IT项目风险管理研究与实践

摘要：伴随着社会经济的快速发展，信息技术（Information Technology）成为了企业降低成本、提升效能的重要手段，信息技术的实现往往伴随着一个个IT项目的实施。与传统工程项目相比，IT项目有着更多的不确定因素，因此在项目管理中，实施针对性的风险管理将会变得越来越重要，本文通过对IT项目风险管理过程的梳理，并在数据系统开发项目中开展相关实践，说明风险管理在项目实施过程中的必要性以及可以使用的工具方法。

关键词：信息技术;IT项目;项目风险管理

中图分类号：TP38 文献标识码：A

引言：

IT项目通常定义成为，在给定的资源情况下，完成指定IT系统或功能，达成业务目标的活动，有着临时性、独特性、实施渐进性等特征。IT项目风险管理的主要目的，是希望通过标准化的流程、科学的方法、务实的管理理念，减少项目所面临的不确定因素，或者是当风险因素发生时，能通过有效的手段降低对项目所造成的负面影响，提高项目的成功率。

第1章 IT项目风险管理理论研究

1.1 风险管理研究现状

国外对于IT项目风险管理的研究起步比较早，已经取得了不少风险管理方面的成果。人们一般认为最早是由Boehm在上20世纪90年代左右提出的，在他的著作《软件风险管理》中提出了在IT项目中，风险管理的本质和目标，确定了风险管理在IT项目应用中的理论基础[1] 。后续有学者通过数据的方式，例如蒙特卡罗模拟进行项目风险的评估[2]。在专业机构方面，卡内基梅隆大学的研究所，创建了连续风险管理模型来开展IT项目的风险管理[3]，随后又提出使用软件成熟度和成熟度等级的方式来评价大型IT项目实施者的能力[4]。

相比于国外关于，国内相关研究开始的比较晚。在整体管控过程方面，袁智伟认为风险管理的过程应该涵盖识别风险因素、风险预测、项目风险处理和风险监控[5]。其他国内学者尝试通过金融行业中的实物期权思想[6]、模糊数学理论、博弈论以及网络层次分析方法来建立风险评价模型[7]，优化风险管理手段。

总的来看，国外学者研究的时间较长，已经形成了比较成熟的理论方法，这些方法论给予国内的研究有着很大的帮助，为了更加匹配我国的经济发展阶段、基础设施配套、人员素质等基本因素，国内专家们还是需要寻找并实践出符合自身情况的理论及指导意见。

1.2 IT项目风险管理分类

从日常的IT项目实施过程来看，面临的风险主要有管理风险、需求风险、技术风险、人员风险这几大类。

第一，管理风险。IT项目工程与传统工程相比，本身更为复杂，从项目整体的启动、规划、执行、监控以及收尾过程组，这些阶段的成败都与实施方的项目管理技能和经验是否丰富密切相关。如果项目的管理者缺少任务所必需的相应能力，则无法达到管理整个项目的要求，给予实施过程带来巨大的困扰。

第二，需求风险。由于IT项目的特殊性，用户往往需要通过信息化、数字化的手段去实现业务目标，而在这个过程中，如何将业务目标转换成定量、明确、标准化的内容则是一项巨大的挑战。

第三，技术风险。IT项目有着智力密集型、专业技术要求高的特点，对于项目组的技术知识的储备、相关专业技能的熟练程度以及项目具体的实践经验都有着比较高的需求。如果相关知识技能匮乏，那么在实际的项目过程中将会产生较高的试错成本，对于进度和成本管控带来比较大的压力，并且无法保障项目的质量。

第四，人员风险。IT项目需要靠拥有着专业计算机知识、掌握熟练专业技能的人员去落地实施，因此需要实施方有着比较丰富的工程落地经验，并且有着积极主动、认真负责的工作态度，这样才能保证整体项目的工作效率，保障项目的进度和质量。

1.3 IT项目风险管理过程

在各种风险管理模型中，适用范围最广以及最常被人们使用的模型，是连续风险管理模型CRM（Continuous Risk Management），专家们将风險管理所涉及的方面，分为四个主要阶段：风险识别，风险评估，风险应对以及风险监视[8]。

1.3.1 风险识别

风险识别过程，主要是通过各种工具和技术，对项目中潜在的问题和不确定因素进行识别，并进行归纳、分类等操作最终提炼出项目的风险因素。风险识别过程是后续风险管理过程的输入，完善全面的风险识别结果是好的风险管理的基础。

1.3.2 风险评估

风险评价就是使用各种定量或定性的方法，对风险识别过程所得到的风险清单进行分析和评价，确认各风险因素发生的可能性和对项目可能产生的影响，并通过形成可量化的指标，对各风险因素进行排序。

1.3.3 风险应对

风险应对过程是基于风险识别和评估的成果，为各个风险因素制定针对性的应对策略，通过准备的风险应对措施，对风险因素进行预防、减轻和转移，降低风险因素对项目产生的不利影响。

1.3.4 风险监控

风险监控是对风险因素的具体发展情况进行跟踪，并对风险应对措施的有效性进行监控，是项目整体实施过程中的重要一环。主要目的是为了核实风险因素和风险应对措施的发展是否与预计的保持一致，确认是否需要调整和优化。

第2章 IT项目风险管理实践

2.1 项目概况

在企业发展初期，IT系统往往是紧贴业务发展而随之建立的，缺少整体性的系统间架构设计，产生的业务数据有着分散加工、冗余存储和逻辑不一致的特点，严重影响企业对沉淀的业务数据，开展综合性的使用。随着数据驱动业务发展的思想逐渐成熟，建立一个统一的数据平台将零散的数据进行整合，就成了有着数字化转型目标的企业所必须做的IT项目。

统一数据平台项目的项目目标是将高复用性的数据，进行整合加工和存储，形成统一的数据加工口径，提高各系统所使用的底层数据的一致性，降低数据在使用时的歧义，提升数据使用的效率。

2.2 风险管理实践

在项目实施中的风险识别过程，使用头脑风暴法的方法来识别潜在不确定因素。头脑风暴法的过程，通过设计相应的讨论规则，在主持人的引导下，帮助参与者进行充分表达，使得参与讨论的成员能够从自身的专业角度出发，发散性地提出各种可能的潜在风险因素，在对这些风险因素进行归类整理之后，最后形成完整的风险因素清单。

有了风险因素清单，就需要通过风险评价过程来评估每个风险因素综合性的重要程度。在风险评价的实施中，需要组织相应的专家小组，明确每一项风险因素发生概率的大小，以及发生以后可能对项目造成什么程度的影响。主观评分法，是一个方便操作的风险评价方法，可以在短时间内根据专家的专业知识和经验，快速直观的判断每个风险因素发生的概率，以及对项目的影响程度，将风险概率与影响程度联立成风险影响矩阵，并根据制定的风向程度标准，将计算得到的风险程度与基准值进行比较，得到风险的高、中、低的定性评价。

在开展完风险因素识别和风险因素评价之后，就需要针对各风险因素制定风险应对策略。根据风险影响程度的大小以及风险本身的可预见性，分别采用不同的方法，风险影响程度比较高并且能够被预见的，则通过风险减轻的策略进行应对，尽量避免风险的发生或者减少风险发生之后所产生的的负面影响;风险影响程度比较高但是比较难被预见的，则通过风险规避的策略，回避风险的发生;对于风险影响程度不高的因素可以根据项目资源分别采取风险转移、风险预防等策略。

项目中的风险管理是一个持续性的管理过程，需要在项目全生命周期中，对相应的风险因素开展全面的监控，监控是否有新的风险因素发生，风险因素的影响程度是否发生变化，以及对应的风险应对策略是否有效等。良好的计划，需要坚定的执行，更需要完整的监控，这样才能保证整个风险管理过程的有效性。

2.3 风险管理实践效果评估

在经过一系列的风险管理过程实施后，统一数据平台项目按期顺利上线，在与之前类似规模的项目进行比较之后，项目在实施过程中，进度与成本绩效指数都平稳在基准值之上，项目上线后得到业务部门、数据使用方等一致好评，达成了业务目标，提升了数据共享效率，降低了数据使用门槛。说明了经过合适的风险管理之后，项目成功率是有着显著提升的。

第3章 总结

降本增效是企业需要面对的课题，信息技术则是其中最重要的手段之一，是否能通过IT项目实现信息技术为企业赋能，将会成为企业的核心竞争力，其中好的风险管理是保障IT项目质量的重要一环。通过完整的风险识别、风险评价、风险应对、风险监控等过程，并合理应用合适的工具方法，是能够有效提升项目成功率，从而达成业务目标的。IT项目风险管理理论与实践是一种相伴相生的关系，需要持续的迭代优化，形成更符合现实情况的方法论，进一步给予同业借鉴价值，共同提升我国整体的信息技术力量，这会是我们新时代追梦人永恒的追求。

参考文献

[1]Boehm， B. W. Software risk management[M]. Washington D. C： IEEE Press， 1989.

[2]Fairley R. Risk management for software project[J]. IEEE Software， 1994， 11（3）： 57-67.

[3]Heng-Pao Shih， Ruey-Shiang Shaw， Ta-Yu Fu. A systematic study of change management during CMMI implementation： a modified activity theory[J]. Perspective， Proj Mgmt Jrml， 2013（04）： 66-68.

[4]Software Engineering Institute. The SEI approach to managing software technical risks[M]. Bridge： Software Engineering Institute， 1992.

[5]袁智偉. 论信息系统集成项目中的风险管理[J]. 中国市场， 2010， （45）： 90-92.

[6]方德英， 寇纪淞， 李敏强. 基于实物期权的IT项目开发风险决策方法[J]. 中国软科学， 2004， （02）， 141-145.

[7]孙靖侬. 基于网络层次分析（ANP）模型的海外石油EPC总承包项目风险量化评价实证研究——以中石油委内瑞拉油气开发项目为例[J]. 项目管理技术， 2020， 18（12）： 59-64.

[8]陈亮亮， 李芳. 软件风险管理过程的研究与应用[J]. 现代电子技术， 2006， （6）： 86-88.

作者简介：王敏俊，1986年7月26日，男，大学本科，汉，上海浦东发展银行总行信息科技部 IT开发维护 技术助理，中级经济师，研究方向：银行软件系统项目管理。