理计划完全是敷衍了事--既然有风险列表可以参考,那么随便选出三五个风险因素,然后照抄一下以往的应对措施,再随意琢磨出几个概率和强度,一份有模有样的风险管理计划就新鲜出炉了。至于如此一份“因繁就简”的风险管理计划,对防范和应对当前项目中可能遇到的风险到底有多大的用处,就可想而知了。
所以,只有当组织的所有成员都诚恳的意识到风险的破坏性和风险管理的迫切性,从思想上充分重视项目风险的识别、监控和应对,风险管理才可能发挥其应有的作用,成为促进信息化项目成功的重要保障。
第二步,有备无患
实施风险管理的第一步是风险识别。项目经理要在制定项目计划的同时,制定出风险管理计划,根据项目的特点,明确在项目进程中可能遇到的风险,并对不同的风险内容分别制定可行的应对策略。
风险的识别有很多种方法,信息化项目中最常用的是风险列表分析法。
具体的作法可以是,组织把以往项目中曾经发生过的风险整理到一起,并按照项目的类型、规模和特点进行分类,分别编制成适用于不同种类项目的风险列表,供项目组评估和分析当前项目所面临的风险时使用。
当然,这个列表不应该限制项目经理发现项目中新的风险,而只是让项目的风险识别有的放矢,让组织的历史经验得到重用。
信息化项目当中,不断积累起来的项目经验和组织过程资产,是保证新项目顺利执行的宝贵资产。无论是整理出来的风险识别列表,还是以往曾经采取的处理方法,或是各种不同方法的实施效果,对于新的项目来说都是极珍贵的参考资料,对整个项目的风险管理更是意义非凡。
无论采用何种方法,准确的识别出当前项目的风险,是有效管理项目风险的前提,也是后续各步骤的基础。
第三步,精确度量
每种风险发生的概率和造成的损害各不相同。一个项目需要关注的东西很多,不可能对每一个风险都给予同等的注意,必然会对发生概率高、危害大的风险投入更多的关注。这样就带来了一个问题,如何才能确定某个风险发生的概率和强度?
关于风险发生的概率,可以通过历史数据的分析来获得。对历史项目中这类风险发生的频度进行统计,可以大致估算出这类风险发生的概率,当然,在评估具体项目中某个风险的概率时,也要考虑到该项目的特点,只有对具有可比性的项目数据进行统计,才会对风险的概率度量有所帮助。
风险的强度系数,主要依靠对假设的风险发生状态下,可能会给组织造成的直接损失和间接损失。对信息化项目来说,最常用的衡量损失的指标就是进度和质量,这是最直接的损失,当然还会有间接的比如满意度等方面的损失。
无论是概率系数还是强度系数,都是为了衡量某个风险的重要性服务的,并不要求绝对精确,只要能够找到项目中最可能发生的、危害程度最大的风险,并加以重点防范,以避免给项目造成重大损失。
第四步,重点监控
罗马不是一天建成的,风险也不是突然出现的。在风险演化为后果严重的危机之前,总会有蛛丝马迹可寻,风险监控的意义就在于此。只要我们足够的细心,给予足够的重视,很多情况下是可以化危机于无形的,或者,至少可以降低所造成的危害。
前面几步明确了风险的内容、概率和强度,接下来我们需要对优先级最高的风险进行重点监控,把有限的精力放在最有价值的工作上。
信息化建设的项目有许多信息和指标反映项目的进展状态,比如项目进度是否落后,项目质量是否波动,需求是否又有变动,功能点完成了多少?项目的风险管理者(比如项目经理、项目度量员等角色)应该时刻关注这些项目信息,并从各种状态评估报告、项目进展报告等文件中收集所需的信息,利用这些信息拼凑成一幅完整的项目现状图。
掌握了全面的项目状态信息之后,风险管理者需要根据风险管理计划中提供的风险列表,对其中的异常信息进行重点分析,及时发出风险预警,提醒项目组成员确认风险并采取相关的风险应对措施,达到风险管理的目标。
防微杜渐是风险监控的目的,见微知著是风险监控的原则,无论计划制定的多么完美,没有及时准确的风险监控和预警体系,项目的风险管理就实实在在的成了一句空话。