即分析原因并采取相应的纠偏等风险应对措施,确保项目的实施处于可控范围之内。预留管理是在项目实施中留出一定的余量。通过对储备的情况分析,衡量项目当前抵抗风险的能力。通常可以根据项目的实际情况,针对项目有可能发生拖延或人员变动的风险,在资金预算、人员配备等资源投入方面留出适当比例,以备不时之需。
综上所述,风险管理作为信息系统项目管理体系的重要组成部分,不仅自身有着不可替代的作用,同时也会对项目管理的其他方面(如范围、进度、成本、质量、人力资源等)产生影响。鉴于风险管理的重要性,我们必须高度重视,做到理论与实际相结合,做好对于项目风险的计划、识别、分析、应对、监控等工作,同时不断积累经验并提高自身水平,从而真正做好信息系统项目的风险管理。
参考文献:
[1]张友生,刘现军.信息系统项目管理师案例分析指南[M].北京:清华大学出版社,2009
[2]章宁.信息系统开发与项目管理[M].北京:高等教育出版社,2010
[3]郭树行.信息系统项目管理基础教程[M].北京:电子工业出版社,2011