IT專案管理中的風險控制（轉）

IT專案管理中的風險控制
無論是系統整合或是軟體開發，IT公司經常面臨著各種專案的實施和管理，面臨著如何確定專案的投資價值、評估利益大小、分析不確定因素、決定投資回收時間等眾多問題。並且，一個IT專案，無論其規模大小，必然會為被實施方（使用者）在管理、業務經營等多方面帶來變革，這就使IT專案必然具有高風險性的特點。尤其是近年來，IT專案的廣泛實施，一方面為眾多的企業帶來了管理、經營方面的革新，而另一方面，夭折、中斷、失敗的專案也不在少數。因此，如何在專案實施中有效地管理風險、控制風險，已經成為了專案實施成功的必要條件。

專案風險的管理不僅貫穿於整個專案過程，而且在專案事件發生之前風險的分析就已經開始。我們可以根據風險控制與專案事件發生的時間將風險管理劃分為三個部分：事前控制——風險管理規劃，事中控制——風險管理方法，事後控制——風險管理報告。

一、事前控制——風險管理規劃 風險管理規劃是在專案正式啟動前或啟動初期對專案的一個縱觀全域性的基於風險角度的考慮、分析、規劃，也是專案風險控制中最為關鍵的內容，包括風險形勢評估、風險識別、風險分析和風險評價等幾部分。
1、 風險形勢評估
風險形勢評估以專案計劃、專案預算、專案進度等基本資訊為依據，著眼於明確專案的目標、戰略、戰術以及實現專案目標的手段和資源。從而實現：通過風險的角度審查專案計劃認清專案形勢，並揭示隱藏的一些專案前提和假設，使專案管理者在專案初期就能識別出一些風險。尤其是專案建議書、可行性報告或專案計劃一般都是在若干假設、前提、預測的基礎上完成的，這些假設、前提、預測在專案實施期間有可能成立，也有可能不成立。而這其中隱藏的風險問題又通常是被忽視的。一旦問題發生，往往造成專案管理方的措手不及和無一應對。例如專案計劃中假設使用者實施小組全力支援、脫產或幾乎脫產投入IT專案的實施，但在實際過程中，使用者方人員卻不得不抽出大量時間處理原有的業務，造成IT專案實施進度的拖延和實施效果不盡人意的風險。諸如此類的例子還有很多。為了找出這些隱藏的專案條件和威脅，就需要對與專案相關的各種計劃進行詳細審查，如人力資源計劃、合同管理計劃、專案採購計劃等等。由此我們可以得出，風險形勢評估一般應重視以下內容：專案的起因、目的、專案的範圍、組織目標與專案目標的相互關係、專案的貢獻、專案條件、制約因素等。

2、風險識別
在對專案的基礎的風險形勢評估之上，就需要對各種顯露的和潛在的風險進行識別。風險識別實際上是對將來可能發生的風險事件的一種設想和猜測。因此，一般的風險識別結果應包括風險的分類、來源、表現及其後果、以及引發的相關專案管理要求。在具體識別風險時，一方面可利用一些常識、經驗和判斷，通過以前經歷的專案中積累起來的資料、資料、經驗和教訓，或者請教相關的專家和資深從業人員，採用集體討論的方式。另一方面，可以通過分解專案的範圍、結構來識別風險，理清專案的組成和各個組成部分的性質、之間的關係、與外因的聯絡等內容，從而減少專案實施過程中的不確定性。除此之外，還可以利用一些技術和工具。比如，結合經驗和教訓，將專案成功和失敗的原因羅列成一張核對表，或者是專案的實施範圍、質量控制、專案進度、採購與合同管理、人力資源與溝通等。以上都是風險識別常用的一些手段和方法，當然還有其他更多的途徑，因專案而異，靈活運用。

3、風險分析和評價
在進行風險識別並整理之後，必須就各項風險對整個專案的影響程度做一些分析和評價，通常這些評價建立在以特性為依據的判斷和以資料統計為依據的研究上。風險分析的方法非常多，一般採用統計學範疇內的概率、分佈頻率、平均數眾數等方法。但無論是哪一種工具，都各有長短，而且不可避免的會受到分析者的主觀影響。可以通過多角度多人員的分析或者採取頭腦風暴法等儘可能避免。此外，我們應當明確，風險是一種變化著的事物，基於這種易變條件上的預測和分析，是不可能做到十分的精確和可靠的。所有的風險分析都只有一個目的，即儘量避免專案的失控和為具體的專案實施中的突發問題預留足夠的後備措施和緩衝空間。
風險評價之後，專案面臨著兩種選擇，即面臨著不可承受風險和可承受風險。對於前者，或者終止專案，或者採取補救措施，降低風險或改變專案；對於後者，則需要在專案之中進行風險控制。

二、事中控制——風險管理方法
管理風險，即控制風險，通過風險監視和風險規避消除一些潛在的威脅專案健康實施的事件。風險的管理在整個專案生命週期中是連續、反覆進行的，消除了某些風險來源後，有可能又會出現其他的風險，而且，為減少風險損失而進行的風險管理本身也會帶來新的風險。比如，管理風險所耗用的專案資源造成專案其他部分的可用資源減少，規避風險的行動影響原定專案計劃而帶來風險等。因此，在專案實施過程中，專案管理人員必須制訂標準並按階段衡量專案進展狀況，時時監視專案實際進展情況，根據風險情況果斷調整和糾正專案行動。
1、風險監視
由於時間對專案的影響是很難預計的，因此風險監視是專案實施過程中的一項重要工作。監視風險即監視專案產品、以及專案過程的進展和專案環境的變化，通過核查專案進展的效果與計劃的差異來改善專案的實施。一般情況下，隨著時間的推移，有關專案風險的資訊會逐漸增多，風險的不確定性會逐漸降低，但風險監視工作也隨資訊量的增大而日漸複雜。我們一般可採取專案的稽核檢查的方式，通過各實施階段的目標、計劃、實際效果的對比、分析，尋找問題的根源，提出解決問題的方法。

2、風險規避
在風險管理規劃基礎上進行風險控制，一旦監視到風險，就應採取合理措施進行風險規避，可以從改變風險性質、改變風險發生的概率、改變風險的影響大小等多方面著手。風險規避的策略一般有預防、轉移、迴避、接受、後備措施等幾種方式。
其中，預防風險尤其不能忽視專案的教育培訓和按程式辦事兩個方面。由於專案實施成員的任何不當行為都會構成專案的風險因素，要減輕與之相應的影響，就必須對有關人員進行詳細和有效的風險教育和專案培訓，教育培訓的內容應該包含專案相關的策略、計劃、標準、規章規範、專案知識、產品知識等。在專案活動中，應該嚴格按照專案制度，如進度、人力調配、文件管理、資源分配等。
轉移風險，在IT專案中使用最頻繁的應該要數合作伙伴、專案外包、保險與擔保等手段了。無論是與合作伙伴的協同實施還是專案的外包，都能在人力資源、成本費用、專案進度等方面分散風險，開脫責任。但轉移風險的同時也必然帶來利潤的一部分流失。
迴避風險，是指當專案風險潛在威脅的可能性極大，並會帶來嚴重的後果，無法轉移又不能承受時，通過改變專案來規避風險。通常會通過修改專案目標、專案範圍、專案結構等方式來回避風險的威脅。
接受風險，作為規避風險的常見方法，主要是指主動將風險事件的不利後果承擔下來，這種後果通常主要反映在實施週期、成本費用的有限增加上，以犧牲專案收益而不影響專案整體。
用於規避風險的後備措施，主要體現在後備費用、預留進度時間、後備技術力量三個方面，這些後備措施在專案計劃中就應預留，保證在專案實施過程中，能充分呼叫後備力量解決問題。

三、事後控制——風險管理報告
無論專案進展的情況如何，都必須將風險管理的計劃、行動、結果整理、彙總、進行分析，形成風險管理報告。風險管理的持續性要求風險管理報告的連貫性和不間斷性，因此，該報告不是僅僅在專案結束之後才製作的，而是應該視專案的進展狀況、專案計劃、報告的物件等條件採取書面或口頭、不定期的或階段性的等多種方式，為專案的實施、控制、管理、決策提供資訊基礎。
我們在專案管理中進行風險控制的同時，還應該問自己幾個問題：所制訂的風險管理策略本身是否可行？實施風險控制的措施和手段是否與專案總目標保持一致？通過不斷地在實踐中反思、嘗試、總結、分析，提高風險管理的水平。
風險總是和效益並存的。只有正確地識別風險、分析風險、規避風險，才能確保每一個專案的順利實施和成功完成，才能給企業帶來更多的效益。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/7942439/viewspace-21107/，如需轉載，請註明出處，否則將追究法律責任。