IT项目风险

2024-10-14

IT项目风险(精选11篇)

IT项目风险 篇1

1 IT项目风险分类

1.1 IT项目风险有两个特征

不确定性——风险的事件可能发生也可能不发生, 没有100%发生的风险。

损失———如果风险变成了现实, 就会产生恶性后果或损失。

1.2 按风险类型来说, IT项目有以下几种不同类型的风险:

项目风险:项目风险是指潜在的预算、进度、人力、资源、客户、需求等方面的问题以及它们对项目的影响。

技术风险:是指潜在地设计、实现、接口、验证和维护等方面的问题。包括技术的不确定性、陈旧的技术、以及“过于先进“的技术。

商业风险:

几个主要的商业风险是:市场风险、策略风险、销售风险、管理风险、预算风险。

1.3 按风险方式来说, IT项目风险分为以下方式

已知风险:不现实的交付时间, 没有需求或软件范围的文档、恶劣的开发环境等。

可预测风险:人员调整, 与客户之间无法沟通等。

不可预测风险:政策风险等。

2 软件项目的风险分析及风险管理

下面以软件项目为例, 探讨IT项目中的风险分析及风险管理方法。对于软件项目主要存在以下风险。

2.1 产品规模风险

产品规模的可信程度如何;产品规模平均值的偏差百分比是多少;产品的数据库大小如何;产品的用户数有多少;产品的需求改变有多少;复用的软件有多少。

2.2 商业影响风险

对公司的收入有何影响;是否得到公司高级管理层的重视;交付期限的合理性如何;是否与用户的需要相符合;最终用户的水平如何;用户对本产品开发的约束;延迟交付所造成的成本消耗是多少;产品缺陷所造成的成本消耗是多少;如果出现了较大的百分比偏差则风险较高。

2.3 客户相关风险

以前是否曾与这个客户合作过;该客户是否很清楚需要什么;该客户是否已确定项目范围;该客户是否愿意建立与开发者之间的快速通信渠道;该客户是否愿意参加复审工作;该客户是否具有改产品的技术素养;该客户是否愿意你的人来做他们的工作;该客户是否了解软件过程;

2.4 软件开发产品的过程风险

是否已经拟定了一份软件过程说明;开发人员是否同意按照文档所写的软件过程进行开发工作;该软件过程是否可以用于其它项目;人员是否接受过一系列的软件工程培训;是否提供了确定的软件工程标准;是否为作为软件过程一部分而定义的所有交付物建立了文档概要及示例;是否定期对需求规约、设计和编码进行正式的技术复审;是否定期对测试过程和测试情况进行复审;是否对每一次正式技术复审的结果建立了文档;

有什么机制来保证按照软件工程标准来指导工作;是否使用配置管理来维护系统/软件需求、设计、编码、测试用例之间的一致性;是否使用一个机制来控制用户需求的变化及其对软件的影响;对于每一个承包出去的子合同, 是否有一份文档化的工作说明、一份软件需求规约和一份软件开发计划;

2.5 技术风险

该技术对于公司而言是新的吗;客户的需求是否需要创建新的技术;产品的需求是否要求采用特定的用户界面;产品的需求中是否要求开发某些程序构件;需求中是否要求采用新的分析、设计、测试方法;需求中是否要求使用非传统的软件开发方法;需求中是否有过分的对产品的性能约束;客户能确定所要求的功能是可行的吗。

2.6 开发环境风险

是否有可用的项目管理工具;是否有可用的分析及设计及测试工具;是否有可用的软件配置管理工具;项目组的成员是否接受过每个所使用工具的培训;是否有专家能够回答有关工具的问题。

2.7 与人员数目及经验相关的风险

人员在技术上是否配套;是否有足够的人员可用;开发人员对自己的工作是否有正确的期望;开发人员是否接受过必要的培训。

3 软件风险因素

为了识别和控制软件风险, 可以标识影响软件风险因素, 包括:性能、成本、支持和进度, 包括:性能风险、成本风险、支持风险、进度风险。每一个风险因素的影响均可分为四个影响类别--可忽略的、轻微的、严重的、灾难性的。下表列出由于错误而产生的潜在影响或没有达到预期的结果所产生的潜在影响。

4 风险预测

4.1 建立风险表

风险表是一种简单的风险预测技术。每个风险的概率值可以由项目组成员个别估算, 然后将这些值平均, 得到一个有代表性的概率值。

风险影响及概率从管理的角度来考虑, 具有高影响但发生概率很低的风险因素不应该花费太多的管理时间。而高影响且发生概率为中到高的风险以及低影响但高概率的风险, 应该首先考虑。

4.2 评估风险影响

如果风险真的发生了, 所产生的后果有三个因素可能会受影响:风险的性质、范围、时间。以下的步骤用来确定风险的整体影响:a.确定每个风险元素发生的平均概率。b.确定每个因素的影响。c.完成风险表, 分析其结果。d.项目组定期复查风险表, 再评估每一个风险, 以确定新的情况是否引起其概率及影响的改变。

5 风险缓解、监控和管理

所有风险分析活动都只有一个目的--建立处理风险的策略。风险管理策略要考虑三个问题:风险避免、风险监控、风险管理及意外事件计划。

6 总结

对于IT项目期来说, 如何进行风险分析、管理, 是应该重视的一个问题, 如何开展这项工作, 对于IT项目的实施具有重要意义。目前对于IT项目的风险控制, 大多数公司都在非正式地和表面地进行, 但还缺乏重视, 不能花更多的资源, 但可以这样说:花在标识、分析、管理风险上的时间可以从多个方面得到回报, 可以使项目进展过程更加平稳, 提高跟踪和控制项目的能力, 有这些周密计划可以使整个公司和项目组获得更大的信心, 以保证项目的顺利完成

参考文献

[1]罗耶 (美) .项目风险管理.北京:机械工业出版社, 2005

[2]栾跃.软件开发项目管理[M].上海:上海交通大学出版社, 2005.

[3]施瓦尔贝 (Scgwalbe, K) . (美) 杨坤译.IT项目管理.北京:机械工业出版社, 2009

浅析IT项目管理中的风险问题 篇2

关键词:风险监测;风险评估;风险识别;IT项目

中图分类号:TN915

IT项目管理也属于管理学科的一份范畴,因此也和其他的管理类型是一样的,在对IT项目进行立项及其他工作时也是一样的,实施项目、设计项目都是按照假定的立项状态来执行,在对未来情况的预测中无论是技术还是管理、组织等方面都是按照最理想的方式来预测的。但是在实际过程中,很多因素会发生不可预期的变化,这样的变化会对原本的目标产生干扰,这些因素实现不能确定,我们将这样的能够影响项目发展的因素称作风险。也就是说,项目中的不可靠因素就是IT项目的风险,必须要对所有的风险有足够的估计、预警和解决才能够保证项目的顺利完成。所以,在IT项目管理中对风险进行管理已经成为了非常重要的一个部分。

1 IT项目管理风险研究的意义

1.1 必要性

和各种信息技术联系紧密的各种IT类项目是IT项目管理的主要对象,诸如信息系统的集成、计算机网络的组件以及软件系统的开发等问题都是如此。在建设环境逐渐复杂的北京下,各种项目的建设规模不断增加,项目的投资也在不断增长,但是IT项目在建设过程中往往还有技术发展飞快、人员流动大、标准不完全统一等问题,这些都加剧了项目的风险问题,也使不同的项目具有了特殊性。出现各种的风险都会不同程度上产生成本上升、拖延进度以及丢失重要数据等恶性的后果,影响项目的进展。因此,在IT项目管理的过程中,对风险问题进行研究是非常重要的。

1.2 目标

将风险问题研究设置在IT项目的管理过程中主要是因为:研究这一问题可以提前预知在项目过程中产生影响的风险因素,通过对风险的评估和识别,运用适当的方法予以避免和减轻影响,再通过不断地检测和检查来应对风险产生的不良后果,以便与工程项目的顺利完成。

2 IT项目管理中存在的风险

对于IT项目风险管理的相关研究有很多,众多学者大部分都将其分为五个部分,下文将进行具体的阐述:

2.1 外部风险

IT项目中的外部风险主要指的是整个项目无法组织和控制的影响,对项目的成功有关键的影响的因素,通常包括如下几个方面:(1)政策和市场的不断变化。随着项目的不断推进,与其相关的政策有可能不断的推陈出新,为企业的发展添置了诸多的不利因素或束缚;再者,随着项目的进行,市场的不断变化也会对项目产生重大的影响,尤其是在关键环节上的变化有时可能导致整个项目为之所动。(2)发展迅速的IT产业。各种层出不穷的新技术新知识在IT行业内发展迅猛,IT项目的研究过程中不断面临新的趋势和标准,不断发展的IT技术也加速了行业内的合作和竞争,影响项目的发展。(3)出现各种自然灾害。各种各样的自然灾害的出现可以说是对IT项目的重大打击,无论是地震、洪水还是火灾都是需要重视的,不仅因为这些灾害难以预测更是因为这些灾难的破换力达到让人无法估量。(4)安全因素产生影响。对IT项目造成影响的还有一些安全因素,这些都会造成重大损失,诸如黑客攻击、安全漏斗或电力短缺等问题,这些也是无法实现预测到的。(5)法律因素的影响。很多项目的管理者经常容易忽视法律风险的问题,不注重项目的后期延续性维护、从业人员的职业道德以及项目成果的版权等问题。这些都是非常重要的。

2.2 成本风险

项目的成本风险是指项目成本控制上因项目组织过程中的失误或变化产生的风险,具体可以分为如下几个部分:(1)项目的运营成本溢出。针对这一问题主要值得是项目的运营或组织的人元在建设过程中引发的成本,加之从业人员的流动性较大,很多因素事先不可控,产生此类问题的可能性也就更大。(2)项目范围发生变化。由于业主或技术等其他因素的变化导致项目范围跟着发生了变化无疑会对项目的成本产生影响,有时这种影响还会很严重。(3)未估算的成本影响。在对项目进行规划时计算得到的成本是一种预测性的数据,不能完全代表实际执行中产生的费用。在项目的管理过程中往往会出现预算时未进行估算的成本问题导致整个成本上升。(4)项目预算不足。由于各种各样的因素影响,尽管IT项目管理过程中会对成本进行合理的控制,但是还是会受到项目工期、材料价格、设备环境等不同程度的影响产生预算不足或超支的情况。

2.3 进度风险

进度风险指项目产品或服务因延误工期而导致的失败可能性,具体包括如下方面:(1)对项目进度估计不准。项目进度的估计与项目成本的估计一样都是一种预测性的工作,不能代表实际情况,实际操作过程中,经常会受到其他因素影响而出现变动。(2)资源补给问题影响项目进度。为了保证项目的正常进度,为项目提供足够的后勤补给是必须的环节,如果这个部分出了问题就很容易影响项目的进度。不仅仅是物质资源,还包括人力、信息、时间等部分都会产生对项目进度的影响。(3)其他问题影响项目进程。IT项目的建设的过程中,还可能受到其他因素的影响而产生进度的拖延,如运营部分的故障和各种技术问题等。这些也需要给予足够的重视。

2.4 技术风险

通常的技术风险是说影响项目达到预期功能的因素,表现为:(1)技术不够熟度。在项目中引入不成熟的技术经常是项目失败的因素之一。(2)管理与开发工具选择不合适。IT项目的管理过程中对工具有着很高的要求,管理和开发工具对整个项目至关重要。(3)测试项目不严谨。未经严格测试的项目提早运行会造成很严重的损失,因此对项目的测试要落实到细节。

2.5 运营风险

阴影管理是指项目不能实现预计目标的可能性。可包括:(1)对项目冲突和优势的理解不充分。沟通充分是解决理解问题的重要手段。(2)未指派合理的权限。在整个IT项目管理的过程中要合理的设置权限,保证管理的秩序。(3)沟通不善。管理过程中要建立良好的沟通体系,保证各种信息渠道的畅通,消除因反馈不及时带来的隐患。

3 加强IT项目风险管理的思考

通过笔者的研究得出,加强IT项目的风险管理可以从以下几个方面着手:首先,应当加强对风险管理计划的指定,这是所有IT项目都必不可少的,它应该作为一个独立的部分纳入项目的整体计划;其次,识别IT项目潜在的风险是一项非常关键的任务,在识别了风险以后,可以从风险的可控程度、严重性和可能性三个方面来评估IT项目管理中的风险;再次整理和手机风险管理的资料有助于对项目风险的更好、更科学管理;最后,要设立风险管理应急预案,在出现风险问题时及时解决。

4 结语

风险管理问题在整个IT项目管理中至关重要,必须要投以足够的重视。作为业内的工作人士也应通过不断地实践和研究,寻求更多、更好的解决IT项目中风险问题的方法。

参考文献:

[1]吕斌.海洋工程项目的风险管理研究[J].中小企业管理与科技(上旬刊),2010,1.

[2]王琳.IT项目风险管理分析[J].现代商贸工业,2009,22.

[3]李瑛.IT项目管理中的风险认识[J].科技资讯,2009,31.

[4]李圣凤,李新碗.IT新产品研发项目中的风险管理[J].项目管理技术,2009,5.

[5]周瑞华.信息化项目中的风险管理[J].商场现代化,2009,9.

作者简介:杨亮(1982.12-),男,湖北省孝感市人,软件工程师,高级工程师,管理学学士,研究方向:管理科学与工程。

IT项目管理中的风险认识 篇3

1.1 外部风险

外部风险主要是指那些超出项目经理乃至整个项目组织控制范围和影响力的干扰因素, 主要体现在: (1) 市场和政策的变化;一方面, 市场需求的多变以及新产品、新服务的不断更新替换可能导致IT项目建设方向的急剧改变, 这对绝大多数的项目来说都是致命的;另一方面, 与IT项目管理相关的政策从无到有不断涌现, 给实施项目的企业设置了越来越多的约束。比如金融项目的进行过程中的新金融政策的颁布就可能导致需求、设计及算法的彻底翻盘。 (2) IT行业的迅猛发展;IT行业被称为朝阳行业的根本原因就在于这个领域出现的时间不长而发展又非常迅速, 所以, IT项目必然面临层出不穷的新标准和新趋势。 (3) 自然灾害的出现;火灾、洪水、地震等自然灾害对IT项目的建设而言是不可忽视的客观存在, 其破坏力之大往往超出人们的想象, 而自然灾害的随机性使得项目组织一般很难做出预测。 (4) 威胁IT项目的安全因素;电力短缺、安全漏洞和黑客攻击等因素都会对IT项目管理造成重大的损失, 这些因素一般也是危害严重而又很难事先控制的。 (5) 相关法律问题。

1.2 成本风险

成本风险指因项目或项目组织的变化或失误从而影响项目成本控制的隐患, 主要包括: (1) 项目运营成本溢出;由于IT项目的人员组成复杂且流动性非常强, 项目人员良莠不齐, 既懂技术又懂业务的综合素质人才缺乏, 加上项目运营牵涉如客户的干预、客户沟通能力等不可控因素较多, 因此运营成本溢出的可能性非常大。 (2) 项目范围的改变导致成本上升;客户需求的反复变化和信息技术的不断发展导致IT项目范围的改变是项目经理经常遇到的现象, 随之而来的便是项目成本的不断上升甚至成倍增长。 (3) 出现未估算的项目成本;虽然IT项目在进行规划时就应做出精确的成本估算, 但成本估算毕竟是一项预测性的工作, 在实际操作过程中难免会产生错算、漏算从而导致未估算的成本项目的出现, 因而影响整个项目管理的成本和绩效。 (4) 项目预算超支。

1.3 进度风险

进度风险指由于错失或延误IT项目产品或服务的市场机会而导致项目失败的可能性, 其直接表现: (1) 项目进度估计不准确进度管理虽然是IT项目管理中非常重要的环节, 但往往在进行项目进度估计时需求还没搞清楚, 因此出现项目进度估计不准也是项目管理中经常碰到的棘手问题。 (2) 过多的技术、运营和外部问题牵扯项目进程。 (3) 资源短缺或变更导致项目进度拖延。

1.4 技术风险

技术风险指干扰项目达到预期功能或性能目标或期望的不可靠因子, 突出表现在: (1) 技术成熟度不够。 (2) 开发与管理工具选择不当。 (3) 项目测试不充分或不严谨。 (4) 软硬件的集成矛盾。

1.5 运营风险

运营风险指项目无法达到预期收益目标或期望的可能性。 (1) 对优势和冲突的理解不充分。IT项目组织和客户之间沟通的一个要点就是要确认项目的优势和冲突, 从而避免对项目认识和理解上的分歧, 以较好地调和项目的优势和冲突。 (2) 未指派合理的权限。在IT项目管理中经常强调的“一把手原则”经常在实际工作中被忽视, 而不能给关键人物指派合理的权限的后果是项目管理的混乱。 (3) 沟通不善。在IT项目管理中, 构建良好的沟通机制和渠道是项目经理的重要职责, 但很多项目经理忽视了沟通的作用, 甚至连基本的沟通计划都没有, 这不能不说是一种极大的隐患。 (4) 多项目管理。现代的项目管理型组织都是以项目为基础, 一般来说组织级别同时运行多个项目, 然而项目多、资源紧、任务重所带来的全面铺开但是全面滞后甚至全面失败的结果也是极有可能发生的。

2 加强IT项目风险管理的对策

2.1 I T项目风险管理计划的制定

风险管理计划是所有IT项目都必不可少的, 它应该作为一个独立的部分纳入项目的整体计划。计划的制定者可以是项目经理也可以是项目风险管理的负责人, 在制定计划时应该重点强调的几个因素包括:风险的识别、确定风险管理的范围、量化风险明确风险管理的时间要求和阶段目标、配置和计划用于风险管理的资源、制定风险管理应对措施和应急预案。

2.2 项目管理中风险的识别、评估和检测

识别IT项目潜在的风险是一项非常关键的任务, 一般来说, 可以采用特尔斐法和头脑风暴法识别可能威胁IT项目成功的绝大部分风险。在识别了风险以后, 可以从风险的可能性、严重性和可控程度三个方面来评估IT风险的破坏力, 使用可能性量表、严重性量表和可控性量表工具对风险进行定量分析后, 可以将其分为高、中、低三类并生成项目管理风险观测表。接下来要做的工作便是在整个项目管理过程中利用此文件对项目风险进行监控并定期召开例会或形成报告, 一般来说至少每周一次, 如果情况特殊, 会议和报告的周期还可进一步缩短。

2.3 项目风险管理资料的收集和整理

在实施IT项目风险管理的过程中收集和整理风险管理的资料和数据, 总结成功经验固然重要, 但更为可贵的是那些失败的例子和教训。收集风险管理的资料和数据不但有助于建立项目风险管理的知识库和模型库用于识别和评估风险, 更重要的是能为项目风险管理计划和项目风险应急预案提供反馈以促进其完善。

3 持续风险管理的步骤

3.1 识别项目风险流程改进机会

这一阶段的目标是选择适当的项目风险流程用于改进。例如, 工程实施中土地使用权获取、建筑设计、融资分析的关键环节和过程, 对整个项目前期工作的效果和目标影响重大, 因此作为关键的风险流程用于改进。

3.2 评价需改进的风险流程

这一阶段目标是选择有挑战性的问题及确定改进的指标。重点就是把需改进的项目风险流程的具体指标细化, 并确定改进的具体目标。

3.3 分析项目实施中存在的问题

这一阶段目标是识别目前风险管理中存在的原因, 充分利用有关工具和方法找出原因。

3.4 采取措施

计划并采取适当措施改正不规范的做法, 针对风险管理工作流程进行改正, 以达到目的, 消除存在的问题。

3.5 确认改进的结果

评价采取的风险管理措施是否达到了目标。

3.6 改进方法标准化

这一阶段主要目标就是确保项目风险管理的水平得到维持, 要确保已经改进的工作效果通过制定的管理流程图、程序、制度、标准等已成为日常工作的一部分, 并可以把这一阶段的规范化管理成果推广到其他过程或部门。

3.7 为下一阶段或未来项目进行计划

主要针对遗留问题制定计划并评价其效果, 通过学习其他部门的经验为下阶段工作和未来项目提供规范化管理的知识。

总之, 前风险管理在IT项目管理中并没有得到应有的重视, 因此从事IT项目管理的专业人员必须通过学习或培训了解风险管理的重要性并掌握风险管理的知识和防范风险的方法与手段, 也只有将风险管理的内容纳入正规培训日程才能突显其重要性。

摘要:在IT项目管理中, 应该任命一名风险管理者。从风险管理的角度对项目规划或计划进行审核并发表意见, 不断寻找可能出现的任何意外情况, 提出各个风险的管理策略及常用的管理方法, 以随时处理所出现的风险。

关键词:IT项目,管理,风险

参考文献

提高企业IT风险管理能力 篇4

每个企业在经营中都有可能发生风险,如何化解和减少风险是企业经营者必须研究的,因此,企业的风险管理非常重要。这项工作要求企业家在头脑中首先明确企业业务运营面临着哪些潜在风险,然后有的放矢地采取措施。而随着企业对信息技术的依赖性不断增强,加强IT风险管理,成为越来越多的企业关注的焦点。

IT风险管理:企业法规遵从和长远发展的需要

如今,企业面临的风险的复杂性随着市场全球化的发展而日益提高,推动企业风险管理的监管力度也随之越来越大,不少行业为保护企业在不稳定的商业环境中稳定运转而颁布了专门的法规。譬如,由十国主要金融服务相关机构牵头发起的《巴塞尔第二号协定》(BaselⅡAccord)中,不仅对资本风险进行约束,而且还涉及到经营风险,包括IT系统给公司带来的风险。换句话说,该协定强制要求采用企业风险管理体系,并关注IT风险管理。作为一家旨在打击欺诈性财务报告的组织,特里德威委员会下设的发起组织委员会(COSO)颁布了企业风险管理框架。信息系统审计和控制协会(Isaca)也制订了信息和相关技术控制目标(Cobit),这份文档同样概述了怎样拟订企业风险管理框架。而颁布这两项方案的目的都是为了促进风险管理机制在企业的应用。

此外,还有著名的《萨班斯-奥克斯利法案》(Sarbanes-Oxley),其404条款规定:所有在美上市企业都要建立内部控制体系,其中包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。而且,法案对企业建立的内部控制活动的记录作了许多详细而严格的细节上的规定。如此一来,404条款就成为外国公司迈入美国股市的“高门槛”,也是该法案中最难操作、最复杂、耗费成本最高的一个。

事实上,随着全球化的业务大集中、数据大集中趋势,IT越来越渗透到企业运营的每一个方面、环节和流程。与此同时,IT也成为企业业务运营面临的主要风险之一。不仅仅是出于遵守行业法规的需要,不少企业从自身长远发展的角度出发也已认识到需要采取更加有效的措施,来保护业务运营并提供出色的IT日常可用性。而企业中的IT管理者们往往被各种各样的因素困扰。他们有的意识到自己正面临的潜在风险,并且对风险有着较为深入的认识,但是由于成本的限制,总是无法圆满地解决这些问题。另一些企业由于业务模式过于复杂,以至于IT部门虽然感知到风险的存在,但根本无从知道风险究竟在何处,何时会爆发,也无法对潜在风险进行评估。那么,企业IT管理者到底应当如何清晰地了解潜在风险、需求和相应的投资额度,又如何有效规避风险呢?

扭转观念:整体布局实现业务连续性及高可用性

根据惠普在帮助企业进行IT风险管理方面多年来积累的经验,对于复杂的IT环境,采用单一的解决方案处理IT运营风险问题的效果并不理想。业务连续性、可用性与安全性是一个相互依存的整体,应该以集成、系统的方式进行处理。任何方面的漏洞与变化都会影响到业务运营所需要的服务级别。通过全盘规划和考虑,采用整体化的解决方案,企业能够构建可靠的基础设施,从而根据业务发展情况灵活调整IT的可用性与性能。

在进行企业IT风险管理控制的过程中,技术固然是一个重要组成部分,但要取得出色的IT运营效果,员工技能与最佳实践同样缺一不可。其中,将业务连续性、可用性与安全性的意识融入到企业文化和各种运营机制中,使其成为开展与维持业务运营的必不可少的组成部分,可能是最艰巨的任务,但一旦实现,也就从观念上和根本上提高了企业管控风险的能力。

正确评估:了解潜在风险的破坏力

企业在构建灵活安全的IT环境之前,首先要透彻地了解自身的业务需求、所面临的威胁与风险、以及IT系统出现故障对各关键业务流程的影响等各方面因素。只有正确分析和面对可能存在的各类风险,并正确评估各类风险可能造成的影响,才能采取正确有效的措施来规避风险。

值得一提的是,一直被低估的停机成本事实上高得超乎想象。InfoneticsResearch是一家国际市场调研公司,专门从事北美、欧洲与亚洲地区的数据网络与电信行业调研工作。Infonetics近期实施了一项客户调查项目,调查内容是关于网络中断及其对于大型企业的影响。该调查的研究报告称,美国大企业每年的IT停机成本占其收入的3.6%,其中制造企业的停机成本在收入中所占比例为9%,金融服务机构则高达16%。此外,停机还使企业面临员工效率降低以及企业在客户与股东中的声誉受损等其它难以量化的潜在风险。停机对中国企业业务运营产生的不利影响究竟如何,目前还没有特别准确的调研分析,但可以肯定的是,停机成本在中国企业中也是不容忽视的。

巧妙平衡:规避风险与保护成本

企业在进行风险的规避和管控的过程中,往往要面临着如何平衡风险管理与业务保护成本的挑战。根据惠普多年来在该领域的经验,我们建议企业IT管理者采取分层次、分步骤的方式来做出合理决策,实现风险规避与成本之间的巧妙平衡。

一般情况下,我们会建议企业首先认真分析每个业务流程可能遭遇的风险及其影响,力求解决下列关键问题:

· 需要何种级别的可用性?

· 一旦发生重大停机事故,业务对数据损失的承受能力有多大?

· 业务流程能够承受的停机时间极限?

· 需要何种级别的安全性?

作为业务连续性及高可用性解决方案方面的资深专家,惠普通常会和企业客户一起,从业务连续性与可用性研讨会入手来解决上述问题。在这个互动会议上,惠普顾问专家们将与企业团队合作,对企业的机会、风险、优势与劣势进行评估,协助企业制订无中断的、可用的IT计划。

然而,风险管理是一个系统性的工作,上述的分析、咨询只是企业规避IT风险的第一步。基于多年大量的实践基础,惠普专家采用一套完整的方法论,以企业的业务用户需求为出发

点,帮助企业IT管理者了解目前的IT风险管理状况,以及要构建灵活安全的基础设施还需解决的问题。同时,惠普推荐相应的解决方案,并提供高度可用的IT基础设施,帮助企业实现恢复时间、数据损失、安全性与可用性方面的目标。

一般来说,一套完整的IT风险管理方法包括以下4个步骤。

步骤1:确定业务需求。对整个企业内所有涉及合规性、可用性、安全性和业务连续性的业务流程和应用的要求进行评估。衡量停机对各业务应用与流程的影响。

步骤2:评估风险等级。对可用性、安全性与持续性进行全面且深入的评估,以确定风险领域,制定保护IT环境、改善IT服务的策略。将企业目前现行的实践与“最佳信息技术基础设施信息库(ITIL)”推荐的最佳实践进行比较,了解差距,根据业务影响确定风险等级。步骤3:设计与实施解决方案。将需求转化为切实可行的技术与服务解决方案,其中包括存储、数据库、应用、系统、网络和环境基础设施等。制定持续性服务改进计划。

步骤4:监控、管理与发展。制定IT服务管理政策,建立培训机制,采用最佳实践调整人员与优化流程。在业务发展过程中,对持续性与可用性计划进行再评估、监控、审计与测试。

通过以上4步骤,完整考虑企业IT风险管理的需求及其实现方式,可以帮助企业更准确地估计业务保护的成本,从而确保企业的投资水平在成本最优的前提下满足风险管理的需要。

IT新尝试:更多创新 更小风险 篇5

乐蜂网是一家以销售女性化妆品为主的电子商务网站。“自2008年成立以来,乐蜂网的IT架构改造共经历了三个阶段。” 乐蜂网副总裁孙岩告诉记者,“成立之初,我们的业务量还不是很大,为了节约成本只建立了一个单数据库,然后用WAP、ERP和CRM系统来管理前端的内容,由于所有数据报表都取自这一个数据库,单数据库承受的压力过大;随着业务的发展,我们将部分报表从OSPP中取出,放入BI操作,同时应用了大量缓存,缓解了数据库的压力。”

眼下,乐蜂网的IT架构又出现了新的问题——横向扩展难以实现,自己开发的应用程序数据在同步传输时容易发生死锁和积压。为此,孙岩提出了全新的IT构想:沿用原先的JAVA系统和ERP系统,建立同城的镜像数据中心和异地灾备中心;此外,鉴于应用系统压力较大,孙岩对其做了进一步的拆分。改造前,消费者的购物车信息和浏览记录都会直接保存在数据库中;改造后,消费者提交的订单数据会先进入ERP系统,由定单生产系统执行订单,将状态修改为“已发货”后把数据传到读库,消费者只要从读库里查看订单信息就可以了。这一方案不仅提高了订单处理的速度,也减小了用户猛增对系统产生的压力。

孙岩指出,尽管乐蜂网更倾向于使用高稳定性的系统,但在新的IT架构设计中仍然使用了Oracle最新的数据库解决方案11g。“一个新系统可能随时崩溃、宕机或者占用内存特别多,所以我们先在不太关键的系统试运行一下,等能力提升了,再大规模使用。不能太激进,但是也不能太保守,我们要尝试性地试用新产品。”

IT项目风险 篇6

高新技术产业风险投资产生于20世纪40年代的美国, 它把投资者、风险资本家和创业者有机结合起来, 造就了“硅谷神话”。20世纪90年代兴起的信息产业, 更是在风险投资的推动下完成并创造出巨大的经济效益。我国虽然直到20世纪80年代才引入风险投资机制, 但是很快从硅谷模式中借鉴经验, 开始了对中关村的风险投资的尝试与探索, 并获得了成功。

尽管风投给中国IT产业的发展提供了极大的支持, 但是融资管理中问题也逐渐暴露出来。其中, 客观层面上有法律法规不健全以及信息披露不公开等方面的政策原因, 也有投资者价值理念和诚信制度方面的文化因素, 而主观层面上, 在融资管理过程中对风险认识不足, 风险管理缺乏技术含量, 也是不可推卸的技术因素。在IT项目融资管理过程中, 风险管理是其核心问题之一, 也是最前沿的研究领域。IT项目本身即是高科技、高投入、高风险、高收益的项目, 因此对IT项目进行风险投资时, 其融资风险管理更是重中之重。

融资风险管理需要建立在融资风险评价的基础上, 科学合理的风险评价结果是风险管理的指南针。目前对IT项目融资风险评价中AHP方法[1,2,3,4,5,6,7]运用甚广, AHP方法即层次分析法, 是T.L.Saaty于1980年提出的决策分析方法, 这种方法将定性判断和定量计算有机结合在一起, 能够解决复杂而困难的决策问题。但是AHP方法也有其固有的缺陷, 因为该方法假设一个决策问题的评价指标体系中的各个指标项目独立、层级之间具有严格的从上到下的支配关系, 这样的假设显然在解决实际问题的时候过于理想化了。因此, 基于这样的考虑, T.L.Saaty (1996) [8]在AHP基础上提出了ANP方法, 即网络层次分析法 (AnalyticNetworkProcess) 。该方法中元素之间可以相互依存, 相同或不同层级的指标之间可以是支配和反支配的关系, 这使得ANP方法在应用于实际问题的时候, 决策结果更加接近于人们的真实决策结果。

本文正是基于ANP方法对IT项目融资风险建立评价指标体系并建立融资风险评价分析框架, 结合实例分析了融资风险管理的侧重点, 并与AHP方法进行对比, 以期为今后的IT风险投资项目的融资风险分析提供一种新的更加科学合理的参考方法。

1 评价指标体系的构建

IT风险投资项目的融资风险是指融资活动中存在的可能使投资者、风险资本家及创业者等各方蒙受损失的各种风险。从广义上来讲, 有系统性风险, 也有非系统性风险。系统性风险是指那些影响所有企业项目即整个市场的因素引起的风险, 如战争、通货膨胀、经济周期变动等。非系统性风险是指某一项目所特有的关系。如IT项目开发阶段的失败、管理层发生严重问题等。从狭义上讲, 可按照融资风险的某种分类标准进行分类。比如, 按经济性质分, 可分为价格风险、利率风险和汇率风险;按造成风险的原因划分的融资风险, 包括出资能力风险、再融资风险和金融风险等。

借鉴刘金璐 (2007) [9], Michel Benaroch (2002) [10], FanChinfeng (2004) [11]和DenisBorenstein (2005) [12]的指标选取, 结合我国信息产业宏观政策、法律环境变动大等特点, 表1给出了按照风险来源分类的IT风投项目的融资风险, 这些风险可以分为6类, 即信用风险、完工风险、生产风险、市场风险、政治风险和金融风险。这样的风险划分, 既兼顾了系统风险和非系统风险, 又兼顾定量指标和定性指标。6类风险细分为16个风险评价指标。

2 基于ANP的IT项目投资风险评价模型与AHP的比较

(1) 基于AHP的评价模型

基于AHP方法下, IT项目融资风险指标体系具有严格的层级结构, 且指标之间相互独立。基于AHP方法的IT项目融资风险评价模型结构如图1所示。

指标层以目标为准则两两比较重要程度, 子指标层以对应指标为准则两两比较重要程度, 设计调查问卷让专家基于9分度法对上述指标对应相应准则进行重要程度比较, 然后进行问卷回收、整理和统计。层层计算一致性和优势度, 最后计算出合成权重。

(2) 基于ANP的评价模型

在ANP方法下, 考虑到IT项目融资风险之间的相互依存和支配关系, 基于ANP方法建立评价模型 (图2) 。其中, 单向箭头表示一个元素集中的元素对另一个元素集中的元素具有支配作用, 双向箭头表示两个元素集中的元素相互支配作用, 元素集上的环形箭头表示元素集内部元素之间的相互依存关系[13]。

与AHP相似, ANP方法也应用9分度法进行重要度判断。与AHP不同的是, 由于ANP模型中存在指标集内部或外部指标间的依存关系以及指标与指标、指标与方案之间的反支配关系, 在判断指标间或指标与方案间或方案间相互的关系时, 可以运用直接或者间接优势度比较方法, 在某一准则下比较两个元素的重要程度[14]。根据上述模型中创建的指标之间的相互关系, 设计调查问卷, 邀请专家进行打分。

将打分结果进行整理和统计。通常, 计算ANP模型的结果可以用SuperDecision软件进行[15]。两两比较产生的判断矩阵需要进行一致性检验, 当一致性比率CR=CI/RI<0.1时, 认为符合一致性判

数据逐个输入SD软件之后, 可以计算相应的未加权超矩阵、加权超矩阵和极限超矩阵, 得到各个风险的优势度结果[16]。根据该优势度结果可以有侧重的进行IT项目融资风险管理。

3 实证分析

江苏省某IT企业拟建某城市光纤通信网络, 由于资金不到位向D公司进行项目融资。针对企业实际面临的融资风险, 分别对上述基于AHP和ANP法建立的融资风险评价模型中具体风险的重要程度进行专家打分, 比较结果如表2所示。

分别基于AHP和ANP法评价的风险重要程度有所不同。不论基于AHP还是ANP方法, 最重要的一级风险均为完工风险, 但从该风险下的二级风险权重来看, 基于AHP法最重要的二级风险为未达标风险, 而ANP中未达标风险在ANP方法下权重减低了0.221 8, 建设成本超支风险则提高了0.150 1, 成为了最重要的二级风险。

从二级风险权重排序来看, AHP法评价出的风险权重最大的前3个风险分别为未达标风险 (0.3238) , 价格风险 (0.119 8) , 市场销售量风险 (0.1198) , 未达标风险占到了总风险的1/3左右。而ANP法评价出的风险权重超过1/10的有5个, 分别是建设成本超支风险 (0.185 9) , 建设延期风险 (0.1686) , 未达标风险 (0.102 0) , 市场销售量风险 (0.1008) , 和产品购买商自信状况风险 (0.100 2) 。用AHP法评价的风险相对集中, 而用ANP法评价的风险相对分散。

两种方法评价结果差异的原因, 主要在于ANP考虑了指标之间的相互关系。在AHP法 (即不考虑相互关系) 下, 未达标风险非常大, 但在ANP法下, 由于未达标风险与建设成本超支、建设延期等风险之间的相互作用影响, 必须对后两者风险同时重视, 才能保证减低未达标的风险。因此, 基于ANP法评价出的风险, 对于IT项目风险管理来说, 更为科学和全面。

因此, 在该融资项目中, 应该着重对建设成本超支风险, 建设延期风险, 未达标风险, 市场销售量风险和产品购买商自信状况风险进行预防和控制, 以达到降低项目风险、保证项目收益的目的。

4 结论及建议

通过比较可以看出, 层次分析法由于假设了指标间的自上而下的支配关系和相互独立关系, 判断过程相对简单;而网络分析法由于允许指标间的相互支配关系和相互依存关系, 使得关系变得复杂, 在进行判断的时候也会出现难以比较的情况。但是, 由于ANP方法中指标间的关系更接近于决策中的实际情况, 因而ANP方法更加接近于真实的判断结果, 因而运用网络分析法对IT项目融资风险进行评价, 更有利于IT项目融资风险管理。

本文从IT风投项目融资风险识别出发, 建立起了IT风投项目融资风险评价指标, 并基于ANP方法对某IT风投项目融资风险管理进行了实证分析。实证结果也表明, 应用ANP模型能够很好的解决评价过程中指标之间的依存和相互支配作用, 通过细分风险的优势度比较, 可以得到比较满意的风险管理指南。

摘要:对IT风险投资项目的融资风险建立评价指标体系。基于项目融资风险中存在大量的相互作用关系, 运用网络层次分析法 (ANP) 建立IT风险投资项目的融资风险评价模型。通过实证分析并对比基于层次分析法 (AHP) 建立的风险评价模型的结果, 说明ANP方法在融资风险评价中的优势, 并给出具体的风险管理建议。

IT项目中风险管理的分析和研究 篇7

IT项目的风险管理研究在国外已有十多年的历史, 而我国尚未普遍开展关于IT项目风险的研究或实践。随着IT的发展, 应用领域的扩大和深化, IT系统的结构越来越复杂, 客户对其性能需求越来越高, 所以IT项目上存在着许多不确定性, 决定IT项目中存在各种风险, 这些风险使IT项目的成功率大大下降, 由此可见, IT项目的风险需要得到明确的、系统的、综合的管理。

所有投资活动都会有风险, 但是相对于其他项目来说, 软件开发的风险更高, 以各国开展IT项目的成功率来看, 2001年中国IT项目成功率不足30%, 2002年, 美国方面的IT项目绝对成功为34%, 彻底失败的15%, 其余中的51%存在费用超支或超出工期的问题。IT项目之所以失败的概率很大, 主要是面临着以下几方面的原因, 1.客户的需求不明确。一方面, 客户对IT项目和计算机知识缺乏认识, 自己并不清楚自己所需的IT项目的结果, 不断补充和修改需求, 使得项目不断的改变原来的实施方案。另一方面, IT项目管理人员对于行业知识缺乏和设计人员水平低下, 不能完全理解客户的需求说明。2.不充分的项目计划和过于乐观的批评估。没有良好的开发计划和开发目标, 项目的成功就无从谈起。IT项目的工作量估算是一项很重要的工作, 对于工作量估算不足是最常见的问题, 例如使用人员的培训时间, 各开发阶段的评审时间的忽略。3.采用了经验实践不足的新技术。新技术、新硬件是IT项目实施的主要风险源。4.管理方式和方法不恰当。5.开发出的系统性能不能满足用户需求, 例如系统运行速度慢, 体统维护更新困难。6.团队组织不当或项目组成员流失。如何规避上述IT项目开发过程中的风险, 在IT项目开发过程中进行风险管理显得尤为重要。

本文在实践项目经验的基础上针对IT项目中存在的各种风险进行系统性的分析和研究, 在风险管理理论与实际工作相结合, 找到适合我国软件开发中风险预防和处理方法的一些思考和建议。

二、风险管理

IT项目风险管理是风险管理理论在IT项目上的具体应用。任何IT项目都要制定项目计划, 而项目计划在许多方面都是以估算为基础的, 并且受到以下因素的影响, 对现状的理解是否充分, 可获取的信息是否充足, 无法判断而不得不做的假设等。在这些因素的影响下, 在预测将来的事件的结果时, 无疑会有不同程度的不确定性, 这些不确定性给IT项目带来了风险。任何事情都是很少能完全按照计划发展, 而IT项目更是处于一种动态的环境中, 在项目进行过程中, 各种风险就会伴随出现, 因此风险管理显得由为重要, 成为是IT项目的一个重要组成部分。我们所研究的项目风险管理主要是讨论如何有效地制定风险计划, 风险识别, 进行风险评估, 并且根据风险识别和风险评估提出风险策略, 进行风险监控和风险对应, 最后进行风险评价的总结。还有一点我们必须明白风险的目的不为了不惜代价去规避所有的风险, 而是运用风险管理去规避显而易见的风险, 对于一些隐性风险变为现实时, 如何针对风险做出合理的决策。即哪些风险我们可以避免, 哪些风险我们必须面对, 采用任何方式有效对应这些风险。

很多IT项目并不遵循正规的风险管理方式, 缺乏对风险管理的早期规划, 最后这些项目走入了困境。他们不能有效地处理项目中的问题, 最好导致项目管理成了长期的“危机管理”。下面可以例举一些在IT项目中最常见的风险:

1.不理解风险管理的好处。通常项目发起人和客户总是要求最终结果, 他们不关心项目团队通常会采用非常激进的风险策略, 而且根本不考虑他们的决策会对项目造成什么影响。他们经常非常乐观地忽视项目中存在的风险, 但遗憾的是, 这些风险最终都变成了现实, 而且对项目的成功了极大的破坏作用。这样的项目团队只是坐等风险的发生。看着项目出现了进度延误、质量问题和预算超支。由于对风险的管理的忽视最终导致项目中生产率下降, 项目的失败率提高。

2.没有为风险管理留出充足的时间。风险管理及相关过程是项目规划过程的重要组成部分, 而且贯穿项目的整个项目生命周期。评估项目风险的最佳时机是项目开始最早阶段。在这个阶段, 项目的不确定性最高。在项目早期识别风险并且规避风险所花费的代价, 要比在风险变成问题之后对它进行正所花费的代价低得多。应对风险的方法包括降低风险发生的可能性和准备风险发生后的应对方案, 如果风险发生, 要在最快的时间内执行应对的措施, 从而最大程度地降低风险对项目进度和预算的影响

3.在识别和评估风险时没有采用标准的化的方法。如果没有采用标准化的方法去管理风险, 那么就有可能忽视项目中的某种威胁和机会。本来能够避免的问题没有去避免, 当它出现之后需要花费更多的时间和资源进行纠正。项目中存在的机会被人们一再错过, 项目中的决策过于仓促, 缺乏依据, 项目成功概率下降。项目中的突发事件增多, 而且没有任何事先预警, 而且, 项目团队总是发现他们处于危机状态。这种状态延续下去, 团队士气、生产效率都会受到严重影响。

为了遵循正规的风险管理方式, 建立风险管理体系, 科学地运用风险管理体系降低项目消极事件发生的概率和影响, 我门针对IT项目风险管理的过程, 把风向管理体系分为风险规划, 风险识别, 风险评估, 风险策略, 风险监控, 风险应对, 风险评价七个步骤。

(一) 风险规划

风险规划是风险管理的第一步, 它必须得到所有项目利益关系者对风险管理方法的坚定承诺, 保证有足够的资源使用在风险管理的过程中, 这些资源包括时间、人员、技术等等。同时在处理风险时要按照风险管理流程进行。

(二) 风险识别

风险识别就是采取严格计划的步骤, 在妨碍项目成功的因素要成问题之前发现并定它们, 无论多么有效的风险管理手段, 都必须在正确识别出风险因素后才能发挥作用。

风险识别的基本原则有以下方面:1、注重积累的经验。就是充分利用已有的IT项目开发的经验, 提高风险的识别效果。同时不断的积累经验和教训, 使识别能力不断提高。2、杜绝直觉管理。风险直觉管理依靠的是项目管理者的能力和经验, 但是风险往往发生在管理者无法直接控制的下层, 不能很好的处理风险。3、不能遗漏任何重大的风险。风险识别的效果体现在没有遗漏将可能威胁项目的重大事件。

风险识别的方法和途径:

首先基于IT项目的风险分为开发环境类, 系统环境类和管理环境类三类:

1. 开发环境类, 包括:

开发工具因为版权问题无法及时到位使用, 开发工具培训力度不够或者工具本身无法提供相象的有效, 导致开发人员需要额外的时间。功能要求和性能要求无法达到原定计划的要求。

2. 系统环境类, 包括:

计算机硬件远远不能达到开发系统的要求。开发人员对系统软件不熟悉。项目经理不是一个合格项目管理者, 解雇或消减项目开支, 项目组织结构不合理导致开发效率低下, 项目管理和决策人员审查项目和决策项目时间过长, 项目计划因为进度压力和市场急迫需求导致开发陷入混乱、低效的境地。

3. 管理环境类, 包括:

项目需求仅恁市场或者客户口头的说明, 计划的作出是基于对项目本身并不太了解的人员的分析, 产品的规模比估计的要大 (包括代码行数、功能点等) , 实际工作量远远大于估计计量, 长期过度在压力下工作导致生产率严重下降, 涉及了软件开发项目组中不熟悉的领域等。资金和设施发生短缺, 计划进度被延长。

根据以上风险来源, 可以制定相应的计划进度询问表来进行风险识别。例如设计以下问题:1.进度估计方法是否基于以前积累下来的经验?2.进度估计时是否遗漏了如培训时间、技术分析等活动?3.与外界的接口是否完全确定?通过这样的书面调查来达到风险识别的效果。

(三) 风险评估

风险评估是风险数据转化为风险对应信息的过程, 起到风险管理过程中奉行识别和风险控制间的桥梁作用。风险评估的目的是确定每个识别出的风险发生的可能性和造成的影响;风险评估的目的是把识别出的风险进行优先顺序排列, 从而对严重的风险制定有效的应对策略。

定性风险分析法:

定性风险分析法是一种主观分析方法, 它基于项目利益关系者的经验和判断。虽然每个利益关系者都可以对风险做定性分析, 但是为了让结果更加客观有效, 通常通过小组的形式来完成分析。小组流程可以让每个利益关系者听到其他人的不同意见而且可以把项目中存在的威胁、机会、问题或看法进行全面和充分的讨论。为了简单起见, 我们通过图表来进行讨论。

表中的第二列是通过主观分析得出的各个风险发生的概率。在这里你可以看出所有风险发生的概率加起来并不等于百分百, 因为在这些风险并不是相互独立的事件, 也就是说, 在这些风险有可能都不发生, 有可能发生其中的一部分, 也有可能全部发生。如果概率等于零, 表示这个事件基本上完全不可能发生;如果概率等于百分之百, 则意味着这个事件一样要发生。第三列是各风险发生之后可能造成的潜在影响, 这也是一种主观估算。评分从0~10, 0表示对项目没有影响, 10表示对项目有非常严重的影响。

确定了每个风险事件的概率和影响之后, 就可以把概率和影响相乘得到风险分数。虽然这些分数是基于项目利益关系者的主观判断, 但它还是可以告诉我们一些信息, 如果哪些风险需要监控, 哪些风险需要应对。计算出风险分数之后, 就可以把风险按照下表的方式进行排序。

从表中可以看出, 项目中最重的风险是“客户不能定义范围和需求”.对风险进行评分的时候已经考虑利益关系者对风险的容忍度, 因为对风险概率和影响的主观估计已经包含利益关系者的态度。

(四) 风险策略

对风险进行评估的目的, 是为了确定哪些风险威胁需要我们去关注。因为我们不可能对所有的风险都进行应对, 一方面我们没有那么多的资源, 另一方面它会扰乱我们对项目主要工作的注意力。因此, 是否要对某个具体的风险制定应对策略主要依赖于下面几个方面。

1. 接受或者忽视风险。

接受忽视相对而言是比较被动的风险应对措施。采取这钟措施表示项目利益关系者认为这个风险基本上不会发生, 所以在它发生之前, 利益关系者并不对此有过多的忧虑。通常采用这钟策略的风险都是发生概率比较低、造成影响比较小的风险。如果发生的概率比较低, 而造成的影响又比较高, 那么就需要采用主动一点的方法, 如留取一定的储备金, 这部分的储备金有高层管理者负责控制, 并且对它的使用负责批复。这类的储备金通常没有包含在项目的预算之内, 但是它也可能用来作为处理意外事件的缓冲基金。制定应急预案有时候也叫后备方案, 或B类方案。当某个风险事件发生时, 就可以启动该应急方案, 虽然我们认为这钟方案是在万不得已的情况才会使用的, 但是它却非常有用。

2. 避开风险。

这钟策略就是采取各种方法避开风险, 比较积极的方法是采取措施阻止威胁的发生, 或者是降低威胁发生的可能性。

3. 减轻风险。

减轻这个词语的本意是说让它变得少一些。因此, 减轻的策略包括降低风险发生的可能性, 或者降低风险发生之后造成的影响, 或者双管齐下。

4. 转移风险。

转移的策略主要是把风险的责任转移给其他人。通常在项目中使用的方式有:为某个特定的风险购买;把项目中的某一部分工作分包给更具有专业技能的人员或组织等。采取这钟策略管理和应对风险时, 通常需要增加额外的成本。

5. 风险监控。

风险监控也称为风险跟踪, 它由监控风险的状态和改善风险状态的活动两部分组成。IT项目中所有的项目活动都必须处于风险监控之下、考虑到监控的成本只在事件突发时或定期实施监控。

(六) 风险应对和评价

在风险应对计划里我们定义了一些风险触发因素, 在这些因素通常是一些项目绩效指标, 当这些指标的值达到某一界限时, 就表示着某个风险有可能发生。风险的监控系统应该对这些因素进行监控, 同时把风险状况在不同的风险责任人之间进行沟通, 风险的责任人应该非常重视谨慎和仔细地观察这些触发因素的变化。触发因素一旦出现, 项目的风险责任人就应当采取措施。通常来说, 风险应对计划中已经确定了需要采取的措施。另外, 还要有足够的资源来保证应对措施的落实。

采取风险应对措施之后。其效果可能是有利的, 也可能是不利的, 不管如何, 我们都要对风险管理的正个过程 (包括风险规划、准备、识别、分析和评估、应对等) 进行总结, 从中提取经验教训和最佳实践, 并且同组织内其他项目进行分享。这就是风险评价。

三、总结

本文主要从理论和实践方面讨论了IT项目风险管理的体系和方法, 希望提高IT项目管理中对风险的认识。通过建立IT项目开发过程中风险管理机制, 分七个步骤实施风险管理, 更加系统的规避和处理风险事件, 从而提高了IT项目管理效率, 节约了IT项目开发的成本, 使IT项目的成功率得到提高。当然上面所分析和研究的风险管理机制必须在不断积累的实践经验的前提下, 不断提高分析的效率和力度, 更好符合风险管理的科学规律。

摘要:本文针对IT项目中风险管理的方法进行分析和研究, 指出IT项目在项目管理的过程中, 通过风险管理来降低项目管理中的风险系数, 规避项目管理中的风险问题, 达到风险预防和及时正确的处理相关风险的效果, 从而提高IT项目的成功率。

关键词:IT项目,风险管理

参考文献

[1]凯西.施瓦尔贝.IT项目管理北京:机械工业出版社, 2001.

[2]Boehm, B.W., DeMarco, TSoftware Risk Management IEEE Software, 1997.

IT项目风险 篇8

2007年9月24日收到 随着企业间资源争夺日趋激烈,风险管理越来越受到企业的重视,逐步成为现代项目管理不可缺少的环节,目的是为将损失降到最低。IT项目作为高技术的项目,它所面临的风险更加具有不确定性。从一些研究表明,顾客的需求与IT项目过程风险有着密切的联系:(1)从统计数据和研究报告来看,软件项目中的关键风险和需求有关;(2)从IT项目实施过程来看,用户需求主导着项目中资源的分配和产品的生成,所以用户需求决定着软件项目的风险;因此,风险管理方法应该直接反映对用户需求的管理[1,2,3,4,5,6]。因此,如何立足顾客的需求进行IT项目风险管理提供方法支撑成为研究重点。

针对IT项目风险管理方法研究很多,文献[7]对应用软件的需求分析通过采用面向对象的方法及UML工具、领域专家的全程参与、需求分级、二次开发接口等方法可以使需求变更风险处于可控范围内。文献[8]提出了基于用户需求的软件项目风险管理模型,并给出了模型的Bayesian Belief Networks实现方法。文献[9]提出了一体化持续风险管理框架,并且对IT项目的风险决策和控制的定量分析进行了研究。文献[10]提出了基于粗糙集的不完全信息风险决策的一种算法,并通过实例分析,从定量的角度为风险决策提供依据。文献[11]对风险管理提出了理想的风险辨识框架,比较并选定了描述该框架的影响图模型,并给出了规范的风险体系构建步骤和方法。在顾客需求转化方面,质量功能能展开(Quality Function Deployment,简称QFD)是一种有效的方法,将顾客需求转换成对产品具体的质量控制方法,并且也应用于其他一些活动,比如运用QFD将顾客需求转化成产品设计的评价指标[12] ,将QFD思想引入到顾客满意度测评研究中,建立了顾客满意度测评的质量功能展开模型[13]。因此,本文尝试将IT项目风险管理过程与QFD思想相结合,通过质量屋将顾客需求带来的风险转化为可控制的相关要求和方法,以期达到由顾客需求带来的风险进行有效控制提供一种方法。

1 IT项目风险管理

项目风险管理是指通过项目风险识别、风险界定和风险度量等工作去认识项目的风险,并以此为基础,通过合理地使用各种风险应对措施和管理方法,对项目风险实行有效的控制;以及妥善地处理项目风险事件所造成的不利结果,通过对风险管理过程把有益事件的结果最大化,而把不利事件的结果最小化,以最少的成本保证项目总体目标的实现等管理工作。项目风险管理是一项贯穿于项目生命周期中的管理内容,针对不同的生命周期阶段,其管理的重点不同。

信息技术(Information Technologic,简称IT)项目具有目标不明确、用户需求变更频繁、受人力资源影响较大、比其他工程管理更为特殊等特点,其项目生命周期如图1所示[16]。其中,用户需求变更频繁尤为突出,导致项目的整体变更频繁,从而使IT项目更加难以控制,增加了项目风险因素和控制成本。同时,从用户需求在软件项目中的地位来看,由于一切软件产品、软件项目都是为了满足用户需求而存在的,用户需求能够为软件风险管理指明方向;而一般性经验证明,风险管理实施得越早,为风险付出的额外代价就越小。需求管理从软件项目的最早阶段开始,并贯穿于整个项目中,从用户需求出发进行风险管理,可以实现最佳效果[1,2,3,4,5,6]。因此,针对IT项目这一特点,其风险管理应该首先从顾客需求出发,针对风险识别、风险分析、风险应对计划和风险控制几个环节,采取相应的方法来支撑实行风险管理。

2 QFD基本思想

质量功能展开是一种立足于在产品开发过程中最大限度地满足顾客需求的系统化、用户驱动式的质量保证与改进方法[14]。QFD利用质量屋和瀑布式分解模型,将顾客需求分解、配置到产品形成的各个过程,将顾客需求转换成产品开发过程具体的技术要求和质量控制要求,并通过对这些技术和质量控制要求的实现来满足顾客的需求。QFD的关键是将顾客需求分解到产品形成的各个过程,并将顾客需求转换成产品开发过程具体的技术要求和质量控制要求,并提出了几种典型的QFD瀑布式分解模型示意图。这里以其中一种形式进行表示,如图2所示。QFD中每个层级通过一个质量屋(House of Quality, HOQ)来表示,从顾客需求出发到产品的实现,每个质量屋由顾客需求、技术需求、关系矩阵、竞争分析、屋顶和技术评估构成,并通过相关性分析和计算获取数据,在实际应用中视具体要求的不同,质量屋的构成可以略有删减。QFD其优点如表1所示[15]。

3 模型构建

结合风险管理的基本过程和QFD的思想,通过QFD瀑布式分解模型,将IT项目风险管理中顾客需求所带来的风险转化为IT项目生命周期的各个阶段,并将顾客的需求所带来的风险转换成项目过程具体的风险控制要求和方法,建立IT项目风险管理过程关系图,如图3所示。

IT项目注重从顾客的需求出发,通过IT项目风险管理过程关系图进行转化,转化成可控制的因素,下面对IT项目研发过程风险控制关系图的三个过程做详细介绍。

3.1 风险识别与分析过程

风险识别与分析过程是将顾客对软件产品的需求转化为可能的风险因素,找出影响IT项目的关键风险因素。通过质量屋对风险进行识别,并通过计算获取风险因素重要度,完成风险的评估过程。但这个过程应该注意,企业从外部获得顾客的需求是模糊和多样性的,需将顾客的需求进行整理,按照IT产品的性能、可信性、安全性、适应性、经济性和时间性等原则进行分类,最好是将不确定的模糊信息转化为可以用数学公式进行表达,有很多方法的研究可供参考,例如将模糊逻辑分析技术和田口方法运用到对顾客的需求分析中去[15],借助权的最小平方法以及TOPSIS 算法,探讨了从个性需求到产品设计方案的定量转化方法[16],使获得的顾客需求更具可操作性和实际意义。这个过程也是关键,顾客需求分析合理,能保证风险管理过程结果提供准确信息。而顾客评价表达的是IT项目团队站在顾客的角度分析IT项目可能带来的风险因素重要程度,为风险识别与分析提供参考。

风险因素的配置以顾客提出的需求为依据,对于与顾客需求无关,或相关性很小的风险因素,不必都配置到质量屋中去。IT项目常见的风险因素包括产品规模风险、业务影响风险、与客户相关的风险、过程风险、技术风险、开发环境风险、与人员的模式和经验有关的风险[17]。同时,这些因素还可以通过经验进行扩充或删除,并且在风险因素的基础上进行细化,尽可能地罗列出可能出现的、与IT项目相关的风险因素,在此基础上建立风险因素矩阵。而针对风险因素矩阵的结果,如果矩阵中相关性覆盖率不足25%~40%,就需要调整风险因素的设置,以求更好地识别和评估顾客提出的需求所带来的风险。最后根据质量屋的原理,通过对风险因素的重要程度进行计算,得出一组数值,对这组数值进行排序,管理者可以根据自身的需要选择确定由于顾客需求带来的风险因素,完成IT项目的风险识别,同时这组数据也提供了风险评估的结果。

3.2 风险应对计划过程

风险应对计划过程是确定把握机会和应对威胁的过程,找出IT项目生命周期中关键的管理过程,为风险应对计划提供依据。通过质量屋将识别出来的风险因素与IT项目管理过程相结合,建立管理过程矩阵。将可能产生的风险因素与管理过程相对应,融入到具体的管理过程当中去,将风险因素与具体的管理过程形成一一对应,从而为风险应对计划的制定提供依据,使风险应对计划的制定具有针对性,提高资源的利用效率。这里的管理过程主要依据IT项目生命周期进行划分,包括规划过程的管理、软件开发过程的管理、运行维护过程管理、项目后评价管理等四个过程。而这四个管理过程应该具体细分,企业可以根据自身的实际选择具体分类原则。这里提供一种参考,可按照项目管理知识体系中提出的38个过程,配置到每个管理过程当中去。当然,企业应该根据企业对IT项目管理过程实际,对这38个过程进行选择,一般控制在15~20个过程内为宜;否则质量屋将变的复杂和难于计算。同时,建立的管理过程矩阵中相关性覆盖率要到达25%~40%,否则要对这些过程进行调整。最后通过计算得出IT项目管理全过程的关键过程,将风险管理的重点放在这些关键过程,以便合理利用企业资源,进而编制风险应对计划,为进行风险控制提供依据。

3.3 风险控制过程

风险控制过程是应对项目全过程的风险变化、由于顾客需求的变化等因素影响到这个过程。因此,这个过程是动态的。通过质量屋可以将管理活动中的重要活动,或者是关键的活动与可控因素相结合,建立可控因素矩阵。这里的可控因素是指企业为使IT项目管理过程达到目标,而对不同的管理过程,有不同的过程控制要求,也就是说,管理手段、方式和方法。由于企业生产规模、技术力量、设备状况以及其他影响因素不同,其风险控制的方法和体系也就不同。因此,企业应该结合自身实际,充分利用在长期生产中积累的一些有效的方法对风险管理过程进行控制。针对后两个过程,由于主要涉及IT项目具体的管理过程和可控因素,顾客的评价所提供的数据参考价值影响程度低,故在质量屋中一般省去。

通过上述三个过程,将顾客需求所带来的风险经过质量屋转化成具体的风险控制的手段、方式和方法。由于顾客的需求不断的发生变化,因此这一个过程应该是不断循环的,将顾客变化的需求添加到新一轮的顾客需求中去,实现顾客需求到风险控制的转化,顾客需求贯穿于IT项目生命周期,通过周而复始的循环,从而实现对IT项目顾客需求引发的风险进行管理。

4 结束语

本文以IT项目生命周期为基础,借助QFD思想,针对IT项目中顾客需求变化频繁这一特点,通过建立IT项目风险管理过程关系图,把顾客需求转化为项目过程具体的风险控制要求,为IT项目风险管理提供一种方法和思路;其实质是表述了风险识别、风险评估、风险应对计划和风险控制等风险管理的基本过程。但这是一种定性的分析方法,顾客需求转化成质量屋中相应的指标过程十分困难和费时,因此对顾客需求如何能转化成定量的衡量,并且提高质量屋配置的有效性值得进一步研究。

IT项目风险 篇9

为了能够使IT信息系统集成市场实现规范化管理, 并且促进IT信息系统集成企业水平和能力的不断提升, 使集成系统的工程在各应用领域中的质量得以确保, 信息产业部将IT信息系统集成资源管理制度建立了起来, 因此极大地促进了IT系统集成项目市场的不断完善和发展。然而在这个过程中由于各种原因的影响导致我国的IT系统集成项目仍然存在着较多的问题。鉴于此, 本文对风险管理在IT系统集成项目中的应用进行了分析和介绍。

1 在IT项目风险管理中我国IT企业存在的问题

1.1 项目管理意识的缺乏

现在普遍存在着项目管理工作和项目实施不能够真正区分的现象:首先, 如果将专职的项目经理设置出来而负责项目管理工作, 而不从事任何测试、编码、设计、分析等各种具体的技术工作, 这样项目经理就会感觉没事做;其次, 开发骨干在具体的技术工作中投入了主要或者全部的精力, 这样就不会有效地兼顾到项目的风险分析、财务控制、组织调整、专业资源调配、上下沟通、项目计划的制定调整等各种项目管理工作, 从而最终会导致项目控制出现问题。

1.2 不具备精确的项目成本基础

在进度、成本以及规格等方面取得平衡是项目管理的精髓, 现在我国很多的系统集成企业并没有将专业工程师的运用控制体制以及成本结构建立起来, 因此很难有效的考核和控制项目成本指标, 并且导致项目经理与公司之间存在着责任不清的情况[1]。

1.3 不到位的项目管理制度

我国现在普遍存在的一些问题主要包括:首先一些项目并不具备项目管理制度, 往往在项目管理中仅仅依赖于个人的经验;其次一些项目制度往往具有纸上谈兵以及照搬教条的弊端, 这样就会导致具体的项目管理并没有起到任何的效果, 而且项目监管层也无法真正地监控和支持项目。

1.4 淡泊的项目风险意识

失败意识就是所谓的项目风险意识, 由于我国存在着市场成熟度不足以及竞争异常激烈的情况, 这样在对项目应用进行开发的时候可能会出现恶性竞争的现象。客户具有压低项目价格以及增加需求的要求, 而厂商由于害怕出局在忽视科学的可行性评估和分析的情况下将一系列的保证做出, 并且对一些不可能完成的服务合同进行签订, 这样就会导致出现各种各样的问题。

2 在IT系统集成项目中风险管理的具体应用

2.1 企业必须要将风险项目管理的组织结构建立起来

这里所谓的风险项目管理组织结构主要指的是项目管理机制, 企业通过项目管理机制能够对风险进行很好的识别和分析, 并且最终将这些风险处理好。如果企业还没有实施项目管理机制就需要积极的调整组织结构形式, 并且将风险管理的作用在新的组织结构当中突出出来, 同时也要有专门的人员和部门负责这一复杂的工作。将风险部门的重要性以及风险管理的重要性在组织结构突出出来, 能够使风险管理员以及风险经理的作用充分发挥出来, 利用他们的工作对企业或者项目的风险进行有效的控制[2]。

2.2 将企业项目风险管理系统建立起来

作为项目管理的一部分内容, 企业的项目风险管理必须要保证能够有效地协调企业项目的其他管理程序, 同时还要保证与企业的总体目标相一致, 只有这样才能够将项目风险管理体系的整体架构形成。同时, 还应该包括企业的IT项目风险管理规范和流程以及IT项目风险管理的方法。

2.3 对项目生命周期各阶段的风险进行全面的考虑

各个项目周期阶段出现的风险会对项目产生不同的影响。在对风险管理计划进行编制的时候, 企业必须要立足每一个阶段的典型风险实施全面的考虑, 同时还要对类似项目的风险管理经验以及项目风险管理计划模板进行充分的利用, 从而能够对风险管理计划进行逐步的细化。在这个过程中企业必须要注意到包括一些风险与风险管理中的一些过程并不具备一致性的特征, 如果一旦出现新的项目异常和风险, 就需要及时的体现在风险管理计划中。

2.4 将风险管理人员和组织的责任明确下来

IT系统集成项目企业在对风险管理计划进行制定的时候必须要将风险管理人员和组织的责任明确下来, 也就是要对风险管理人员的职责定位及角色分配进行明确的规定。要将专门的风险管理人员配备给风险管理工作, 而不应该让项目经理对风险管理工作复杂化, 这是由于企业的风险管理人员往往是与项目“唱反调”的人, 这样就能够将风险管理人员对可能造成项目无法正常进行的因素进行识别、评估和跟踪的作用充分的发挥出来。

2.5 建立具有一定灵活性的风险管理计划

企业就算做到了最全面的考虑, 也不可能将所有的风险预料到, 所以在对风险管理计划及其编制的时候必须要保证预留一定的余地, 这样才能够将新风险充分地容纳进去。因此企业在风险管理人员、资金以及时间上必须要具备一定的灵活性, 同时还要保证风险管理计划变更的有效性和及时性, 只有这样才能够使风险管理计划的作用能够充分的发挥出来。

3 结语

在我国信息产业不断发展的今天, 我国的信息产业在各个方面都取得了明显的进步, 然而在具体的操作过程中还存在着很多不够标准的情况, 这样就能够将风险管理在IT集成项目中的重要性体现出来。IT系统集成项目必须要对风险管理进行充分的利用, 从而有效地规避风险, 促进自身竞争力地不断提升。

参考文献

[1]赵党乾.网络系统集成的质量控制[J].中国科技信息, 2010 (22) :77+79.

工程项目与IT项目的成本管理 篇10

项目成本管理是在保证满足工程质量、工期等合同要求的前提下,对项目实施过程中所发生的费用,通过计划、组织、控制和协调等活动实现预定的成本目标,并尽可能地降低成本费用的一种科学的管理活动,它主要通过技术(如施工方案的制定比选)、经济(如核算)和管理(如施工组织管理、各项规章制度等)活动达到预定目标,实现盈利的目的。

成本控制在不同的项目管理中有着不同的体现。对于一般的工程项目管理和近年兴起的IT项目管理,其成本管理角度、难点及内容可以说完全不同。笔者下面就以工程项目管理和软件开发项目管理为例子,谈谈成本管理的不同表现。

在工程项目管理过程中,成本是项目施工过程中各种耗费的总和。成本管理的内容很广泛,贯穿于项目管理活动的全过程和每个方面,从项目中标签约开始到施工准备、现场施工、直至竣工验收,每个环节都离不开成本管理工作,就成本管理的完整工作过程来说,其内容一般包括:成本预测、成本控制、成本核算、成本分析和成本考核等。虽然工程项目的投入涉及非常多的物质条件以及人力,但其中的很多因素都是便于量化和计算,而KT程项目管理有很长时间的项目经验积累可以参考,所以成本控制可以从下面工作项目的成本预测、成本控制、降低成本的有效途径三方面引以阐述。

1、搞好成本预测、确定成本控制目标

成本预测是成本计划的基础,为编制科学、合理的成本控制目标提供依据。因此,成本预测对提高成本计划的科学性、降低成本和提高经济效益,具有重要的作用。加强成本控制,首先要抓成本预测。成本预测的内容主要是使用科学的方法,结合中标价根据各项目的施工条件、机械设备、人员素质等对项目的成本目标进行预测。

1.1工、料、费用预测

1)首先分析工程项目采用的人工费单价,再分析工人的工资水平及社会劳务的市场行情,根据工期及准备投入的人员数量分析该项工程合同价中人工费是否包住。

2)材料费占建安费的比重极大,应作为重点予以准确把握,分别对主材、地材、辅材、其它材料费进行逐项分析,重新核定材料的供应地点、购买价、运输方式及装卸费,分析定额中规定的材料规格与实际采用的材料规格的不同,对比实际采用配合比的水泥用量与定额用量的差异,汇总分析预算中的其它材料费,在混凝土实际操作中要掺一定量的外加剂等。

3)机械使用费:投标施组中的机械设备的型号,数量一般是采用定额中的施工方法套算出来的,与工地实际施工有一定差异,工作效率也有不同,因此要测算实际将要发生的机使费。同时,还得计算可能发生的机械租赁费及需新购置的机械设备费的摊销费,对主要机械重新核定台班产量定额。

1.2施工方案引起费用变化的预测

工程项目中标后,必须结合施工现场的实际情况制定技术上先进可行和经济合理的实施性施工组织设计,结合项目所在地的经济、自然地理条件、施工工艺、设备选择、工期安排的实际情况,比较实施性施组所采用的施工方法与标书编制时的不同,或与定额中施工方法的不同,以据实作出正确的预测。

1.3辅助工程费的预测

辅助工程量是指工程量清单或设计图纸中没有给定,而又是施工中不可缺少的,例如混凝土拌合站、隧道施工中的三管两线,高压进洞等,也需根据实施性施组作好具体实际的预测。

1.4大型临时设施费的预测

大型临时工作费的预测应详细地调查,充分地比选论证,从而确定合理的目标值。

1.5小型临时设施费、工地转移费的预测

小型临时设施费内容包括:临时设施的搭设,需根据工期的长短和拟投入的人员、设备的多少来确定临时设施的规模和标准,按实际发生并参考以往工程施工中包干控制的历史数据确定目标值。工地转移费应根据转移距离的远近和拟转移人员,设备的多少核定预测目标值。

1.6成本失控的风险预测

项目成本目标的风险分析,就是对在本项目中实施可能影响目标实现的因素进行事前分析,通常可以从以下几方面来进行分析:

1)对工程项目技术特征的认识,如结构特征,地质特征等。

2)对业主单位有关情况的分析,包括业主单位的信用、资金到位情况、组织协调能力等。

3)对项目组织系统内部的分析,包括施组设计、资源配备、队伍素质等方面。

4)对项目所在地的交通、能源、电力的分析。

5)对气候的分析。

总之,通过对上述几种主要费用的预测,即可确定工、料、机及间接费的控制标准,也可确定必须在多长工期内完成该项目,才能完成管理费的目标控制。所以说,成本预测是成本控制的基础。

2、围绕成本目标,确立成本控制原则施工项目成本控制就是在实施过程中对资源的投入。施工过程及成果进行监督,检查和衡量,并采取措施确保项目成本目标的实现

成本控制的对象是工程项目,其主体则是人的管理活动,目的是合理使用人力、物力、财力,降低成本,增加效益。为此,成本控制的一般原则有:

2.1节约原则

节约就是项目施工用人力、物力和财力的节省,是成本控制的基本原则。节约绝对不是消极的限制与监督,而是要积极创造条件,要着眼于成本的事前监督、过程控制,在实施过程中经常检查是否出偏差,以优化施工方案,从提高项目的科学管理水平人手来达到节约。

2.2全面控制原则

全面控制原则包括两个涵义,即全员控制和全过程控制。

1)项目全员控制

成本控制涉及到项目组织中的所有部门、班组和员工的工作,并与每一个员工的切身利益有关,因此应充分调动每个部门、班组和每一个员工控制成本、关心成本的积极性,真正树立起全员控制的观念,如果认为成本控制仅是负责预、结算及财务方面的事,就片面了。

2)项目全过程成本控制

项目成本的发生涉及到项目的整个周期,项目成本形成的全过程,从施工准备开始,经施工过程至竣工移交后的保修期结束。因此,成本控制工作要伴随项目施工的每一阶段,如在施工准备阶段制定最佳的施工方案,按照设计要求和施工规范施工,充分利用现有的资源,减少施工成本支出,并确保工程质量,减少工程返工费和工程移交后的保修费用。工程验收移交

阶段,要及时追加合同价款办理工程结算,使工程成本自始至终处于有效控制之下。

3)目标控制原则

目标管理是管理活动的基本技术和方法。它是把计划的方针、任务、目标和措施等加以逐一分解落实。在实施目标管理的过程中,目标的设定应切实可行,越具体越好,要落实到部门、班组甚至个人;目标的责任要全面,既要有工作责任,更要有成本责任;做到责、权、利相结合,对责任部门(人)的业绩进行检查和考评,并同其工资、奖金挂钩,做到奖罚分明。

4)动态控制原则

成本控制是在不断变化的环境下进行的管理活动,所以必须坚持动态控制的原则,所谓动态控制就是将工、料、机投入到施工过程中,收集成本发生的实际值,将其与目标值相比较,检查有无偏离,若无偏差,则继续进行,否则要找出具体原因,采取相应措施。实施成本控制过程应遵循“例外”管理方法,所谓“例外”是指在工程项目建设活动中那些不经常出现的问题,但关键性问题对成本目标的顺利完成影响重大,也必须予以高度重视。

3、降低项目成本的方法有多种。概括起来可以从组织、技术、经济、合同管理等几个方面采取措施控制

3.1采取组织措施控制工程成本

首先要明确项目经理部的机构设置与人员配备,明确处、项目经理部、公司或施工队之间职权关系的划分。项目经理部是作业管理班子,是企业法人指定项目经理做他的代表人管理项目的工作班子,项目建成后即行解体,所以他不是一经济实体,应对处整体利益负责任,同理应协调好公司与公司之间的责、权、利的关系。

其次要明确成本控制者及任务,从而使成本控制有人负责,避免成本大了,费用超了,项目亏了责任却不明的问题。

3.2采取技术措施控制工程成本

采取技术措施是在施工阶段充分发挥技术人员的主观能动性,对标书中主要技术方案作必要的技术经济论证,以寻求较为经济可靠的方案,从而降低工程成本,包括采用新材料、新技术、新工艺节约能耗,提高机械化操作等。

3.3采取经济措施控制工程成本

采取经济措施管制工程成本包括:

1)人工费控制:人工费占全部工程费用的比例较大,一般都在10%左右,所以要严格控制人工费。要从用工数量控制,有针对性地减少或缩短某些工序的工日消耗量,从而达降低工日消耗,控制工程成本的目的。

2)材料费的控制:材料费一般占全部工程费的65%-75%,直接影响工程成本和经济效益。一般作法是要按量、价分离的原则,主要做好两个方面的工作。

一是对材料用量的控制:首先是坚持按定额确定材料消耗量,实行限额领料制度:其次是改进施工技术,推广使用降低料耗的各种新技术、新工艺、新材料。再就是对工程进行功能分析,对材料进行性能分析,力求用低价材料代替高价材料,加强周转料管理,延长周转次数等。

二是对材料价格进行控制:主要是由采购部门在采购中加以控制。首先对市场行情进行调查,在保质保量前提下,货比三家,择优购料:其次是合理组织运输,就近购料,选用最经济的运输方式,以降低运输成本:再就是要考虑奖金的时间价值,减少资金占用,合理确定进货批量与批次,尽可能降低材料储备。

3)机械费的控制:尽理减少施工中所消耗的机械台班量,通过全理施工组织、机械调配,提高机械设备的利用率和完好率,同时,加强现场设备的维修、保养工作,降低大修、经常性修理等各项费用的开支,避免不正当使用造成机械设备的闲置,加强租赁设备计划的管理,充分利用社会闲置机械资源,从不同角度降低机械台班价格。从经济的角度管制工程成本还包括对参与成本控制的部门和个人给予奖励的措施。

3.4加强质量管理,控制返工率

在施工过程中,要严把工程质量关,始终贯彻我局“至精、至诚、更优、更新”的质量方针,各级质量自检人员定点、定岗、定责、加强施工工序的质量自检和管理工作真正贯彻到整个过程中,采取防范措施,消除质理通病,做到工程一次成型,一次合格,杜绝返工现象的发生,避免造成因不必要的人、财、物等大量的投入而加大工程成本。

3.5加强合同管理,控制工程成本

合同管理是施工企业管理的重要内容,也是降低工程成本,提高经济效益的有效途径。项目施工合同管理的时间范围应从合同谈判开始,至保修日结束止,尤其加强施工过程中的合同管理,抓好合同管理的攻与守,攻意味着在合同执行期间密切注意我方履行合同的进展效果,以防止被对方索赔。合同管理者的任务是非曲直天天念合同经,在字里行间攻的机会与守的措施。总之,成本预测为成本确立行为目标,成本控制才有针对性:不进行成本控制,成本预测也就失去了存在的意义,也就无从谈成本管理了,两者相辅相成,所以,应从理论上深入研究,实践上全面展开,扎实有效地把这些工作开展好。

软件项目成本管理就是根据企业的情况和项目的具体要求,利用公司既定的资源,在保证项目的进度、质量达到客户满意的情况下,对软件项目成本进行有效的组织、实施、控制、跟踪、分析和考核等一系列管理活动,最大限度地降低项目成本,提高项目利润。

软件开发项目的投入主要是人力资源,很难量化,而且IT项目管理出现的时间较短,没有丰富的项目管理经验可借鉴,其管理的过程较之工程项目更加不可预测,其成本控制也更难,且与工程项目有着完全不同的切入点。

4、项目成本管理的过程和存在的主要问题

4.1软件开发项目成本管理的过程包括:

1)资源计划,包括决定为实施项目活动需要使用什么资源(人员、设备和物资)以及每种资源的用量。其主要输出是一个资源需求清单。

2)成本估算,包括估计完成项目所需资源成本的近似值。其主要输出是成本管理计划。

3)成本预算,包括将整个成本估算配置到各单项工作,以建立一个衡量绩效的基准计划。其主要输出是成本基准计划。

4)成本控制,包括控制项目预算的变化。其主要输出修正的成本估算、更新预算、纠正行动和取得的教训。

4.2软件开发成本管理过程中的主要问题:

1)项目成本预算和估算的准确度差。

由于客户的需求不断变化,使得工作内容和工作量不断变化。一旦发生变化,项目经理就追加项目预算,预算频频变更,等到项目结束时,实际成本和初始计划偏离很大。

此外,项目预算往往会走两个极端:过粗和过细。预算过粗会使项目费用的随意性较大,准确度降低,预算过细会使项目控制的内容过多,弹性差,变化不灵活,管理成本加大。

2)缺乏对软件成本事先估计的有效控制。

在开发初期,对成本不够关心,忽略对成本的控制,只有在项目进行到后期,实际远离计划出现偏差的时候,才进行成本控制,这样往往导致项目超出预算。

3)缺乏成本绩效的分析和跟踪。

传统的项目成本管理中,将预算和实际进行数值对比,但很少有将预算、实际成本和工作量进度联系起来,考虑实际成本和工作量是否匹配的问题。

5、鉴于软件开发项目的特殊性,其项目成本管理的切入点也完全不同

目前常用的软件项目管理工具都侧重于某一方面的功能,如微软的Project2000侧重管理、规划任务,并在项目执行过程中跟踪这些任务,偏向于进度安排z与跟踪控制;RUP侧重于用户需求的描述,PVCS侧重于软件变更管理。这些软件项目管理工具都在不断的完善其功能,虽然也有成本管理的功能,但总的来说大多数都不能用来进行软件成本估计,缺乏事先成本控制,不能和估计数据自动化协调,不能自动化地利用历史数据库中的数据。当前的项目管理工具并不能满足成本管理的需要。

要解决了成本估算准确度差的问题,工作量和实际成本匹配的方法进行成本的绩效分析和跟踪使得项目成本能够控制在预算范围之内。软件项目的成本管理可以从成本管理系统的设计角度寻求解决。

5.1系统总体设计

虽然目前已有不少项目管理软件,但一般只是管理软件进度和跟踪监督,和软件估算是项目独立的,而且目前还没有成型的软件项目成本管理软件。鉴于软件开发过程中的特殊性,应该以进度、人员、成本、变更为中心,综合设计软件成本管理的具体实施方案,并以此为基础对系统的功能进行分析和设计。

5.2系统功能设计

1)成本估算是项目成本管理的一个非常重要的部分,精确的软件成本估算是进行有效的软件管理的一个必不可少的组成部分。常用的软件估算方法有:算法模型法、专家判定法、类比估算法等,这些方法各有优缺点。

2)预算变更管理可以记录每一次资源和成本的变化,保持完整的有注释的历史记录。

3)成本基准计划是成本控制的标准。即使最好的项目经理采用最优的成本估算方法,也不可能使预算和实际成本完全一致。因此,项目成本估算应该预留总成本的5%-10%作为不可预见的成本,用于应急项目成本,在成本估算和预算之上。成本控制的基准是项目管理人员根据项目的具体情况确定允许的偏差范围。在一个项目的进行中,成本基准计划并非一成不变的,而是随着用户的需求变化,项目的变更请求基准计划可能会得到不断的校正。

4)进度计划分为控制计划和执行计划,允许用户实时查询进度计划以及实际进度状态。成本估算通常与工作量联系起来考虑,成本的跟踪控制过程也是进度计划的执行与调整的过程。

5)成本控制是根据成本基准计划来控制项目预算的变化,成本控制过程的主要输出是修正的成本估算、更新预算、纠正行动、完工估算和取得的教训。成本绩效分析和跟踪将预算和实际进行数值对比,将预算成本、实际成本和工作量进度联系起来,考虑实际成本和工作量是否匹配。系统解决实际成本和工作量匹配的方案。如果实际成本和实际进度不匹配则重新调整计划,采取必要的措施防止项目成本失去控制。

6)过程数据库存放项目的成本管理过程的历史数据,它由已完成项目的数据构成。这些数据可用于成本估算,成本计划,绩效分析等方面。它除了为进行新的项目成本计划提供依据,也可以为进行中的项目提供实时的过程数据。在项目初始基准计划制定时期,以过去类似项目的历史过程度量数据为经验,制定基准计划,执行计划。将本次项目开发执行过程的过程度量数据存入数据库,作为下一次开发计划制定的经验数据。这样,计划的制定越来越接近实际。

IT风险及控制测评研究 篇11

内部控制评价是企业对自身制度的一种审视, 最初的内部控制评价是为了满足外部审计的需要, 其目标是通过审查和评价企业的内部控制, 进一步确定审计测试范围和抽查数量。后来, 随着企业内部控制制度在企业内部逐渐形成, 在制度基础模式下, 内部控制评价作为审计程序的一部分, 其目标主要是为审计服务, 确定审计范围, 提高审计质量和审计效率。到了20世纪中后期, 由于环境的变化、不确定性的增加、竞争更加激烈等因素, 导致企业面临的经营风险越来越大, 审计人员面临的风险也越来越大。在这样的背景下产生了风险导向审计, 此时内部控制评价的重点在于对控制风险的评价, 其目标主要是控制审计风险。

随着信息技术 (Information Technology, IT) 在企业的广泛应用, 企业的经营活动、各种数据传递以及财务报告的产生越来越多地依赖IT系统的自动化处理。自动化过程在给企业带来效率的同时, 也导致了需要有专门的内部控制措施才能加以控制的新的风险。为保障企业经营目标的实现, 如何识别IT风险, 如何对IT控制进行评价亟待研究, 以确保企业数据以及生成这些数据的信息系统的真实性和有效性。

本文通过分析信息系统业务流程, 识别IT系统业务流程层面的风险及控制, 提出基于IT系统产生数据的IT风险及控制测评指标, 为信息系统内部控制审计提供依据。

2 研究依据

《企业内部控制基本规范》第四十一条明确指出:“企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制, 保证信息系统安全稳定运行”。在《企业内部控制评价指引》中, 强调“应用信息系统加强内部控制的企业, 应当对信息系统的有效性进行评价, 包括信息系统一般控制评价和信息系统应用控制评价”。根据《内部审计具体准则第28号——信息系统审计》第四章信息技术风险评估第十三条:“进行信息系统审计时, 审计人员应当识别组织所面临的与信息技术相关的内、外部风险, 并采用适当的风险评估技术与方法, 分析及评价其发生的可能性及影响程度, 为确定审计目标、范围和方法提供依据”。美国《萨班斯—奥克斯莱法》 (SOX法案) 的404条款要求, 上市公司内部审计师应帮助管理层对公司IT应用控制和IT一般性控制进行评估并出具报告。

3 IT风险及控制流程

IT风险及控制通常是指应用系统中程序化的控制和影响相关程序或数据完整性的风险及控制, 这些风险及控制会最终影响到财务报表的认定。

在识别IT风险及控制时, 第一步是理解公司的IT组织及结构, 包括IT管理及组织和应用系统的技术管理策略等, 例如整体的安全管理政策、应用系统的变更控制环境、数据管理和灾难恢复流程, 以及数据中心操作和问题管理领域等;第二步是对公司层面的IT控制进行评估, 例如IT操作及应用系统管理的授权及责任, 统一的政策及程序, 管理层和流程负责人所使用的风险评估程序, 有关预防、制止及发现欺诈的控制, 监督和分析操作或运行结果的步骤等;第三步是对IT流程层面的控制与评估。本文重点分析IT流程层面的风险及控制。

4 IT流程层面的风险及控制分析

企业在信息化过程中涉及IT规划、实施、运行、维护等一系列IT流程, 如果没有制度化与标准化的约束, 如果缺乏部门之间及流程之间的沟通与协调, 任何操作失误、安全漏洞或者项目隐患都有可能产生严重的后果, IT风险已经渗透到企业的各个流程层面。IT流程包括一般的IT业务流程、数据流程等。

4.1 一般的IT业务流程层面风险及控制

业务流程包括系统开发、系统和数据访问、系统运行/计算机操作、系统变更、终端用户计算等, 存在以下风险及控制:

●信息系统开发与使用违反国家法律法规, 可能遭受外部处罚、经济损失和信誉损失。

●信息系统开发与使用未经适当审核或超越授权审批, 可能因重大差错、舞弊、欺诈而导致损失。

●信息系统设计功能不科学, 技术方案不合理, 导致应用系统不能满足生产经营管理业务需求, 可能导致组织经营效率与效果低下。

●信息系统外包服务未恰当履行或监控不当, 可能导致企业权益受损或违约损失。

●信息系统访问安全措施不当, 可能导致商业秘密泄露。

●系统登录访问机制不健全、用户权限管理不规范等, 导致对系统的非法或非授权访问。

●密码设置强度不够, 造成系统泄密或受到非法访问。

●系统问题处理不及时、不规范, 不能保证系统问题得到及时有效解决。

●信息系统硬件管理不当, 可能导致企业资产或股东权益受损。

●系统变更管理不规范, 未经审批、测试, 导致应用系统运行和维护无法正常进行。

●维护不规范, 系统运行缺乏有效监控及维护管理, 影响系统安全稳定运行。

●备份策略和备份方案不完善, 导致系统数据丢失和数据、系统无法恢复。

●未经审核, 在财务报表生成过程中擅自使用终端用户计算, 导致损失。

●终端用户计算说明文档不完整或未填写, 备份管理不完善, 导致使用有误。

4.2 IT数据流程层面风险及控制

信息系统数据流程包括数据输入、数据处理和数据输出。存在以下风险及控制:

●输入数据有错或者重复输入, 导致系统的处理结果出错。

●进行数据处理操作的人没有被授权, 或者处理的业务没有受时序控制, 或者对处理的结果没有进行合理性的检验等, 会影响系统产生数据的正确性和完整性。

●未经授权的人对数据进行修改与接触。

●采集数据的接口不规范, 采集的数据类型不匹配, 数据的范围不能满足预先设定的范围等。

5 IT风险及控制评价指标

根据内部控制在信息系统中的作用与范围不同, 通常把信息系统的控制分为一般控制和应用控制。

一般控制普遍适用于所有的应用系统, 一般控制评价着重考虑与信息系统有关的系统开发、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求, 是否有利于企业内部控制目标的实现, 并以此评价信息系统的安全性、可靠性和合理性。应用控制是对信息系统的某一具体处理过程所实施的控制, 它随着所处理业务的不同而不同, 一般按照信息系统的处理环节分为输入控制、处理控制和输出控制。

5.1 一般控制评价指标

评价内容主要包括:组织和管理控制、对程序和和数据的访问控制、程序变更管理、程序开发和系统运行等几个方面。

5.1.1 组织和管理控制

是否具有合理的岗位和职责划分。信息系统部门职责及岗位职责是否明确, 不相容的职务是否分离。

是否具备满足控制要求的组织管理流程控制。管理层的分工、授权范围是否明确, 信息系统归口管理部门和用户部门之间是否建立职责分工表, 管理层是否明确系统管理部门和用户部门在保证系统正常安全运行过程中各自承担的职责。

对信息技术人员的取得、培养和辞退是否建立必要的控制。信息系统人员招聘程序是否规范, 是否定期对员工进行培训, 辞退员工是否具有控制流程, 例如搞清其辞职的原因, 废除被辞人员的身份识别码和口令, 必要时需要让被辞人员在信息保密方面做出承诺。

5.1.2 系统访问控制

系统是否具有身份识别控制:访问应用系统是否需要用户名和密码进行登录认证。用户名、权限管理:用户名的添加、修改和删除是否由管理层授权后才能进行, 新增或变更用户权限是否由权限申请人申请, 经相关部门负责人审批后, 由应用管理员在系统中新增或变更用户权限。

不相容的岗位分离:系统管理员、应用管理员、安全管理员是否实行不相容的职责分工。

5.1.3 系统的开发、变更和维护控制

授权与审批:系统的开发和变更是否经管理层授权和相关部门负责人审批。

系统测试:新系统或变更的应用程序移植到生产系统前, 相关部门是否进行系统测试。

文档及版本管理:是否对信息系统的开发文档或变更文档进行妥善保存, 系统开发或变更的版本号是否进行记录。

数据迁移控制:新旧系统切换时, 是否对迁移结果进行测试、报告并确认。

系统维护控制:应用管理员是否按规定对系统进行安装、升级或安装补丁。

5.1.4 系统运行控制

系统运行安全控制:系统的供电系统是否符合要求, 系统运行场所是否具备防火报警系统、防雷电系统、防电磁干扰系统等, 系统是否部署防火墙设备或安装杀毒软件。

系统硬件软件控制:计算机硬件包括通信网络设备的运转情况及故障情况是否都有记录, 计算机软件包括数据库、操作系统、应用软件等是否具有访问控制。

系统备份与恢复控制:应用管理员是否定期对系统和数据进行备份, 备份介质是否和生产服务器异地存放, 并由专人管理, 访问备份介质是否授权并记录, 系统管理员是否定期对备份数据的可读性进行测试, 并对备份数据进行恢复性测试。

故障处理:对系统运行出现的故障是否具有故障处理流程和管理办法。

系统应急预案:是否制订系统应急预案, 并定期对业务人员、系统管理员、应用管理员进行系统应急预案的培训。

5.2 应用控制评价指标

应用控制评价可以结合企业业务流程特点, 着重考虑信息系统中与业务流程相关的控制点, 并以此评价相关应用系统操作数据的真实性、准确性和合规性。

应用系统控制分为输入控制、处理控制、输出控制。

输入控制包括原始单证审核控制、输入数据正确性控制、输入数据完整性控制、输入数据纠错控制。

处理控制包括处理权限控制、业务时序控制、合理性检查控制、参照检查控制、审计踪迹控制、备份和恢复控制。

输出控制包括输出权限控制、输出数据正确性控制、输出数据审核控制、输出资料分发控制、输出差错更正控制。

然后根据控制的类型分级, 分别设置一级指标、二级指标和三级指标, 并且分别设置权重和关注点, 然后进行计分、评估。系统一般控制和应用控制测评指标及权重设计如表1所示。

6 IT控制测评

6.1 IT控制测评方法

(1) 审查式测评方法。对制度规范、岗位职责、操作日志、日志审计、系统运行监控服务和控制设计 (如身份认证、权限控制) 等进行审查和评价。

(2) 测试式测评方法。对信息系统数据输入、数据处理、数据输出、数据迁移、数据备份恢复在保障系统安全情况下组织模拟测评, 对数据采集的真实性、完整性组织测评。

(3) 访谈式测评方法。对信息系统的重要使用部门和岗位人员、上级主管部门, 如财务、营销、供应和上级关联系统报表统计等组织访谈测评。

(4) 问卷式测评方法。对企业用户和利益相关方组织问卷测评, 如对银行存款储蓄的法人和自然人的存款结转、计息, 汽车加油站的加油计量和计价, 电信的电话计量和计价, 公路收费等组织问卷测评。

(5) 数据审计结合式测评方法。系统内控测评和电子数据审计相结合的测评方法, 可以利用数据审计发现的疑点对系统内控组织测评。

6.2 IT控制评价

在每项指标测评完成后, 每项测评指标都有一个分值, 然后使用矩阵分析法分别计算二级指标和一级指标的得分, 也可以运用层次分析法和模糊综合评价的方法, 评价IT内部控制整体情况。

7 结束语

随着信息系统的广泛应用, 企业的业务和信息技术日益融合, IT风险及控制成为信息化管理下企业内部控制的核心。如何识别IT风险及控制, 如何对IT控制做出评价, 将是信息化环境下的IT审计的重要内容。本文只是对IT流程层面的风险及控制的内容进行了分析与设计, 针对不同类型IT系统的计量与评价方法还有待于进步研究。

参考文献

[1]杨雄胜.内部控制评价——理论.实务.案例[M].大连:大连出版社, 2009.

[2][美]James A Hall.信息系统审计与鉴证[M].李丹, 译.北京:中信出版社, 2003.

上一篇:电影推荐下一篇:创设生活化教学情境