大型信息化项目中风险管理的研究

摘　要：信息化项目整个生命周期内有很多不确定因素，会影响项目的实施过程和建设结果。如何面对和应对项目风险，避免和减少损失、将威胁化为机会，更顺利地实现项目预期目标，必须重视项目风险管理。

关键词：信息化项目、风险管理
项目有着临时性、独特性和渐近明细性的特点，作为项目的一种，信息系统项目还有着目标不明确、需求变化频繁、智力密集型、项目涉众繁杂等特点，软件行业的信息化项目建设不像某些传统生产制造业那样成熟稳定，项目生命周期内充满着诸多不确定性因素，风险也无处不在，会影响项目的实施过程和建设结果。如何面对和应对项目风险，避免和减少损失、将威胁化为机会，更顺利地实现项目预期目标，必须重视项目风险管理。
   笔者于2007年～2010年主持的某市审计局审计信息化建设工程（一期）项目的建设，该项目是某市审计局重点工程，合同总额约2300万，涵盖系统集成、应用系统开发、支撑体系建设等内容，项目建设周期为3年。笔者在担任该项目的项目经理的过程中，负责了项目的整体规划、组织实施和管理控制工作。对信息化项目风险管理的重要性，尤其是要通过制定风险管理计划、及时进行风险识别和分析、制定合理的风险应对计划、并持续进行风险监控等几方面来落实项目风险管理工作以来保障项目总体目标顺利实现有一些心得体会，与同业共享。
　　此项目是典型的大型信息化项目，系统集成主要任务是搭建审计局办公网络、主机、存储、系统软件、系统安全等系统运行基础环境；应用系统开发包括审计局审计业务、行政办公及门户网站系统的设计开发；支撑体系包括审计信息化标准体系、安全体系、运维体系建设。系统基于J2EE架构，采用面向服务的体系结构（SOA），结合Web Service技术、XML技术、消息中间件等主流技术，运用工作流、报表管理、内容管理、检索服务、数据交换等成熟组件及第三方产品，实现应用系统构件化开发。经过3年的建设，该项目于2010年初竣工验收，目前系统处于运行维护期，运行情况稳定良好。
　　对于这样一个建设内容多，建设周期长，涉及范围广的大型电子政务项目，项目实施过程中出现过很多难以预料的困难和问题，笔者作为项目经理，在项目中重点抓住项目风险管理，将理论知识与实践相结合，分别从制定风险管理计划、风险识别和分析、制定合理的风险应对计划、并持续进行风险监控等几方面来落实风险管理工作，保障项目进程顺利开展。通过有效的项目风险管理不仅可以防患未然，把各种不利后果减少到最低程度，还能够争取到一定的商业机会，为业主和公司赢得利益。下面对几项管理工作内容和实践经验分别进行阐述。
　　一、重视风险管理计划编制，明确风险管理任务，提高风险防范意识。
　　笔者本次参与的项目是某市审计局“十一五规划”的重大工程，局方领导在项目伊始就以“献礼”工程的高度来要求项目建设目标。笔者所在公司高度重视项目顺利实施的各方面保障工作，在项目初期就将项目风险管理计划作为项目总体计划的重要内容加以规范，并指定项目核心成员作为项目风险管理的主要负责人。笔者作为项目经理，与项目主要负责人共同定义了项目风险类别，综合考虑技术、管理、内外部环境等方面的因素，并结合公司多年大型电子政务项目的实施经验，对风险类别进行了细化定义，本项目的风险分解结构，如下所示：
　　业务方面：业务流程、业务规则、用户等；
　　应用方面：系统功能、UI交互界面、功能接口等；
　　数据方面：数据模型、数据存储、数据分布、数据量等；
　　技术方面：技术路线、支撑平台、构件组件、关键技术、性能、非功能特性、安全等；
　　项目实施方面：时间、资源、资金、质量、协作、培训等；
　　环境方面：社会环境、政策法规、市场等；
　　此项目也通过制定风险管理计划，提高了项目组成员对风险的重视度，加强了风险防范意识。
　　二、紧抓风险识别与分析，“尽早尽多尽量尽力”发现项目潜在风险。
　　项目建设的风险无处不在，特别是项目建设初期，不确定性最大，主动识别或发现潜在风险显得尤其重要。风险管理并不只是管理者的事情，关系到项目的所有成员。因此，笔者与相关负责人在项目初期，通过召集会议，采用头脑风暴方法，发挥项目组成员的主动性，共同讨论识别风险的来源，收集到了涉及各个层面、各个角度的风险因素，还对公司多位资深行业专家及项目经理进行访谈，使用检查表收集类似项目的历史经验，找出容易导致项目的失败的原因。通过多种形式和手段，“尽早尽多尽量尽力”识别了很多风险因素，为后续制定风险应对策略，做好风险防范打好了基础。
　　本次信息化项目建设要实现推动审计工作模式转变和管理制度创新变革的重要战略目标，因而，在项目范围和软件需求方面存在着很大的风险，对项目需求和项目范围方面的风险控制显得尤其重要，本项目把对范围变化影响等级划分为“低、中、高”等级，以风险概率及影响矩阵来表示，对风险发生的可能性、影响度、定义风险等级进行定性分析。本项目初期需求方面的风险主要表现在用户对新业务模式下的系统功能尚存在探索尝试，与之配套的系统功能需求范围存在不确定性；在系统建设过程中可能存在制度变化引起的业务流程或规则、数据等方面的变化会而带来需求变更、新业务模式没成成功经验可借鉴也会存在技术实现风险等方面。
　　三、归纳总结风险应对措施，未雨绸缪，分而治之。
　　在前面对风险的识别与分析基础上，制定有效的风险应对计划及措施，在项目实施过程中排除困难、化解风险，笔者认为这是非常重要和关键的。不同阶段、不同类型、不同级别的风险分别制定相应的应对策略，对预测的风险在发生之前，加强防范，争取避免；对不可避免的风险采用转移、减轻等策略；对有可能带来机会的风险采取分享、开拓等方式处理。
　　例如，本项目在范围和需求存在的风险，笔者主要通过强化沟通、原型法、及时确认、前期需求和技术关键点验证等方式制定应对方案，来避免风险发生或降低风险影响。
　　在做需求分析时，前期用户方由信息中心为主导已经梳理过软件需求，主要以“转述”的形式向我方需求人员传递需求，我方发现这样做虽然节省了访谈或调研等需求开发的时间，但存在需求不准确、理解不一致、问题解释不到位等问题，而且会导致后续需求得不到最终用户确认以及软 件功能不能顺利交付等风险，因而，我方强调加强与最终用户沟通，并采用原型法以直观的界面向业务人员展现功能需求，并组织多次需求讨论会达成需求的一致理解，之后明确软件需求规格说明书的评审会组织及工作流程，保障需求确认工作顺利进行。对业务创新点及关键技术，如审计业务中“审计实施方案、审计事项表、审计报告”的结构化和上下数据打通的理念，我方采用动态原型系统（简易的可操作功能的原型），录入历史业务数据，演练业务处理流程，最终验证了方案可行性，打消了业务和技术方面的种种顾虑，也在系统大规模设计开发之前，做了相应的储备，由于有用户一同参与，还提前做到了对软件功能设计的认可和肯定。
　　对可能带来机会的“风险”，本项目主要采用开拓的方式来应对。例如，由于“联网审计系统”要在网络环境下与被审计单位系统连接，动态实时获取审计数据，代表着审计业务发展的新方向，存在多处业务和技术的创新。系统对网络环境下的数据交换、数据抽取、数据传输、数据分析以及系统安全等方面提出了更高的要求，系统设计难度也随之加大，系统在架构、技术、产品工具应用等方面都存在风险。项目组采用SWOT方法分析风险，与公司领导及早沟通，达成要投入公司级技术力量支持的决定，目标是攻克难关，积累经验，为将来的业务拓展打好基础。事实证明，这一举措是非常正确的，正是本项目这一代表行业发展趋势系统运行的成功案例，公司在后来审计行业的解决方案推广与业务拓展中，才占领了先机，打败了多家竞争厂商，争取到了更多商业机会。
　　四、提高警惕，持续监控，时刻跟踪，风险无机可乘。
　　项目的风险管理不是一劳永逸的，因项目整个建设过程是在不断变化当中的，所以要对风险进行持续的跟踪与监控。已经识别的风险也会随着时间变化发生新的变化，也要随时调整应对方案。例如，本项目在人力资源管理方面，就自始至终贯彻着风险的监控管理。项目在建设初期，由于团队成员来自多个部门，人员技能水平又良莠不齐、多个子项目之间团队合作也不顺畅，本项目主要采用统一制度规范、加强沟通、强化培训来解决初期的动荡。项目中期，时间紧、任务重，压力大，成员工作积极性受到影响，人员流动是主要风险，项目组采用尽量公平透明的绩效考核措施来激励成员，调动工作热情，此外，每周定期组织体育活动，篮球、羽毛球或户外训练，促进团队建设。后期，人员释放，由于项目用VSS工具集中管理项目过程资产并建立了项目知识库，所以在工作成果的交接上没有发生太多问题，只是在核心技术和能力传递时，出现了问题，后期主要对核心系统和模块的开发任务通过设置A角与B角做人力资源备份来解决人员流动造成的“单点故障”。
　　科学合理的项目风险管理是项目的成功实施的有效手段之一，此外，还离不开项目范围、进度、成本、质量、人力、沟通等很多方面项目管理知识和软件工程方法经验的综合运用。笔者认为，项目风险管理是贯穿整个项目生命周期，与项目管理其它各个过程和领域密切相关的关键内容。项目中通过有效的项目风险管理不仅可以防患未然，把各种不利后果减少到最低程度，还能够争取到一定的商业机会，为业主和公司赢得利益。笔者正是在某市审计信息化工程项目中有效的验证了项目风险管理的重要性和实际意义，也将会在以后设工作中，继续深化对项目风险管理的认识和理解，更好地运用于信息化建设项目。