信息化項目風險管理模型構建

顧大雙

(西安財經大學管理學院，陜西 西安 710100)

0 引言

由于信息通信等技術更新迭代快、需求多、業務流程復雜，企業信息化項目相較傳統工程建設項目有著顯著區別[1]，因而在其風險管理過程中不能完全沿用傳統管理方法。目前，信息化項目風險管理研究大多都集中于外包風險管理及項目各環節風險的識別與評價，并未涉及項目風險源頭及風險與各環節的作用關系等方面。因此，從電網企業信息化項目風險管理的關鍵要素出發，構建風險管理模型，為提出更加科學可行的風險管控措施奠定基礎。

1 電網企業信息化項目風險管理模型

電網企業信息化項目是指企業從信息化發展需求出發，采用先進的計算機技術，建設基于信息及通信網絡實現電網企業數字化轉型的工程建設項目。電網企業信息化項目時效要求高，建設周期長，需求與期望易變更，外部制約條件多，對項目的風險管控要求較高[2]。因而結合電網企業及其信息化項目的特點，以Charette模型為基礎，融合Barry Boehm模型的相關理念[3]，構建電網企業信息化項目的風險管理模型。首先根據電網企業信息化項目風險管理的特點梳理出風險管理的三個關鍵要素，即項目干系人、重要活動過程、風險域，并分析三者的相互作用，進而輸出風險管理模型的指標，應用風險分級策略[4]和分層權重法[1]對項目風險因子和項目本身的綜合風險進行量化分析。

2 風險管理的關鍵要素因子

2.1 項目干系人

項目干系人大致可分為甲方、乙方和第三方，各自在項目風險管理過程中扮演著不同的角色，所關注的重點也不盡相同。

1) 甲方業務部門，是電網企業信息化項目的業務部門(業務功能需求者)，也是項目的發起者。業務部門高層擁有對項目業務的管轄權，決定著項目的發展方向。業務部門主要關注的是項目效益、關鍵成果、對企業的長遠影響、成本投入等。

2) 甲方技術部門，負責提供電網專業方面的技術支持以及與在運系統的融合技術，主要關注的是使用技術是否符合相關標準，各項功能參數是否準確無誤，新建項目投運后與原有系統是否兼容等。

3) 甲方管理部門，是甲方對項目的管理機構，主要關注的是保障項目是否能夠按質、按時、按量地完成，以及時間、成本、質量目標等。

4) 乙方管理部門，是乙方的領導群體，是項目的組織管理、分配資源的決策機構，主要任務是控制項目各項指標的執行。

5) 乙方項目實施部門，是項目現場的實施者和管理者，負責制定項目實施計劃，按要求完成項目的部署，并及時向甲方匯報項目情況，保障項目順利完成并通過驗收。

6) 乙方開發部門，是負責項目研發的主體部門，按甲方要求確定開發技術路線，并完成項目產品的開發，保障產品的功能質量。

7) 第三方行政單位，是項目建設方的上級行政管理單位，其工作是監督保障項目合規、合法。

8) 第三方項目管理單位，負責對項目各階段工作實施管理，保障項目的全過程能夠可控、可靠，并對乙方的項目實施過程進行評級打分。

9) 第三方測評機構，負責按照國家相關標準和行業標準對其產品進行安全測評，并給出評價報告和評價依據。

10) 第三方供應商，負責根據項目需求向乙方(采購方)提供硬件產品。

2.2 重要活動過程

電網信息化項目除具備一般建設工程項目的特點外，還具備IT項目的部分特點，可將電網信息化項目分為項目需求調研、可行性研究、項目立項、項目計劃、項目部署實施等階段。部署階段可根據項目特點繼續劃分為硬件部署、系統環境搭建、軟件開發、軟件部署、聯調測試、項目驗收與交付等模塊。上述過程的執行可參照項目實施方案、工作組織方案、電網行業相關管理規范等。

2.3 風險域

從管理學的項目管理領域出發，結合電網信息化項目的特點，可從安全、質量、溝通、成本、進度等維度對信息化項目的風險管理進行風險域劃分。安全風險主要涉及系統安全、數據安全、網絡安全、保密安全等；質量風險主要涉及硬件設備質量和系統功能質量；溝通風險主要涉及合同文本、實施手冊、技術手冊、培訓手冊等方面；成本風險主要涉及硬件成本、軟件成本、技術咨詢成本等方面；進度風險主要涉及項目調研進度、開發進度、采購進度、現場實施進度等方面。

2.4 要素間的關系分析

2.4.1 項目干系人與重要活動過程要素分析

從項目干系人與重要活動過程兩個要素進行分析，結合干系人在項目各個階段的參與程度以及各單位所關注的重點，對二者的作用關系分析如下。

1) 甲方業務部門，負責實施方案的審查工作，確保方案達到項目設定目標。

2) 甲方技術部門，負責現場技術交底，保障產品具有先進、高兼容、可升級和易維護等特性。

3) 甲方管理部門，負責工作實施的規范性、監控實施進度檢查，確保進度、成本、方法、質量均滿足項目要求。

4) 乙方開發部門，負責相關軟件開發，確保在滿足招標文件相關要求下實現利潤最大化。

5) 乙方實施部門，負責相關軟件的部署實施，確保按時、按質、按量完成項目的功能部署。

6) 第三方測評機構，負責系統軟件的規范性審查，確保符合相關規范。

2.4.2 干系人與風險域分析

從項目干系人與風險域兩個要素分析，干系人所處風險領域不同，所發揮的作用也不同，兩者相互影響并直接影響著項目風險管理的最終成效。

1) 甲方業務部門決定項目的實施范圍，其對于系統安全的影響程度較大。

2) 甲方技術部門決定項目實施的主要技術路線，其對于系統安全的影響程度中等。

3) 乙方開發部門決定軟件的架構和開發流程，其對于系統安全的影響程度較大。

4) 乙方實施部門決定項目實施的流程，其對于系統安全的影響程度較大。

5) 行政單位負責第三方監督管理，其對于系統安全的影響程度中等。

2.4.3 重要活動過程與風險域分析

從重要活動過程與風險域兩個要素分析，不同階段可能面臨的風險有所差別，項目活動過程和風險域之間互相交叉影響。

1) 軟件開發過程面臨開發數據被竊取、篡改、涉密數據未加密等風險，代碼存在漏洞的質量風險，開發成本超支風險，開發進度滯后風險等。

2) 軟件部署過程面臨系統功能未達預期效果的治理風險，違反網絡建網規范、系統網絡邊界不清晰的網絡風險，實施進度滯后風險等。

3 風險管理模型構建

3.1 風險管理模型指標輸出

結合風險管理三要素間的關系及電網信息化項目特點，總結出項目風險決策指標示例(見表1)。

表1 綜合模型的輸出指標示例

3.2 風險管理模型構建

信息化項目的管理團隊中應設有風險管理人員實時監控項目的風險情況，并使用定量分析法對其進行評估；采用專家會議法根據風險影響后果對相關風險因子設置風險閾值，并根據不同閾值將風險管理等級分為A、B、C三級，其中后果嚴重需要引起重視的為A級風險，影響較大需要考慮解決的為B級風險，影響較小可適當給予關注的為C級風險。以數據泄密、需求溢出和性能缺陷為例，對風險發生的概率及影響后果進行量化評估(見表2)。

表2 風險因子的量化示例

其中，工期延誤率Tn=延誤天數/總工期，費用損失率Cn=損失費用/總成本，成本進度綜合值In=Tn+Cn。引入分層權重法[5]，對各個風險因子進行全局評估，最終得出項目的綜合風險值。

式中：an為風險因子的權重系數，a1+a2+…+an=1；an為風險子項發生的概率；In為風險發生后的時間(Tn)和成本(Cn)的綜合影響結果。

4 風險管理案例實踐

4.1 實踐項目內容

以某企業的共享數據平臺建設項目為例，對其項目的風險管理工作進行研究。該項目的主要內容包含：基于標準模型的運監業務數據建模；基于標準模型實現數據的標準化傳輸與校驗；對各業務系統數據質量的檢測與治理；采用多種方式實現基于標準模型的共享數據存儲；采用可視化靈活配置的數據服務定義工具和數據應用視圖，支持企業相關業務的數據統計、挖掘與預測。

4.2 分析對象

實踐項目的風險會在系統聯調與產品交付階段體現，故選取項目系統聯調與產品交付階段的風險進行分析。該階段的工作可分為單系統功能演示、單系統安全測試、多系統聯調、多系統性能聯調測試、系統整體安全測試等，以保障系統的安全、可靠和穩定的運行。

4.3 綜合性風險管理模型應用

案例分析中，項目設置了風險管理專員，實時監控項目風險情況。結合上述風險管理因素所建模型，采用專家打分法對分析對象的風險項進行評估，構建項目檢測與交付風險評估項(見表3)，其中風險影響后果用模型中成本與進度的綜合值In進行量化，表現為成本損失率與進度延誤率的和。

表3 項目檢測與交付風險項評估項

4.4 風險項量化分析

依據上述模型產生的項目風險評估清單，結合案例項目實際情況，對項目風險因子和綜合風險進行量化分析(見表4)。

表4 項目檢測與交付風險量化分析

由上述方法分析得出實踐案例項目風險管理等級與實際風險發生情況相符，且可將風險細化到項目干系人與項目各實施階段中，精準落實到各風險的責任單位。

4.5 風險處理措施

電網企業信息化項目與IT項目具有又一定的相似之處，在施工完成后經過驗收即可交付使用[5]。因此，為保證系統交付后能夠安全、可靠運行，在交付前會有較長一段時間的測試工作，且涉及到的項目干系人和風險域應盡可能與系統正式運行的情況相符。在測試期間，會將系統的訪問權限對相關人員開放，但同時該舉措會對未正式交付的產品系統產生較大的自生風險。為此，在此階段，應設置嚴密的篩查技術手段和用戶訪問權限，對網絡、系統等層面的安全日志進行收集與分析，加強系統的日常監測[6]，并設置專職技術人員駐場，以便及時處理相關問題，提升風險應急反應速度。

5 結束語

通過電網信息化項目風險管理模型的構建，以及對項目風險因子及項目本身風險進行的量化分析研究可知，在梳理出項目風險因子關系后，對其風險的分析和評價會更加準確，在此基礎上細化風險管理要素，結合項目實際可制定出項目風險的應對策略和解決方案。該信息化項目風險管理模型與其他IT類項目具有一定的相似性，因此其風險管理體系可為其他IT項目的風險管理提供參考。