信息系统的建设过程实际上充满了风险。“过去我们总认为是技术风险,总设想能通过‘合理选型、合理开发’来把这个风险小化”,卢经理认为,“现在我们公司的业务和战略变革过程,提出了一个更深层次的问题:如何面对变革的风险。”
“一劳永逸的思想,多少年不落后的思想,其实是不现实的”,H公司的信息化之旅,真切地揭示了这样的观点。“对于‘变革是常态’的现代企业生存环境,信息系统的规划、开发实施、维护、控制和管理,必须树立‘变革管理’、‘风险管理’的意识。”
实际上这种观点也正是现在IT业界出现正视“风险”,加强“风险管理”的深刻背景。
风险管理,需要以动态的观点看待企业的经营活动和经营环境的变迁,同样需要以动态的观点看待信息系统的更新、整合和完善。卢经理今年的任务,可以说有一个新的变化,是更加贴近企业“变革”的实际,从反映企业变革
的需求出发,从服从企业战略需要出发,看待信息系统建设的“下一步”。
风险管理是IT项目管理的“常态”
曾任职IBM、埃森哲咨询公司,有30余年项目管理经验的Richard Murch先生,现在是美国Columbus公司的咨询顾问和项目经理。在他2001年出版的《IT项目经理实践入门(Project Management:Best Practices For IT Professionals)》一书中,着重强调了IT项目的风险管理问题。
1995年跨掉的伦敦历史悠久的巴林银行,成立于1765年。该银行设在新加坡分支机构的职员Nicholas Leeson(里森)的违规操作,导致已经运转了230年的巴林银行几乎一夜间灰飞湮灭。事后人们的分析指出,没有足够的风险防范措施,特别是涉及网络交易的风险防范,导致数十亿美元的非法交易在人们的眼皮下逃脱了监管,是毁灭巴林银行的主要原因。
Murch把IT项目管理中的风险划分为5类:外部风险,如市场变化、新的行业标准、合并与收购事件、政策法规、网络故障和灾难、自然灾害等;成本风险,如未能预见的项目范围偏离、扩展和变更,对项目成本的估计出现差错,预算和进度超计划等;进度风险,如技术和内部沟通出现障碍,资源缺乏和资源不恰当的调度等;技术风险,缺乏有效的软件测试和系统测试,未能预见技术与系统的复杂性,技术与业务的整合缺陷等;执行风险,如未能给关键人物授权,系统发布时机出现判断错误等。
以上风险类型中有3个关键因素值得注意:第一是识别风险存在的关键控制点;其二是对风险进行评估;其三是对风险控制进行规划与管理。
Murch的观点是,风险管理是项目管理中的“常规内容”。这个观点值得IT项目经理认真思考。很多项目经理将项目风险列为“意外事件”,只是在“出现了‘意外事件’之后,再考虑如何消除事件的影响”,这种意识对项目风险管理是十分有害的。
当然,考虑风险控制将会在预算裕量、备择计划、资源储备和进度调整方面,要求项目经理拥有一定的自主权并得到授权。在某种程度上,会增加项目的成本。但是,防范风险的投入对公司来说,是必要的。
IT项目虽然是一个基于智力活动的项目构造过程,其间所使用的项目控制方法和系统开发方法,表面上看具有很强的确定性;但是,由于现实世界的复杂性、环境的变化和IT项目并非能完整表达用户的实际需求,风险和变更在IT项目中无所不在。
现代项目管理,已经将“变革(Change)”作为项目生命周期的“常态”。在传统的计划、组织、实施、评估、财务控制等典型的项目管理职能中,风险管理作为一项核心职能之一,受到了越来越多的关注。