信息化项目的风险首先是政策风险。政策风险是企业自身无法避免的，关键是制定政策的部门应该考虑到相关因素，并给出指导性的意见，以尽可能减少因为政策因素而产生的影响。

　　信息化项目的风险其次是规划风险。一些企业在建设企业信息化项目之前确实搞了信息化项目工作规划，但因为规划的水平与企业发展之间存在差异，导致前期投资方向的失误，从而引起信息化项目投资的浪费。规划风险可以通过一些方法减少损失，如通过请咨询公司等方法借助第三方的力量，能有效避免因为自身水平不足引起的规划失误；通过“分步实施，略有超前”的建设策略，可以减少一次性投资的损失；通过不断修订规划，能提高规划与企业发展战略之间的吻合程度，从而减轻差异的影响。特别要注意的是，如何兼顾现存的应用系统，开发一个新系统所花的成本可能并不大，但要收集原系统的原始数据，所花的成本可能要高于系统本身的开发费用。总之，规划风险可以通过企业自身的努力，得以避免或减轻，关键是企业要认识到规划存在的风险。

　　信息化项目的风险之三是技术风险。信息化项目的技术风险，主要是IT行业技术高速发展所带来的风险。IT行业技术日新月异，原来采用的先进设备三五年以后可能就不能满足新的应用要求，甚至不符合行业新的标准了，原生产厂商也不再生产，备品备件再难寻找，甚至原来的生产厂商也已不复存在。原来采用的操作系统、应用系统软件已成为过时产品，失去了普遍性，无法与新的技术形成无缝链接等等。这些技术的未来发展前景，在某种程度上很难预测，规避风险很难，无论是哪一个企业都无法从根本上解决。宜采用的办法是“逐步更新，持续改进”，这样能在一定程度上减少因系统突然变化所造成的巨大影响与损失，尤其是系统数据的不兼容所造成的损失。

　　信息化项目的风险之四是变革风险。企业自身的管理变革，也是信息化项目的重要风险源。由于企业的组织机构频繁变化，会导致一些应用系统开发项目的需求产生频繁变化，尽管现在的管理信息系统强调要能够适应企业自身的管理变革，但因为随机构的变动而产生的职责变化，会导致时间跨度较长的应用系统开发项目责任人产生变化，使项目成为“胡子工程”。很多时候，我们会把一个IT项目的“胡子工程”归罪于IT项目管理不到位，当然有这方面的原因，但企业自身的管理变革也是其中非常重要的一个因素。当今是管理不断创新与发展的时期，企业适应形势不断变革无可非议，关键是实施变革时要重视变革的风险，采取相应的策略，以避免因为管理变革对信息化项目工作造成巨大影响。

摘自CIU中国软考联盟

　　在项目风险管理中，存在多种风险管理方法与工具，软件项目管理只有找出最适合自己的方法与工具并应用到风险管理中，才能尽量减少软件项目风险，促进项目的成功。

　　项目风险管理

　　项目风险管理是指为了最好的达到项目的目标，识别、分配、应对项目生命周期内风险的科学与艺术。项目风险管理的目标是使潜在机会或回报最大化，使潜在风险最小化。风险管理涉及的主要过程包括：风险识别，风险量化，风险应对计划制定和风险监控，如图1所示。风险识别在项目的开始时就要进行，并在项目执行中不断进行。就是说，在项目的整个生命周期内，风险识别是一个连续的过程。

　　（1）风险识别：风险识别包括确定风险的来源，风险产生的条件，描述其风险特征和确定哪些风险事件有可能影响本项目。风险识别不是一次就可以完成的事，应当在项目的自始至终定期进行。

　　（2）风险量化：涉及对风险及风险的相互作用的评估，是衡量风险概率和风险对项目目标影响程度的过程。风险量化的基本内容是确定那些事件需要制定应对措施。。

　　（3）风险应对计划制定：针对风险量化的结果，为降低项目风险的负面效应制定风险应对策略和技术手段的过程。风险应对计划依据风险管理计划、风险排序、风险认知等依据，得出风险应对计划、剩余风险、次要风险以及为其它过程提供得依据。

　　（4）风险监控：涉及整个项目管理过程中的风险进行应对。该过程的输出包括应对风险的纠正措施以及风险管理计划的更新。

　　每个步骤所使用的工具和方法详见表1：

　　表1 风险管理过程中所使用的工具、方法

风险管理步骤 所使用的工具、方法 风险识别 头脑风暴法、面谈、Delphi法、核对表、SWOT技术 风险量化 风险因子计算、PERT估计、决策树分析、风险模拟 风险应对计划制定 回避、转移、缓和、接受 风险监控 核对表、定期项目评估、挣值分析

软件项目中的风险管理

　　1、软件项目中的风险

　　软件项目的风险无非体现在以下四个方面：需求、技术、成本和进度。IＴ项目开发中常见的风险有如下几类：

　　（1）需求风险

　　①需求已经成为项目基准，但需求还在继续变化；

　　②需求定义欠佳，而进一步的定义会扩展项目范畴；

　　③添加额外的需求；

　　④产品定义含混的部分比预期需要更多的时间；

　　⑤在做需求中客户参与不够；

　　⑥缺少有效的需求变化管理过程。

　　（2）计划编制风险

　　①计划、资源和产品定义全凭客户或上层领导口头指令，并且不完全一致；

　　②计划是优化的，是"最佳状态"，但计划不现实，只能算是"期望状态"；

　　③计划基于使用特定的小组成员，而那个特定的小组成员其实指望不上；

　　④产品规模(代码行数、功能点、与前一产品规模的百分比)比估计的要大；

　　⑤完成目标日期提前，但没有相应地调整产品范围或可用资源；

　　⑥涉足不熟悉的产品领域，花费在设计和实现上的时间比预期的要多。

　　（3）组织和管理风险

　　①仅由管理层或市场人员进行技术决策，导致计划进度缓慢，计划时间延长；

　　②低效的项目组结构降低生产率；

　　③管理层审查 决策的周期比预期的时间长；

　　④预算削减，打乱项目计划；

　　⑤管理层作出了打击项目组织积极性的决定；

　　⑥缺乏必要的规范，导致工作失误与重复工作；

　　⑦非技术的第三方的工作(预算批准、设备采购批准、法律方面的审查、安全保证等)时间比预期的延长。

　　（4）人员风险

　　①作为先决条件的任务(如培训及其他项目)不能按时完成；

　　②开发人员和管理层之间关系不佳，导致决策缓慢，影响全局；

　　③缺乏激励措施，士气低下，降低了生产能力；

　　④某些人员需要更多的时间适应还不熟悉的软件工具和环境；

　　⑤项目后期加入新的开发人员，需进行培训并逐渐与现有成员沟通，从而使现有成员的工作效率降低；

　　⑥由于项目组成员之间发生冲突，导致沟通不畅、设计欠佳、接口出现错误和额外的重复工作；

　　⑧没有找到项目急需的具有特定技能的人。

　　（5）开发环境风险

　　①设施未及时到位；

　　②设施虽到位，但不配套，如没有电话、网线、办公用品等；

　　③设施拥挤、杂乱或者破损；

　　④开发工具未及时到位；

　　⑤开发工具不如期望的那样有效，开发人员需要时间创建工作环境或者切换新的工具；

　　⑥新的开发工具的学习期比预期的长，内容繁多。

　　（6）客户风险

　　①客户对于最后交付的产品不满意，要求重新设计和重做；

　　②客户的意见未被采纳，造成产品最终无法满足用户要求，因而必须重做；

　　③客户对规划、原型和规格的审核 决策周期比预期的要长；

　　④客户没有或不能参与规划、原型和规格阶段的审核，导致需求不稳定和产品生产周期的变更；

　　⑤客户答复的时间(如回答或澄清与需求相关问题的时间)比预期长；

　　⑥客户提供的组件质量欠佳，导致额外的测试、设计和集成工作，以及额外的客户关系管理工作。

　　（7）产品风险

　　①矫正质量低下的不可接受的产品，需要比预期更多的测试、设计和实现工作；

　　②开发额外的不需要的功能(镀金)，延长了计划进度；

　　③严格要求与现有系统兼容，需要进行比预期更多的测试、设计和实现工作；

　　④要求与其他系统或不受本项目组控制的系统相连，导致无法预料的设计、实现和测试工作；

　　⑤在不熟悉或未经检验的软件和硬件环境中运行所产生的未预料到的问题；

　　⑥开发一种全新的模块将比预期花费更长的时间；

　　⑦依赖正在开发中的技术将延长计划进度。

　　（8）设计和实现风险

　　①设计质量低下，导致重复设计；

　　②一些必要的功能无法使用现有的代码和库实现，开发人员必须使用新的库或者自行开发新的功能；

　　③代码和库质量低下，导致需要进行额外的测试，修正错误，或重新制作；

　　④过高估计了增强型工具对计划进度的节省量；

　　⑤分别开发的模块无法有效集成，需要重新设计或制作。

　　（9）过程风险

　　①大量的纸面工作导致进程比预期的慢；

　　②前期的质量保证行为不真实，导致后期的重复工作；

　　③太不正规(缺乏对软件开发策略和标准的遵循)，导致沟通不足，质量欠佳，甚至需重新开发；

　　④过于正规(教条地坚持软件开发策略和标准)，导致过多耗时于无用的工作；

　　⑤向管理层撰写进程报告占用开发人员的时间比预期的多；

　　⑥风险管理粗心，导致未能发现重大的项目风险。

　　2、软件项目风险管理模型

　　针对软件项目中的风险管理问题，不少专家、组织提出了自己的风险管理模型。主要的风险管理模型有：Boehm模型，CRM模型和SERIM模型。

　　2.1 Barry Boehm模型

　　模型：RE=P (UO)*L (UO)

　　其中RE表示风险或者风险所造成的影响，P(UO)表示令人不满意的结果所发生的概率，L(UO)表示糟糕的结果会产生的破坏性的程度。Boehm思想的核心是10大风险因素列表。针对每个风险因素，都给出了一系列的风险管理策略。在实际操作时，Boehm以10大风险列表为依据，总结当前项目具体的风险因素，评估后进行计划和实施，在下一次定期召开的会议上再对这10大风险因素的解决情况进行总结，产生新的10大风险因素表，依此类推。

　　2.2 SEI的CRM(Continuous Risk Management)模型

　　SEI CRM模型的风险管理原则是：不断地评估可能造成恶劣后果的因素；决定最迫切需要处理的风险；实现控制风险的策略；评测并确保风险策略实施的有效性。CRM模型要求在项目生命期的所有阶段都关注风险识别和管理，它将风险管理划分为五个步骤：风险识别、分析、计划、跟踪、控制。

　　2.3 SERIM(Software Engineering Risk Model)模型

　　SERIM从技术和商业两个角度对软件风险管理进行剖析，考虑的问题涉及开销、进度、技术性能等。它还提供了一些指标和模型来估量和预测风险，由于这些数据来源于大量的实际经验，因此具有很强的说服力。

　　结束语

　　软件项目管理从某种意义上讲，就是风险管理。我们尽量去定义明确不变的需求，以便进行计划并高效管理，但商业环境总是快速变化的，甚至是无序的变化。所以，软件企业在进行项目管理的过程中，必须采用适合自己的风险管理方法进行风险管理，以确保软件项目在规定的预算和期限内完成项目。
摘自:CIU中国软考联盟