风险管理规划是在项目正式启动前或启动初期对项目的一个纵观全局的基于风险角度的考虑、分析、规划,也是项目风险控制中最为关键的内容。一 风险形势评估风险形势评估以项目计划、项目预算、项目进度等基本资讯为依据,着眼于明确项目的目标、战略、战术以及实现项目目标的手段和资源。从而实现:通过风险的角度审查项目计划认清项目形势,并揭示隐藏的一些项目前提和假设,使项目管理者在项目初期就能识别出一些风险。尤其是项目建议书、可行性报告或项目计划一般都是在若干假设、前提、预测的基础上完成的,这些假设、前提、预测在项目实施期间有可能成立,也有可能不成立。而这其中隐藏的风险问题又通常是被忽视的。一旦问题发生,往往造成项目管理方的措手不及和无一应对。例如项目计划中假设用户实施小组全力支援、脱産或几乎脱産投入IT项目的实施,但在实际过程中,用户方人员却不得不抽出大量时间处理塬有的业务,造成IT项目实施进度的拖延和实施效果不尽人意的风险。诸如此类的例子还有很多。为了找出这些隐藏的项目条件和威胁,就需要对与项目相关的各种计划进行详细审查,如人力资源计划、合同管理计划、项目采购计划等等。由此我们可以得出,风险形势评估一般应重视以下内容:项目的起因、目的、项目的范围、组织目标与项目目标的相互关系、项目的贡献、项目条件、制约因素等。二 风险识别在对项目的基础的风险形势评估之上,就需要对各种显露的和潜在的风险进行识别。风险识别实际上是对将来可能发生的风险事件的一种设想和猜测。因此,一般的风险识别结果应包括风险的分类、来源、表现及其后果、以及引发的相关项目管理要求。在具体识别风险时,一方面可利用一些常识、经验和判断,通过以前经历的项目中积累起来的资料、资料、经验和教训,或者请教相关的专家和资深从业人员,采用集体讨论的方式。另一方面,可以通过分解项目的范围、结构来识别风险,理清项目的组成和各个组成部分的性质、之间的关系、与外因的联系等内容,从而减少项目实施过程中的不确定性。除此之外,还可以利用一些技术和工具。比如,结合经验和教训,将项目成功和失败的塬因罗列成一张核对表,或者是项目的实施范围、质量控制、项目进度、采购与合同管理、人力资源与沟通等。以上都是风险识别常用的一些手段和方法,当然还有其他更多的途径,因项目而异,灵活运用。三 风险分析和评价在进行风险识别并整理之后,必须就各项风险对整个项目的影响程度做一些分析和评价,通常这些评价建立在以特性为依据的判断和以资料统计为依据的研究上。风险分析的方法非常多,一般采用统计学范畴内的概率、分布频率、平均数衆数等方法。但无论是哪一种工具,都各有长短,而且不可避免的会受到分析者的主观影响。可以通过多角度多人员的分析或者采取头脑风暴法等尽可能避免。此外,我们应当明确,风险是一种变化着的事物,基于这种易变条件上的预测和分析,是不可能做到十分的精确和可靠的。所有的风险分析都只有一个目的,即尽量避免项目的失控和为具体的项目实施中的突发问题预留足够的后备措施和缓冲空间。风险评价之后,项目面临着两种选择,即面临着不可承受风险和可承受风险。对于前者,或者终止项目,或者采取补救措施,降低风险或改变项目;对于后者,则需要在项目之中进行风险控制。
1、资产识别与赋值:对评估范围内的所有资产进行识别,并调查资产破坏后可能造成的损失大小,根据危害和损的大小为资产进行相对赋值;资产包括硬件、软件、服务、信息和人员等。
2、威胁识别与赋值:即分析资产所面临的每种威胁发生的频率,威胁包括环境因素和人为因素。
3、脆弱性识别与赋值:从管理和技术两个方面发现和识别脆弱性,根据被威胁利用时对资产造成的损害进行赋值。
4、风险值计算:通过分析上述测试数据,进行风险值计算,识别和确认高风险,并针对存在的安全风险提出整改建议。
5、被评估单位可根据风险评估结果防范和化解信息安全风险,或者将风险控制在可接受的水平,为最大限度地保障网络和信息安全提供科学依据。
扩展资料
风险评估的 *** 作范围可以为整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。
影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。
风险评估的主要任务包括:识别评估对象面临的各种风险;评估风险概率和可能带来的负面影响;确定组织承受风险的能力;确定风险消减和控制的优先等级;推荐风险消减对策。
参考资料来源:百度百科-风险评估
参考资料来源:百度百科-安全风险评估
在信息化实施过程中,风险不仅仅来源于企业,信息系统的实施方也是导致风险产生的一个重要来源。在实施的不同阶段,从开始到结束,实施方的消极态度会直接导致项目的失败。
"诚实的自我评估、确定目标并向着目标稳步前进,所有这些构成了一个连续的过程,而这也正是管理的趣味所在。"
管理者成功地解决难题之后,征服感油然而生。但在企业的管理工作中,可以抵消这种趣味的事情似乎和趣味一样多。
接触过信息化建设的人士都知道,一个信息系统的实施不是短时间内能够完成的,上一个比较完整的ERP系统,少则半年,多则一两年,甚至三四年。如此漫长的实施过程,已经足以把企业内人们对信息化最初的憧憬和热情消磨殆尽。中国有句俗话,叫"日久见人心",所隐含的无非就是时间可以作为衡量事物真实性的最好的手段。同样的,放在信息系统实施里,一开始不成问题的事情,到了后来都会蜕变成问题,并且有可能随着时间的推移,糟糕程度也不断地增加。因此,如何有效地管理实施过程,降低企业的实施风险成为保障信息化建设成功的一个重要环节,这也就是我们在这里探讨的主题。
首先需要了解在实施过程中我们可能碰到哪些风险。按照一般意义,我们常常所说的风险分为两大类,一种是不可预知的,一种是可预知的。既然是不可预测的风险,有预防的想法,恐怕也是无从做起,只能是在风险到来的时候直接对问题做出反应。而这里我们主要针对的是那些能够预测的风险,在明晰它们的基础上,想办法去控制和降低它们。
信息化项目的项目特性,注定了实施过程中的风险有综合风险,也有阶段风险。
信息化项目的风险包括项目的综合性风险和阶段性风险
所谓综合风险,是指贯穿整个实施过程,甚至贯穿整个信息化项目过程的几大类风险。
根据我们的研究,归纳总结出这么几种:缺乏共识项目驱动力风险
信息不对称/欺诈风险财务风险人力资源风险
业务中断风险
接下来我们就缺乏共识和项目驱动力风险这两项来做个简单的介绍。
缺乏共识,是IT项目中最常见的风险,带来的后果各种各样。
对于IT建设来说,项目组内部(包括企业方与实施方)、企业内部能就关键问题达到共识,显得至关重要。有一句话是这么概括的,在一个解决方案上达成共识比这个解决方案本身的先进性重要得多。为什么共识会在IT项目中扮演了如此重要的一个角色呢?业内人士聚在一起讨论信息化建设,常常会说信息化建设风险很大,然而最难以预测和掌握的是人的因素,技术的问题总是会有解决方案。而达成共识其实就是解决人的问题,减轻或者降低项目实施过程中可能出现的,由于人而引起的不必要的阻力。再来看看项目驱动力风险。项目驱动力其实包含了两层意思,一个是指项目启动的诱因,例如是否是由业务需求驱动,还是出于别的一些原因的考虑;另一个隐含的意思是企业高层对IT项目的推动作用。大家都知道信息化建设是"一把手工程",领导的支持程度直接影响到项目的成败。
对于阶段性风险,顾名思义,就是在信息化建设各阶段(如选型阶段,项目启动,需求调研等)中出现的、带有浓厚的阶段色彩的风险。
举例来说,在项目启动阶段,可能出现计划残缺,思维混沌的风险。对于任何一个项目来说,有明确的项目目标以及详细的项目计划是至关重要的。一个明确的项目目标,决定了整个项目的基调,一个详细的项目计划,使得后面的每项活动都易于控制和掌握。对于IT项目来说,更是如此,作为一个新兴的项目管理领域,IT项目的管理是不够成熟的,而IT的本身又是极难衡量的。在这样的情况下,在项目启动阶段就明确了IT项目的目标和计划显得犹为重要。
"项目不是在结束时失败,而是在开始时失败。"做过项目的人大概都会对这句话感触良深。在项目开始前,或者在项目的启动阶段,多做些工作并且把工作做踏实是非常必要的,也是提前杜绝一些可预测风险发生的一个有效手段。
在进入项目实施前,项目目标明晰和项目计划落实固然非常重要,然而仅仅这些措施是不够的。我们提倡,在项目启动阶段,企业应该对现状做一个评估,看看一旦启动信息化项目,各种风险发生的可能性有多大,对可能发生的困难要有预估,并提前做好防范措施。
对于项目启动之前的风险评估一般来说可以从两个方面来考量:
一方面评估信息化建设成功的可能性
另一方面需要评价项目实施的难易程度。
影响项目成功可能性的风险因素包括(我们通常称之为A类指标):企业战略对信息化的需求、决策层的态度、信息化项目的准备情况以及企业信息化建设的现状。信息化项目之所以可能成功,在于业务的驱动力大小。
常用的几种方法:
1工作危害分析法(JHA)
工作危害分析法是一种定性的风险分析辨识方法,它是基于作业活动的一种风险辨识技术,用来进行人的不安全行为、物的不安全状态、环境的不安全因素以及管理缺陷等的有效识别。
2 安全检查表分析法(SCL)
安全检查表法是一种定性的风险分析辨识方法,它是将一系列项目列出检查表进行分析,以确定系统、场所的状态是否符合安全要求,通过检查发现系统中存在的风险,提出改进措施的一种方法。
3 风险矩阵分析法(LS)
风险矩阵分析法是一种半定量的风险评价方法,它在进行风险评价时,将风险事件的后果严重程度相对的定性分为若干级,将风险事件发生的可能性也相对定性分为若干级,然后以严重性为表列,以可能性为表行,制成表,在行列的交点上给出定性的加权指数。
4作业条件危险性分析法(LEC)
作业条件危险性分析法是一种半定量的风险评价方法,它用与系统风险有关的三种因素指标值的乘积来评价 *** 作人员伤亡风险大小。三种因素分别是:L(事故发生的可能性)、E(人员暴露于危险环境中的频繁程度)和C(一旦发生事故可能造成的后果)。
5风险程度分析法(MES)
风险程度分析法是是一种半定量的风险评价方法,它是对作业条件危险性分析法(LEC)的改进。
风险评估在一个企业中,诱发安全事故的因素很多,“安全风险评估”能为全面有效落实安全管理工作提供基础资料.并评估出不同环境或不同时期的安全危险性的重点,加强安全管理,采取宣传教育、行政、技术及监督等措施和手段,推动各阶层员工做好每项安全工作。
使企业每位员工都能真正重视安全工作,让其了解及掌握基本安全知识,这样,绝大多数安全事故均是可以避的。这也是安全风险评估的价值所在。
要让所有的事情都去掉主观性是很困难的,但是实践和经验可以提高项目经理预测风险的概率和影响的能力。通常的风险评估过程都由以下六个基本步骤构成。
(1)评估所有的方法。所有不同的方法都应该考虑到,所有影响风险的因素都必须考虑。头脑风暴法或其他的风险识别方法应该使用得透彻,所有可能影响风险发生的因素都应该考虑到。
(2)考虑风险态度。决策者的风险态度是需要重点考虑的。不同的人会用不同的态度估计风险,并且使用同样的数据做出不同的决定。一些决策者,与其他的决策者相比较,或多或少是厌恶风险的,并且会根据给定的数据,对风险的发生和影响做出不同的主观评估。
(3)考虑风险的特征。风险是否已经识别、它们是否可控和它们的影响将会怎样,这些都是需要考虑的。控制已经识别(例如内部可控的)的风险而不是其他的(例如外部不可控的)风险,这是可能的。所有可能的风险特征都需要识别。
(4)建立测量系统。风险需要用定量或定性(或综合的)方法测量和评估。一些方法是使用已经建立的模型,这些模型输入了风险的特征和风险面临的情况,这样,根据历史经验就可以做出预测。
(5)解释结果。测量中生产的数据需要解释。这种解释同样也有定性的或定量的。测量过程的结果给预测和可能的结果提供了一种暗示,但是这些仍需要解释。两个不同的解释人员可能用的是同样的数据和结果,但他们所做的评价却不相同。解释可能会根据观察到的数据用外推法对未来的结果做出预测。
(6)做决策。整个过程的最后阶段需要决定哪些风险会保留,哪些风险要转移出去。风险是否保留取决于组织的实际情况和决策者的态度。
在风险评估过程中,可以采用多种 *** 作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。一、基于知识的分析方法在基线风险评估时,组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。基于知识的分析方法又称作经验方法,它牵涉到对来自类似组织(包括规模、商务目标和市场等)的“最佳惯例”的重用,适合一般性的信息安全社团。采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例的推荐选择安全措施,最终达到消减和控制风险的目的。基于知识的分析方法,最重要的还在于评估信息的采集,信息源包括:1会议讨论;2对当前的信息安全策略和相关文档进行复查;3制作问卷,进行调查;4对相关人员进行访谈;5进行实地考察。为了简化评估工作,组织可以采用一些辅助性的自动化工具,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的推荐报告。市场上可选的此类工具有多种,Cobra 就是典型的一种。二、基于模型的分析方法2001 年1 月,由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS 的项目,即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架,它的评估对象是对安全要求很高的一般性的系统,特别是IT 系统的安全。CORAS 考虑到技术、人员以及所有与组织安全相关的方面,通过CORAS 风险评估,组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。与传统的定性和定量分析类似,CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程,但其度量风险的方法则完全不同,所有的分析过程都是基于面向对象的模型来进行的。CORAS 的优点在于:提高了对安全相关特性描述的精确性,改善了分析结果的质量;图形化的建模机制便于沟通,减少了理解上的偏差;加强了不同评估方法互 *** 作的效率;等等。三、定量分析进行详细风险分析时,除了可以使用基于知识的评估方法外,最传统的还是定量和定性分析的方法。定量分析方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。简单说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。定量风险分析中有几个重要的概念:暴露因子(Exposure Factor,EF)—— 特定威胁对特定资产造成损失的百分比,或者说损失的程度。单一损失期望(Single Loss Expectancy,SLE)—— 或者称作SOC(Single OccuranceCosts),即特定威胁可能造成的潜在损失总量。年度发生率(Annualized Rate of Occurrence,ARO)—— 即威胁在一年内估计会发生的频率。年度损失期望(Annualized Loss Expectancy,ALE)—— 或者称作EAC(EstimatedAnnual Cost),表示特定资产在一年内遭受损失的预期值。考察定量分析的过程,从中就能看到这几个概念之间的关系:(1) 首先,识别资产并为资产赋值;(2) 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%~100%之间);(3) 计算特定威胁发生的频率,即ARO;(4) 计算资产的SLE:SLE = Asset Value × EF(5) 计算资产的ALE:ALE = SLE × ARO这里举个例子:假定某公司投资500,000 美元建了一个网络运营中心,其最大的威胁是火灾,一旦火灾发生,网络运营中心的估计损失程度是45%。根据消防部门推断,该网络运营中心所在的地区每5 年会发生一次火灾,于是我们得出了ARO 为020 的结果。基于以上数据,该公司网络运营中心的ALE 将是45,000 美元。我们可以看到,对定量分析来说,有两个指标是最为关键的,一个是事件发生的可能性(可以用ARO 表示),另一个就是威胁事件可能引起的损失(用EF 来表示)。理论上讲,通过定量分析可以对安全风险进行准确的分级,但这有个前提,那就是可供参考的数据指标是准确的,可事实上,在信息系统日益复杂多变的今天,定量分析所依据的数据的可靠性是很难保证的,再加上数据统计缺乏长期性,计算过程又极易出错,这就给分析的细化带来了很大困难,所以,目前的信息安全风险分析,采用定量分析或者纯定量分析方法的已经比较少了。四、定性分析定性分析方法是目前采用最为广泛的一种方法,它带有很强的主观性,往往需要凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素(资产价值,威胁的可能性,弱点被利用的容易度,现有控制措施的效力等)的大小或高低程度定性分级,例如“高”、“中”、“低”三级。定性分析的 *** 作方法可以多种多样,包括小组讨论(例如Delphi 方法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。定性分析 *** 作起来相对容易,但也可能因为 *** 作者经验和直觉的偏差而使分析结果失准。与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观;此外,定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。
1可靠性风险评价法是风险定量评价方法的一种,它以过去损失资料为依据,运用数学方法建立数学模型来进行评价。其评价的基本步骤是:先计算风险率,然后把风险率与安全指标相比较,若风险率大于安全指标,则表明企业或项目处于风险状态,需要采取控制措施;若风险率小于安全指标,则认为企业或项目较安全,没有必要或暂时没有必要采取控制措施。风险率是衡量风险大小的尺度,计算公式如下:
风险率=风险发生的频率×一次风险事故的平均损失
安全指标被认为是能满足安全需要的最低风险率,安全指标通常由国家或政府部门制定。
2层次分析法(analytical hierarchy process,简称AHP),是美国数学家在20世纪70年代提出的一种定性分析和定量分析相结合的评价方法,在经济学和管理学中得到了广泛应用。层次分析法的基本思想是把复杂问题分解为若干层次,在最低层次通过两两对比得出各种因素的权重,通过由低到高的层层分析计算,最后计算出各方案对总目标的权数,为决策者提供决策依据。
层次分析法的基本假设是层次问存在递阶结构,从商到低或从低到高递进。当复杂系统中某一层次直接或问接地影响其他层次,同时又直接或问接受其他层次影响时,就不属于层次分析范围,而应该使用网络模型来描述。
层次分析法在风险评价中应用的基本步骤如下:
① 根据评价目标和评价准则,建立递阶层次结构模型;
② 构造比较判断矩阵;
③ 确定项目风险要素的相对重要度,并进行一致性检验;
④ 计算项目风险的综合重要度;
⑤ 根据评价准则和综合重要度进行决策。
3因子分析法
因子分析的概念起源于20世纪初Karl Pearson和Charles Spearmen等人关于智力测验的统计分析。近年来,随着现代高速电子计算机的出现,人们将因子分析的理论成功地应用于心理学、医学、气象、经济学等领域,使得因子分析的理论和方法更加丰富。
因子分析的基本思想是根据相关性大小把变量分组,使得同组内的变量之间相关性较高,而不同组的变量相关性较低。每组变量代表一个基本结构,这个基本结构称为公共因子。因子分析是将具有错综复杂关系的变量归类为数量较少的几个因子,以再现原始变量与因子之间的相互关系,同时根据不同因子,还可以对变量进行分类。它也是属于多元分析中处理降维的一种统计方法。
问题一:简述项目风险管理的工作过程? 项目风险管理的工作流程
一、风险管理
风险管理是为了达到一个组织的既定目标,而对组织所承担的各种风险进行管理的系统过程,其采取的方法应符合公众利益、人身安全、环境保护以及有关法规的要求。风险管理包括策划、组织、领导、协调和控制等方面的工作。
二、项目风险管理的工作流程
风险管理过程包括项目实施全过程的项目风险识别、项目风险评估、项目风险响应和项目风险控制。
1项目风险识别
项目风险识别的任务是识别项目实施过程存在哪些风险,其工作程序包括:
(1)收集与项目风险有关的信息;
(2)确定风险因素;
(3)编制项目风险识别报告。
2项目风险评估
项目风险评估包括以下工作:
(1)利用已有数据资料(主要是类似项目有关风险的历史资料)和相关专业方法分析各种风险因素发生的概率;
(2)分析各种风险的损失量,包括可能发生的工期损失、费用损失,以及对工程的质量、功能和使用效果等方面的影响;
(3)根据各种风险发生的概率和损失量,确定各种风险的风险量和风险等级。
3项目风险响应
常用的风险对策包括风险规避、减轻、自留、转移及其组合等策略。对难以控制的风险,向保险公司投保是风险转移的一种措施。项目风险响应指的是针对项目风险的对策进行风险响应。
项目风险对策应形成风险管理计划,它包括:
(1)风险管理目标;
(2)风险管理范围;
(3)可使用的风险管理方法、工具以及数据来源;
(4)风险分类和风险排序要求;
(5)风险管理的职责和权限;
(6)风险跟踪的要求;
(7)相应的资源预算。
4项目风险控制
在项目进展过程中应收集和分析与风险相关的各种信息,预测可能发生的风险,对其进行监控并提出预警。
问题二:如何进行工程项目风险的控制与管理? 工程项目风险管理尚处于起步阶段,对于风险分析技术和风险应对的研究也还不成熟,有许许多多的方面需要我们去系统化、科学化的借鉴发达国家先进企业的优秀分析理念和处理方式。1、工程项目全面风险管理思想的提出全面风险管理是用系统的、动态的方法进行风险控制,以减少专案实行过程中的不确定性。它不仅使各层次的专案管理者建立风险意识,重视风险问题,防范于未然,而且在各个阶段、各个方面实施有效的风险控制,形成一个前后连贯的管理过程。
工程项目的全面风险管理分为项目风险的预测和识别、评估和分析、应对和控制以及监控四个阶段,且应是一个复杂的、动态的过程,应在一系列战略目标下进行管理。这些战略目标也会因环境的变化而改变。在这样一种流动的、d性的环境下,需要一种整体的、基于战略目标的风险管理思想,即风险管理应被看作是和其它项目管理活动融为一体的,它应渗透于项目的整个生命周期,渗透于项目的每一项活动之中,它有助于实现项目的战略目标。这就提出了全面风险管理的思想。
2、工程项目风险的预测与识别
21工程风险的分类
工程风险多种多样,非常复杂,并且一些风险通常具有一定的关联性。工程风险通常有以下几种:政治法律风险、社会人文风险、经济风险、自然与环境风险、技术风险、管理组织协调风险、合同风险、安全健康环境风险。
22风险识别的方法
对项目风险进行预测和识别的方法很多,目前常用的有:德尔菲方法、头脑风暴法、情景分析法等。关于项目风险预测和识别的理论和方法,还远没有达到完善的地步,还需人们进一步研究。
3、项目风险的评估与分析
31工程项目风险评估与分析的步骤
先确定项目风险评价基准。工程项目风险评价基准就是工程项目主体针对不同的项目风险后果,确定的可接受水平。单个风险和整个风险都要确定评价基准,分别称为单个评价基准和整体评价基准。项目的目标多种多样:时间短、利润最大、成本最小和风险损失最小等等,这些目标可以进行量化,成为评价基准。再确定项目风险水平。其中包括单个风险水平和整体风险水平。工程项目整体风险水平是综合了所有风险事件之后确定的。要确定工程项目的整体风险水平,有必要弄清单个风险之间的关系、相互作用以及转化因素对这些相互作用的影响。另外,风险水平的确定方法要和评价基准确定的原则和方法相适应,则两者就缺乏可比性。
最后将工程项目单个风险水平与单个评价基准、整体风险水平与整体评价基准进行比较,进而确定它们是否在可接受的范围之内,进而确定该项目是应该就此止步还是继续进行。
32对项目进行风险评估和分析的方法
对项目进行风险评估和分析的方法很多,如MonteCarlo模拟法、计划评审技术PERT(ProgremEvaluationandReviewTechniques)、主观概率法、效用理论、灰色系统理论、故障树分析法FTA(FaultTreeysis)、外推法、模糊分析方法、影响图分析法等。
4、项目风险的应对策略
41风险回避策略
回避是指当项目风险潜在威胁发生可能性太大,不利后果也太严重,又无其它策略可用时,主动放弃项目或改变项目目标与行动方案,从而规避风险的一种策略。如果通过风险分析发现项目的实施将面临巨大的威胁,项目经理班子又没有好的办法来控制风险,甚至保险公司也认为风险太大,拒接承保,这时就应当考虑采取风险回避策略。
风险回避策略是一种最为彻底的风险管理措施,因为这种策略将风险事件出现的概率降低为零,但这也是一种最消极的措施,因为其在回避风险的同时,也失去了>>
问题三:IT项目中如何进行风险管理规划 风险管理规划是在项目正式启动前或启动初期对项目的一个纵观全局的基于风险角度的考虑、分析、规划,也是项目风险控制中最为关键的内容。一 风险形势评估风险形势评估以项目计划、项目预算、项目进度等基本资讯为依据,着眼于明确项目的目标、战略、战术以及实现项目目标的手段和资源。从而实现:通过风险的角度审查项目计划认清项目形势,并揭示隐藏的一些项目前提和假设,使项目管理者在项目初期就能识别出一些风险。尤其是项目建议书、可行性报告或项目计划一般都是在若干假设、前提、预测的基础上完成的,这些假设、前提、预测在项目实施期间有可能成立,也有可能不成立。而这其中隐藏的风险问题又通常是被忽视的。一旦问题发生,往往造成项目管理方的措手不及和无一应对。例如项目计划中假设用户实施小组全力支援、脱b或几乎脱b投入IT项目的实施,但在实际过程中,用户方人员却不得不抽出大量时间处理塬有的业务,造成IT项目实施进度的拖延和实施效果不尽人意的风险。诸如此类的例子还有很多。为了找出这些隐藏的项目条件和威胁,就需要对与项目相关的各种计划进行详细审查,如人力资源计划、合同管理计划、项目采购计划等等。由此我们可以得出,风险形势评估一般应重视以下内容:项目的起因、目的、项目的范围、组织目标与项目目标的相互关系、项目的贡献、项目条件、制约因素等。二 风险识别在对项目的基础的风险形势评估之上,就需要对各种显露的和潜在的风险进行识别。风险识别实际上是对将来可能发生的风险事件的一种设想和猜测。因此,一般的风险识别结果应包括风险的分类、来源、表现及其后果、以及引发的相关项目管理要求。在具体识别风险时,一方面可利用一些常识、经验和判断,通过以前经历的项目中积累起来的资料、资料、经验和教训,或者请教相关的专家和资深从业人员,采用集体讨论的方式。另一方面,可以通过分解项目的范围、结构来识别风险,理清项目的组成和各个组成部分的性质、之间的关系、与外因的联系等内容,从而减少项目实施过程中的不确定性。除此之外,还可以利用一些技术和工具。比如,结合经验和教训,将项目成功和失败的塬因罗列成一张核对表,或者是项目的实施范围、质量控制、项目进度、采购与合同管理、人力资源与沟通等。以上都是风险识别常用的一些手段和方法,当然还有其他更多的途径,因项目而异,灵活运用。三 风险分析和评价在进行风险识别并整理之后,必须就各项风险对整个项目的影响程度做一些分析和评价,通常这些评价建立在以特性为依据的判断和以资料统计为依据的研究上。风险分析的方法非常多,一般采用统计学范畴内的概率、分布频率、平均数\数等方法。但无论是哪一种工具,都各有长短,而且不可避免的会受到分析者的主观影响。可以通过多角度多人员的分析或者采取头脑风暴法等尽可能避免。此外,我们应当明确,风险是一种变化着的事物,基于这种易变条件上的预测和分析,是不可能做到十分的精确和可靠的。所有的风险分析都只有一个目的,即尽量避免项目的失控和为具体的项目实施中的突发问题预留足够的后备措施和缓冲空间。风险评价之后,项目面临着两种选择,即面临着不可承受风险和可承受风险。对于前者,或者终止项目,或者采取补救措施,降低风险或改变项目;对于后者,则需要在项目之中进行风险控制。
问题四:如何进行项目融资风险管理 任何融资行为都有可能带来风险,着名的太子奶因融资不当,从融资开始到企业倒闭也不过仅仅9个月时间。中小企业也不例外,在融资过程中也可能面临各种风险,特别是在今年金融紧控形势下,融资风险可以说存在于各家企业。中小企业的融资风险主要是指由于多种不确定因素的影响使其在融资过程中所遇到的风险,根据多年的投融资经验,投融资专家张雪奎教授总结融资风险主要有以下几条:
1、国家经济政策所导致的融资风险
一般而言,由于中小企业生产经营极不稳定,一国经济金融政策的变化,都有可能对它的生产经营、市场环境和融资形势产生一定的影响。如果中小企业不能根据国家经济金融政策的变化做出敏锐的反应和及时调整,将会给中小企业的融资带来一定的风险,进而影响到中小企业的发展。如国家的产业政策限制的行业,其直接融资和间接融资的风险都较大,如果企业经营得不到正常的资金供给,企业就难以为继。又如,在货币政策紧缩时期,市场上资金的供应减少,受此影响,中小企业通过市场来筹集资金的风险增大。要么筹集不到资金,要么融资成本提高、融资数量减少,直接影响了企业资金链连续性,并进一步增大了中小企业的经营风险。据投融资专家张雪奎教授所知,今年大量企业遇到这种情况,融不到资金是企业经营困难,融到的资金成本过高,造成还贷压力过重,致使企业难以放手经营。
2、经营的不稳定性导致的融资风险中小企业对外界经济环境的依存性较大,因而中小企业除对国家产业政策和金融政策有着较强的敏感性外,国家经济制度安排,宏微观经济环境的变化,行业竞争态势的加剧,也将增大中小企业的经营风险,最终影响中小企业的经营和发展。那些经营不佳或销售渠道不畅,或竞争实力不够或难以实行多元化经营来分散风险的中小企业往往首先受到市场的冲击。而经营风险的增大又使中小企业的经营稳定性遭到破坏,进而更难满足市场融资的条件,融资更加困难。
3、管理水平低下所导致的融资风险管理水平低下主要表现在,中小企业的管理观念落后,内部管理基础工作缺乏和管理环节薄弱,人员素质普遍不高,对市场的潜在需求研究不够,产品研制的技术力量有限,对市场的变化趋势没有预见性等。由于管理上的种种缺陷,致使中小企业的后劲不足。高开业率和高废业率是中小企业的主要特点,从而使得商业性金融机构非常谨慎。在我国,中小企业5年淘汰率近70%,约30%左右的小企业处于亏损状态,仅有三成左右具有成长潜能,七成左右发展能力很弱,能够生存十年以上的中小企业仅占1%因此,中小企业无论是进行直接融资,还是间接融资,都会面临诸多融资障碍,融资风险往往很大。
4、信用危机所导致的融资风险中小企业信用不足是一个普遍现象。有的中小企业会计信息不真实、财务做假账、资本空壳、核算混乱,有的中小企业抽逃资金、拖欠账款、恶意偷税,这在一定程度上都影响了中小企业的形象。相对于大企业的很多信息的公开化和容易以极低的成本获取,中小企业的信息基本上是内部化的、不透明的,银行金融机构和其他投资者很难通过一般渠道获得,因此,银行要向中小企业提供贷款或投资人要向中小企业进行投资就不得不加大人力资源的投入以提高信息的收集和分析质量。这一方面加大了银行或投资人贷款和投资成本,另一方面也给中小企业的融资带来困难,中小企业的融资存在很大的不确定性。
1、融资风险“潜伏期”识别融资风险“潜伏期”的警兆是指建立在大量资料分析基础上的反映融资风险大小以及是否带来财务危机的先兆。这个信息资料包括两个方面:一是企业内部经营管理的信息;二是与企业相关联的外部市场所处行业的信息。潜伏期的融资风险主要是企业对融资活动的控制风险,主要反映企业>>
问题五:风险管理的把控方法 风险是客观存在的,任何企业都面临内部或外部风险,它会影响企业目标的实现,因此企业管理者必须进行风险管理,那么该如何做好企业风险管理呢?1、提高风险管理意识,在企业经营活动中,企业管理者应根据自身的能力去承接项目,对所承接的项目要进行预评估制度,对经评估确认风险较大的项目要尽量避开和放弃。有多少人接多少项目,这样才能有效避免由于人员不到位、人员与投标不符、资质降低等容易受到处罚的风险。此外,不盲目扩大规模,使各个项目均能处于企业管理者的有效管理范围之内,有效避免因企业管理不到位带来的风险。2、企业应该尽量采用规范化的管理模式,制定规范化的规章制度、岗位责任制,《老板》杂志表示企业管理者对每个具体的项目,还应根据其自身特点,对涉及监理风险的工作内容,制定较为细致的、有针对性的监理实施细则和风险管理计划,从而使企业的所有项目均能按统一规定的工作程序、要求、标准去做好监理工作,正确履行监理的各种责任,从而达到降低风险的目的。3、企业管理者应建立较为完善的监督检查机制,进行动态管理。企业的各级领导、业务部门要经常到项目中进行检查与指导,并加强与业主的沟通,听取业主的意见,及时把各种新的法律法规、内外形势变化、企业和业主的要求等传达到项目监理人员当中,并在检查中及时发现项目监理机构的不足,企业管理者应针对项目存在的风险隐患,及时加以处理,使其消失于萌芽状态,避免风险事故的发生。4、 组建突发事件公关队伍,全面应对突发事件。企业管理者为了加强对突发事件的管理与应对,在企业内部建立一支训练有素、精干高效的突发事件公关队伍是完全必要的。其成员应包括企业最高决策层、公关部门、生产部门市场销售部门、技术研发部门、保安部门、人力资源部门等相关部门的人员以及法律顾问、公关专家等专业人士。在正常情况下,突发事件公关小组负责对企业内外环境进行实时监测,在广泛收集信息的基础上分析发现存在的问题和隐患,对可能出现的突发事件情况做出准确预测,帮助企业管理者根据预测结果制定切实可行的突发事件防范措施,监督指导防范措施的落实,加强对突发事件预警机制的管理,开展对公关人员和全体员工的培训,组织突发事件状况模拟演习等。当突发事件发生时,突发事件公关小组要起到指挥中心的作用,包括建立突发事件控制中心、制定紧急应对方案,策动方案实施,与媒体进行联系沟通,控制险情扩散、恶化,减弱突发事件的不良影响,化解公众疑虑和敌对情绪,以便尽快结束突发事件。
问题六:实例说明如何对项目进行风险管理? 高亚科技的8ManagePPM 能自动检测项目各种系统性风险及其影响,包括项目计划,成本,资源以及质量的风险,并且能根据现有影响自动推测最终的影响,项目人员可清楚地知道若不及时恰当地管理这些风险的严重性。
同时,支持记录用户自定义风险并跟踪风险从开始到结束的整个过程。系统会自动根据风险发生几率的高低和采取行动前后风险的的影响来分类和评估每个风险,以便项目人员更快速有效地确定行之有效的方案来避免风险。
问题七:项目管理中风险管理各个过程包括哪些? (1)制定风险管理计划:定义如何实施项目风险管理活动。
(2)风险识别:判断哪些风险会影响项目并记录其特征。
(3)风险定性分析:评估并综合分析风险的发生概率和影响,对风险的优先排序,从而为后续分析或行动提供基础。
(4)风险定量分析:就已识别风险对项目整体目标的影响进行定量分析。
(5)编制风险应对计划:针对项目目标,制定提高机会、降低威胁的方案和措施。
(6)风险监控:在整个项目中,实施风险应计划、跟踪已识别风险、监测残余风险,识别新风险和评估风险过程有效性。
问题八:建设工程项目风险管理程序有哪些? ① 风险识别:是指风险管理人员在收集资料和调查研究之后,运用各种方法对尚未发生的潜在风险以及客观存在的各种风险进行系统归类和全面识别。风险识别的主要内容:引起风险的主要因素,风险的性质,风险可能引起的后果风险识别的方法风险识别的主要成果:风险清单② 风险分析与评估:指在定性识别风险因素的基础上,进一步分析和评价风险因素发生的概率、影响的范围、可能造成损失的大小以及多种风险因素对项目目标的总体影响等。风险分析与评估的任务风险分析与评估的方法:往往采用定性与定量相结合的方法来完成③ 风险应对策略的决策:是确定项目风险事件最佳对策组合的过程。四种对策④ 风险对策的实施:将作出的决策进一步落实到具体的计划和措施中去。⑤ 风险对策实施的监控:指在项目实施过程中,跟踪已识别的风险,识别新的风险,保证风险对策计划的执行,并评估风险对策与措施的有效性。目的:评估各种风险控制措施产生的实际效果,确定风险减少的程度,监视风险的变化情况,进而考虑是否需要调整风险管理计划以及是否启动相应的应急措施等。
问题九:如何有效的进行项目风险控制 没什么计算公式,风险管理一般是在项目中,定期识别风险,分析风险,并处理风险 识别风险,就是找出当前项目中存在的风险 分析风险,就是分析风险发生的可能性和对项目的影响 处理风险,就是想出能够规避风险或减轻影响的应对措施 blogeduol/6
问题十:项目风险管理的风险识别 风险识别包含两方面内容:1 识别哪些风险可能影响项目进展及记录具体风险的各方面特征。风险识别 不是一次性行为,而应有规律的贯穿整个项目中。2 风险识别包括识别内在风险及外在风险。内在风险指项目工作组能加以控制和影响的风险,如人事任免和成本估计等。外在风险指超出项目工作组等控力和影响力之外的风险,如市场转向或 行为等。严格来说,风险仅仅指遭受创伤和损失的可能性,但对项目而言,风险识别还牵涉机会选择(积极成本)和不利因素威胁(消极结果)。项目风险识别应凭借对因和果(将会发生什么导致什么)的认定来实现,或通过对果和因(什么样的结果需要予以避免或促使其发生,以及怎样发生)的认定来完成。 在所识别的风险中,项目产品的特性起主要的决定作用。所有的产品都是这样,生产技术已经成熟完善的产品要比尚待革新和发明的产品风险低得多。与项目相关的风险常常以产品成本和预期影响来描述。工作分析结构--非传统形式的结构细分往往能提供给我们高一层次分支图所不能看出来的选择机会。成本估计和活动时间估计--不合理的估计及仅凭有限信息做出的估计会产生更多风险。人事方案--确定团队成员有独特的工作技能使之难以替代,或有其它职责使成员分工细化。必需品采购管理方案--类似发展缓慢的地方经济这样的市场条件往往可能提供降低合同成本的选择。 有关以前若干个项目情况的历史资料对识别目前项目的潜在风险具有特殊帮助。这种历史资料往往可以从以下渠道获得:项目资料文件--一个项目所牵涉的一个或更多的组织往往会保留过去项目的记录,这些记录会很详细,足以协助进行风险识别工作。实际上,某些团队的成员就保有这样的记录。商业数据--在很多应用领域我们可以获得商业的历史信息。项目组的经验知识--项目组成员都会记得以往项目的产出和消耗情况。当然这样收集的信息可能很有用,但较之以文件资料形式记录的信息可靠性低些。 核对表一般根据风险要素编纂。包括项目的环境,其它程序的输出,项目产品或技术资料,以及内部 因素如团队成员的技能(或技能的缺陷)。流量表能帮助项目组易于理解风险的缘由和影响。与不同的项目涉及人员进行有关风险的面谈有助于那些在常规计划中未被识别的风险。项目前期面谈记录也是可以获得的。头脑风暴法又称智力激励法,是由美国创造学家奥斯本于1939年首次提出、1953年正式发表的一种激发性思维的方法。它是通过营造一个无批评的自由的会议环境,使与会者畅所欲言,充分交流、互相启迪,产生出大量创造性意见的过程。德尔菲法起源于20世纪40年代末,由美国兰德公司首次用这种方法用来进行预测,后来该方法被迅速广泛采用。德尔菲法依据系统的程序,采用匿名发表意见的方式,即专家之间不得互相讨论,不发生横向联系,只能与调查人员 ,通过多轮次调查专家对问卷所提问题的看法经过反复征询、归纳、修改,最后汇总成专家基本一致的看法作为预测的结果。
以上就是关于IT项目中如何进行风险管理规划全部的内容,包括:IT项目中如何进行风险管理规划、风险评估分为哪几个步骤、如何进行项目风险评估等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)