风险的强度系数,主要依靠对假设的风险发生状态下,可能会给组织造成的直接损失和间接损失。对信息化项目来说,常用的衡量损失的指标是进度和质量,这是直接的损失,当然还会有间接的比如满意度等方面的损失。
无论是概率系数还是强度系数,都是为了衡量某个风险的重要性服务的,并不要求精确,只要能够找到项目中可能发生的、危害程度大的风险,并加以重点防范,以避免给项目造成重大损失。
第四步,重点监控
罗马不是建成的,风险也不是突然出现的。在风险演化为后果严重的危机之前,总会有蛛丝马迹可寻,风险监控的意义在于此。只要我们足够的细心,给予足够的重视,很多情况下是可以化危机于无形的,或者,至少可以降低所造成的危害。
前面几步明确了风险的内容、概率和强度,接下来我们需要对优先级高的风险进行重点监控,把有限的精力放在有价值的工作上。
信息化建设的项目有许多信息和指标反映项目的进展状态,比如项目进度是否落后,项目质量是否波动,需求是否又有变动,功能点完成了多少?项目的风险管理者(比如项目经理、项目度量员等角色)应该时刻关注这些项目信息,并从各种状态评估报告、项目进展报告等文件中收集所需的信息,利用这些信息拼凑成一幅完整的项目现状图。
掌握了全面的项目状态信息之后,风险管理者需要根据风险管理计划中提供的风险列表,对其中的异常信息进行重点分析,及时发出风险预警,提醒项目组成员确认风险并采取相关的风险应对措施,达到风险管理的目标。
防微杜渐是风险监控的目的,见微知著是风险监控的原则,无论计划制定的多么完美,没有及时准确的风险监控和预警体系,项目的风险管理实实在在的成了一句空话。
第五步,沉着应对
可怕的不是风险本身,而是当风险成为事实后的惊慌失措。既然墨菲存在,那么风险变为现实也没什么好奇怪的,重点是我们应该怎样面对已成事实的风险,怎样努力降低风险造成的损失。
如果我们认真做到了前面的几个步骤,那么即使风险真的发生,其严重程度也不会太离谱,因为早在风险萌芽之初,已经采取了预防措施。但如果很不幸的,风险来得异乎寻常的猛烈,或者预防措施效果不佳,也没有必要惊慌,还有计划中的应急预案可以帮我们度过难关。如果更加不幸的,遍寻不到可用的应对预案,那么我们只好检讨制定风险管理计划时敷衍了事了。
风险处理的方法有很多种。比如“躲避风险”,采取其它途径绕开遭遇风险的环节,当然这是一种消极的应对策略,很可能由于采用了计划外的方法而引入新的风险。还有“承担风险”,当发生风险的环节无法规避,那么只有硬着头皮上了,当然,这么做的前提是损失在项目可以承受的范围内,或者不这么做会引起更大损失的情况下,不得已而为之。后,“转嫁风险”也是一种手段,把风险转移给其它组织或个人,避免自己的损失,只不过这种自扫门前雪的做法,未免有些不厚道。
风险应对是当所有预防措施失效之后才采取的,是项目的风险管理计划中的后一道防线,通过措施得力的风险应对,可以尽量降低风险所造成的损失,避免遭遇致命性的打击,提高风险过后的恢复能力。
提升抗风险系数
单个项目的成功并不代表所有项目都会成功,即使在同一组织内,也会有成功和失败的项目同在。但是,当组织的项目管理水平得到提升后,组织所承担的项目成功率会得到提升,项目的结果变得可以预期。
同样,对于项目的风险管理的成功,除了需要项目组成员的努力之外,也需要提高组织的风险管理水平,使整个组织的抗风险系数得到提升,增加项目的整体成功概率。
提高组织的风险管理水平,可以从以下这几个方面加以尝试。
首先,提高组织成员对风险管理的重视程度
思想决定行为。
只有让组织成员清醒的认识到缺乏管理的风险和可能给项目造成怎样不可挽回的损失,提高他们的风险管理意识,才能从思想上接受项目风险管理的必要性,进而从行动上支持风险管理的活动。
没有思想上的接受,即使被分派了风险管理的任务,也可能敷衍了事,无法取得预期的效果。
其次,制定完备的风险管理制度
制度是保证组织行为稳定和可预见的前提。
风险管理作为一项重要和复杂的项目管理任务,只靠个人的热情和某个项目组的努力是不够的,组织必须制定出清晰完备的制度,来保证风险管理的过程可监控、可预测、可管理。
有了可遵循的制度,风险管理的行为会变成组织的标准行为,收到效果显著而且稳定的成效。
再次,建立完善的人员配备
组织的行为是通过合理的角色分配和完善的组织架构来保障的。
良好的风险管理需要全面的信息,也需要合适的人员。例如准确度量风险、分析项目信息、及时发出预警等任务,都需要有能力、有经验的风险管理人员来承担。
没有合理的角色分配和组织架构,组织的风险管理水平是无法得到保证的。
后,积累有价值的过程资产
只有积累下来的才是可用的。
每个项目都会面临不同类型的风险,每个风险都会有不同形式的表现,每次处理都会有不同程度的效果,只有当这些流水般的经验在组织里积累和沉淀下来,才能成为有用的组织知识,为以后的项目提供宝贵的风险管理经验。
当组织慢慢的积累了足够的风险管理经验,制定了完备的风险管理制度,配备了恰当的风险管理人员,具备了充分的风险管理意识,组织的风险管理水平也达到了一个新的台阶。