風險管理 -漢語詞語

風險管理

風險管理是指如何在項目或者企業一個肯定有風險的環境裏把風險減至最低的管理過程。

  • 中文名稱
    風險管理
  • 外文名稱
    Risk management
  • 目的
    把風險減至最低
  • 包括
    風險的量度、評估和應變策略

百科名片

風險管理是指如何在一個肯定有風險的環境裏把風險減至最低的管理過程。

  • 中文名:   風險管理  
  • 外文名:   Risk management  
  • 目的:   把風險減至最低  
  • 包括:   風險的量度、評估和應變策略  

定義

風險管理當中包括了對風險的量度、評估和應變策略。理想的風險管理,是一連串排好優先次序的過程,使當中的可以引致最大損失及最可能發生的事情優先處理、而相對風險較低的事情則押後處理。

現實情況裏,最佳化的過程往往很難決定,因為風險和發生的可能性通常並不一致,所以要權衡兩者的比重,以便作出最合適的決定。  風險管理亦要面對有效資源運用的難題。這牽涉到機會成本(opportunity cost)的因素。把資源用于風險管理,可能使能運用于有回報活動的資源減低;而理想的風險管理,正希望能夠花最少的資源去去盡可能化解最大的危機。

風險管理風險管理

“風險管理”曾經在1990年代西方商業界前往中國進行投資的行政人員必修科目。當年不少MBA課程都額外加入“風險管理”的環節。

風險管理(risk management)

在降低風險的收益與成本之間進行權衡並決定採取何種措施的過程。

確定減少的成本收益權衡方案(trade-off)和決定採取的行動計畫(包括決定不採取任何行動)的過程成為風險管理。

首先,風險管理必須識別風險。風險識別是確定何種風險可能會對企業產生影響,最重要的是量化不確定性的程度和每個風險可能造成損失的程度。

其次,風險管理要著眼于風險控製,公司通常採用積極的措施來控製風險。通過降低其損失發生的概率,縮小其損失程度來達到控製目的。控製風險的最有效方法就是製定切實可行的應急方案,編製多個備選的方案,最大限度地對企業所面臨的風險做好充分的準備。當風險發生後,按照預先的方案實施,可將損失控製在最低限度。

再次,風險管理要學會規避風險。在既定目標不變的情況下,改變方案的實施路徑,從根本上消除特定的風險因素。例如設立現代激勵機製、培訓方案、做好人才備份工作等等,可以降低知識員工流失的風險。

意義

有效地對各種風險進行管理有利于企業作出正確的決策、有利于保護企業資產的安全和完整、有利于實現企業的經營活動目標,對企業來說具有重要的意義。

概念

風險管理是社會組織或者個人用以降低風險的消極結果的決策過程,通過風險識別、風險估測、風險評價,並在此基礎上選擇與最佳化組合各種風險管理技術,對風險實施有效控製和妥善處理風險所致損失的後果,從而以最小的成本收獲最大的安全保障。風險管理含義的具體內容包括:

1.風險管理的對象是風險。

2.風險管理的主體可以是任何組織和個人,包括個人、家庭、組織(包括營利性組織和非營利性組織)。

3.風險管理的過程包括風險識別、風險估測、風險評價、選擇風險管理技術和評估風險管理效果等。

4.風險管理的基本目標是以最小的成本收獲最大的安全保障。

5.風險管理成為一個獨立的管理系統,並成為了一門新興學科。

工具

風險管理的工具:

風險管理工具共有七種:風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償和風險控製。

1.風險承擔

風險承擔亦稱風險保留、風險自留。風險承擔是指企業對所面臨的風險採取接受的態度,從而承擔風險帶來的後果。

對未能辨識出的風險,企業隻能採用風險承擔。

對于辨識出的風險,企業也可能由于以下幾種原因採用風險承擔:(1)缺乏能力進行主動管理,對這部分風險隻能承擔;(2)沒有其他備選方案;(3)從成本效益考慮,這一方案是最適宜的方案。

對于企業的重大風險,即影響到企業目標實現的風險,企業一般不應採用風險承擔。

2.風險規避

風險規避是指企業回避、停止或退出蘊含某一風險的商業活動或商業環境,避免成為風險的所有人。例如:

(1)退出某一市場以避免激烈競爭;

(2)拒絕與額度不好的交易對手進行交易;

(3)外包某項對工人健康安全風險較高的工作;

(4)停止生產可能有潛在客戶安全隱患的產品;

(5)禁止各業務單位在金融市場進行投機;

(6)不準員工訪問某些網站或下載某些內容。

3.風險轉移

風險轉移是指企業通過契約將風險轉移到第三方,企業對轉移後的風險不再擁有所有權。轉移風險不會降低其可能的嚴重程度,隻是從一方移除後轉移到另一方。例如:

(1)保險:保險契約規定保險公司為預定的損失支付補償,作為交換,在契約開始時,投保人要向保險公司支付保險費。

(2)非保險型的風險轉移:將風險可能導致的財務風險損失負擔轉移給非保險機構。 例如,服務保證書等。

(3)風險證券化:通過證券化保險風險構造的保險連線型證券(ILS)。這種債券的利息支付和本金償還取決于某個風險事件的發生或嚴重程度。

4.風險轉換

風險轉換是指企業通過戰略調整等手段將企業面臨的風險轉換成另一個風險。風險轉換的手段包括戰略調整和衍生產品等。

風險轉換一般不會直接降低企業總的風險,其簡單形式就是在減少某一風險的同時,增加另一風險。例如,通過放松交易客戶額度標準,增加了應收賬款,但擴大了銷售。

企業可以通過風險轉換在兩個或多個風險之間進行調整,以達到最佳效果。

風險轉換可以在低成本或者無成本的情況下達到目的。

5.風險對沖

風險對沖是指採取各種手段,引入多個風險因素或承擔多個風險,使得這些風險能夠互相對沖,也就是使這些風險的影響互相抵消。

常見的例子有資產組合使用、多種外幣結算的使用和戰略上的多種經營等。

在金融資產管理中,對沖也包括使用衍生產品,如利用期貨進行套期保值。

在企業的風險中,有些風險具有自然對沖的性質,應當加以利用。例如,不同行業的經濟周期風險對沖。

風險對沖必須涉及風險組合,而不是對單一風險;對于單一風險,隻能進行風險規避、風險控製。

6.風險補償

風險補償是指企業對風險可能造成的損失採取適當的措施進行補償。風險補償表現在企業主動承擔風險,並採取措施以補償可能的損失。

風險補償的形式有財務補償、人力補償、物資補償等。財務補償是損失融資,包括企業自身的風險準備金或應急資本等。

【提示】風險承擔與風險補償的辨析。

風險承擔是指風險保留在企業內部,企業以其內部的資源來彌補損失或者對這些保留下來的風險不採取任何措施。通常適宜于損失頻率小並且損失程度較小的風險,或者適宜損失頻率高但損失程度較小的風險,這些風險通常被企業視為擺脫不掉或不可避免的風險。

從以上的分析可以看出,風險承擔的主要特征有:事後性、非重大性、被動性、內部資源。

風險補償是指企業對風險可能造成的損失採取適當的措施進行補償。其主要方式有:

(1)對于無法通過風險轉移、風險轉換、風險對沖或風險控製進行管理,而且又無法規避、不得不承擔的較重大風險,投資者可以採取在交易價格上附加風險溢價,即通過提高風險回報的方式,獲得承擔風險的價格補償。商業銀行可以預先在金融資產定價中充分考慮到各種風險因素,通過價格調整來獲得合理的風險回報。

(2)當意外損失發生後,企業無法依靠內部資金度過財務危機時,企業可以向銀行尋求特別貸款或從其他渠道融資。由于風險事故的突發性和損失的不確定性,企業也可以在風險事故發生前,與銀行達成一項應急貸款協定,一旦風險事故發生,企業可以獲得及時的貸款應急,並按協定約定條件還款。

(3)建立專業自保公司。這是企業實行風險補償的高級形式。

(4)建立意外損失基金。企業根據風險評估所了解的風險特征,並根據企業本身的財務能力,預先提取以補償風險事件所致損失的一種基金。這種方式通常處理那些可能引起較大損失,但這一損失又無法攤入經營成本的風險。例如,對大額應收賬款計提壞賬準備金。

從以上的分析可以看出,風險補償的主要特征有:事前性、重大性、主動性、內部及外部資源。

7.風險控製

風險控製是指控製風險事件發生的動因、環境、條件等,來達到減輕風險事件發生時的損失或降低風險事件發生的概率的目的。

通常影響某一風險的因素有很多。風險控製可以通過控製這些因素中的一個或多個來達到目的,但主要的是風險事件發生的概率和發生後的損失。

風險控製對象一般是可控風險,包括多數運營風險,如質量、安全和環境風險,以及法律風險中的合規性風險。

《中央企業全面風險管理指引》指出,一般情況下,對戰略、財務、運營和法律風險,可採取風險承擔、風險規避、風險轉換和風險控製等方法。對能夠通過保險、期貨、對沖等金融手段進行理財的風險,可以採用風險轉移、風險對沖和風險補償等方法。

人力資源

人力資源管理中的風險管理是指在招聘、工作分析、職業計畫、績效考評、工作評估、薪金管理、福利/激勵、員工培訓員工管理等各個環節中進行風險管理,防範人力資源管理中的風險發生。

風險分類:

招聘風險、績效考評風險、工作評估風險、薪金管理風險、員工培訓風險、員工管理風險等等。

風險識別:

要想防範風險,首先要進行風險識別。識別風險就是主動的去尋找風險。比如員工管理中,技術骨幹離職風險可能會由以下幾個方面產生:

1、待遇:他是否對他的待遇滿意?

2、工作成就感:他是否有工作成就感?

3、自我發展:他是否在工作中提高了自己的能力?

4、人際關系:他在公司是否有良好的人際關系?

5、公平感:他是否感到公司對他與別人是公平的?

6、地位:他是否認為他在公司的地位與他對公司的貢獻成正比?

7、信心:他是否對公司的發展和個人在公司的發展充滿了信心?

8、溝通:他是否有機會與大家溝通、交流?

9、關心:他是否能得到公司和員工的關心?

10、認同:他是否認同企業的管理方式、企業文化、發展戰略?

11、其他:他是否有可能因為結婚、出國留學、繼續深造等原因離職?

風險評估

風險評估是對風險可能造成的災害進行分析。主要通過以下幾個步驟進行評估:

1、根據風險識別的條目有針對性的進行調研;

2、根據調研結果和經驗,預測發生的可能性,並用百分比表示發生可能性的程度;

3、根據程度排定優先佇列。

各個步驟

對于現代企業來說,風險管理就是通過風險的識別、預測和衡量、選擇有效的手段,以盡可能降低成本,有計畫地處理風險,以獲得企業安全生產的經濟保障。這就要求企業在生產經營過程中,應對可能發生的風險進行識別,預測各種風險發生後對資源及生產經營造成的消極影響,使生產能夠持續進行。可見,風險的識別、風險的預測和風險的處理是企業風險管理的主要步驟。

風險的識別

風險的識別是風險管理的首要環節。隻有在全面了解各種風險的基礎上,才能夠預測危險可能造成的危害,從而選擇處理風險的有效手段。

風險識別方法很多,常見的方法有:

2.1.1◆生產流程分析法

生產流程分析法是對企業整個生產經營過程進行全面分析,對其中各個環節逐項分析可能遭遇的風險,找出各種潛在的風險因素。生產流程分析法可分為風險列舉法和流程圖法。

1.風險列舉法指風險管理部門根據該企業的生產流程,列舉出各個生產環節的所有風險。

2.流程圖法指企業風險管理部門將整個企業生產過程一切環節系統化、順序化,製成流程圖,從而便于發現企業面臨的風險。

2.1.2◆財務表格分析法

財務表格分析法是通過對企業的資產負債表、損益表、營業報告書及其他有關資料進行分析,從而識別和發現企業現有的財產、責任等面臨的風險。

2.1.3保險調查法

採用保險調查法進行風險識別可以利用兩種形式:

通過保險險種一覽表,企業可以根據保險公司或者專門保險刊物的保險險種一覽表,選擇適合該企業需要的險種。這種方法僅僅對可保風險進行識別,對不可保風險則無能為力。

委托保險人或者保險咨詢服務機構對該企業的風險管理進行調查設計,找出各種財產和責任存在的風險。

風險的預測

風險預測實際上就是估算、衡量風險,由風險管理人運用科學的方法,對其掌握的統計資料、風險信息及風險的性質進行系統分析和研究,進而確定各項風險的頻度和強度,為選擇適當的風險處理方法提供依據。風險的預測一般包括以下兩個方面:

2.2.1預測風險的概率:通過資料積累和觀察,發現造成損失的規律性。一個簡單的例子:一個時期一萬棟房屋中有十棟發生火災,則風險發生的概率是1/1000。由此對概率高的風險進行重點防範。

2.2.2預測風險的強度:假設風險發生,導致企業的直接損失和間接損失。對于容易造成直接損失並且損失規模和程度大的風險應重點防範。

處理方法

風險的處理常見的方法有:

避免風險:消極躲避風險。比如避免火災可將房屋出售,避免航空事故可改用陸路運輸等。因為存在以下問題,所以一般不採用。

可能會帶來另外的風險。比如航空運輸改用陸路運輸,雖然避免了航空事故,但是卻面臨著陸路運輸工具事故的風險。

會影響企業經營目標的實現。比如為避免生產事故而停止生產,則企業的收益目標無法實現。

預防風險:採取措施消除或者減少風險發生的因素。例如為了防止水災導致倉庫進水,採取增加防洪門、加高防洪堤等,可大大減少因水災導致的損失。

自保風險:企業自己承擔風險。途徑有:

小額損失納入生產經營成本,損失發生時用企業的收益補償。

針對發生的頻率和強度都大的風險建立意外損失基金,損失發生時用它補償。帶來的問題是擠佔了企業的資金,降低了資金使用的效率。

對于較大的企業,建立專業的自保公司。

轉移風險:在危險發生前,通過採取出售、轉讓、保險等方法,將風險轉移出去。

歷史

風險管理是一門新興的管理學科。

萌芽

風險管理從1930年代開始萌芽。風險管理最早起源于美國,在1930年代,由于受到1929-1933年的世界性經濟危機的影響,美國約有40%左右的銀行和企業破產,經濟倒退了約20年。美國企業為應對經營上的危機,許多大中型企業都在內部設立了保險管理部門,負責安排企業的各種保險項目。可見,當時的風險管理主要依賴保險手段。

形成

1938年以後,美國企業對風險管理開始採用科學的方法,並逐步積累了豐富的經驗。1950年代風險管理發展成為一門學科,風險管理一詞才形成。

1970年代以後逐漸掀起了全球性的風險管理運動。1970年代以後,隨著企業面臨的風險復雜多樣和風險費用的增加,法國從美國引進了風險管理並在法國國內傳播開來。與法國同時,日本也開始了風險管理研究。

發展

近20年來,美國、英國、法國、德國、日本等國家先後建立起全國性和地區性的風險管理協會。1983年在美國召開的風險和保險管理協會年會上,世界各國專家學者雲集紐約,共同討論並通過了“101條風險管理準則”,它標志著風險管理的發展已進入了一個新的發展階段。

1986年,由歐洲11個國家共同成立的“歐洲風險研究會”將風險研究擴大到國際交流範圍。1986年10月,風險管理國際學術討論會在新加坡召開,風險管理已經由環大西洋地區向亞洲太平洋地區發展。

在中國的發展

中國對于風險管理的研究開始于1980年代。一些學者將風險管理和安全系統工程理論引入中國,在少數企業試用中感覺比較滿意。中國大部分企業缺乏對風險管理的認識,也沒有建立專門的風險管理機構。作為一門學科,風險管理學在中國仍舊處于起步階段。

進入到上世紀90年代,隨著資產證券化在國際上興起,風險證券化也被引入到風險管理的研究領域中。而最為成功的例子是瑞士再保險公司發行的巨災債券,和由美國芝加哥期貨交易所發行的PCS期權。

分類

風險管理主要分為兩類:

經營管理型風險管理,主要研究政治、經濟、社會變革等所有企業面臨的風險的管理。

保險型風險管理,主要以可保風險作為風險管理的對象,將保險管理放在核心地位,將安全管理作為補充手段。

研究方法

對風險管理研究的方法採用定性分析方法和定量分析方法。

定性分析方法是通過對風險進行調查研究,做出邏輯判斷的過程。定量分析方法一般採用系統論方法,將若幹相互作用、相互依賴的風險因素組成一個系統,抽象成理論模型,運用概率論和數理統計等數學工具定量計算出最優的風險管理方案的方法。

隨著經濟發展中產業的細化和經營方式的多樣化、金融深化以及日新月異的技術創新,對風險的科學識別、計
  量和安排都必須要有相應技術作為支持,僅僅借助經驗和主觀判斷是無法勝任的。

投資項目、前期評價、貸款定價、授信決策、風險監控、資本計量、減值計提、績效考核、組合管理、貸後管理等方面,用依賴經驗的非標準化方式進行,不僅難以兼顧風險偏好和決策,同時也大大影響了工作流程,資金效率、項目成本等指標。

因此,就需要進行系統的學習,全方位的了解和套用投資項目分析體系,用正確的系統工具和分析方法,對項目進行評價。

學說

純粹風險說

純粹風險說以美國為代表。純粹風險說將企業風險管理的對象放在企業靜態風險的管理上,將風險的轉嫁與保險密切聯系起來。該學說認為風險管理的基本職能是將對威脅企業的純粹風險的確認和分析,並通過分析在風險自保和進行保險之間選擇最小成本獲得最大保障的風險管理決策方案。該學說是保險型風險管理的理論基礎。

企業全部風險說

企業全部風險說以德國和英國為代表,該學說將企業風險管理的對象設定為企業的全部風險,包括了企業的靜態風險(純粹風險)和動態風險(投機風險),認為企業的風險管理不僅要把純粹風險的不利性減小到最小,也要把投機風險的收益性達到最大。該學說認為風險管理的中心內容是與企業倒閉有關的風險的科學管理。企業全部風險說是經營管理型風險管理的理論基礎。

體系

在20世紀七八十年代,因為事故和其它發生的風險導致了許多組織的破產,這一現象引起了一些跨國公司和大型聯合企業股東的極大關註,為強化自己的社會關註力和最大地降低事故和其它事件的損失,這些企業開始引入了“損失控製”的理念,將管理的重點慢慢地從預防傷害轉向預防和控製損失。從那時候,風險管理得到了世界上更大的關註,並逐步地得到的發展。

鑽石體系就是在這一背景之下產生的,她由國際風險控製協會聯盟創造人弗蘭克.伯德先生首創,其早期設計的目的僅僅是為了協助企業控製損失,降低事故,她是一個公共性的系統。但隨著國際社會及企業對風險管理需求的不斷增加以及對鑽石體系表現出的日益成長的興趣與關註,使得國際風險控製協會不得不升級了它的安健環質量保護體系以滿足市場要求並符合國際標準,經過美國、南非、澳大利亞等聯盟成員7次修編,鑽石體系已被證實為一個隨時可用的現成架構,是一個涵蓋了所有職業安全、健康、環境、質量及社會等元素風險,符合ISO9001、ISO14001及OHSAS 18001/ AS/NZS 4801標準要求的整合系統。她是世界上最好的安健環質量綜合風險管理體系之一。

2004年,鑽石體系由國際風險控製協會聯盟成員安瑞祺國際風險管理顧問公司引進中國,並為諸多如南方電網公司等國內大型國有企業所採納。

鑽石體系強調“以人為本”的思想,它結合安全行為科學,通過行為幹預技術,改善員工風險行為,無限度地提升商業機構底線的質和量,改善機構生產能力及員工士氣,並最終為商業機構帶來世界級的職業安全、健康、環境、質量及風險管理的成果。

鑽石體系的設計具有較強的可塑性,它貼近企業操作實踐,具備兼容企業與當地行業特殊要求的能力,諸多國際及跨國公司在鑽石體系上的成功運用充分說明它是一套科學的、完備的管理系統。

鑽石體系由12個元素組成,這些元素代表好的管理實踐,並與一些國際標準如ISO 14001、 ISO 9001:2000、OHSAS – 18001、英國標準8800及其他國際標準如AS/NZS4801相兼容。

軟體項目風險管理

簡介

軟體項目風險管理是軟體項目管理的重要內容。在進行軟體項目風險管理時,要辯識風險,評估它們出現的概率及產生的影響,然後建立一個規劃來管理風險。風險管理的主要目標是預防風險。

軟體項目風險是指在軟體開發過程中遇到的預算和進度等方面的問題以及這些問題對軟體項目的影響。軟體項目風險會影響項目計畫的實現,如果項目風險變成現實,就有可能影響項目的進度,增加項目的成本,甚至使軟體項目不能實現。如果對項目進行風險管理,就可以最大限度的減少風險的發生。但是,目前國內的軟體企業不太關心軟體項目的風險管理,結果造成軟體項目經常性的延期、超過預算,甚至失敗。成功的項目管理一般都對項目風險進行了良好的管理。因此任何一個系統開發項目都應將風險管理作為軟體項目管理的重要內容。

在項目風險管理中,存在多種風險管理方法與工具,軟體項目管理隻有找出最適合自己的方法與工具並套用到風險管理中,才能盡量減少軟體項目風險,促進項目的成功。

軟體項目的風險管理是軟體項目管理的重要內容。本文探討了風險管理的主要內容和方法,介紹了風險管理的經典理論,比較了幾種主流的風險管理策略和模型。

風險分類

軟體項目的風險無非體現在以下四個方面:需求、技術、成本和進度。IT項目開發中常見的風險有如下幾類:

1 需求風險

①需求已經成為項目基準,但需求還在繼續變化;②需求定義欠佳,而進一步的定義會擴展項目範疇;③增加額外的需求;④產品定義含混的部分比預期需要更多的時間;⑤在做需求中客戶參與不夠;⑥缺少有效的需求變化管理過程。

2 計畫編製風險

①計畫、資源和產品定義全憑客戶或上層領導口頭指令,並且不完全一致;②計畫是最佳化的,是"最佳狀態",但計畫不現實,隻能算是"期望狀態";③計畫基于使用特定的小組成員,而那個特定的小組成員其實指望不上;④產品規模(代碼行數、功能點、與前一產品規模的百分比)比估計的要大;⑤完成目標日期提前,但沒有相應地調整產品範圍或可用資源;⑥涉足不熟悉的產品領域,花費在設計和實現上的時間比預期的要多。

3 組織和管理風險

①僅由管理層或市場人員進行技術決策,導致計畫進度緩慢,計畫時間延長;②低效的項目組結構降低生產率;③管理層審查 決策的周期比預期的時間長;④預算削減,打亂項目計畫;⑤管理層作出了打擊項目組織積極性的決定;⑥缺乏必要的規範,導至工作失誤與重復工作;⑦非技術的第三方的工作(預算批準、設備採購批準、法律方面的審查、安全保證等)時間比預期的延長。

4 人員風險

①作為先決條件的任務(如培訓及其他項目)不能按時完成;②開發人員和管理層之間關系不佳,導致決策緩慢,影響全局;③缺乏激勵措施,士氣低下,降低了生產能力;④某些人員需要更多的時間適應還不熟悉的軟體工具和環境;⑤項目後期加入新的開發人員,需進行培訓並逐漸與現有成員溝通,從而使現有成員的工作效率降低;⑥由于項目組成員之間發生沖突,導致溝通不暢、設計欠佳、接口出現錯誤和額外的重復工作;⑦不適應工作的成員沒有調離項目組,影響了項目組其他成員的積極性;⑧沒有找到項目急需的具有特定技能的人。

5 開發環境風險

①設施未及時到位;②設施雖到位,但不配套,如沒有電話、網線、辦公用品等;③設施擁擠、雜亂或者破損;④開發工具未及時到位;⑤開發工具不如期望的那樣有效,開發人員需要時間建立工作環境或者切換新的工具;⑥新的開發工具的學習期比預期的長,內容繁多。

6 客戶風險

①客戶對于最後交付的產品不滿意,要求重新設計和重做;②客戶的意見未被採納,造成產品最終無法滿足用?的審核 決策周期比預期的要長;④客戶沒有或不能參與規劃、原型和規格階段的審核,導致需求不穩定和產品生產周期的變更;⑤客戶答復的時間(如回答或澄清與需求相關問題的時間)比預期長;⑥客戶提供的組件質量欠佳,導致額外的測試、設計和集成工作,以及額外的客戶關系管理工作。

7 產品風險

①矯正質量低下的不可接受的產品,需要比預期更多的測試、設計和實現工作;②開發額外的不需要的功能(鍍金),延長了計畫進度;③嚴格要求與現有系統兼容,需要進行比預期更多的測試、設計和實現工作;④要求與其他系統或不受本項目組控製的系統相連,導致無法預料的設計、實現和測試工作;⑤在不熟悉或未經檢驗的軟體和硬體環境中運行所產生的未預料到的問題;⑥開發一種全新的模組將比預期花費更長的時間;⑦依賴正在開發中的技術將延長計畫進度。

8 設計和實現風險

①設計質量低下,導致重復設計;②一些必要的功能無法使用現有的代碼和庫實現,開發人員必須使用新的庫或者自行開發新的功能;③代碼和庫質量低下,導致需要進行額外的測試,修正錯誤,或重新製作;④過高估計了增強型工具對計畫進度的節省量;⑤分別開發的模組無法有效集成,需要重新設計或製作。

9 過程風險

①大量的紙面工作導致進程比預期的慢;②前期的質量保證行為不真實,導致後期的重復工作;③太不正規(缺乏對軟體開發策略和標準的遵循),導致溝通不足,質量欠佳,甚至需重新開發;④過于正規(教條地堅持軟體開發策略和標準),導致過多耗時于無用的工作;⑤向管理層撰寫進程報告佔用開發人員的時間比預期的多;⑥風險管理粗心,導致未能發現重大的項目風險。

風險分析

在進行了風險辨識後,我們就要進行風險估算,風險估算從以下幾個方面評估風險清單中的每一個風險:

(1)建立一個尺度,以反映風險發生的可能性;

(2)描述風險的後果;

(3)估算風險對項目及產品的影響;

(4)標註風險預測的整體精確度,以免產生誤解。

對辨識出的風險進行進一步的確認後分析風險,即假設某一風險出現後,分析是否有其他風險出現,或是假設這一風險不出現,分析它將會產生什麽情況,然後確定主要風險出現最壞情況後,如何將此風險的影響降低到最小,同時確定主要風險出現的個數及時間。進行風險分析時,最重要的是量化不確定性的程度和每個風險可能造成損失的程度。為了實現這點,必須考慮風險的不同類型。識別風險的一個方法是建立風險清單,清單上列舉出在任何時候可能碰到的風險最重要的是要對清單的內容隨時進行維護,更新風險清單,並向所有的成員公開,應鼓勵項目團隊的每個成員勇于發現問題並提出警告。建立風險清單的一個辦法是將風險輸入缺陷追蹤系統中,建立風險追蹤工具,缺失追蹤系統一般能將風險項目標示為已解決或尚待處理狀態,也能指定解決問題的項目團隊成員,並安排處理順序。風險清單給項目管理提供了一種簡單的風險預測技術,下表事一個風險清單的例子:

風險   類別   概率   影響  

資金將會流失   商業風險   40%   1  

技術達不到預期效果   技術風險   30%   1  

人員流動頻繁   人員風險   60%   3  

在風險清單中,風險的概率值可以由項目組成員個別估算??通過先做個別估算而後求出一個有代表性的值來完成。對風險產生的影響可以對影響評估的因素進行分析。

一旦完成了風險清單的內容,就要根據概率進行排序,高發生率、高影響的風險放在上方,依次類推。項目管理者對排序進行研究,並劃分重要和次重要的風險,對次重要的風險再進行一次評估並排序。對重要的風險要進行管理。從管理的角度來考慮,風險的影響及概率是起著不同作用的,一個具有高影響且發生概率很低的風險因素不應該花太多的管理時間,而高影響且發生率從中到高的風險以及低影響且高概率的風險,應該首先列入管理考慮之中。

在這裏,我們需要強調的是如何評估風險的影響,如果風險真的發生了,它所產生的後果會對三個因素產生影響:風險的性質、範圍及時間。風險的性質是指當風險發生時可能產生的問題。風險的範圍是指風險的嚴重性及其整體分布情況。風險的時間是指主要考慮何時能夠感到風險及持續多長時間。可以利用風險清單進行分析,並在項目進展過程中迭代使用。項目組應該定期復查風險清單,評估每一個風險,以確定新的情況是否引起風險的概率及影響發生改變。這個活動可能會增加新的風險,移除一些不再有影響的風險,並改變風險的相對位置。

在風險評估過程中,我們可以採取以下的步驟:

(1)定義項目的風險參考水準值。要使風險評估發生作用,就要定義一個風險參考水準值,對于大多數項目而言,通過對性能、成本、支持及進度等因素的分析,可以找出風險的參考水準值,對于性能下降、成本超支、支持困難或進度延遲(或者這四種的組合)等情況,超過這一參考水準值項目就會被終止。

(2)建立每一組(風險、風險發生的概率、風險產生的影響)與每一個參考水準值的關系。

(3)預測一組臨界點以定義項目終止區域,該區域由一條曲線或不確定區域界定。

(4)預測什麽樣的風險組合會影響參考水準值。

風險駕馭

風險駕馭包括對策指定、風險緩解、風險監控、風險跟蹤等內容。

所有風險分析活動都隻有一個目的——輔助項目組建立處理風險的策略。如果軟體項目組對于風險採取主動的方法,則避免永遠是最好的策略。這可以通過建立一個風險緩解計畫來達到即製定對策。

對不同的風險項要建立不同的風險駕馭和監控的策略比。如對于開發人員離職的風險項目開始時應作好人員流動的準備採取一些措施確保人員一旦離開時項目仍能繼續;製定文檔標準並建立一種機製保證文檔及時產生;對每個關鍵性技術崗位要培養後備人員。對于技術風險,可以採用的策略有,對採用的關鍵技術進行分析,避免軟體在生命周期中很快落後;在項目開發過程中保持對風險因素相關信息的收集工作,減少對合作公司的依賴尤其是對延續性強的項目應該盡可能地吸收合作公司的技術並變為自己的技術,避免因為可能發生的與合作公司合作的終止帶來的影響和風險降低投入成本。

一個有效的策略必須考慮風險避免、風險監控和風險管理及意外事件計畫這樣三個問題。風險的策略管理可以包含在軟體項目計畫中,或者風險管理步驟也可以組成一個獨立的風險緩解、監控和管理計畫(RMMM計畫)。RMMM計畫將所有風險分析工作文檔化,並且由項目管理者作為整個項目計畫的一部分來使用,RMMM計畫的大綱主要包括:主要風險,風險管理者,項目風險清單,風險緩解的一般策略、特定步驟,監控的因素和方法,意外事件和特殊考慮的風險管理等。一旦建立了RMMM計畫,我們就開始了風險緩解及監控,風險緩解是一種避免問題的活動,風險監控則是跟蹤項目的活動。它有三個主要目的:評估一個被預測的風險是否真的發生了;保證為風險而定義的緩解步驟被正確地實施;收集能夠用于未來的風險分析信息。

軟體開發是高風險的活動。如果項目採取積極風險管理的方式,就可以避免或降低許多風險,而這些風險如果沒有處理好,就可能使項目陷入癱瘓中。因此在軟體項目管理中還要進行風險跟蹤。對辨識後的風險在系統開發過程中進行跟蹤管理,確定還會有哪些變化,以便及時修正計畫。具體內容包括:

(1)實施對重要風險的跟蹤;

(2)每月對風險進行一次跟蹤;

(3)風險跟蹤應與項目管理中的整體跟蹤管理相一致;

(4)風險項目應隨著時間的不同而相應地變化。

通過風險跟蹤,進一步對風險進行管理,從而保證項目計畫的如期完成。

加強管理

簡化支付流程是指精簡組織內的,以及外部貿易和銀行合作伙伴的交易。

這些效率可以分為兩種類別:

·降低企業財務和銀行合作伙伴之間的實體連線點數量。

·付款和現金報告採用行業標準訊息格式(SMF)。

要實現這一點,所需的商業智慧型解決方案要超越操作和技術孤島,提高資料流之外的融合價值。任何商業智慧型建立的策略都是來衡量過去,監控並預測未來。所有這一切都可以通過確定和實施合適的關鍵績效指標(KPI),為銀行和客戶端謀取利益。

這樣的商業智慧型解決方案需要以下幾部分組成:

·一個資料管理平台,可以全力使用來自內部和外部系統的各種信息資料、來自雲端的流化資料和非結構化資料。

·一個分析組件,將原始資料轉化為企業信息。

·自助服務配置,基于使用者和合作使獨特的資料可視化,安全地與他人共享和宣傳效果。

特殊考慮

1、管理變革的風險。

信息化是一個管理理念上的改變,而不僅僅是一個n’項目。不少企業高層管理人員尚未認識到這一點。項目實施的過程中僅由技術主管負責,缺少管理人員和業務人員的積極參與,項目經理由技術部門的領導擔任。

管理觀念的轉變還體現在信息化系統實施過程對企業原有的管理思想的調整上。信息化不僅僅是用一個系統或買一套軟體,更重要的是帶來了整套先進的管理思想。隻有深刻理解、全面消化吸收了新的管理思想,並結合企業實際情況加以運用,才能充分發揮系統帶來的效益。因此,在實施過程中企業管理人員和業務人員轉變管理思想是一個必不可少的痛苦過程。順利轉變管理思想,在某種意義上是信息化成功推行的最關鍵的因素。

2、業務流程進行重組的風險。

在信息化的過程中,自然地要對企業的業務流程進行重組。系統的成熟、先進的業務流程模板值得借鏡。但是業務流程的重組牽涉到人員的變動、權力的重新分配、組織機構的改變,會觸動某些人的既得利益,形成很大的阻力。沒有充分的思想準備和物質準備,往往由于可能造成企業不願或不能承擔的損失,會迫使領導者半途止步,保留原有低效但運作平穩的流程。實施信息化系統不是一個簡單的更新軟體系統的事情,而是對企業的重新定位以及業務重組的事情。高層管理的實際支持與參與是根本保障。有些企業簡單地把信息化的職權與責任移交給技術部門,而在實施過程中這些被賦予的權責往往很難得到落實。一把手的參與和支持是項目成功的重要因素之一。另外,不正視企業的特殊環境,以滿足軟體要求而進行業務流程重組,難免“削足適履”,因小失大。

3、技術風險。

包括軟體的技術風險和軟體的選擇風險。由于信息技術發展的速度非常快,不確定性的因素大量存在,而人們對這些不確定性的認識和控製的能力又非常有限,許多經過認真論證的很好的研究項目,最後出現大大出乎預料之外的或者失敗的結果的情形並非偶然的。此外,由于信息技術的基本載體與人們日常生活經驗直覺的信息載體的差異,人們對信息技術的變化和當中的一些錯誤都不是很容易感知的。

4、部門和人員間溝通不暢的風險。

實施隊伍對于信息管理系統的成功實施至關重要,通常要由項目經理、流程指導顧問、技術支持顧問、項目組核心成員構成。項目實施小組要由具有豐富信息化系統項目實施和企業流程管理經驗的咨詢人員和企業內部的管理人員、業務人員以及技術人員一起組成。經常發生的情況是各方人員不到位,實施小組完全由電腦專業背景的技術人員組成,然而業務部門往往是決定項目正常運作的關鍵,缺少業務部門的積極參與與溝通將使項目的實施隱藏巨大的風險。

5、經費預算的風險。

信息化項目投資彈性大並且經費的估計比較軟性,資金的風險也需要特殊考慮。另外外部環境的變化也會對資金的需求產生一些預定計畫之外的風險。信息化實施過程中需要投入較大的成本,實際資金支出往往遠遠超出當初的預算。咨詢、維護、調整、升級等許多意想不到的開支往往使成本急劇增加,因此應有很好的成本控製計畫。軟體使用許可證的一次性費用約為幾百萬元人民幣甚至過千萬,每年的軟體支持維護費在幾十萬元,一些品牌軟體系統的維護費用是按照發達國家的人工和服務費標準收取的。支持系統運行的硬體投入和人員費用也是很大的。很多企業在支出過大而效益又不明顯的情況下,隻能後悔或放棄一些信息化的項目。

6、信息與系統安全的風險。

系統安全措施包括:作業系統授權、網路設備許可權、套用系統功能許可權、資料訪問許可權、病毒的預防、非法入侵的監督、資料變更的追蹤、資料的安全備份與存檔、主機房的安全管理規章、系統管理員的監督,等等。

普遍存在著不重視系統安全的現象,諸如使用者口令泄密、超級使用者授權過多等。缺乏安全意識的直接後果是系統在安全設計上出現漏洞和缺陷,它將導致系統的癱瘓。對系統軟體過多的變更可能會影響程式和資料的一致性和完整性,也給將來的軟體版本升級增加了難度和成本。

7、延誤時間的風險。

智力密集型項目的時間安排彈性比較大,在實施信息化的過程中,進行項目管理、控製項目進度、確保整個實施過程能夠按照預計的時問表進行,對項目的成敗至關重要。人們在項目在一開始就沒有能夠製定明確的、可行的實施計畫,在實施過程中不能按時實現裏程碑性的目標,使領導人員和實施人員喪失信心,原定的目標發生變化,最終導致項目半途而廢。

8、系統的協調、升級和維護方面的風險。

企業中原先各自分離的部門開發的一些信息系統在集成時會發生很多接口上的問題,要深入了解各獨立模組之間的內部機製,將其有機地集成並非一件易事。資料庫的共享需要資料的規範和利益各方的協調,如果考慮不周,很難將系統集成起來。軟體版本需要經常性更新以積極運用日新月異的技術水準和容納先進的管理思想,但各個軟體商的發展方向、策略和版本更換步調不一致,它們之間的合作很松散,許多軟體商在激烈的競爭中被淘汰,將來產品更新時新軟體商未必能顧及與企業先前曾經合作的伙伴的軟體產品的接口問題,因而會造成軟體組合無法更新換代。業務流程在發展,對系統的要求不能一成不變,這最終導致企業不得不擯棄原有軟體系統。因此選用信息化軟體時最好不要同時選用多個廠家的產品組合

9、專業人員流失和變化的風險。

一方面,如果系統的普適性較差,會使得系統對專業技術人員的依賴性太強,骨幹人員的流失會造成系統的不穩定或無效。即便軟體商或其他機構有一些服務的承諾,也時常會有令人很不愉快的事情發生。另一方面,一個不可忽視的情況是,由于信息化的過程弱化了一些不再重要的業務流程的骨幹人員的作用,在不預先進行適當的考慮和統籌安排的情況下,這會挫傷他們的積極性並且可能直接影響到企業的長期發展。

10、軟體系統的選擇風險。

系統的選擇是一項十分復雜的工作。每個實施信息化的企業必須開發或選用一套大型的軟體系統。軟體系統的實現方案有三種,即自行開發、購買現成產品和租賃。

至于選擇自行開發還是購買現成軟體包;如果選擇購買現成軟體包,又應當如何挑選軟體,這些抉擇直接影響實施的時問、成本、風險及其對業務流程的影響程度。

11、系統和人之間的誤解造成的風險。

(1)一部分核心業務部門的人的觀念中,信息系統隻是一個電腦系統,信息化的實施是信息系統部門的事情,跟其他部門關系不大;或者認為rI’部門是系統實施的責任人,在流程設計和實施上完全依賴rI’部門,他們要求怎麽做就怎麽做,出了問題就直接找rI’部門,自己反而成為了系統的操作員或奴隸。而rI’部門的人對業務流程的理解往往不夠全面深入,很可能造成一些技術上可行,但業務上荒唐的錯誤。

(2)系統設計本身的錯誤或者新的情況變化後,系統沒有及時作出適當的調整。

(3)有的人總認為系統是萬能的,盲目相信系統,沒有認真分析資料和信息,以至于發生一些明顯的重大的錯誤。再好的系統也是幫助決策的,信息技術永遠是一種支撐的手段。保持批評性的態度,結合經驗和直覺進行必要的分析和檢驗是有益的也是必要的。

12、盲目照搬他人模式的風險。

信息化軟體有一個本土化和對具體企業的適應要求。一些國外的著名軟體供應商的系統軟體功能強大,性能穩定,包括了一些標準的通用模組和比較方便的調整接口。

但是,一般的供應商的興趣和特定的企業使用者需求之間的差距總是存在並且有時是很明顯的。同時,服務支持系統及費用通常也是很需要考慮的因素。

最近的研究表明,企業在信息化的過程中同時也要註意兼顧原有的業務發展和管理經驗,對信息系統進行有創意的改進。比如製造業企業的許多生產流15程的標準是很獨特的,管理軟體使用不當常常造成生產上的嚴重損失。企業信息化要強調以套用為主導,從套用人手,吸收國內外先進的生產管理理念,以改善國內企業管理經營者的基本工作條件。

以企業取得的實際效果為目標,才是企業信息化的正確道路。信息化建設不要追求技術水準如何高,而是要解泱企業的實際問題,讓企業真正見效益,否則就沒有生命力。信息化過程中的資金、人員、設備的投入都要以提高企業競爭力和企業效益為依歸。實施企業信息化首先應該管理先行,要站在企業管理的角度建立模型,進行業務流程的最佳化。

把控方法

風險是客觀存在的,任何企業都面臨內部或外部風險,它會影響企業目標的實現,因此企業管理者必須進行風險管理,那麽該如何做好企業風險管理呢?

1、提高風險管理意識,在企業經營活動中,企業管理者應根據自身的能力去承接項目,對所承接的項目要進行預評估製度,對經評估確認風險較大的項目要盡量避開和放棄。有多少人接多少項目,這樣才能有效避免由于人員不到位、人員與投標不符、資質降低等容易受到處罰的風險。此外,不盲目擴大規模,使各個項目均能處于企業管理者的有效管理範圍之內,有效避免因企業管理不到位帶來的風險。

2、企業應該盡量採用規範化的管理模式,製定規範化的規章製度、崗位責任製,《老板》雜志表示企業管理者對每個具體的項目,還應根據其自身特點,對涉及監理風險的工作內容,製定較為細致的、有針對性的監理實施細則和風險管理計畫,從而使企業的所有項目均能按統一規定的工作程式、要求、標準去做好監理工作,正確履行監理的各種責任,從而達到降低風險的目的。

3、企業管理者應建立較為完善的監督檢查機製,進行動態管理。企業的各級領導、業務部門要經常到項目中進行檢查與指導,並加強與業主的溝通,聽取業主的意見,及時把各種新的法律法規、內外情勢變化、企業和業主的要求等傳達到項目監理人員當中,並在檢查中及時發現項目監理機構的不足,企業管理者應針對項目存在的風險隱患,及時加以處理,使其消失于萌芽狀態,避免風險事故的發生。

4、 組建突發事件公關隊伍,全面應對突發事件。企業管理者為了加強對突發事件的管理與應對,在企業內部建立一支訓練有素、精幹高效的突發事件公關隊伍是完全必要的。其成員應包括企業最高決策層、公關部門、生產部門市場銷售部門、技術研發部門、保全部門、人力資源部門等相關部門的人員以及法律顧問、公關專家等專業人士。在正常情況下,突發事件公關小組負責對企業內外環境進行即時監測,在廣泛收集信息的基礎上分析發現存在的問題和隱患,對可能出現的突發事件情況做出準確預測,幫助企業管理者根據預測結果製定切實可行的突發事件防範措施,監督指導防範措施的落實,加強對突發事件預警機製的管理,開展對公關人員和全體員工的培訓,組織突發事件狀況模擬演習等。當突發事件發生時,突發事件公關小組要起到指揮中心的作用,包括建立突發事件控製中心、製定緊急應對方案,策動方案實施,與媒體進行聯系溝通,控製險情擴散、惡化,減弱突發事件的不良影響,化解公眾疑慮和敵對情緒,以便盡快結束突發事件。

相關詞條

相關搜尋

其它詞條