風險管理

風險管理當中包括了對風險的量度、評估和應變策略。理想的風險管理，是一連串排好優先次序的過程，使當中的可以引致最大損失及最可能發生的事情優先處理、而相對風險較低的事情則押後處理。

現實情況裏，優化的過程往往很難決定，因為風險和發生的可能性通常並不一致，所以要權衡兩者的比重，以便作出最合適的決定。

“風險管理”亦要面對有效資源運用的難題，這牽涉到機會成本（opportunitycost）的因素。把資源用於風險管理，可能使能運用於有回報活動的資源減低；而理想的風險管理，正希望能夠花最少的資源去去儘可能化解最大的危機。

“風險管理”曾經在1990年代西方商業界前往中國進行投資的行政人員必修科目。當年不少MBA課程都額外加入“風險管理”的環節。

“風險管理”（risk management）

在降低風險的收益與成本之間進行權衡並決定採取何種措施的過程。

確定減少的成本收益權衡方案（trade-off）和決定採取的行動計劃（包括決定不採取任何行動）的過程稱為風險管理。

首先，風險管理必須識別風險。風險識別是確定何種風險可能會對企業產生影響，最重要的是量化不確定性的程度和每個風險可能造成損失的程度。

其次，風險管理要着眼於風險控制，公司通常採用積極的措施來控制風險。通過降低其損失發生的概率，縮小其損失程度來達到控制目的。控制風險的最有效方法就是制定切實可行的應急方案，編制多個備選的方案，最大限度地對企業所面臨的風險做好充分的準備。當風險發生後，按照預先的方案實施，可將損失控制在最低限度。

再次，風險管理要學會規避風險。在既定目標不變的情況下，改變方案的實施路徑，從根本上消除特定的風險因素。例如設立現代激勵機制、培訓方案、做好人才備份工作等等，可以降低知識員工流失的風險。

能夠有效地對各種風險進行管理

1有利於企業作出正確的決策；

2有利於保護企業資產的安全和完整；

3有利於實現企業的經營活動目標，對企業來説具有重要的意義。

風險管理是社會組織或者個人用以降低風險的消極結果的決策過程，通過風險識別、風險估測、風險評價，並在此基礎上選擇與優化組合各種風險管理技術，對風險實施有效控制和妥善處理風險所致損失的後果，從而以最小的成本收穫最大的安全保障。風險管理含義的具體內容包括：

1.風險管理的對象是風險。

2.風險管理的主體可以是任何組織和個人，包括個人、家庭、組織（包括營利性組織和非營利性組織）。

3.風險管理的過程包括風險識別、風險估測、風險評價、選擇風險管理技術和評估風險管理效果等。

4.風險管理的基本目標是以最小的成本收穫最大的安全保障。

5.風險管理成為一個獨立的管理系統，併成為了一門新興學科。

風險管理主要分為兩類：

經營管理型風險管理，主要研究政治、經濟、社會變革等所有企業面臨的風險的管理。

保險型風險管理，主要以可保風險作為風險管理的對象，將保險管理放在核心地位，將安全管理作為補充手段。

風險管理是一項有目的的管理活動，只有目標明確，才能起到有效的作用。否則，風險管理就會流於形式，沒有實際意義，也無法評價其效果。

風險管理的目標就是要以最小的成本獲取最大的安全保障。因此，它不僅僅只是一個安全生產問題，還包括識別風險、評估風險和處理風險，涉及財務、安全、生產、設備、物流、技術等多個方面，是一套完整的方案，也是一個系統工程。

風險管理目標的確定一般要滿足以下幾個基本要求：

(1)風險管理目標與風險管理主體(如生產企業或建設工程的業主)總體目標的一致性。

(2)目標的現實性，即確定目標要充分考慮其實現的客觀可能性。

(3)目標的明確性，即使用正確選擇和實施各種方案，並對其效果進行客觀的評價。

(4)目標的層次性，從總體目標出發，根據目標的重要程度，區分風險管理目標的主次，以利於提高風險管理的綜合效果。

風險管理的具體目標還需要與風險事件的發生聯繫起來，從另一角度分析，它可分為損前目標和損後目標兩種。

①經濟目標。企業應以最經濟的方法預防潛在的損失，即在風險事故實際發生之前，就必須使整個風險管理計劃、方案和措施最經濟、最合理，這要求對安全計劃、保險以及防損技術的費用進行準確分析。

②安全狀況目標。安全狀況目標就是將風險控制在可承受的範圍內。風險管理者必須使人們意識到風險的存在，而不是隱瞞風險，這樣有利於人們提高安全意識，防範風險並主動配合風險管理計劃的實施。

③合法性目標。風險管理者必須密切關注與經營相關的各種法律法規，對每一項經營行為、每一份合同都加以合法性的審視，不致於使企業蒙受財務、人才、時間、名譽的損失，保證企業生產經營活動的合法性。

④履行外界賦予企業責任目標。例如，政府法規可以要求企業安裝安全設施以免發生工傷，同樣一個企業的債權人可以要求貸款的抵押品必須被保險。

①生存目標。一旦不幸發生風險事件，給企業造成了損失，損失發生後風險管理的最基本、最主要的目標就是維持生存。實現這一目標，意味着通過風險管理人們有足夠的抗災救災能力，使企業、個人、家庭、乃至整個社會能夠經受得住損失的打擊，不至於因自然災害或意外事故的發生而元氣大傷、一蹶不振。實現維持生存目標是受災風險主體在損失發生之後，在一段合理的時間內能夠部分恢復生產或經營的前提。

②保持企業生產經營的連續性目標。風險事件的發生給人們帶來了不同程度的損失和危害，影響正常的生產經營活動和人們的正常生活，嚴重者可使生產和生活陷於癱瘓。對公共事業尤為重要，這些單位有義務提供不間斷的服務。

③收益穩定目標。保持企業經營的連續性便能實現收益穩定的目標，從而使企業保特生產持續增長。對大多數投資者來説，一個收益穩定的企業要比高風險的企業更具有吸引力。穩定的收益意味着企業的正常發展，為了達到收益穩定目標，企業必須增加風險管理支出。

④社會責任目標。儘可能減輕企業受損對他人和整個社會的不利影響，因為企業遭受一次嚴重的損失會影響到員工、顧客，供貨人、債權人、税務部門以至整個社會的利益。為了實現上述目標，風險管理人員必須辨識風險、分析風險和選擇適當的應對風險損失的方法和措施。

人力資源管理中的風險管理是指在招聘、工作分析、職業計劃、績效考評、工作評估、薪金管理、福利/激勵、員工培訓、員工管理等各個環節中進行風險管理，防範人力資源管理中的風險發生。

風險分類：

招聘風險、績效考評風險、工作評估風險、薪金管理風險、員工培訓風險、員工管理風險等等。

風險識別：

要想防範風險，首先要進行風險識別。識別風險就是主動的去尋找風險。比如員工管理中，技術骨幹離職風險可能會由以下幾個方面產生：

1、待遇：他是否對他的待遇滿意?

2、工作成就感：他是否有工作成就感?

3、自我發展：他是否在工作中提高了自己的能力?

4、人際關係：他在公司是否有良好的人際關係?

5、公平感：他是否感到公司對他與別人是公平的?

6、地位：他是否認為他在公司的地位與他對公司的貢獻成正比?

7、信心：他是否對公司的發展和個人在公司的發展充滿了信心?

8、溝通：他是否有機會與大家溝通、交流?

9、關心：他是否能得到公司和員工的關心?

10、認同：他是否認同企業的管理方式、企業文化、發展戰略?

11、其他：他是否有可能因為結婚、出國留學、繼續深造等原因離職?

風險評估：

風險評估是對風險可能造成的災害進行分析。主要通過以下幾個步驟進行評估：

1、根據風險識別的條目有針對性的進行調研；

2、根據調研結果和經驗，預測發生的可能性，並用百分比表示發生可能性的程度；

3、根據程度排定優先隊列。

對於現代企業來説，風險管理就是通過風險的識別、預測和衡量、選擇有效的手段，以儘可能降低成本，有計劃地處理風險，以獲得企業安全生產的經濟保障。這就要求企業在生產經營過程中，應對可能發生的風險進行識別，預測各種風險發生後對資源及生產經營造成的消極影響，使生產能夠持續進行。可見，風險的識別、風險的預測和風險的處理是企業風險管理的主要步驟。

風險的識別是風險管理的首要環節。只有在全面瞭解各種風險的基礎上，才能夠預測危險可能造成的危害，從而選擇處理風險的有效手段。

2.1.1◆生產流程分析法

生產流程分析法是對企業整個生產經營過程進行全面分析，對其中各個環節逐項分析可能遭遇的風險，找出各種潛在的風險因素。生產流程分析法可分為風險列舉法和流程圖法。

1.風險列舉法指風險管理部門根據該企業的生產流程，列舉出各個生產環節的所有風險。

2.流程圖法指企業風險管理部門將整個企業生產過程一切環節系統化、順序化，製成流程圖，從而便於發現企業面臨的風險。

2.1.2◆財務表格分析法

財務表格分析法是通過對企業的資產負債表、損益表、營業報告書及其他有關資料進行分析，從而識別和發現企業現有的財產、責任等面臨的風險。

2.1.3保險調查法

採用保險調查法進行風險識別可以利用兩種形式：

通過保險險種一覽表，企業可以根據保險公司或者專門保險刊物的保險險種一覽表，選擇適合該企業需要的險種。這種方法僅僅對可保風險進行識別，對不可保風險則無能為力。

委託保險人或者保險諮詢服務機構對該企業的風險管理進行調查設計，找出各種財產和責任存在的風險。

風險預測實際上就是估算、衡量風險，由風險管理人運用科學的方法，對其掌握的統計資料、風險信息及風險的性質進行系統分析和研究，進而確定各項風險的頻度和強度，為選擇適當的風險處理方法提供依據。風險的預測一般包括以下兩個方面：

2.2.1預測風險的概率：通過資料積累和觀察，發現造成損失的規律性。一個簡單的例子：一個時期一萬棟房屋中有十棟發生火災，則風險發生的概率是1/1000。由此對概率高的風險進行重點防範。

2.2.2預測風險的強度：假設風險發生，導致企業的直接損失和間接損失。對於容易造成直接損失並且損失規模和程度大的風險應重點防範。

風險的處理常見的方法有：

避免風險：消極躲避風險。比如避免火災可將房屋出售，避免航空事故可改用陸路運輸等。因為存在以下問題，所以一般不採用。

可能會帶來另外的風險。比如航空運輸改用陸路運輸，雖然避免了航空事故，但是卻面臨着陸路運輸工具事故的風險。

會影響企業經營目標的實現。比如為避免生產事故而停止生產，則企業的收益目標無法實現。

預防風險：採取措施消除或者減少風險發生的因素。例如為了防止水災導致倉庫進水，採取增加防洪門、加高防洪堤等，可大大減少因水災導致的損失。

自保風險：企業自己承擔風險。途徑有：

小額損失納入生產經營成本，損失發生時用企業的收益補償。

針對發生的頻率和強度都大的風險建立意外損失基金，損失發生時用它補償。帶來的問題是擠佔了企業的資金，降低了資金使用的效率。

對於較大的企業，建立專業的自保公司。

轉移風險：在危險發生前，通過採取出售、轉讓、保險等方法，將風險轉移出去。

風險管理是一門新興的管理學科。

風險管理從1930年代開始萌芽。風險管理最早起源於美國，在1930年代，由於受到1929－1933年的世界性經濟危機的影響，美國約有40%左右的銀行和企業破產，經濟倒退了約20年。美國企業為應對經營上的危機，許多大中型企業都在內部設立了保險管理部門，負責安排企業的各種保險項目。可見，當時的風險管理主要依賴保險手段。

1938年以後，美國企業對風險管理開始採用科學的方法，並逐步積累了豐富的經驗。1950年代風險管理發展成為一門學科，風險管理一詞才形成。

1970年代以後逐漸掀起了全球性的風險管理運動。1970年代以後，隨着企業面臨的風險複雜多樣和風險費用的增加，法國從美國引進了風險管理並在法國國內傳播開來。與法國同時，日本也開始了風險管理研究。

近20年來，美國、英國、法國、德國、日本等國家先後建立起全國性和地區性的風險管理協會。1983年在美國召開的風險和保險管理協會年會上，世界各國專家學者雲集紐約，共同討論並通過了“101條風險管理準則”，它標誌着風險管理的發展已進入了一個新的發展階段。

1986年，由歐洲11個國家共同成立的“歐洲風險研究會”將風險研究擴大到國際交流範圍。1986年10月，風險管理國際學術討論會在新加坡召開，風險管理已經由環大西洋地區向亞洲太平洋地區發展。

中國對於風險管理的研究開始於1980年代。一些學者將風險管理和安全系統工程理論引入中國，在少數企業試用中感覺比較滿意。中國大部分企業缺乏對風險管理的認識，也沒有建立專門的風險管理機構。作為一門學科，風險管理學在中國仍舊處於起步階段。

進入到上世紀90年代，隨着資產證券化在國際上興起，風險證券化也被引入到風險管理的研究領域中。而最為成功的例子是瑞士再保險公司發行的巨災債券，和由美國芝加哥期貨交易所發行的PCS期權。

對風險管理研究的方法採用定性分析方法和定量分析方法。

定性分析方法是通過對風險進行調查研究，做出邏輯判斷的過程。定量分析方法一般採用系統論方法，將若干相互作用、相互依賴的風險因素組成一個系統，抽象成理論模型，運用概率論和數理統計等數學工具定量計算出最優的風險管理方案的方法。

隨着經濟發展中產業的細化和經營方式的多樣化、金融深化以及日新月異的技術創新，對風險的科學識別、計量和安排都必須要有相應技術作為支持，僅僅藉助經驗和主觀判斷是無法勝任的。

在投資項目、前期評價、貸款定價、授信決策、風險監控、資本計量、減值計提、績效考核、組合管理、貸後管理等方面，用依賴經驗的非標準化方式進行，不僅難以兼顧風險偏好和決策，同時也大大影響了工作流程，資金效率、項目成本等指標。

因此，就需要進行系統的學習，全方位的瞭解和應用投資項目分析體系，用正確的系統工具和分析方法，對項目進行評價。

純粹風險説

純粹風險説以美國為代表。純粹風險説將企業風險管理的對象放在企業靜態風險的管理上，將風險的轉嫁與保險密切聯繫起來。該學説認為風險管理的基本職能是將對威脅企業的純粹風險的確認和分析，並通過分析在風險自保和進行保險之間選擇最小成本獲得最大保障的風險管理決策方案。該學説是保險型風險管理的理論基礎。

企業全部風險説以德國和英國為代表，該學説將企業風險管理的對象設定為企業的全部風險，包括了企業的靜態風險（純粹風險）和動態風險（投機風險），認為企業的風險管理不僅要把純粹風險的不利性減小到最小，也要把投機風險的收益性達到最大。該學説認為風險管理的中心內容是與企業倒閉有關的風險的科學管理。企業全部風險説是經營管理型風險管理的理論基礎。

在20世紀七八十年代，因為事故和其它發生的風險導致了許多組織的破產，這一現象引起了一些跨國公司和大型聯合企業股東的極大關注，為強化自己的社會關注力和最大地降低事故和其它事件的損失，這些企業開始引入了“損失控制”的理念，將管理的重點慢慢地從預防傷害轉向預防和控制損失。從那時候，風險管理得到了世界上更大的關注，並逐步地得到的發展。

南方電網風險管理體系建設(3張)

鑽石體系就是在這一背景之下產生的，她由國際風險控制協會聯盟創造人弗蘭克.伯德先生首創，其早期設計的目的僅僅是為了協助企業控制損失，降低事故，她是一個公共性的系統。但隨着國際社會及企業對風險管理需求的不斷增加以及對鑽石體系表現出的日益增長的興趣與關注，使得國際風險控制協會不得不升級了它的安健環質量保護體系以滿足市場要求並符合國際標準，經過美國、南非、澳大利亞等聯盟成員7次修編，鑽石體系已被證實為一個隨時可用的現成架構，是一個涵蓋了所有職業安全、健康、環境、質量及社會等元素風險，符合ISO9001、ISO14001及OHSAS 18001/ AS/NZS 4801標準要求的整合系統。她是世界上最好的安健環質量綜合風險管理體系之一。

2004年，鑽石體系由國際風險控制協會聯盟成員安瑞祺國際風險管理顧問公司引進中國，併為諸多如南方電網公司等國內大型國有企業所採納。

鑽石體系強調“以人為本”的思想，它結合安全行為科學，通過行為干預技術，改善員工風險行為，無限度地提升商業機構底線的質和量，改善機構生產能力及員工士氣，並最終為商業機構帶來世界級的職業安全、健康、環境、質量及風險管理的成果。

鑽石體系的設計具有較強的可塑性，它貼近企業操作實踐，具備兼容企業與當地行業特殊要求的能力，諸多國際及跨國公司在鑽石體系上的成功運用充分説明它是一套科學的、完備的管理系統。

鑽石體系由12個元素組成，這些元素代表好的管理實踐，並與一些國際標準如ISO 14001、 ISO 9001:2000、OHSAS – 18001、英國標準8800及其他國際標準如AS/NZS4801相兼容。

軟件項目風險管理是軟件項目管理的重要內容。在進行軟件項目風險管理時，要辯識風險，評估它們出現的概率及產生的影響，然後建立一個規劃來管理風險。風險管理的主要目標是預防風險。

軟件項目風險是指在軟件開發過程中遇到的預算和進度等方面的問題以及這些問題對軟件項目的影響。軟件項目風險會影響項目計劃的實現，如果項目風險變成現實，就有可能影響項目的進度，增加項目的成本，甚至使軟件項目不能實現。如果對項目進行風險管理，就可以最大限度的減少風險的發生。但是，目前國內的軟件企業不太關心軟件項目的風險管理，結果造成軟件項目經常性的延期、超過預算，甚至失敗。成功的項目管理一般都對項目風險進行了良好的管理。因此任何一個系統開發項目都應將風險管理作為軟件項目管理的重要內容。

在項目風險管理中，存在多種風險管理方法與工具，軟件項目管理只有找出最適合自己的方法與工具並應用到風險管理中，才能儘量減少軟件項目風險，促進項目的成功。

軟件項目的風險管理是軟件項目管理的重要內容。本文探討了風險管理的主要內容和方法，介紹了風險管理的經典理論，比較了幾種主流的風險管理策略和模型。

軟件項目的風險無非體現在以下四個方面：需求、技術、成本和進度。IT項目開發中常見的風險有如下幾類：

1 需求風險

①需求已經成為項目基準，但需求還在繼續變化；②需求定義欠佳，而進一步的定義會擴展項目範疇；③添加額外的需求；④產品定義含混的部分比預期需要更多的時間；⑤在做需求中客户參與不夠；⑥缺少有效的需求變化管理過程。

2 計劃編制風險

①計劃、資源和產品定義全憑客户或上層領導口頭指令，並且不完全一致；②計劃是優化的，是"最佳狀態",但計劃不現實，只能算是"期望狀態";③計劃基於使用特定的小組成員，而那個特定的小組成員其實指望不上；④產品規模(代碼行數、功能點、與前一產品規模的百分比)比估計的要大；⑤完成目標日期提前，但沒有相應地調整產品範圍或可用資源；⑥涉足不熟悉的產品領域，花費在設計和實現上的時間比預期的要多。

3 組織和管理風險

①僅由管理層或市場人員進行技術決策，導致計劃進度緩慢，計劃時間延長；②低效的項目組結構降低生產率；③管理層審查 決策的週期比預期的時間長；④預算削減，打亂項目計劃；⑤管理層作出了打擊項目組織積極性的決定；⑥缺乏必要的規範，導至工作失誤與重複工作；⑦非技術的第三方的工作（預算批准、設備採購批准、法律方面的審查、安全保證等）時間比預期的延長。

4 人員風險

①作為先決條件的任務（如培訓及其他項目）不能按時完成；②開發人員和管理層之間關係不佳，導致決策緩慢，影響全局；③缺乏激勵措施，士氣低下，降低了生產能力；④某些人員需要更多的時間適應還不熟悉的軟件工具和環境；⑤項目後期加入新的開發人員，需進行培訓並逐漸與現有成員溝通，從而使現有成員的工作效率降低；⑥由於項目組成員之間發生衝突，導致溝通不暢、設計欠佳、接口出現錯誤和額外的重複工作；⑦不適應工作的成員沒有調離項目組，影響了項目組其他成員的積極性；⑧沒有找到項目急需的具有特定技能的人。

5 開發環境風險

①設施未及時到位；②設施雖到位，但不配套，如沒有電話、網線、辦公用品等；③設施擁擠、雜亂或者破損；④開發工具未及時到位；⑤開發工具不如期望的那樣有效，開發人員需要時間創建工作環境或者切換新的工具；⑥新的開發工具的學習期比預期的長，內容繁多。

6 客户風險

①客户對於最後交付的產品不滿意，要求重新設計和重做；②客户的意見未被採納，造成產品最終無法滿足用?的審核 決策週期比預期的要長；④客户沒有或不能參與規劃、原型和規格階段的審核，導致需求不穩定和產品生產週期的變更；⑤客户答覆的時間（如回答或澄清與需求相關問題的時間）比預期長；⑥客户提供的組件質量欠佳，導致額外的測試、設計和集成工作，以及額外的客户關係管理工作。

7 產品風險

①矯正質量低下的不可接受的產品，需要比預期更多的測試、設計和實現工作；②開發額外的不需要的功能（鍍金），延長了計劃進度；③嚴格要求與現有系統兼容，需要進行比預期更多的測試、設計和實現工作；④要求與其他系統或不受本項目組控制的系統相連，導致無法預料的設計、實現和測試工作；⑤在不熟悉或未經檢驗的軟件和硬件環境中運行所產生的未預料到的問題；⑥開發一種全新的模塊將比預期花費更長的時間；⑦依賴正在開發中的技術將延長計劃進度。

8 設計和實現風險

①設計質量低下，導致重複設計;②一些必要的功能無法使用現有的代碼和庫實現，開發人員必須使用新的庫或者自行開發新的功能；③代碼和庫質量低下,導致需要進行額外的測試，修正錯誤，或重新制作；④過高估計了增強型工具對計劃進度的節省量；⑤分別開發的模塊無法有效集成，需要重新設計或製作。

9 過程風險

①大量的紙面工作導致進程比預期的慢；②前期的質量保證行為不真實，導致後期的重複工作；③太不正規（缺乏對軟件開發策略和標準的遵循），導致溝通不足，質量欠佳，甚至需重新開發；④過於正規（教條地堅持軟件開發策略和標準），導致過多耗時於無用的工作；⑤向管理層撰寫進程報告佔用開發人員的時間比預期的多；⑥風險管理粗心，導致未能發現重大的項目風險。

在進行了風險辨識後，我們就要進行風險估算，風險估算從以下幾個方面評估風險清單中的每一個風險：

（1）建立一個尺度，以反映風險發生的可能性；

（2）描述風險的後果；

（3）估算風險對項目及產品的影響；

（4）標註風險預測的整體精確度，以免產生誤解。

對辨識出的風險進行進一步的確認後分析風險，即假設某一風險出現後，分析是否有其他風險出現，或是假設這一風險不出現，分析它將會產生什麼情況，然後確定主要風險出現最壞情況後，如何將此風險的影響降低到最小，同時確定主要風險出現的個數及時間。進行風險分析時，最重要的是量化不確定性的程度和每個風險可能造成損失的程度。為了實現這點，必須考慮風險的不同類型。識別風險的一個方法是建立風險清單，清單上列舉出在任何時候可能碰到的風險最重要的是要對清單的內容隨時進行維護，更新風險清單，並向所有的成員公開，應鼓勵項目團隊的每個成員勇於發現問題並提出警告。建立風險清單的一個辦法是將風險輸入缺陷追蹤系統中，建立風險追蹤工具，缺失追蹤系統一般能將風險項目標示為已解決或尚待處理狀態，也能指定解決問題的項目團隊成員，並安排處理順序。風險清單給項目管理提供了一種簡單的風險預測技術，下表是一個風險清單的例子：

在風險清單中，風險的概率值可以由項目組成員個別估算??通過先做個別估算而後求出一個有代表性的值來完成。對風險產生的影響可以對影響評估的因素進行分析。

一旦完成了風險清單的內容，就要根據概率進行排序，高發生率、高影響的風險放在上方，依次類推。項目管理者對排序進行研究，並劃分重要和次重要的風險，對次重要的風險再進行一次評估並排序。對重要的風險要進行管理。從管理的角度來考慮，風險的影響及概率是起着不同作用的，一個具有高影響且發生概率很低的風險因素不應該花太多的管理時間，而高影響且發生率從中到高的風險以及低影響且高概率的風險，應該首先列入管理考慮之中。

在這裏，我們需要強調的是如何評估風險的影響，如果風險真的發生了，它所產生的後果會對三個因素產生影響：風險的性質、範圍及時間。風險的性質是指當風險發生時可能產生的問題。風險的範圍是指風險的嚴重性及其整體分佈情況。風險的時間是指主要考慮何時能夠感到風險及持續多長時間。可以利用風險清單進行分析，並在項目進展過程中迭代使用。項目組應該定期複查風險清單，評估每一個風險，以確定新的情況是否引起風險的概率及影響發生改變。這個活動可能會添加新的風險，刪除一些不再有影響的風險，並改變風險的相對位置。

在風險評估過程中，我們可以採取以下的步驟：

（1）定義項目的風險參考水平值。要使風險評估發生作用，就要定義一個風險參考水平值，對於大多數項目而言，通過對性能、成本、支持及進度等因素的分析，可以找出風險的參考水平值，對於性能下降、成本超支、支持困難或進度延遲（或者這四種的組合）等情況，超過這一參考水平值項目就會被終止。

（2）建立每一組（風險、風險發生的概率、風險產生的影響）與每一個參考水平值的關係。

（3）預測一組臨界點以定義項目終止區域，該區域由一條曲線或不確定區域界定。

（4）預測什麼樣的風險組合會影響參考水平值。

風險駕馭包括對策指定、風險緩解、風險監控、風險跟蹤等內容。

所有風險分析活動都只有一個目的——輔助項目組建立處理風險的策略。如果軟件項目組對於風險採取主動的方法，則避免永遠是最好的策略。這可以通過建立一個風險緩解計劃來達到即制定對策。

對不同的風險項要建立不同的風險駕馭和監控的策略比。如對於開發人員離職的風險項目開始時應作好人員流動的準備採取一些措施確保人員一旦離開時項目仍能繼續；制定文檔標準並建立一種機制保證文檔及時產生；對每個關鍵性技術崗位要培養後備人員。對於技術風險，可以採用的策略有，對採用的關鍵技術進行分析，避免軟件在生命週期中很快落後；在項目開發過程中保持對風險因素相關信息的收集工作，減少對合作公司的依賴尤其是對延續性強的項目應該儘可能地吸收合作公司的技術並變為自己的技術，避免因為可能發生的與合作公司合作的終止帶來的影響和風險降低投入成本。

一個有效的策略必須考慮風險避免、風險監控和風險管理及意外事件計劃這樣三個問題。風險的策略管理可以包含在軟件項目計劃中，或者風險管理步驟也可以組成一個獨立的風險緩解、監控和管理計劃（RMMM計劃）。RMMM計劃將所有風險分析工作文檔化，並且由項目管理者作為整個項目計劃的一部分來使用，RMMM計劃的大綱主要包括：主要風險，風險管理者，項目風險清單，風險緩解的一般策略、特定步驟，監控的因素和方法，意外事件和特殊考慮的風險管理等。一旦建立了RMMM計劃，我們就開始了風險緩解及監控，風險緩解是一種避免問題的活動，風險監控則是跟蹤項目的活動。它有三個主要目的：評估一個被預測的風險是否真的發生了；保證為風險而定義的緩解步驟被正確地實施；收集能夠用於未來的風險分析信息。

軟件開發是高風險的活動。如果項目採取積極風險管理的方式，就可以避免或降低許多風險，而這些風險如果沒有處理好，就可能使項目陷入癱瘓中。因此在軟件項目管理中還要進行風險跟蹤。對辨識後的風險在系統開發過程中進行跟蹤管理，確定還會有哪些變化，以便及時修正計劃。具體內容包括：

（1）實施對重要風險的跟蹤；

（2）每月對風險進行一次跟蹤；

（3）風險跟蹤應與項目管理中的整體跟蹤管理相一致；

（4）風險項目應隨着時間的不同而相應地變化。

通過風險跟蹤，進一步對風險進行管理，從而保證項目計劃的如期完成。

簡化支付流程是指精簡組織內的，以及外部貿易和銀行合作伙伴的交易。

這些效率可以分為兩種類別：

·降低企業財務和銀行合作伙伴之間的實體連接點數量。

·付款和現金報告採用行業標準消息格式（SMF）。

要實現這一點，所需的商業智能解決方案要超越操作和技術孤島，提高數據流之外的融合價值。任何商業智能創建的策略都是來衡量過去，監控並預測未來。所有這一切都可以通過確定和實施合適的關鍵績效指標（KPI），為銀行和客户端謀取利益。

這樣的商業智能解決方案需要以下幾部分組成：

·一個數據管理平台，可以全力使用來自內部和外部系統的各種信息資料、來自雲端的流化數據和非結構化數據。

·一個分析組件，將原始數據轉化為企業信息。

·自助服務配置，基於用户和合作使獨特的數據可視化，安全地與他人共享和宣傳效果。

信息化是一個管理理念上的改變，而不僅僅是一個n’項目。不少企業高層管理人員尚未認識到這一點。項目實施的過程中僅由技術主管負責，缺少管理人員和業務人員的積極參與，項目經理由技術部門的領導擔任。

管理觀念的轉變還體現在信息化系統實施過程對企業原有的管理思想的調整上。信息化不僅僅是用一個系統或買一套軟件，更重要的是帶來了整套先進的管理思想。只有深刻理解、全面消化吸收了新的管理思想，並結合企業實際情況加以運用，才能充分發揮系統帶來的效益。因此，在實施過程中企業管理人員和業務人員轉變管理思想是一個必不可少的痛苦過程。順利轉變管理思想，在某種意義上是信息化成功推行的最關鍵的因素。

2、業務流程進行重組的風險。

在信息化的過程中，自然地要對企業的業務流程進行重組。系統的成熟、先進的業務流程模板值得借鑑。但是業務流程的重組牽涉到人員的變動、權力的重新分配、組織機構的改變，會觸動某些人的既得利益，形成很大的阻力。沒有充分的思想準備和物質準備，往往由於可能造成企業不願或不能承擔的損失，會迫使領導者半途止步，保留原有低效但運作平穩的流程。實施信息化系統不是一個簡單的更新軟件系統的事情，而是對企業的重新定位以及業務重組的事情。高層管理的實際支持與參與是根本保障。有些企業簡單地把信息化的職權與責任移交給技術部門，而在實施過程中這些被賦予的權責往往很難得到落實。一把手的參與和支持是項目成功的重要因素之一。另外，不正視企業的特殊環境，以滿足軟件要求而進行業務流程重組，難免“削足適履”，因小失大。

3、技術風險。

包括軟件的技術風險和軟件的選擇風險。由於信息技術發展的速度非常快，不確定性的因素大量存在，而人們對這些不確定性的認識和控制的能力又非常有限，許多經過認真論證的很好的研究項目，最後出現大大出乎預料之外的或者失敗的結果的情形並非偶然的。此外，由於信息技術的基本載體與人們日常生活經驗直覺的信息載體的差異，人們對信息技術的變化和當中的一些錯誤都不是很容易感知的。

實施隊伍對於信息管理系統的成功實施至關重要，通常要由項目經理、流程指導顧問、技術支持顧問、項目組核心成員構成。項目實施小組要由具有豐富信息化系統項目實施和企業流程管理經驗的諮詢人員和企業內部的管理人員、業務人員以及技術人員一起組成。經常發生的情況是各方人員不到位，實施小組完全由計算機專業背景的技術人員組成，然而業務部門往往是決定項目正常運作的關鍵，缺少業務部門的積極參與與溝通將使項目的實施隱藏巨大的風險。

5、經費預算的風險。

信息化項目投資彈性大並且經費的估計比較軟性，資金的風險也需要特殊考慮。另外外部環境的變化也會對資金的需求產生一些預定計劃之外的風險。信息化實施過程中需要投入較大的成本，實際資金支出往往遠遠超出當初的預算。諮詢、維護、調整、升級等許多意想不到的開支往往使成本急劇增加，因此應有很好的成本控制計劃。軟件使用許可證的一次性費用約為幾百萬元人民幣甚至過千萬，每年的軟件支持維護費在幾十萬元，一些品牌軟件系統的維護費用是按照發達國家的人工和服務費標準收取的。支持系統運行的硬件投入和人員費用也是很大的。很多企業在支出過大而效益又不明顯的情況下，只能後悔或放棄一些信息化的項目。

系統安全措施包括：操作系統授權、網絡設備權限、應用系統功能權限、數據訪問權限、病毒的預防、非法入侵的監督、數據更改的追蹤、數據的安全備份與存檔、主機房的安全管理規章、系統管理員的監督，等等。

普遍存在着不重視系統安全的現象，諸如用户口令泄密、超級用户授權過多等。缺乏安全意識的直接後果是系統在安全設計上出現漏洞和缺陷，它將導致系統的癱瘓。對系統軟件過多的更改可能會影響程序和數據的一致性和完整性，也給將來的軟件版本升級增加了難度和成本。

智力密集型項目的時間安排彈性比較大，在實施信息化的過程中，進行項目管理、控制項目進度、確保整個實施過程能夠按照預計的時問表進行，對項目的成敗至關重要。人們在項目在一開始就沒有能夠制定明確的、可行的實施計劃，在實施過程中不能按時實現里程碑性的目標，使領導人員和實施人員喪失信心，原定的目標發生變化，最終導致項目半途而廢。

8、系統的協調、升級和維護方面的風險。

企業中原先各自分離的部門開發的一些信息系統在集成時會發生很多接口上的問題，要深入瞭解各獨立模塊之間的內部機制，將其有機地集成並非一件易事。數據庫的共享需要數據的規範和利益各方的協調，如果考慮不周，很難將系統集成起來。軟件版本需要經常性更新以積極運用日新月異的技術水平和容納先進的管理思想，但各個軟件商的發展方向、策略和版本更換步調不一致，它們之間的合作很鬆散，許多軟件商在激烈的競爭中被淘汰，將來產品更新時新軟件商未必能顧及與企業先前曾經合作的夥伴的軟件產品的接口問題，因而會造成軟件組合無法更新換代。業務流程在發展，對系統的要求不能一成不變，這最終導致企業不得不擯棄原有軟件系統。因此選用信息化軟件時最好不要同時選用多個廠家的產品組合。

一方面，如果系統的普適性較差，會使得系統對專業技術人員的依賴性太強，骨幹人員的流失會造成系統的不穩定或無效。即便軟件商或其他機構有一些服務的承諾，也時常會有令人很不愉快的事情發生。另一方面，一個不可忽視的情況是，由於信息化的過程弱化了一些不再重要的業務流程的骨幹人員的作用，在不預先進行適當的考慮和統籌安排的情況下，這會挫傷他們的積極性並且可能直接影響到企業的長期發展。

系統的選擇是一項十分複雜的工作。每個實施信息化的企業必須開發或選用一套大型的軟件系統。軟件系統的實現方案有三種，即自行開發、購買現成產品和租賃。

至於選擇自行開發還是購買現成軟件包；如果選擇購買現成軟件包，又應當如何挑選軟件，這些抉擇直接影響實施的時問、成本、風險及其對業務流程的影響程度。

11、系統和人之間的誤解造成的風險。

（1）一部分核心業務部門的人的觀念中，信息系統只是一個電腦系統，信息化的實施是信息系統部門的事情，跟其他部門關係不大；或者認為rI’部門是系統實施的責任人，在流程設計和實施上完全依賴rI’部門，他們要求怎麼做就怎麼做，出了問題就直接找rI’部門，自己反而成為了系統的操作員或奴隸。而rI’部門的人對業務流程的理解往往不夠全面深入，很可能造成一些技術上可行，但業務上荒唐的錯誤。

（2）系統設計本身的錯誤或者新的情況變化後，系統沒有及時作出適當的調整。

（3）有的人總認為系統是萬能的，盲目相信系統，沒有認真分析數據和信息，以至於發生一些明顯的重大的錯誤。再好的系統也是幫助決策的，信息技術永遠是一種支撐的手段。保持批評性的態度，結合經驗和直覺進行必要的分析和檢驗是有益的也是必要的。

12、盲目照搬他人模式的風險。

信息化軟件有一個本土化和對具體企業的適應要求。一些國外的著名軟件供應商的系統軟件功能強大，性能穩定，包括了一些標準的通用模塊和比較方便的調整接口。

但是，一般的供應商的興趣和特定的企業用户需求之間的差距總是存在並且有時是很明顯的。同時，服務支持系統及費用通常也是很需要考慮的因素。

最近的研究表明，企業在信息化的過程中同時也要注意兼顧原有的業務發展和管理經驗，對信息系統進行有創意的改進。比如製造業企業的許多生產流15程的標準是很獨特的，管理軟件使用不當常常造成生產上的嚴重損失。企業信息化要強調以應用為主導，從應用人手，吸收國內外先進的生產管理理念，以改善國內企業管理經營者的基本工作條件。

以企業取得的實際效果為目標，才是企業信息化的正確道路。信息化建設不要追求技術水平如何高，而是要解泱企業的實際問題，讓企業真正見效益，否則就沒有生命力。信息化過程中的資金、人員、設備的投入都要以提高企業競爭力和企業效益為依歸。實施企業信息化首先應該管理先行，要站在企業管理的角度建立模型，進行業務流程的優化。

風險是客觀存在的，任何企業都面臨內部或外部風險，它會影響企業目標的實現，因此企業管理者必須進行風險管理，那麼該如何做好企業風險管理呢？

1、提高風險管理意識，在企業經營活動中，企業管理者應根據自身的能力去承接項目，對所承接的項目要進行預評估制度，對經評估確認風險較大的項目要儘量避開和放棄。有多少人接多少項目，這樣才能有效避免由於人員不到位、人員與投標不符、資質降低等容易受到處罰的風險。此外，不盲目擴大規模，使各個項目均能處於企業管理者的有效管理範圍之內，有效避免因企業管理不到位帶來的風險。

2、企業應該儘量採用規範化的管理模式，制定規範化的規章制度、崗位責任制，《老闆》雜誌表示企業管理者對每個具體的項目，還應根據其自身特點，對涉及監理風險的工作內容，制定較為細緻的、有針對性的監理實施細則和風險管理計劃，從而使企業的所有項目均能按統一規定的工作程序、要求、標準去做好監理工作，正確履行監理的各種責任，從而達到降低風險的目的。

3、企業管理者應建立較為完善的監督檢查機制，進行動態管理。企業的各級領導、業務部門要經常到項目中進行檢查與指導，並加強與業主的溝通，聽取業主的意見，及時把各種新的法律法規、內外形勢變化、企業和業主的要求等傳達到項目監理人員當中，並在檢查中及時發現項目監理機構的不足，企業管理者應針對項目存在的風險隱患，及時加以處理，使其消失於萌芽狀態，避免風險事故的發生。

4、 組建突發事件公關隊伍,全面應對突發事件。企業管理者為了加強對突發事件的管理與應對，在企業內部建立一支訓練有素、精幹高效的突發事件公關隊伍是完全必要的。其成員應包括企業最高決策層、公關部門、生產部門市場銷售部門、技術研發部門、保安部門、人力資源部門等相關部門的人員以及法律顧問、公關專家等專業人士。在正常情況下，突發事件公關小組負責對企業內外環境進行實時監測，在廣泛收集信息的基礎上分析發現存在的問題和隱患，對可能出現的突發事件情況做出準確預測，幫助企業管理者根據預測結果制定切實可行的突發事件防範措施，監督指導防範措施的落實，加強對突發事件預警機制的管理，開展對公關人員和全體員工的培訓，組織突發事件狀況模擬演習等。當突發事件發生時，突發事件公關小組要起到指揮中心的作用，包括建立突發事件控制中心、制定緊急應對方案，策動方案實施，與媒體進行聯繫溝通，控制險情擴散、惡化，減弱突發事件的不良影響，化解公眾疑慮和敵對情緒，以便儘快結束突發事件。