CIO经常关注企业IT系统面临哪些风险？

项目的风险无非体现在以下四个方面：需求、技术、成本和进度，而IT项目管理中时主要会遇到风险：包括技术风险、管理风险对项目产生影响的不确定因素。

IT项目管理从某种意义上讲，就是风险管理。因此IT企业在进行项目管理的过程中，必须采用适合自己的风险管理方法进行风险管理，并且确保软件项目在规定的预算和期限内完成项目。

风险是指损失或损害的可能性。项目由于它们独一无二的本质而具有风险。

风险管理是一项投资，也就是说，风险管理需要花费与识别风险、分析风险和制定风险减轻计划相关的成本。这些成本必须包括在成本、进度和资源的计划编制中。

组织部门承担风险，以从潜在机会中获利。

风险效用或风险承受度是指从潜在回报中得到满足或快乐的程度。风险喜好者乐于高风险，风险厌恶者不喜欢冒险，风险中性者试图在风险和潜在回报之间取得平衡。

风险管理是一种行业准则，它要求项目团队不断地评估什么会对项目产生消极的影响，并确定这些事件发生的概率，以及确定这些事件如果发生所造成的影响。风险管理也涉及分析和决定对付风险的备选战略。风险管理中包含的四个主要过程是：风险识别、风险量化、风险应对计划制定和风险应对控制。风险管理计划是风险管理的重要输出。

ITS,目经常涉及下列风险：缺乏用户的参与、缺少高级管理层的支持、不明晰的要求、拙劣的计划编制，等等。由斯坦迪什集团、麦克法兰和其他组织开发的风险列表，有助于识别IT项目的潜在风险。在项目管理知识领域的一般风险条件列表也会很有帮助。

量化风险的工具和技术包括期望货币值(EMV)、计算风险因子、PERT估计、模拟和专家判断。期望货币值有助于你根据项目的预期价值来评价潜在的项目。风险因子代表了具体事件的风险，它基于其发生的概率和如果发生时所造成的后果。PERT估计需要收集乐观估计值、悲观估计值和最可能估计值。模拟是一种与PERT相比更加复杂的估算方法，它有助于你确定满足具体项目进度或成本目标的可能性。专家判断也是一种评估项目风险的有价值的工具。

三个应对风险的基本措施是：规避、接受和减轻。风险规避涉及根除具体的威胁和风险。风险接受意味着如果风险发生接受风险产生的后果。风险减轻是指通过减少风险发生的概率来减轻风险事件的影响。

风险管理计划记录了管理整个项目过程中相关风险的步骤。项目团队也会准备应急计划，这样，如果一项已识别的风险发生时，他们就知道应该采取什么措施。项目发起人经常提供应急储备来帮助应付项目范围或质量上的可能变更，从而减轻整体上的成本或，和进度风险。

风险控制涉及执行风险管理过程和计划来应对风险事件。“十大风险事项追踪”是一种在整个项目生命期始终保持风险意识的方法。

几种类型的软件在风险管理过程中会起到辅助作用。蒙特卡罗模拟软件是一种特别有用的工具，有助于更好地理解项目风险和风险或风险驱动者的几大来源。

尽管如此，还是有必要对这些风险进行梳理。不过，在开始对风险评估之前，IT部门首先需要了解为什么会提出这样的问题以及有哪些风险需要进行评估。其中尤为重要的是，每一个人都要明白，IT面临的风险最终都会波及到企业的正常经营。

一般而言，这些风险可以分为以下四种，它们都有对应的风险控制工具:

1 业务运营风险。对此类风险的评估涉及到企业面临着何种竞争威胁，而对竞争威胁的分析有助于企业决定投入多少必要的资源来应对这种竞争威胁。

在面临那些非传统的竞争威胁时，选择合适的应对策略有时是非常困难的。比如，很多高科技企业在最初面对微软时就根本没有把它放在眼里，认为它不过是一个从哈佛退学的学生组成的一个小公司而言。最后这些企业为此付出了代价。

对于业务经营风险而言，应对策略就是参考那些好的对各种相关风险进行评估的企业案例。面对一个崭新的市场机会，进行一次全面的风险评估对保证经营的成功就像准确的财务分析报告一样重要。

2 项目风险。对于经过批准的或者是已经在开发中的项目，其管理重点通常落在项目是否能在预算内、按期、高质量地交付。其对应的风险控制方法是利用有效的项目管理和进行常规的监控。

3 业务中断风险。这类风险指的是企业在困难环境中是否能继续保持业务运转，比如，服务器突然宕机或者大厦被毁坏时。在大多数情况下，服务器崩溃只会影响少数几个人，而建筑物被毁坏可能会导致公司经营活动全部终止。

4 市场风险。这类风险又可以分为地缘政治风险和特殊行业风险。地缘政治风险包括战争、恐怖袭击、瘟疫以及进出口限制等，此类风险的大小取决于具体的国家、企业供应链的复杂程度以及所处的行业与政治之间的关系等。特殊行业风险指的是国家对某些行业的特殊限制政策等，例如从事金融服务业必须考虑国家的银根紧缩政策、债务抵押业务的彻底崩溃以及类似目前袭击全球的次贷风波等; 从事日常消费品生产的制造商必须小心快闪族通过社交网络唾弃它们的产品。

这类风险的控制主要依赖于快速对各种不确定的事件制定出相应的对策。其中最为重要的是，要努力去发现各种可能的风险，因为最大的风险恰恰是我们不知道有何种风险。

外包特别是离岸外包会增加上述各种风险的危险性。对外包的风险进行评估时必须特别关注通信、物流供应以及供应商的变化和知识产权等问题。

另外，在进行任何风险评估之前，还必须了解公司的管理团队面临的困难，然后再选择合适的办法来应对潜在的因难。如果经济状况允许，也可以考虑对风险进行投保。

企业规避IT外包风险的方法：

1．减少核心业务外包。根据调查，企业信息泄露的80%来自企业内部，例如来自对公司或领导不满的员工等。公司在决定IT外包之前，必须确定外包的部分包含的公司数据量较少。

2．制定外包工作进行期间的规范，例如，不得携带存储设备进入工作场地等。

3．法规制约。检查外包公司是否遵循数据隐私法案和特殊行业法规，例如萨班斯法案、HIPPA、ISO20007等。

4．技术保证。检查外包供应商是否具备保障信息安全的技术条件。

5．公司在选择外包供应商之初，应该首先查看外包供应商的保密政策，并在外包合同中明确保密协议和信息泄露后的责任归属。

IT项目中的风险管理

软件项目的风险无非体现在以下四个方面：需求、技术、成本和进度。IT项目开发中常见的风险有如下几类：

需求风险

①需求已经成为项目基准,但需求还在继续变化;②需求定义欠佳,而进一步的定义会扩展项目范畴;③添加额外的需求;④产品定义含混的部分比预期需要更多的时间;⑤在做需求中客户参与不够;⑥缺少有效的需求变化管理过程。

计划编制风险

①计划、资源和产品定义全凭客户或上层领导口头指令,并且不完全一致;②计划是优化的,是"最佳状态",但计划不现实,只能算是"期望状态";③计划基于使用特定的小组成员,而那个特定的小组成员其实指望不上;④产品规模(代码行数、功能点、与前一产品规模的百分比)比估计的要大;⑤完成目标日期提前,但没有相应地调整产品范围或可用资源;⑥涉足不熟悉的产品领域,花费在设计和实现上的时间比预期的要多。

组织和管理风险

①仅由管理层或市场人员进行技术决策,导致计划进度缓慢,计划时间延长;②低效的项目组结构降低生产率;③管理层审查 决策的周期比预期的时间长;④预算削减,打乱项目计划;⑤管理层作出了打击项目组织积极性的决定;⑥缺乏必要的规范,导至工作失误与重复工作;⑦非技术的第三方的工作(预算批准、设备采购批准、法律方面的审查、安全保证等)时间比预期的延长。

人员风险

①作为先决条件的任务(如培训及其他项目)不能按时完成;②开发人员和管理层之间关系不佳,导致决策缓慢,影响全局;③缺乏激励措施,士气低下,降低了生产能力;④某些人员需要更多的时间适应还不熟悉的软件工具和环境;⑤项目后期加入新的开发人员,需进行培训并逐渐与现有成员沟通,从而使现有成员的工作效率降低;⑥由于项目组成员之间发生冲突,导致沟通不畅、设计欠佳、接口出现错误和额外的重复工作;⑦不适应工作的成员没有调离项目组,影响了项目组其他成员的积极性;⑧没有找到项目急需的具有特定技能的人。

开发环境风险

①设施未及时到位;②设施虽到位,但不配套,如没有电话、网线、办公用品等;③设施拥挤、杂乱或者破损;④开发工具未及时到位;⑤开发工具不如期望的那样有效,开发人员需要时间创建工作环境或者切换新的工具;⑥新的开发工具的学习期比预期的长,内容繁多。

客户风险

①客户对于最后交付的产品不满意,要求重新设计和重做;②客户的意见未被采纳,造成产品最终无法满足用户要求,因而必须重做;③客户对规划、原型和规格的审核 决策周期比预期的要长;④客户没有或不能参与规划、原型和规格阶段的审核,导致需求不稳定和产品生产周期的变更;⑤客户答复的时间(如回答或澄清与需求相关问题的时间)比预期长;⑥客户提供的组件质量欠佳,导致额外的测试、设计和集成工作,以及额外的客户关系管理工作。

产品风险

①矫正质量低下的不可接受的产品,需要比预期更多的测试、设计和实现工作;②开发额外的不需要的功能(镀金),延长了计划进度;③严格要求与现有系统兼容,需要进行比预期更多的测试、设计和实现工作;④要求与其他系统或不受本项目组控制的系统相连,导致无法预料的设计、实现和测试工作;⑤在不熟悉或未经检验的软件和硬件环境中运行所产生的未预料到的问题;⑥开发一种全新的模块将比预期花费更长的时间;⑦依赖正在开发中的技术将延长计划进度。

设计和实现风险

①设计质量低下,导致重复设计;②一些必要的功能无法使用现有的代码和库实现,开发人员必须使用新的库或者自行开发新的功能;③代码和库质量低下,导致需要进行额外的测试,修正错误,或重新制作;④过高估计了增强型工具对计划进度的节省量;⑤分别开发的模块无法有效集成,需要重新设计或制作。

过程风险

①大量的纸面工作导致进程比预期的慢;②前期的质量保证行为不真实,导致后期的重复工作;③太不正规(缺乏对软件开发策略和标准的遵循),导致沟通不足,质量欠佳,甚至需重新开发;④过于正规(教条地坚持软件开发策略和标准),导致过多耗时于无用的工作;⑤向管理层撰写进程报告占用开发人员的时间比预期的多;⑥风险管理粗心,导致未能发现重大的项目风险。

软件项目风险管理模型

针对软件项目中的风险管理问题，不少专家、组织提出了自己的风险管理模型。主要的风险管理模型有：Boehm模型，CRM模型和SERIM模型。

Barry Boehm模型

模型：RE=P(UO)L(UO)

其中RE表示风险或者风险所造成的影响，P(UO)表示令人不满意的结果所发生的概率，L(UO)表示糟糕的结果会产生的破坏性的程度。Boehm思想的核心是10大风险因素列表。针对每个风险因素，都给出了一系列的风险管理策略。在实际 *** 作时，Boehm以10大风险列表为依据，总结当前项目具体的风险因素，评估后进行计划和实施，在下一次定期召开的会议上再对这10大风险因素的解决情况进行总结，产生新的10大风险因素表，依此类推。

SEI的CRM(Continuous Risk Management)模型

SEI CRM模型的风险管理原则是：不断地评估可能造成恶劣后果的因素；决定最迫切需要处理的风险；实现控制风险的策略；评测并确保风险策略实施的有效性。CRM模型要求在项目生命期的所有阶段都关注风险识别和管理，它将风险管理划分为个步骤：风险识别、分5析、计划、跟踪、控制。

SERIM(Software Engineering Risk Model)模型

SERIM从技术和商业两个角度对软件风险管理进行剖析，考虑的问题涉及开销、进度、技术性能等。它还提供了一些指标和模型来估量和预测风险，由于这些数据来源于大量的实际经验，因此具有很强的说服力。

结

语

IT项目管理从某种意义上讲，就是风险管理。我们尽量去定义明确不变的需求，以便进行计划并高效管理，但商业环境总是快速变化的，甚至是无序的变化。所以，软件企业在进行项目管理的过程中，必须采用适合自己的风险管理方法进行风险管理，以确保软件项目在规定的预算和期限内完成项目。

希望上述提供的资料对您有所帮助！

以上就是关于IT项目管理中的风险有哪些全部的内容，包括:IT项目管理中的风险有哪些、《IT项目管理》总结：项目风险管理、CIO经常关注企业IT系统面临哪些风险等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！