IT项目风险评估的方法

从普遍角度上说，一个有效的项目管理要从几方面入手。

1 项目范围

明确定义好项目管理范围，才能有效配置相应资源。

2 项目计划

根据项目要求，制定切实可行的项目计划。国内大部分项目经理都是根据上级指示做事，没有仔细做过项目评估，这就导致在项目执行过程中，经常出现不可控因素，影响了项目的执行结果。

3 项目资源

包括设备，材料，资金，人力资源等。关键是资金和人力资源，一个是保持适当的现金流，一个是保证有足够的人去做该做的事。

4 风险预估

包括对用户及对自身评估两部分。对用户主要涉及其信用度，财务状况，技术能力/经验等方面；对自身主要包括足够的项目管理人员，技术人员配置是否足够，经验是否丰富，有否做过同类项目，用户的付款条件对项目管理造成的风险是否可控？

以上是针对工程类项目，针对软件开发项目，在项目范围/风险中，还需要特别关注用户对项目的具体及特殊要求。

内容来源于ITSS符合性评估落地工具-云雀运维！！！

对it项目的投资进行验证是为了效益评估控制风险

随着企业信息化和电子商务的深入发展，企业在IT方面的投资不断增加，信息化的管理工具和管理手段已成为企业提高市场竞争能力和竞争优势的最重要因素之一。信息化是一次管理创新和流程优化，它往往需要对企业进行伤筋动骨的变革；信息化往往需要比较大的投资，而往往巨大的投资使企业得不偿失，甚至是进退两难，骑虎难下，最终以失败而告终，因此，IT投资评估是企业进行IT治理，控制IT应用风险的重要手段。

一个风险评估与排序的实用模型

摘 要

本文阐述了一个基于简单数学模型的实用且简便的风险评估与排序方法

什么是风险

风险即是以下三个要素发生的机会:

威胁--事件或行为，一般来自系统外部，可能在某些地方会影响固有的弱点，造成影响

弱点--系统内部考虑之中的弱点，可能在某些地方受到威胁所利用

影响--短期与长期组织影响，威胁碰巧利用弱点

由于要求一个或更多的不预测的威胁与弱点的巧合，负面影响发生的可能性是很难确定的一个系统可能很长一段时间运行有弱点(的程序)而未受影响，直到一些实际的威胁存在或利用它在给定的时间筐架内一些威胁可能比另一些威胁更可能发生(例如:简单的键盘错误比中断更易发生)类似的，一些弱点可能只在短期内存在(如:当保安从运钞车进入金库时)而别的可能会长期存在(如:银行金库警报系统没有覆盖所有入口点)影响的变化也很大:有些可能使整个组织或系统置于严重的危险之中(如火灾)；有些可能会对整体来说无关重要

保险公司也许有能力去计算某种威胁与弱点存在的可能性并预测可能受到影响的程序，但是，这也是不严密的--或许艺术性多于科学承保人赌其涵盖了所有风险:尽管给定的事件是不可预测的，但在一定时期的多数事件发生的可能性可以很大的可信度估计，大部分是基于早期的经验尽管如此，这种手段仍存在着两个重要的问题一些极度影响事件(如你的首席行政长官遭遇雷击)是很少发生以至人类的本性倾向于忽略这类事件，因此，承保人发现很难以理想的价格去销售相应政策进一步，新的条件导入新的风险，但经验不足甚至使他们预测更困难高技术主题的电子商务变化得非常快以至IT专家也要尽力跟起而不致落后承保人在风险方面做得不比猜测多

威胁与弱点的特定组合也许仅仅偶尔存在("坏运气")，十分显然，几乎没有弱点与/或威胁的系统就不大可能长期受到影响另一方面，一个脆弱的系统，一个具有许多大的潜在影响(的系统)更有可能遭到毁坏，这是风险管理的基本点，它本身是任何一个组织完好管理中的重要元素

管理者一般通过引导通缉资源转向风险缓和的活动如设置合适的控制框架，来寻求减少弱点、威胁与影响。

一个简易风险模型的来源

管理企业远远超过无风险活动。的确，承受可接受的风险（有些可能导致破产）能取得利润。正确管理的关键是知道缓和哪种风险以及何时把握机会。这就是为什么对风险有个良好的认识的重要这所在。在这里，提供一个简单的类数学模型以助计量风险。考虑风险的性质，你将得到如下的公式:

风险=威胁+弱点+影响

表面上看，该公式意味着具有高威胁、弱点或影响的系统是高风险的系统。尽管如此，是威胁与弱点的组合造成影响的存在。而对组织的破坏的程度依赖于一个事件的发生与影响的促使。用数学语言来说，逻辑与计算需要乘积而不是和，如:

风险=威胁弱点影响

包含至少两个重要因素（如:高威胁与弱点）的组合能产生比仅具较低或中等水平因素组合更高的风险。任何一个因素降为零风险将降得更大。

计算风险

为了使用模型去计算风险，你得检查与计量各单独组成要素（威胁、弱点与影响）。

最简单的方法是将这三个要素分成高（3分），中（2分），低（1分）或零（0分）。产生的风险分值在0 至27之间。作为替代，你也许宁愿用一个持续的百分数尺。如:

0% 25% 50% 75% 100% 受雷击

+- ---------- -+- ---------- -+- ---------- -+- ---------- -+ 的威胁

人受雷击 建筑物受雷击 被静电击死

使用百分数尺能得到的最大风险计分是1,000,000（100100100）。因而能为组织确定风险提供足够的详细（情况）。不论什么量度，过程是一样的。我们比较与对比风险因素，寻求一个企业价值合理延伸。一具厌风险管理者比喜风险管理者更可能估价风险，但是价值延伸应当更广泛地比较。正是这延伸赋予模型其真实的能量，允许我们去给风险排序。

实践中应用风险模型

本模型在实践环节中有许多效用，如风险评估与审计计划程序:

这个过程有两个重要的输出:一个风险排列（对组织管理者是有用的）与相匹配的排列过的审计计划（构造内部或与外部审计师工作）。“定期涮新”提供反映变化的风险因素分值更新的机会，如内部控制环境（养活弱点）的提高或新的市场压力（增加威胁）。

这个程序的理论基础使得计划审计工作与组织风险间的联系更清楚。

类似地，项目风险也能利用该模型评估以形成基本的项目风险管理。项目威胁依靠于项目的性质，但典型的包括政治、经济、社会与技术方面（被称为PEST分析）弱点包括不合适技能，刺激机制，财务或别的资源限制等。项目失败影响一般分为:

过多成本

推迟完成

顾客满意度低

该模型也能被用来联系这些因素与风险是否重要的建议，形成一个管理活动日程。风险计算应当随着取得新信息在项目过程中更新。

  随着市场经济竞争的日益激烈，现在很多中小企业也开始进行信息化管理建设，纷纷都在尝试上 MES系统 。但是经过这几年的统计来看，能够真正成功实施的企业还不到百分之二十，这还不包括上线后维护失败的企业。那到底是什么原因导致MES系统实施成功率这么低呢？下面我来介绍一下MES系统实施失败企业内部的原因！

  第一，企业对 MES系统 的认识有误区。很多企业从一开始就认为MES项目是一个IT技术项目，而不是一种管理项目。所以在选型方面最主要的还是听从IT技术部门，但是我们知道，IT部门主要是偏技术方面，管理方面还是要听从高层领导，因为他们具有管理高度和前瞻性，而且还能从全局角度分析企业现状和经营管理上的问题，从流程管理的角度去确定业务管理需求，并能设定切实可行的实施目标，从这点上选型的话肯定是管理高层决定的。但事实并不是如此，因为MES系统涉及了很多技术问题，管理者就会产生畏惧心理，觉得让IT部门去决定就可以了，所以在选型方面就出现了误区。还有一个误区是很多企业管理者认为MES系统就如万能药，什么病都能治，对MES系统产生过高的期望，但是当MES系统上线遇到问题的时候，而且MES的实施周期长，见效慢，企业领导者就会产生误区，认为MES系统也不过如此，产生很大的落差，导致对项目的消极对待，最终导致失败。

  第二， 江苏MES 系统实施基础没有务实。这个我从三方面分析。首先是数据准备问题，这是老生常谈的事情了，之前我也有很多文章提到数据的重要性。但是实际在上MES系统中，企业对枯燥、费时的基础数据梳理工作没有思想准备，也很难落实到最适合的技术管理部门去做，因为他们工作已经很繁重，这就容易导致数据的不规范、不统一、不准确！再来是管理基础不务实，企业没有对内部的业务进行流程重组，或者流程再造，这样就不能了解企业的业务是否顺畅、规章和考核是否合理、企业各层级的执行力强度等等，这就为 LED电子看板 实施失败埋下了败笔！最后是人员基础没务实。很多企业在MES系统实施中，不愿意花时间和精力去学习整理规范基础数据，不认可实施顾问对业务处理流程的优化建议，甚至有的基层管理人员拒绝使用MES系统来处理业务等等，这都是他们对MES认识不到位造成的，导致项目难以继续！

以上就是关于如何进行有效的IT项目管理全部的内容，包括:如何进行有效的IT项目管理、为什么要对it项目的投资进行验证、IT项目风险评估的方法等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！