中小企业如何避免IT外包带来的风险

导语：“风险”一词的由来，最为普遍的一种说法是，在远古时期，以打鱼捕捞为生的渔民们，每次出海前都要祈祷，祈求神灵保佑自己能够平安归来，其中主要的祈祷内容就是让神灵保佑自己在出海时能够风平浪静、满载而归。在长期的捕捞实践中，他们深深地体会到“风”带来的无法预测的危险，认识到，“风”即意味着“险”，因此有了“风险”一词的由来。

IT项目风险管理

现在，风险一词的意义，已大大超越了“遇到危险”的狭义含义，而是“遇到破坏或损失的机会或危险”。经过了两百多年的演义，风险一词越来越被概念化，并随着人类活动的复杂性和深刻性而逐步深化，被赋予了从哲学、经济学、社会学、统计学甚至文化艺术领域的更广泛更深层次的含义。不管如何定义风险一词的由来，其基本的核心含义是“未来结果的不确定性或损失”，也有人进一步定义为“个人和群体在未来遇到伤害的可能性以及对这种可能性的判断与认知”。

一、风险的定义

风险有两种定义： 一种定义强调了风险表现为不确定性;而另一种定义则强调风险表现为损失的不确定性。

若风险表现为不确定性，说明风险产生的结果可能带来损失、获利或是无损失也无获利，属于广义风险，金融风险属于此类。而风险表现为损失的不确定性，说明风险只能表现出损失，没有从风险中获利的可能性，属于狭义风险。

广义的风险展现出来的是机会，虽然这种机会可能让我们的项目变得颗粒无收，但如果一旦机会有利于项目，则可以大赚一笔，风险投资家们心中的风险正是广义的风险，所以风险才会吸引他们投入巨大的资金。而作为项目管理者来说，风险对他们意味着失败的危险，因此必须将任何风险扼杀于摇篮之中。

二、IT项目风险的特征

由于软件本身的特点，导致IT项目与传统项目有很大差异，因此IT项目的风险管理难度要比传统项目大。

1需求不稳定

软件项目的需求多变已成为软件业界的共识，正因为需求的多变，才让瀑布模型一直遭受到软件工程界的抨击，因此诞生了原形模型。在IBM的RUP和众多的敏捷方法论中，一直将需求不确定列为软件项目的最大特点，因而出现了拥抱变化一说。

当一个IT项目开始实施的时候，如果客户连他需要做什么，要实现一些什么功能都不能确定的话，那么做软件实施的工程师他们又如何能够知道自己要开发一个什么样的软件系统出来呢所以他们只有在漫长的等待过程中，不断遭受到客户的“批评”，在经历了“九九八十一次磨难”之后，才恍然大悟，原来就是要做一个这样的系统啊!

这有点像盲人走路一样，盲人根本就不知道前面是什么，因此他往前走一小步，如果不是路，则向左旋转一点点，再次用脚探探前面，如果是路的话，则可以往前迈一步。如果这个盲人运气不好的话，第一脚就在悬崖边上踏空，那么他将跌入万劫不复的深渊。我们的项目也如同这个盲人，稍有不慎就可能让自己走向失败，这是一个多么大的风险啊。

2项目规模估计不准确

当老师给我们布置作业的时候，如果他多布置了几个题目，下面的同学便会大声地嘘叹，开始私下的嘟噜：“又要做一个多小时了!”。学生们在很短的时间内就能够准确的估计作业量大不大，他们的估计凭借着他们每天一次的做作业的经验和那一瞬间对题目的印象，虽然他们并没有做过刚布置的这些题目，但是估计得仍然是那么的准确。

任何一个建筑工程的项目经理都能对自己的项目进度掌握准确，在他们的眼中，只要资金到位，则进度就可以得到保证。工地需要多少人，什么时候需要开始进行什么工序的施工，什么时候需要加班，这些都在他们的心中掌握着。资金就是他们最大的风险。

而软件项目与之不同，在软件项目开始后，很少有缺钱的。只看到过资金没有到位的“烂尾楼”，但是从来没有看到过由于项目资金没有到位的问题而导致未完成的软件项目，就算是缺钱也是因为签合同的时候要少了。

再优秀的软件项目经理，他也无法预计好自己的项目什么时候能够完成，因为在他进行估算的时候，客户的需求还没有搞清楚呢!再者，建筑工程可以通过预算很准确地得出整个建筑的工程造价，而软件项目却很难，因为不管是代码行估算法，还是功能点方法，都远不及“我猜，我猜，我猜猜猜”中猜得准确，这些方法很多时候甚至不如算命先生算得准。

3人的因素对项目影响很大

人可以说是整个软件项目的灵魂，软件项目不需要钢筋、水泥和沙石，也不需要任何的施工机械。软件项目的原材料就是人的思想和智慧，而计算机和CASE软件则是项目的施工工具。通过键盘和鼠标，无数的程序代码在程序员手中诞生了。如果要问软件项目最大的成本在哪里，那么答案只有一个，就是人力成本。

一个优秀的程序员的工作效率要远远高于一个蹩脚的程序员，一个程序新手甚至根本就不能够产生任何生产效率。不仅如此，新手的错误行为，将让熟练员工牺牲很多时间来帮助新手纠正他们的错误，甚至可能导致降低软件开发的效率。

虽然软件项目已经实施角色分工和管理，但是相对于其他工程的分工来说则分工比较单一。软件项目中，一般分有：系统分析师、架构师、设计师、程序员、测试工程是及配置管理人员和项目经理等。这样的分工并不能有效地降低他们工作内容的复杂度。如果能像建筑工程中的砌墙、浇注混凝土、搭脚手架那样分工细致的话，则培训软件蓝领也不会需要费如此大的力气了。

三、古语话，唯有小心，小心驶得万年船

经常可以见到有人不小心，踩到或者碰到什么东西而摔倒的情况。相反，盲人却很少会因为自己的疏忽而摔倒。他们总是很小心的走着每半步路，对于前面的未知世界，他们总是要探了又探，在确认能够行走的情况下，才小心的迈出半步。

由于软件项目的太多不可确定性，因此管理软件项目，犹如盲人走路一般。在未来还不确定的情况下，可以将自己的经验列出来，如在什么时候最可能出现什么风险。盲人在听到汽车声音的时候，总是会更加小心，当软件项目中开始出现一些问题的时候，我们需要考虑这些问题背后所隐藏着的更深的威胁。发现危险总是需要凭借自己的灵敏的直觉与丰富的经验。

聪明的经营者，绝对不会是技术方面的专家，越是技术专家，就越不能容忍技术方面的缺陷。而经营者所需要考虑的不是技术是否无可挑剔，而是在乎项目是否盈利，让别人去承担风险，让自己来享受利润，是聪明的经营者的决策指南。

更重要的是，每个人都需要理解可能会影响IT企业全部业务的几乎所有的风险。 风险可以分为四类，需要不同的缓解工具： 商业运营风险。一个评估要判断解决还是忽略某个具有挑战的威胁的风险。分析挑战性的威胁可以帮助企业决定是否投入必要的资源来战胜威胁。 判断如何对来自非传统的资源的挑战性威胁做出合理反映是非常困难的。例如，许多高技术企业都认为微软只不过是一群哈佛的退学生而已。他们因为没有理解到这个风险而付出了沉痛的代价。 适当的缓解工具是一个可以评估所有相关风险的良好的商业情况。对于新的商业机会来说，一个彻底的风险评估对于成功来说，就像是精确投入资金一样重要。 计划风险。对于通过的或者现有的计划来说，管理的关键集中在计划或者项目是否会在预算之内，高质量的按时交货。风险可以通过有效的项目管理和定期监控来降低。 业务中断风险。这种类型的风险影响了公司在困难的环境下继续运营的能力。场景从崩溃的服务器到被毁灭的建筑物，范围极其广泛。在大多数情况中，一个崩溃的服务器对于某些人来说只引起了微小的问题。相反，一个被毁灭的建筑物可能让所有的企业运行都停顿下来了。 风险可以通过持续的运行（COOP）计划来降低，这个计划描述了业务如何在各种困难中继续运转。大多数企业在开始的时候都会为数据中心准备了IT灾难恢复计划（DRP）。最终，DRP需要被扩宽，以便将重点集中在重新存储业务处理和发展为一个成熟的COOP计划上。 市场风险。这种类型的风险可以划分为地域和特定行业的风险。地域风险包括战争，恐怖行动和瘟疫，还有国家和进口限制。这些风险根据不同的国家、社会供应链的复杂度，以及该行业对于政治***的重要意义而有所区别。特定行业的风险也是多种多样。例如，金融服务必须通过信用挤压，债务抵押义务的彻底崩溃，以及结构化投资手段来进行竞争。消费产品制造商可能会因为“flash mobs”通过社会网络倾销他们的产品而感到苦恼。 场景计划可以通过制定应对各种不可能的事件的反应来降低风险。最重要的是，它尝试发现先前未知的风险，因为最危险的风险通常是你没有识别的风险。 采购行为——特别是离岸——增加了各个种类的风险。对这些风险的评估必须要解决类似通讯、逻辑困难、供应商变化，以及知识产权等特殊的关键点。 在着手开始任何风险评估之前，弄清楚哪个类型的风险对于你的执行管理来说最为紧要。然后选择合适的风险降低工具来解决潜在的困难。根据财务结果，风险的保单才会被批准。 彻底的风险评估可以为解决潜在威胁的结构化准备带来创造性的思维，这些创造性的思维对于成功至关重要。正如那句流传已久的格言所说，“预先警告就是预先武装。

中小型企业如何避免IT外包的风险

（“外来员工如何保守秘密”）

IT外包（ITOutsourcing），就是客户将全部或部分IT工作包给专业性公司完成的服务模式。客户整合利用其外部优秀的IT专业化资源，从而达到降低成本、提高效率、充分发挥自身核心竞争力和增强客户对外环境的应变能力的一种管理模式。随着中小型企业信息化建设的深入开展，IT外包服务的重要性日益显着，很中小型业都希望利用IT服务提供商的专业技能提高企业信息化水平。但在不成熟的IT外包中还是存在一定的风险，如果处置不当会使企业蒙受巨大损失。企业该如何避免这些风险呢？

中小型企业IT外包存在的风险

1 控制的角度:IT外包可能会在及时提供服务和保证服务质量方面存在失控;灵活性被降低，对需求的任何变更必须取得外包商的同意;成本可能在没有被感知的状态下上涨;外包商及其员工可能获准接触公司机密资料:组织的知识产权保护方面也可能会有风险。

2 不确定性的角度：IT外包在技术和业务都不确定的情况下，对未来业务起支持作用的信息系统将有哪些要求外包会使组织失去为满足业务需求而进行变革的能力吗另外由于技术的不可分性，外包可能引起极度的混乱。

3 成本的角度。IT外包可能不会降低信息系统的成本，反而会由于难以预见和未予说明的变化导致费用更高;风险还来自特定外包商的本性及行为;外包切断了组织对它所处的商业领域中的信息技术的最新发展及应用情况进行学习的途径，这可能导致组织的未来的学习费用急升。

4 灵活性的角度。IT外包不可避免地使企业失去部分灵活性，分为:短期灵活性、中期适应性和长期进化性圈

根据以上分析，实施IT外包的中小型企业和IT外包提供商之间的合作，因为信息不对称、信息扭曲、外包市场的成熟度不高以及技术更新、等多种因素的影响，存在着多种风险。当把自己的IT系统授权给服务商管理时，企业在某种程度上就失去了对信息系统的控制权。IT外包服务风险需要从中小型企业自身、IT服务提供商、信息及知识产权等三方面进行分析。

中小型企业自身产生的风险

在IT外包服务过程中，中小型企业作为管理的主体，其对IT外包的管理思路、管理行为、知识水平等， 都对IT外包服务有着非常大的影响，可能也会直接或间接地导致风险的发生。

选择低水平的不成熟的IT外包服务商存在的风险。在IT外包服务商选择环节，由于中小型企业选择标准、选择过程存在疏忽与漏洞，或没有全面考察评估提供商的综合服务水平和综合实力，片面地追求IT服务商的局部优势和低廉的价格，可能导致中小型企业选择低水平且没有丰富经验的的服务商，从而会使IT外包在服务的及时性和服务质量方面失去控制，这样就容易导致中小型企业在运行管理上的损失。这种风险是最严重也是最致命的，因为一旦选择了不合适的IT服务商，在后来服务的过程中也就很难有挽回的余地。

随着时间的推移和服务范围的扩大，中小型企业对IT外包服务商所提供的服务的依赖性会逐渐增强，就会逐渐的失去信息化控制力，最终可能导致中小型企业完全依赖外包服务商，对需求的任何变更都必须经由或取得外包服务商的同意，这样就降低了IT外包服务的可用性和灵活性。中小型企业内部对IT部门的重视程度会逐渐降低，IT人员的技术水平和综合能力会大打折扣，创新能力也会下降，最后可能导中小型企业IT总体水平下降，从而会失去信息化控制力和竞争力。

IT外包服务合同造成的风险。在IT外包合同的制定过程中，如果中小型企业没有全面的详细的制定合同细则以适应需求快速变更及其他可能发生的种种变化，如没有详细地指明服务商必须提供的最低服务水平、服务范围和标准，发生故障时的服务级别及响应时间，信息泄密处理机制等，就容易使中小企业处于被动地位。同时，在合同执行期间，中小企业如果不能对服务商的财务状况、支持能力、关键人员进行有效的监督和管理，忽视必要的审计检查和文档交接，最终也可能导致总体服务水平的下降。

外包服务商带来的风险

在IT外包服务的过程中，IT外包服务商作为这项服务的承担者，中小企业以合同方式对其明确了服务内容和服务标准，但仍不能确定外包服务商最后是否能够提供合同约定的服务。从外包服务商的角度来说，主要会带来以下几方面风险。

IT外包服务商内部的不稳定性带来的风险。在外包模式下，中小企业的IT应用在技术上依赖于外包服务商，服务商内部的不稳定性成为重要的风险来源。内部稳定性主要包括组织架构的稳定性、关键人员的稳定性和技术能力的稳定性。当前IT产业的高速发展使外包服务商的内部稳定性受到极大威胁，在合同执行期间，服务商的组织架构、关键人员、技术能力等方面的任何变化都有可能使IT外包服务陷入困境，最终导致服务商无力提供外包合同中规定的服务。

IT外包服务商对中小型企业业务需求理解不透彻带来的风险。外包服务商的技术水平一般比较高，对IT的理解很透彻。但由于不了解行业，他们对企业的内部流程等业务需求有时不能充分了解。如果外包服务商没有和企业进行充分的沟通和交流，就容易导致在需求分析阶段无法进行高质量的需求分析，使后续阶段为改正需求分析阶段产生的错误付出高昂的代价。

使中小企业隐性成本增加的潜在风险。选择IT外包的一个重要目标是减少IT运行和投资的费用。随着对外包服务商的依赖性越来越强，中小型企业付出的隐性成本会在不知不觉中增加，如选择服务商时发生的交易成本、将IT业务交给服务商时发生的转换成本等。更严重的是，如果服务商不断追求先进的IT技术，却不能使IT设备得到有效运行或运行质量难以达到合理水平，中小企业会由于业务停顿而蒙受巨大损失。在实际外包过程中，很多中小型企业往往忽略了隐性成本的核算。

信息泄漏及知识产权风险

在IT外包服务过程中，中小型企业将自己的部分或全部信息系统提供给外包服务商运行和管理，服务商及其员工就有了接触公司机密资料的机会，这样中小型企业的商业秘密及其相关信息就极有可能会泄漏给竞争对手。此外，在些核心项目外包的过程中，外包服务商往往比中小型企业更具有知识产权意识，可能将共同设计、开发的项目抢先占为己有，从而导致知识产权纠纷。中小型企业必须清醒地认识到，IT外包过程中的信息泄露和知识产权风险有可能导致严重后果，使中小型企业蒙受巨大损失。

那么如何避免或者减少这些风险，权衡中间的利弊关系呢？

当前，中小型企业的信息化建设不是很成熟，基础仍然比较薄弱，还不具备实施应用系统外包或者业务流程外包的条件。但是，行业各级单位将最底层的IT基础服务外包出去的条件已经成熟，而且需求非常迫切。根据以上情况，中小型企业在制定IT外包服务战略规划时应首先明确信息化业务的主次之分，划分优先等级，区分核心业务和非核心业务。中小型企业应以逐步推进的方式，首先选择IT知识培训、桌面终端维护、通信网络维护等外围项目进行外包，取得预期效果后再考虑防病毒系统维护、数据中心运作管理、数据备份和灾难恢复等系统的外包。对于影响中小型企业关键业务的核心应用系统的外包要谨慎对待，要进行充分的考察和评估。

全面评估IT外包风险。评估需要确定哪些外包风险是可以接受的、哪些是不能接受要尽快改进的。评估过程中应充分考虑核心业务系统的外包风险，包括影响企业业务创新能力、影响IT技术应用能力、与企业的IT战略计划发生冲突等各类风险。

科学选择外包服务商。从满足企业现有和未来信息化发展的角度，对服务商支持外包业务的技术能力、关键技术人员的综合素质、业务处理的 *** 作能力、控制突发事件的能力以及服务商的财务状况等五个方面进行全面评估，科学选择外包服务商。要不断完善对外包服务商的评测能力，加强对外包服务商所提供服务的质量进行监督、考核。

管理好外包合同。外包合同是企业最重要的监理依据，是在外包过程中最重要的文档资料之一。外包合同既是IT服务商开展专业技术服务工作的依据，也是企业对IT服务商交付的外包服务进行监控、协调、管理、评估、验收以及付费的依据。外包合同可以说是发生外包关系双方一切工作的出发点和落脚点，外包合同管理，主要涉及选择外包服务商、制定外包合同、签署外包合同、更新或终止外包合同等事项。签署外包合同之后，企业信息技术部门或者相关负责人，就增加了一项任务：对IT外包业务进行管理、控制、监测和评估，协调企业和外包服务商之间的关系，保证外包服务到位，确保本企业的利益不受损害。

严格监控IT外包服务。只有严格加强管理力度，外包服务过程中的诸多问题，如服务内容规划、服务时间进度计划、服务质量管理、服务成本管理、服务技能管理、人际沟通管理、争议裁决、需求变更程序等才能得到落实和解决。企业应成立监管小组，负责定期和不定期地对服务商进行有效监管。监管的主要内容应包括服务商的服务质量、关键人员变动情况、全面履行合同情况、服务再次分包情况等。中小型企业的管理层应定期接收关于企业IT外包风险的信息。报告的风险信息应该包括企业当前面临的或潜在的外包风险、应对外包风险的措施及步骤、采取的具体措施可能带来的不良后果等。监管的目的是使监管小组和企业高层管理者可以用定性和定量的方法来监控IT外包风险，避免风险的发生。

做好IT外包服务的过程管理。过程管理包括过程策划、过程实施、过程检查和过程改进四个部分，企业在IT外包服务管理过程的各个阶段都有其工作侧重点。在过程策划阶段，应该认真做好IT服务外包的需求获取、需求分析、服务 *** 作流程制定、服务计划、等工作；在过程实施阶段，应该使服务项目实施人员就服务内容、服务方式、服务流程、服务质量达成一致，使其严格遵循外包合同以及信息技术相关标准、规范开展技术服务工作，并做好记录，实现痕迹化管理；在过程监测阶段，应在服务实施前、实施中、实施后加强监督、测试、确认和评审，可以采用过程抽样、过程还原试验等方法来加强对服务的监控；在过程改进阶段，应主动发现外包服务商在日常工作中存在的不足，通过多种沟通渠道督促服务商改正缺点，进一步提高服务质量。

增强风险防范意识，加大知识产权保护力度。在外包服务过程中,中小企业需要增强风险防范意识，加强涉密信息的管理，明确IT服务商的相关责任，共同签署保密协议。同时要积极加强知识产权保护工作，从维护企业利益的角度出发，在合同中明确约定知识产权相关条款。

IT外包要扬长避短

IT外包是众多企业的常见做法。对于缺乏专业技术人才或解决方案的企业，IT外包是一种既能节省成本又能提高效率的方法。但IT外包并不是“万能药”，过分依靠技术外包单位会削弱企业自身的信息技术研发能力，导致企业产生依赖心理，甚至影响企业在信息技术方面的自主创新能力。

因此，着眼于长远，企业在进行IT外包时应当扬长避短，即扬外包技术单位之长，避技术外包之短。扬外包单位之长，是要根据企业的需求，找准合适的技术外包单位为企业提供服务；避外包之短，是要在外包的同时不能削弱企业自身在信息技术方面的竞争力。对此，在当前信息技术越发成为影响企业管理效率与业务质量的重要因素的情况下，一方面，企业要选择合适的信息技术合作伙伴，加强沟通，增进理解，让外包服务商及时了解企业自身的业务、管理需求；另一方面，企业要善于通过与外包服务的合作，提升企业自身技术人员的能力，增强企业自身信息技术整体能力，确保企业信息技术核心竞争力的提升。

当前，企业面临的五大IT威胁包括了恶意软件感染、安全漏洞、违规 *** 作，以及针对邮箱帐户的网络钓鱼。而物联网技术的普及也会破坏现有的IT风险管理机制。

在技术公司MetricStream对20个行业的120多家企业展开的全球调查中发现，近一半（44%）的大型企业认为未来三年物联网（IoT）技术在干扰IT风险管理项目方面具有相当大的隐患。

由于可连网设备大量普及，各个网络连接设备的管理程序并不统一，许多管理员在做物联网设备的管理架构时很容易忽视物联网的互通、完整以及安全协作层面的考量。

此外，除了简单的可见性之外，连接设备的软件开发混乱状态可能是最大的具体安全问题，不仅一些设备开始不安全，即使制造商发布补丁的缺陷，也可能难以分发和应用于有组织的方式 许多人根本不修补，因为正在进行的软件开发根本不在特定类型的设备的预算中。

虽然一般来说，IT GRC访问控制解决方案可以通过自动化工作流程，及时提供风险情报来指导决策，来增加网络防护能力。但政策、培训计划和信息治理框架都同样重要。

因此，要防范此前美国信用评级机构Equifax遭受到的网络攻击，显然要企业拥有全面、灵活的IT风险管理策略才能应对。具体可以展开以下策略：

1、对于这些新兴的联网设备，哪些位置需要安全控制，以及如何部署有效地控制。鉴于这些设备的多样性，企业将需要进行自定义风险评估，以发现有哪些风险以及如何控制这些风险。

2、企业必须能够识别IoT设备上的合法和恶意流量模式，并快速了解如何快速修复IoT设备漏洞以及如何优先排序漏洞修复工作。

3、企业还应该隔离IoT设备到vLAN或独立的网段进行有效监管。

以上由物联传媒整理提供，如有侵权联系删除

风险的自然属性。

通过对风险类型的了解，

可以确定应对风险的责任人和应对策略。

风险的

类型包括：

领导力（或称执行力）

业务

项目

资源

技术

变革管理

培训和文档

影响类型

如果不采取风险管理措施，该风险会影响项目的那些方面：

项目延迟

成本增加

质量下降

项目中止

对风险影响类型的评估会影响到规避策略使用的层度。

在不同的项目阶段，

对同一种风险影

响类型使用的规避策略层度不同，

并且规避策略之间可能会有妥协。

例如如果为了保证上线

日期，某些细小方面的质量下降可能会被接受；而在项目开始阶段，将会更注重于质量。

发生的可能性

风险发生的可能性，分为：高、中、低三类。

企业规避IT外包风险的方法：

1．减少核心业务外包。根据调查，企业信息泄露的80%来自企业内部，例如来自对公司或领导不满的员工等。公司在决定IT外包之前，必须确定外包的部分包含的公司数据量较少。

2．制定外包工作进行期间的规范，例如，不得携带存储设备进入工作场地等。

3．法规制约。检查外包公司是否遵循数据隐私法案和特殊行业法规，例如萨班斯法案、HIPPA、ISO20007等。

4．技术保证。检查外包供应商是否具备保障信息安全的技术条件。

5．公司在选择外包供应商之初，应该首先查看外包供应商的保密政策，并在外包合同中明确保密协议和信息泄露后的责任归属。

风险是指损失或损害的可能性。项目由于它们独一无二的本质而具有风险。

风险管理是一项投资，也就是说，风险管理需要花费与识别风险、分析风险和制定风险减轻计划相关的成本。这些成本必须包括在成本、进度和资源的计划编制中。

组织部门承担风险，以从潜在机会中获利。

风险效用或风险承受度是指从潜在回报中得到满足或快乐的程度。风险喜好者乐于高风险，风险厌恶者不喜欢冒险，风险中性者试图在风险和潜在回报之间取得平衡。

风险管理是一种行业准则，它要求项目团队不断地评估什么会对项目产生消极的影响，并确定这些事件发生的概率，以及确定这些事件如果发生所造成的影响。风险管理也涉及分析和决定对付风险的备选战略。风险管理中包含的四个主要过程是：风险识别、风险量化、风险应对计划制定和风险应对控制。风险管理计划是风险管理的重要输出。

ITS,目经常涉及下列风险：缺乏用户的参与、缺少高级管理层的支持、不明晰的要求、拙劣的计划编制，等等。由斯坦迪什集团、麦克法兰和其他组织开发的风险列表，有助于识别IT项目的潜在风险。在项目管理知识领域的一般风险条件列表也会很有帮助。

量化风险的工具和技术包括期望货币值(EMV)、计算风险因子、PERT估计、模拟和专家判断。期望货币值有助于你根据项目的预期价值来评价潜在的项目。风险因子代表了具体事件的风险，它基于其发生的概率和如果发生时所造成的后果。PERT估计需要收集乐观估计值、悲观估计值和最可能估计值。模拟是一种与PERT相比更加复杂的估算方法，它有助于你确定满足具体项目进度或成本目标的可能性。专家判断也是一种评估项目风险的有价值的工具。

三个应对风险的基本措施是：规避、接受和减轻。风险规避涉及根除具体的威胁和风险。风险接受意味着如果风险发生接受风险产生的后果。风险减轻是指通过减少风险发生的概率来减轻风险事件的影响。

风险管理计划记录了管理整个项目过程中相关风险的步骤。项目团队也会准备应急计划，这样，如果一项已识别的风险发生时，他们就知道应该采取什么措施。项目发起人经常提供应急储备来帮助应付项目范围或质量上的可能变更，从而减轻整体上的成本或，和进度风险。

风险控制涉及执行风险管理过程和计划来应对风险事件。“十大风险事项追踪”是一种在整个项目生命期始终保持风险意识的方法。

几种类型的软件在风险管理过程中会起到辅助作用。蒙特卡罗模拟软件是一种特别有用的工具，有助于更好地理解项目风险和风险或风险驱动者的几大来源。

以上就是关于IT项目风险管理全部的内容，包括:IT项目风险管理、当今企业面临的IT风险是什么、中小企业如何避免IT外包带来的风险等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！