导航↓ 相册|收藏博客|加入友情链接|给博主留言
畅享博客 > 怀抱一叶舟 > IT治理 > [原创]信息化实施过程中的风险管理
2008/7/1 16:17:38

[原创]信息化实施过程中的风险管理

          所谓有得必有失,就是说在做一件事情并有所收获的时候必然也会失去一些东西。实施信息化工程,固然能够为企业开创更加广阔的发展空间和创造更加广阔的收益。但实施信息化,需要占用企业大量的资金和人员的投资,对企业原有的架构和业务流程产生激烈的冲击,因此存在巨大的风险,如果对这些风险处理不当将适得其反,甚至为企业带来灭顶之灾。

信息化需要一个漫长的过程,涉及到企业大量的人、财、物等资源的利用和调配。因此我们在实施信息化时一般都会划分若干阶段,每个阶段又有若干项目组成。在如此复杂漫长的过程中,对项目风险的管理控制将显得尤其重要。笔者在此将自己在IT项目管理中的经验和对信息化风险控制的构想总结出来,与读者朋友进行交流。

    一、建立风险管理常设机构

信息化中的每一个阶段、每一个项目都肯定存在很多风险,我们在规避应对这些风险的同时有可能产生新的风险。这些风险可能前后有关联,可能互相交叉,一个小的风险处理不好就可能牵扯出更多更大的风险。因此,建立一个常设的风险管理机构是必要的和重要的,这个机构必须独立于项目组不受项目经理的管控。建议由企业内审人员、IT项目专家等人员组成,直接向信息化委员会汇报。风险管理机构应实时监控项目进度,定期审阅项目交付品,定期评估项目风险。这个机构将统一管理和控制信息化实施过程中所有项目的风险,他们的工作将从信息化第一个项目启动持续到最后一个项目结束。以下工作都由风险管理机构完成。

 

    二、分门别类归纳风险

在复杂的信息化实施过程中,风险会在不同的领域以各不相同的形态存在,有些风险我们能够在事前进行设想,但更多的风险是我们难于设想的。对风险进行科学的分类就成了我们有效管理风险的基本要素。例如我们可以先将风险分为财务类风险、技术类风险、市场类风险、商务类风险、自然灾害等。

 

    三、火眼金睛识别风险

定义了风险的分类以后,我们再对每一类风险定义一个以上的识别特征,这些特征必须只出现在一个风险类别中。这样,当新的风险出现时,我们就能很好的识别它是属于哪一类风险,然后就可以采取相对应的措施。即使是我们在事先没有估计到的风险,我们也很容易的将识别出来。在事实上,大部分风险都可能会存在多个风险类别的识别特征,这应该是允许的,当出现这种情况时,我们必须从多个角度去解剖风险,找到有效的应对措施。风险识别的关键是发现风险事件,找出风险症状,我们可用借助风险识别检查表、鱼刺流程图、访谈等方式来识别风险。

 

四、一五一十量化风险

习惯上,大家都喜欢用“高”、“低”、“大”、“小”来形容风险,这给决策者带来很大的困惑:风险究竟有多高?大又大到什么程度?决策者难于决策!因此,在识别了风险以后,我们必须对风险进行量化评估,例如:

l  风险事件发生的概率;

l  风险事件发生后可能造成的损失或损害是多大;

l  风险事件可能发生的时间(可用项目进展阶段来表示)、地点、可能持续的时间、可能影响的范围;

l  规避这些风险需要投入多少资源(人力、财力、物力、时间等);

当风险无法规避时,需要投入多少资源才能让损失或损害降到最小:

只有对风险进行了量化定义,我们才有可能在实施工作中有效的管理风险。对于事先没有估计到的风险,风险一旦出现,我们必须有能力快速识别和量化,并迅速的确定应对措施。风险量化技术包括:期望货币值分析、风险因子的计算、PEPT估算、模拟和专家判断等,对于一些比较大的风险,我们应该综合利用这些技术进行量化分析。

 

    五、从容不迫应对风险

想不到的事情永远比想得到的事情多!风险也一样。那该怎么办?这就要求我们必须掌握比较强的风险管理技巧,例如:

l  确定风险发生时的后备资源,包括资金、设备、人员等;

l  定期检查风险后备资源的可用性和高效性;

l  确定风险检查时间表;

l  确定并定期更新风险检查列表;

l  每月最高风险TOP10排行榜;

l  风险应对措施的启动机制;

l  定期检查并更新风险控制机制;

l  可采用怎样的方法去规避哪些风险?

l  哪些风险不能规避,只能面对现实勇于接受,但可采用哪些适当的措施降低风险带来的损失或损害?

l  ……

注:本文写于2005年5月



查阅更多相关主题的帖子: 信息化 风险管理

评论

您还未登录,不能对文章发表评论!请先登录