本文节选自《信息化绩效评价：框架、实施与案例分析》，孙强、郝晓玲

5.7在信息化项目的规划与组织阶段，如何进行风险评估？

风险管理的第一步是识别和评估潜在的风险领域，这是风险管理中非常重要的步骤。风险识别首先要识别对组织要运营起关键作用的要素，然后查找和定位风险，确定风险的来源、产生条件，然后对需要保护的信息资源或资产进行鉴别和分类。主要针对正在考虑的外包协议，列出可能产生风险的领域（技术、项目、功能、行政等），并通过头脑风暴法找出潜在风险的根源。在实施头脑风暴法以及说明风险关系时，鱼刺图（fishbone diagram）是一个很有效的工具。

风险识别是一个连续性的、持续的过程。对风险的成因进行分析的目的在于认清风险的源头，对引起风险的诸因素进行全面的剖析与细化，为风险评估的量化计算提供全面的指标集合。

信息化项目管理的风险主要包括以下几类：

（1）规模风险：规模风险指项目开发工作量、开支、时间跨度等指标。时间越长，环境变化越大，风险程度越高。

（2）结构化程度风险：由于项目具有惟一性，以往的经验可以被借鉴的地方不多。此外，信息化项目多涉及到软件产品的开发，软件产品具有不可预见性。开发的进展以及软件的质量是否符合要求难以度量，从而使软件的管理难以把握。

（3）应用风险：主要是指在应用系统或软件过程中，尤其是在网络环境下，由于网络连接或操作而产生的风险。

（4）软件体系风险：软件风险主要是指由于软件体系结构的合理程度以及该结构对于外界变化的适应能力而产生的风险，将对软件的质量产生影响，通常包括兼容性风险和维护风险。

（5）项目过程风险：项目过程风险主要是指在软件开发周期过程中可能出现的风险，以及软件实施过程中外部环境的变化可能引起的风险。主要包括：

l  软件需求阶段的风险：需求分析的任何疏漏造成的损失会在软件系统的后续阶段会产生“逐级放大”效应，因此本阶段的风险最大。

l  设计阶段的风险：在设计系统结构时过于定制化，系统的可扩展性较弱，给后期维护带来巨大的负担和维护成本的增加；或者软件结构过于灵活和通用，必然引起软件实现的难度增加，系统的复杂度会上升，这又会在实现和测试阶段带来风险；此外，业务规则的变化或者用户需求和将来软件运行环境的变化也都会对系统的稳定性造成影响。

l  实施阶段风险：软件的实现从某种意义上讲是软件代码的生产。原代码本身也是文档的一部分，同时它又是将来运行于计算机系统之上的实体。源代码书写的规范性、可读性是该阶段的主要风险来源。

l  维护阶段的风险：软件维护包含两个主要的维护阶段，一个是软件生产完毕到软件试运行阶段的维护，这个阶段是一种实际环境的测试性维护，其主要目的是发现在测试环境中不能或未发现的问题；另一个阶段是当软件的运行不再能适应用户业务需求或是用户的运行环境（包括硬件平台，软件环境等）时进行的软件维护，具体可能是软件的版本升级或软件移植等。

欢迎您与作者探讨您的观点和看法，联系电话：010-51657848

电子邮件：GOV#ITGov.org.cn(请将#替换为@) 。