我们对风险和风险管理的认知不是那么多,所以在实际的工作过程中,很多项目经理在提及风险管理时候,总是轻描淡写,认为项目的风险是领导重视不足,沟通不够,项目人力资源不足,这三条足以应付所有的项目风险了,但实际上这些远远不足以说明项目的风险。
风险管理起源于美国,由于受到1930年左右的世界性经济危机的影响,导致金融行业的危机和经济的倒退,很多企业开始设立保险管理的方法来 应对,后来开始采用科学的方法来应对,到50年,风险管理发展成为一门学科,也深入到其他行业。风险管理是一个管理过程,包括对风险的定义、测量、分析评估和应对。
项目的风险就是项目的不确定性,基本目标是以最小的成本收获最大的安全保障。风险不仅包括威胁,也包括机会,风险管理是贯穿于整个项目生命周期的,风险管理和项目的每一部分都相关,处理风险也需要成本。在项目中,风险管理不需要像编排计划、分解任务那么复杂,不需要很多的时间,但风险管理也是项目经理每周甚至每天的必修课之一。在项目的会议或日常沟通中,如果出现了“可能”或“如果”的字眼,这就是一个风险点,除了上面提到的老三样风险以外,风险存在于IT项目的方方面面,列举部分如下:
组织和管理过程风险:例如项目干系人的部门组织结构的调整,项目所在职能部门的组织结构调整,项目干系人或项目领导组织的人员更迭,因为组织结构的影响造成项目的决策周期、合同周期、采购周期、付款周期延长,组织级领导不支持项目等。正是因为有了组织风险,会带来管理过程风险,公司或部门没有必要的标准和规范等组织过程资产,不是很正规的管理方式,造成重复工作和无用功。
计划风险,计划最大的风险是对项目的工作量、工期估算不准确,特别是新进入一个行业或领域,没有历史项目的估算作为参考的情况下,计划风险也是最常见的风险。我们经常对项目进度过于乐观,当乐观发生时就是一种风险,计划风险的导致另一个重大风险是资金和成本的风险,举一个最简单的例子,很多公司在投标时一个软件系统交付以后要有一年到三年的运维期,如果计划不当,运维的结果就是项目的亏损。
业务流程重组和业务变革风险,特别在国内的一些IT项目中,项目管理和业务咨询是同时进行的,IT项目改变或提高了业务的执行效率或方法,牵扯到人员角色、职责的重新定义,而业务管理人员或高层领导还没有思想转变的意识,或者存在一些阻力,这种风险甚至直接影响到项目的成败。
需求风险,业务的风险直接导致系统需求的风险,即使采用敏捷框架执行软件项目,需求变化、定义不清晰、项目干系人参与度不够都是项目的需求风险,此外缺乏对需求的有效跟踪和管理,风险就会成为问题。
技术风险,从工作空间配套,个人工具配备,业务知识的准备,到测试环境的搭建等,都存在很多不确定因素,某一项因素存在问题,都会影响人员的工作效率,例如采用了第三方的代码库或工具,但又不支持某些集成功能等。做软件项目的都非常清楚技术风险的可控性的难度和技术问题应对方法是多么耗时。技术风险还包括在系统设计质量低,没有有效的代码库,对系统接口的工作理解不到位或文档不充分,需要额外的集成工作,需要更多的测试,系统升级等。此外,当前信息技术发展非常快,如果不是自行开发,而是使用了过于先进的技术、购买软件产品和租赁系统等,会存在技术支持的风险,当然,如果能快速掌握新技术,反而这是一个技术机会。
信息与系统安全的风险,安全的风险在很多时候,我们都停留在口头上,而没有真正去认真执行那些安全制度,包括权限分配,病毒预防,数据的更新权限,备份等内容,想一下,我们有多少系统的测试用户的密码是“123456”或者“password”?如果在测试阶段还不要紧,毕竟方便测试,但是系统正式启用以后,而测试用户还没有被清理,这就是信息与系统安全的风险。系统安全的风险有的时候来来源于项目外部的不可控因素,例如机房系统管理、设备环境等。
以上是一些客观存在的组织、业务和技术风险,在实际项目中,人是最难以管理的,也是最大的风险源。例如有数据统计,使用一个没有经验的项目经理,也是一个管理过程风险,因为他可能没有发现项目风险。按照项目的人员角色,每一类角色都有不同的人的风险。
