风险评估又称作风险量化,就是比较风险的大小,从而决定是否需要采取相应的应对措施。风险评估的方法很多,归纳起来主要包括以下几种:用风险发生的概率来评估风险发生的可能性;用风险带来的损失来评估风险发生的严重性;用现有的手段能否控制风险的发生来评估风险发生的可控性;用风险影响的地域大小、对象多少等来评估风险影响的范围;用风险发生在项目生命周期的阶段来评估风险发生的时间。
实际项目风险管理过程中,常常用逐项评分的方法来量化风险的大小,即事先确定评分的标准,然后由项目小组一起,对预先识别的项目风险一一打分,然后得出不同风险的大小。
例如,可以从1到10分的等级来评估风险,如果项目小组在评估发生资金短缺的风险时,认为它非常不可能发生,得3分,但是一旦发生后果则非常严重,得9分;而且资金短缺,项目小组很难控制,得8分,然后把三个分数相乘,即得到该风险的风险级别。风险级别越高,表示风险越大,需要项目小组制定相应的措施认真对待。
|
风险发生的可能性
|
|||||||||
|
极不可能← 可能? →极有可能
|
|||||||||
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
|
风险发生的严重性
|
|||||||||
|
极不严重← 严重? →极严重
|
|||||||||
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
|
风险发生的可控性
|
|||||||||
|
可控← 可控? →不可控
|
|||||||||
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
针对风险评估的结果,制定相应的应对措施去响应风险,就是风险应对,其目的是创造机会,回避威胁。
风险应对中,需要对风险的正面效应(即潜在的机会)制定增强措施,对风险的负面效应(即可能的威胁)制定应付方法。对于不同的风险,需要根据其重要性、影响大小以及已经确定的处理优先次序,采取相应的措施加以控制,对负面风险的反应可以是尽量避免、努力减小或设法接收。
另外,在处理风险时需要注意应对的“及时性”和“反复性”,即在第一时间对各种突发的风险作出判断并采取措施;对已经发生或已经得到控制的风险经常进行回顾,确保风险能够得到稳定长期的控制。
项目风险应对的措施主要有:
① 修正项目目标或范围。尽管有深入的项目调研和详尽的项目规划,但信息化项目过程中的需求改变常常难以避免,因此为保证项目的实施效果,对项目的目标或范围加以必要修正,能够有效应对项目偏离需求的风险。
② 加强培训。加强项目培训能够提高参与项目的IT人员和业务人员甚至管理人员、决策者对信息化项目的认知,对规避项目的实施风险有良好的效果。
③ 准备风险保证金,适当预留项目计划时间。信息化实施往往周期较长,在项目预算中预留一定数量的风险保证金,时间计划中预留一定的时间,能够有效应对由于项目需求改变或者范围增加而造成的时间和成本风险。
④ 始终贯彻项目管理的标准流程。严格执行项目管理中的时间、成本、质量控制等标准流程,能够有助于控制项目风险。
⑤ 引入第三方咨询和监理。信息化项目初期尤其是刚刚开展信息化项目的企业,在信息化项目实施中引入第三方咨询和监理,能够利用第三方的专家优势和对项目实施的经验来应对项目风险。
⑥ 加长模拟阶段的周期。信息化项目中最重要的是信息系统与企业业务流程的结合,因此加长系统模拟业务流程的周期,使之充分适应企业业务流程,能够保证项目对企业的适应性,从而降低项目的实施风险。
⑦ 行政强制手段。项目实施应以培训和沟通为主,但并不排除采用行政手段强制实施,对于项目中的某些难点,采用行政强制手段能够起到很好的效果。
⑧ 终止项目。这是一种极端的做法,往往由于项目目标没有明确所致,采用这种做法虽然会导致项目的彻底失败,但也是万不得已,能够避免企业更大的损失。
