风险管理

企业风险管理(ERM)是一套系统化的方法，用来管理企业面临的各种风险。企业风险管理包括内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素，贯穿在企业的管理过程之中。根据美国损失控制协会对美国企业的统计，未设置风险管理系统的企业，70％在遭受巨灾后5年内会结束营业；对于已建立企业风险管理系统的企业而言，在面临损失事故时将具有更大的竞争优势。

匆忙上马的蛮干和事无巨细处处设防都将于事无补，准确的风险细分和持续不断的风险意识才是关键。

风险规避是改变项目计划来消除特定风险事件的威胁。通常情况下我们可以采用多种方法来规避风险。例如，对于软件项目开发过程中存在的技术风险，我们可以采用成熟的技术，团队成员熟悉的技术或迭代式的开发过程等方法来规避风险;对于项目管理风险我们可以采用成熟的项目管理方法和策略来规避不成熟的项目管理带来的风险;对于进度风险我们可以采用增量式的开发来规避项目或产品延迟上市的风险。对于软件项目需求不确定的风险我们可以采用的原型法来规避风险。

科学管理的创始人泰勒有一句名言：最大的浪费不是看得见的资源的浪费，而是千百万人用笨拙的方式进行生产的浪费。

外包(Outsourcing)，是指企业利用外部的专业资源为己服务，从而达到降低成本、提高效率、充分发挥自身核心竞争力乃至增强自身应变能力的一种管理模式。目前，IT领域常见的外包有软件系统开发、数据中心托管、安全服务外包以及IT培训等形式。这里，我们主要谈及企业软件系统开发的外包管理。

做任何有价值的事情总是有风险的，没有任何风险的事情，绝对没有什么投资价值。在投资者的心中，风险总是与机遇并存，因此在IT行业，总是能够吸引众多的风险投资家的关注。但任何一位投资者都不会愿意将自己的资金去打水漂。如何能够预防风险、规避风险与控制风险，是任何一位IT项目管理者最关注的问题，本文对IT项目中的风险及风险的防范做出了经验之谈。

软件项目管理的四个阶段中，在初始阶段项目成功的可能性最小，风险发生的概率也就最高，但是这时候一旦预计的风险发生了，损失是最小的，比如：在这个阶段如果某种原因突然资金来源断了(这在需求阶段是很有可能的)，以至于不能继续进行项目，不得不终止项目，那么这时候的损失只是需求分析阶段的投入。随着项目的进展项目成功的可能性变大，风险发生的概率逐渐变小，风险对项目的损失逐渐变大，快到收尾阶段的时候风险对项目的损失最大，随着收尾阶段的进行风险又逐渐变小。

项目遇险的3个问题，4个因素和8个信号

有效的风险管理要求与项目相关的全体人员都积极参与进来，包括项目团队的成员、高层管理者、顾客，项目经理的身份是协调人及记录者。组织必须为风险管理提供一个清晰的流程、工具以及资源。风险管理的成功，有赖于企业打造鼓励员工对风险进行中肯及随时随地交流的文化，这一点可能是最重要的。通过沟通，"坏"风险对项目造成的伤害可以得到减轻，而那些蕴藏着意外机会的"好"风险则会得到更深层次的关注。

专案风险的管理不仅贯穿於整个专案过程，而且在专案事件发生之前风险的分析就已经开始。我们可以根据风险控制与专案事件发生的时间将风险管理划分爲三个部分：事前控制──风险管理规划，事中控制──风险管理方法，事後控制──风险管理报告。

风险管理的五大核心风险：进度安排的先天错误;需求膨胀;人员流失;规约崩溃;低生产率

为了见小疏忽和错误发生的概率，需要在应用系统一层加强安全控制，尽量避免发生严重影响和破坏。从安全和效率上进行衡量，也应当是在安全性的基础上来考虑效率的问题。

风险管理是一个比较时髦的词，我们都在讲企业的风险管理，包括赖老师讲的SOX法，实际上就是控制企业的风险，引用一些控制措施，其中里面的控制措施里就 有一个非常重要的内容就是IT的，IT如何去控制风险，IT如何为企业的风险做出应用的贡献，实际上这就是我们要研究的内容。实际上也是我们很多信息化管理者正在思考的问题，是到底是从哪里下手去做这个事情，这个事情的题目是一个很大的题目，到底从如何下手，那么我就结何我的实际经验和一些我研究的内容给大家做一些介绍。

什么是风险?项目风险是一些不确定的事件或情况，一旦出现将会对项目目标产生正面或负面的影响。风险有两类：可预见风险和不可预见风险。可预见风险的话，是可以预见的，可以计划的，也可以管理的。而不可预见风险则是不能预见、不可计划、不可管理，那么它需要应急措施。

一个只会帮倒忙的项目经理只在问题发生以后才着手解决。一个具有前瞻性的项目经理则会将问题解决在发生之前。以下是能够帮助你在风险发生前识别风险的方法。

对于大型项目来说化解风险最根本的一条是将大的项目分解成为很多个相对独立的部分， 而后分别完成每一部分。风险也就控制在一定范围之内了。 也就基本上解决了在项目中抓不住重点的问题。此时，再回头看风险，便有了风险灰飞烟灭的感觉。

风险无处不在，而且几乎无可避免。作为项目经理，我们不能乞求谁会给我们一个安全的项目。事实上没有真正意义上的风险，项目注定是要失败的：全无风险的同时，它们也几乎全无价值。这些项目我们大可不以理会，给自己节省一点时间和精力，去做些真正有价值的事。正视无可避免的风险，加以适当的识别、分析、制定计划对其管理与应对，使项目能够更加好地达到目标。

风险管理在软件项目管理中十分重要，但常常被忽视，这与组织对风险管理的认识不足有很大关系。介绍了风险管理的经典理论，比较了几种主流的风险管理策略和模型。还根据MIS系统的特点，在分析两个主流的风险管理方法的基础上，提出系统风险管理的优化MIS和集成思路。

风险在字典中的解释是“损失或伤害的可能性”， 一般人们对风险的理解是“可能发生的问题”。风险与许多事物都有关联，例如，一个已经投入使用的存有易燃品的仓库，随时会有发生火灾的风险。一个建设中的项目也会面临许多不确定性的风险。风险就像“隐形杀手”一样，不知什么时候会出现。无论人们是否喜欢，风险是不以人的意志为转移的。但这并不意味着风险是无法避免的。比如，人们为了避免“患上重大疾病”，平时会积极参加各种健身活动，增强体质，提高防病能力。可以说，风险的存在要求人们要积极面对风险，做到有备无患，才能将风险的影响减到最小。

文中讨论基于关键链技术的软件项目进度风险管理方法。基于软件过程工作分解结构，预测各项工作在理想工作条件下的工期，考虑人力资源的约束与冲突，建立项目的关键链。通过对各项工作的风险分析，为关键链、非关键链分别设置项目缓冲、输入缓冲，通过对缓冲区的监控来进行风险的控制和管理。