风险管理

风险管理

风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。

基本信息

• 中文名称

  风险管理

• 外文名称

  Risk management

• 目的

  把风险减至最低

• 包括

  风险的量度、评估和应变策略

目录

展开

1 百科名片

2 定义

3 概念

4 工具

5 人力资源

6 各个步骤

7 处理方法

8 历史

9 分类

10 研究方法

11 学说

12 体系

13 加强管理

14 特殊考虑

15 把控方法

百科名片

风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。

• 中文名：   风险管理  
• 外文名：   Risk management  
• 目的：   把风险减至最低  
• 包括：   风险的量度、评估和应变策略  

定义

风险管理当中包括了对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。

现实情况里，优化的过程往往很难决定，因为风险和发生的可能性通常并不一致，所以要权衡两者的比重，以便作出最合适的决定。风险管理风险管理亦要面对有效资源运用的难题。这牵涉到机会成本(opportunity cost）的因素。把资源用于风险管理，可能使能运用于有回报活动的资源减低；而理想的风险管理，正希望能够花最少的资源去去尽可能化解最大的危机。

“风险管理”曾经在1990年代西方商业界前往中国进行投资的行政人员必修科目。当年不少MBA课程都额外加入“风险管理”的环节。

风险管理（risk management)

在降低风险的收益与成本之间进行权衡并决定采取何种措施的过程。

确定减少的成本收益权衡方案（trade-off）和决定采取的行动计划（包括决定不采取任何行动）的过程成为风险管理。

首先，风险管理必须识别风险。风险识别是确定何种风险可能会对企业产生影响，最重要的是量化不确定性的程度和每个风险可能造成损失的程度。

其次，风险管理要着眼于风险控制，公司通常采用积极的措施来控制风险。通过降低其损失发生的概率，缩小其损失程度来达到控制目的。控制风险的最有效方法就是制定切实可行的应急方案，编制多个备选的方案，最大限度地对企业所面临的风险做好充分的准备。当风险发生后，按照预先的方案实施，可将损失控制在最低限度。

再次，风险管理要学会规避风险。在既定目标不变的情况下，改变方案的实施路径，从根本上消除特定的风险因素。例如设立现代激励机制、培训方案、做好人才备份工作等等，可以降低知识员工流失的风险。

意义

有效地对各种风险进行管理有利于企业作出正确的决策、有利于保护企业资产的安全和完整、有利于实现企业的经营活动目标，对企业来说具有重要的意义。

概念

风险管理是社会组织或者个人用以降低风险的消极结果的决策过程，通过风险识别、风险估测、风险评价，并在此基础上选择与优化组合各种风险管理技术，对风险实施有效控制和妥善处理风险所致损失的后果，从而以最小的成本收获最大的安全保障。风险管理含义的具体内容包括：

1.风险管理的对象是风险。

2.风险管理的主体可以是任何组织和个人，包括个人、家庭、组织（包括营利性组织和非营利性组织）。

3.风险管理的过程包括风险识别、风险估测、风险评价、选择风险管理技术和评估风险管理效果等。

4.风险管理的基本目标是以最小的成本收获最大的安全保障。

5.风险管理成为一个独立的管理系统，并成为了一门新兴学科。

工具

风险管理的工具：

风险管理工具共有七种：风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制。

1.风险承担

风险承担亦称风险保留、风险自留。风险承担是指企业对所面临的风险采取接受的态度，从而承担风险带来的后果。

对未能辨识出的风险，企业只能采用风险承担。

对于辨识出的风险，企业也可能由于以下几种原因采用风险承担：(1)缺乏能力进行主动管理，对这部分风险只能承担;(2)没有其他备选方案;(3)从成本效益考虑，这一方案是最适宜的方案。

对于企业的重大风险，即影响到企业目标实现的风险，企业一般不应采用风险承担。

2.风险规避

风险规避是指企业回避、停止或退出蕴含某一风险的商业活动或商业环境，避免成为风险的所有人。例如：

(1)退出某一市场以避免激烈竞争;

(2)拒绝与信用不好的交易对手进行交易;

(3)外包某项对工人健康安全风险较高的工作;

(4)停止生产可能有潜在客户安全隐患的产品;

(5)禁止各业务单位在金融市场进行投机;

(6)不准员工访问某些网站或下载某些内容。

3.风险转移

风险转移是指企业通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权。转移风险不会降低其可能的严重程度，只是从一方移除后转移到另一方。例如：

(1)保险：保险合同规定保险公司为预定的损失支付补偿，作为交换，在合同开始时，投保人要向保险公司支付保险费。

(2)非保险型的风险转移：将风险可能导致的财务风险损失负担转移给非保险机构。 例如，服务保证书等。

(3)风险证券化：通过证券化保险风险构造的保险连接型证券(ILS)。这种债券的利息支付和本金偿还取决于某个风险事件的发生或严重程度。

4.风险转换

风险转换是指企业通过战略调整等手段将企业面临的风险转换成另一个风险。风险转换的手段包括战略调整和衍生产品等。

风险转换一般不会直接降低企业总的风险，其简单形式就是在减少某一风险的同时，增加另一风险。例如，通过放松交易客户信用标准，增加了应收账款，但扩大了销售。

企业可以通过风险转换在两个或多个风险之间进行调整，以达到最佳效果。

风险转换可以在低成本或者无成本的情况下达到目的。

5.风险对冲

风险对冲是指采取各种手段，引入多个风险因素或承担多个风险，使得这些风险能够互相对冲，也就是使这些风险的影响互相抵消。

常见的例子有资产组合使用、多种外币结算的使用和战略上的多种经营等。

在金融资产管理中，对冲也包括使用衍生产品，如利用期货进行套期保值。

在企业的风险中，有些风险具有自然对冲的性质，应当加以利用。例如，不同行业的经济周期风险对冲。

风险对冲必须涉及风险组合，而不是对单一风险;对于单一风险，只能进行风险规避、风险控制。

6.风险补偿

风险补偿是指企业对风险可能造成的损失采取适当的措施进行补偿。风险补偿表现在企业主动承担风险，并采取措施以补偿可能的损失。

风险补偿的形式有财务补偿、人力补偿、物资补偿等。财务补偿是损失融资，包括企业自身的风险准备金或应急资本等。

【提示】风险承担与风险补偿的辨析。

风险承担是指风险保留在企业内部，企业以其内部的资源来弥补损失或者对这些保留下来的风险不采取任何措施。通常适宜于损失频率小并且损失程度较小的风险，或者适宜损失频率高但损失程度较小的风险，这些风险通常被企业视为摆脱不掉或不可避免的风险。

从以上的分析可以看出，风险承担的主要特征有：事后性、非重大性、被动性、内部资源。

风险补偿是指企业对风险可能造成的损失采取适当的措施进行补偿。其主要方式有：

(1)对于无法通过风险转移、风险转换、风险对冲或风险控制进行管理，而且又无法规避、不得不承担的较重大风险，投资者可以采取在交易价格上附加风险溢价，即通过提高风险回报的方式，获得承担风险的价格补偿。商业银行可以预先在金融资产定价中充分考虑到各种风险因素，通过价格调整来获得合理的风险回报。

(2)当意外损失发生后，企业无法依靠内部资金度过财务危机时，企业可以向银行寻求特别贷款或从其他渠道融资。由于风险事故的突发性和损失的不确定性，企业也可以在风险事故发生前，与银行达成一项应急贷款协议，一旦风险事故发生，企业可以获得及时的贷款应急，并按协议约定条件还款。

(3)建立专业自保公司。这是企业实行风险补偿的高级形式。

(4)建立意外损失基金。企业根据风险评估所了解的风险特征，并根据企业本身的财务能力，预先提取以补偿风险事件所致损失的一种基金。这种方式通常处理那些可能引起较大损失，但这一损失又无法摊入经营成本的风险。例如，对大额应收账款计提坏账准备金。

从以上的分析可以看出，风险补偿的主要特征有：事前性、重大性、主动性、内部及外部资源。

7.风险控制

风险控制是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的。

通常影响某一风险的因素有很多。风险控制可以通过控制这些因素中的一个或多个来达到目的，但主要的是风险事件发生的概率和发生后的损失。

风险控制对象一般是可控风险，包括多数运营风险，如质量、安全和环境风险，以及法律风险中的合规性风险。

《中央企业全面风险管理指引》指出，一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换和风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲和风险补偿等方法。[1]

人力资源

人力资源管理中的风险管理是指在招聘、工作分析、职业计划、绩效考评、工作评估、薪金管理、福利/激励、员工培训、员工管理等各个环节中进行风险管理，防范人力资源管理中的风险发生。

风险分类：

招聘风险、绩效考评风险、工作评估风险、薪金管理风险、员工培训风险、员工管理风险等等。

风险识别：

要想防范风险，首先要进行风险识别。识别风险就是主动的去寻找风险。比如员工管理中，技术骨干离职风险可能会由以下几个方面产生：

1、待遇：他是否对他的待遇满意?

2、工作成就感：他是否有工作成就感?

3、自我发展：他是否在工作中提高了自己的能力?

4、人际关系：他在公司是否有良好的人际关系?

5、公平感：他是否感到公司对他与别人是公平的?

6、地位：他是否认为他在公司的地位与他对公司的贡献成正比?

7、信心：他是否对公司的发展和个人在公司的发展充满了信心?

8、沟通：他是否有机会与大家沟通、交流?

9、关心：他是否能得到公司和员工的关心?

10、认同：他是否认同企业的管理方式、企业文化、发展战略?

11、其他：他是否有可能因为结婚、出国留学、继续深造等原因离职?

风险评估：

风险评估是对风险可能造成的灾害进行分析。主要通过以下几个步骤进行评估：

1、根据风险识别的条目有针对性的进行调研；

2、根据调研结果和经验，预测发生的可能性，并用百分比表示发生可能性的程度；

3、根据程度排定优先队列。

各个步骤

对于现代企业来说，风险管理就是通过风险的识别、预测和衡量、选择有效的手段，以尽可能降低成本，有计划地处理风险，以获得企业安全生产的经济保障。这就要求企业在生产经营过程中，应对可能发生的风险进行识别，预测各种风险发生后对资源及生产经营造成的消极影响，使生产能够持续进行。可见，风险的识别、风险的预测和风险的处理是企业风险管理的主要步骤。

风险的识别

风险的识别是风险管理的首要环节。只有在全面了解各种风险的基础上，才能够预测危险可能造成的危害，从而选择处理风险的有效手段。

风险识别方法很多，常见的方法有：

2.1.1◆生产流程分析法

生产流程分析法是对企业整个生产经营过程进行全面分析，对其中各个环节逐项分析可能遭遇的风险，找出各种潜在的风险因素。生产流程分析法可分为风险列举法和流程图法。

1.风险列举法指风险管理部门根据该企业的生产流程，列举出各个生产环节的所有风险。

2.流程图法指企业风险管理部门将整个企业生产过程一切环节系统化、顺序化，制成流程图，从而便于发现企业面临的风险。

2.1.2◆财务表格分析法

财务表格分析法是通过对企业的资产负债表、损益表、营业报告书及其他有关资料进行分析，从而识别和发现企业现有的财产、责任等面临的风险。

2.1.3保险调查法

采用保险调查法进行风险识别可以利用两种形式：

通过保险险种一览表，企业可以根据保险公司或者专门保险刊物的保险险种一览表，选择适合该企业需要的险种。这种方法仅仅对可保风险进行识别，对不可保风险则无能为力。

委托保险人或者保险咨询服务机构对该企业的风险管理进行调查设计，找出各种财产和责任存在的风险。

风险的预测

风险预测实际上就是估算、衡量风险，由风险管理人运用科学的方法，对其掌握的统计资料、风险信息及风险的性质进行系统分析和研究，进而确定各项风险的频度和强度，为选择适当的风险处理方法提供依据。风险的预测一般包括以下两个方面：

2.2.1预测风险的概率：通过资料积累和观察，发现造成损失的规律性。一个简单的例子：一个时期一万栋房屋中有十栋发生火灾，则风险发生的概率是1/1000。由此对概率高的风险进行重点防范。

2.2.2预测风险的强度：假设风险发生，导致企业的直接损失和间接损失。对于容易造成直接损失并且损失规模和程度大的风险应重点防范。

处理方法

风险的处理常见的方法有：

避免风险：消极躲避风险。比如避免火灾可将房屋出售，避免航空事故可改用陆路运输等。因为存在以下问题，所以一般不采用。

可能会带来另外的风险。比如航空运输改用陆路运输，虽然避免了航空事故，但是却面临着陆路运输工具事故的风险。

会影响企业经营目标的实现。比如为避免生产事故而停止生产，则企业的收益目标无法实现。

预防风险：采取措施消除或者减少风险发生的因素。例如为了防止水灾导致仓库进水，采取增加防洪门、加高防洪堤等，可大大减少因水灾导致的损失。

自保风险：企业自己承担风险。途径有：

小额损失纳入生产经营成本，损失发生时用企业的收益补偿。

针对发生的频率和强度都大的风险建立意外损失基金，损失发生时用它补偿。带来的问题是挤占了企业的资金，降低了资金使用的效率。

对于较大的企业，建立专业的自保公司。

转移风险：在危险发生前，通过采取出售、转让、保险等方法，将风险转移出去。

历史

风险管理是一门新兴的管理学科。

萌芽

风险管理从1930年代开始萌芽。风险管理最早起源于美国，在1930年代，由于受到1929－1933年的世界性经济危机的影响，美国约有40%左右的银行和企业破产，经济倒退了约20年。美国企业为应对经营上的危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目。可见，当时的风险管理主要依赖保险手段。

形成

1938年以后，美国企业对风险管理开始采用科学的方法，并逐步积累了丰富的经验。1950年代风险管理发展成为一门学科，风险管理一词才形成。

1970年代以后逐渐掀起了全球性的风险管理运动。1970年代以后，随着企业面临的风险复杂多样和风险费用的增加，法国从美国引进了风险管理并在法国国内传播开来。与法国同时，日本也开始了风险管理研究。

发展

近20年来，美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会上，世界各国专家学者云集纽约，共同讨论并通过了“101条风险管理准则”，它标志着风险管理的发展已进入了一个新的发展阶段。

1986年，由欧洲11个国家共同成立的“欧洲风险研究会”将风险研究扩大到国际交流范围。1986年10月，风险管理国际学术讨论会在新加坡召开，风险管理已经由环大西洋地区向亚洲太平洋地区发展。

在中国的发展

中国对于风险管理的研究开始于1980年代。一些学者将风险管理和安全系统工程理论引入中国，在少数企业试用中感觉比较满意。中国大部分企业缺乏对风险管理的认识，也没有建立专门的风险管理机构。作为一门学科，风险管理学在中国仍旧处于起步阶段。

进入到上世纪90年代，随着资产证券化在国际上兴起，风险证券化也被引入到风险管理的研究领域中。而最为成功的例子是瑞士再保险公司发行的巨灾债券，和由美国芝加哥期货交易所发行的PCS期权。

分类

风险管理主要分为两类：

经营管理型风险管理，主要研究政治、经济、社会变革等所有企业面临的风险的管理。

保险型风险管理，主要以可保风险作为风险管理的对象，将保险管理放在核心地位，将安全管理作为补充手段。

研究方法

对风险管理研究的方法采用定性分析方法和定量分析方法。

定性分析方法是通过对风险进行调查研究，做出逻辑判断的过程。定量分析方法一般采用系统论方法，将若干相互作用、相互依赖的风险因素组成一个系统，抽象成理论模型，运用概率论和数理统计等数学工具定量计算出最优的风险管理方案的方法。

随着经济发展中产业的细化和经营方式的多样化、金融深化以及日新月异的技术创新，对风险的科学识别、计

量和安排都必须要有相应技术作为支持，仅仅借助经验和主观判断是无法胜任的。

在投资项目、前期评价、贷款定价、授信决策、风险监控、资本计量、减值计提、绩效考核、组合管理、贷后管理等方面，用依赖经验的非标准化方式进行，不仅难以兼顾风险偏好和决策，同时也大大影响了工作流程，资金效率、项目成本等指标。

因此，就需要进行系统的学习，全方位的了解和应用投资项目分析体系，用正确的系统工具和分析方法，对项目进行评价。

学说

纯粹风险说

纯粹风险说以美国为代表。纯粹风险说将企业风险管理的对象放在企业静态风险的管理上，将风险的转嫁与保险密切联系起来。该学说认为风险管理的基本职能是将对威胁企业的纯粹风险的确认和分析，并通过分析在风险自保和进行保险之间选择最小成本获得最大保障的风险管理决策方案。该学说是保险型风险管理的理论基础。

企业全部风险说

企业全部风险说以德国和英国为代表，该学说将企业风险管理的对象设定为企业的全部风险，包括了企业的静态风险（纯粹风险）和动态风险（投机风险），认为企业的风险管理不仅要把纯粹风险的不利性减小到最小，也要把投机风险的收益性达到最大。该学说认为风险管理的中心内容是与企业倒闭有关的风险的科学管理。企业全部风险说是经营管理型风险管理的理论基础。

体系

在20世纪七八十年代，因为事故和其它发生的风险导致了许多组织的破产，这一现象引起了一些跨国公司和大型联合企业股东的极大关注，为强化自己的社会关注力和最大地降低事故和其它事件的损失，这些企业开始引入了“损失控制”的理念，将管理的重点慢慢地从预防伤害转向预防和控制损失。从那时候，风险管理得到了世界上更大的关注，并逐步地得到的发展。

钻石体系就是在这一背景之下产生的，她由国际风险控制协会联盟创造人弗兰克.伯德先生首创，其早期设计的目的仅仅是为了协助企业控制损失，降低事故，她是一个公共性的系统。但随着国际社会及企业对风险管理需求的不断增加以及对钻石体系表现出的日益增长的兴趣与关注，使得国际风险控制协会不得不升级了它的安健环质量保护体系以满足市场要求并符合国际标准，经过美国、南非、澳大利亚等联盟成员7次修编，钻石体系已被证实为一个随时可用的现成架构，是一个涵盖了所有职业安全、健康、环境、质量及社会等元素风险，符合ISO9001、ISO14001及OHSAS 18001/ AS/NZS 4801标准要求的整合系统。她是世界上最好的安健环质量综合风险管理体系之一。

2004年，钻石体系由国际风险控制协会联盟成员安瑞祺国际风险管理顾问公司引进中国，并为诸多如南方电网公司等国内大型国有企业所采纳。

钻石体系强调“以人为本”的思想，它结合安全行为科学，通过行为干预技术，改善员工风险行为，无限度地提升商业机构底线的质和量，改善机构生产能力及员工士气，并最终为商业机构带来世界级的职业安全、健康、环境、质量及风险管理的成果。

钻石体系的设计具有较强的可塑性，它贴近企业操作实践，具备兼容企业与当地行业特殊要求的能力，诸多国际及跨国公司在钻石体系上的成功运用充分说明它是一套科学的、完备的管理系统。

钻石体系由12个元素组成，这些元素代表好的管理实践，并与一些国际标准如ISO 14001、 ISO 9001:2000、OHSAS – 18001、英国标准8800及其他国际标准如AS/NZS4801相兼容。

软件项目风险管理

简介

软件项目风险管理是软件项目管理的重要内容。在进行软件项目风险管理时，要辩识风险，评估它们出现的概率及产生的影响，然后建立一个规划来管理风险。风险管理的主要目标是预防风险。

软件项目风险是指在软件开发过程中遇到的预算和进度等方面的问题以及这些问题对软件项目的影响。软件项目风险会影响项目计划的实现，如果项目风险变成现实，就有可能影响项目的进度，增加项目的成本，甚至使软件项目不能实现。如果对项目进行风险管理，就可以最大限度的减少风险的发生。但是，目前国内的软件企业不太关心软件项目的风险管理，结果造成软件项目经常性的延期、超过预算，甚至失败。成功的项目管理一般都对项目风险进行了良好的管理。因此任何一个系统开发项目都应将风险管理作为软件项目管理的重要内容。

在项目风险管理中，存在多种风险管理方法与工具，软件项目管理只有找出最适合自己的方法与工具并应用到风险管理中，才能尽量减少软件项目风险，促进项目的成功。

软件项目的风险管理是软件项目管理的重要内容。本文探讨了风险管理的主要内容和方法，介绍了风险管理的经典理论，比较了几种主流的风险管理策略和模型。

风险分类

软件项目的风险无非体现在以下四个方面：需求、技术、成本和进度。IT项目开发中常见的风险有如下几类：

1 需求风险

①需求已经成为项目基准，但需求还在继续变化；②需求定义欠佳，而进一步的定义会扩展项目范畴；③添加额外的需求；④产品定义含混的部分比预期需要更多的时间；⑤在做需求中客户参与不够；⑥缺少有效的需求变化管理过程。

2 计划编制风险

①计划、资源和产品定义全凭客户或上层领导口头指令，并且不完全一致；②计划是优化的，是"最佳状态",但计划不现实，只能算是"期望状态";③计划基于使用特定的小组成员，而那个特定的小组成员其实指望不上；④产品规模(代码行数、功能点、与前一产品规模的百分比)比估计的要大；⑤完成目标日期提前，但没有相应地调整产品范围或可用资源；⑥涉足不熟悉的产品领域，花费在设计和实现上的时间比预期的要多。

3 组织和管理风险

①仅由管理层或市场人员进行技术决策，导致计划进度缓慢，计划时间延长；②低效的项目组结构降低生产率；③管理层审查 决策的周期比预期的时间长；④预算削减，打乱项目计划；⑤管理层作出了打击项目组织积极性的决定；⑥缺乏必要的规范，导至工作失误与重复工作；⑦非技术的第三方的工作（预算批准、设备采购批准、法律方面的审查、安全保证等）时间比预期的延长。

4 人员风险

①作为先决条件的任务（如培训及其他项目）不能按时完成；②开发人员和管理层之间关系不佳，导致决策缓慢，影响全局；③缺乏激励措施，士气低下，降低了生产能力；④某些人员需要更多的时间适应还不熟悉的软件工具和环境；⑤项目后期加入新的开发人员，需进行培训并逐渐与现有成员沟通，从而使现有成员的工作效率降低；⑥由于项目组成员之间发生冲突，导致沟通不畅、设计欠佳、接口出现错误和额外的重复工作；⑦不适应工作的成员没有调离项目组，影响了项目组其他成员的积极性；⑧没有找到项目急需的具有特定技能的人。

5 开发环境风险

①设施未及时到位；②设施虽到位，但不配套，如没有电话、网线、办公用品等；③设施拥挤、杂乱或者破损；④开发工具未及时到位；⑤开发工具不如期望的那样有效，开发人员需要时间创建工作环境或者切换新的工具；⑥新的开发工具的学习期比预期的长，内容繁多。

6 客户风险

①客户对于最后交付的产品不满意，要求重新设计和重做；②客户的意见未被采纳，造成产品最终无法满足用?的审核 决策周期比预期的要长；④客户没有或不能参与规划、原型和规格阶段的审核，导致需求不稳定和产品生产周期的变更；⑤客户答复的时间（如回答或澄清与需求相关问题的时间）比预期长；⑥客户提供的组件质量欠佳，导致额外的测试、设计和集成工作，以及额外的客户关系管理工作。

7 产品风险

①矫正质量低下的不可接受的产品，需要比预期更多的测试、设计和实现工作；②开发额外的不需要的功能（镀金），延长了计划进度；③严格要求与现有系统兼容，需要进行比预期更多的测试、设计和实现工作；④要求与其他系统或不受本项目组控制的系统相连，导致无法预料的设计、实现和测试工作；⑤在不熟悉或未经检验的软件和硬件环境中运行所产生的未预料到的问题；⑥开发一种全新的模块将比预期花费更长的时间；⑦依赖正在开发中的技术将延长计划进度。

8 设计和实现风险

①设计质量低下，导致重复设计;②一些必要的功能无法使用现有的代码和库实现，开发人员必须使用新的库或者自行开发新的功能；③代码和库质量低下,导致需要进行额外的测试，修正错误，或重新制作；④过高估计了增强型工具对计划进度的节省量；⑤分别开发的模块无法有效集成，需要重新设计或制作。

9 过程风险

①大量的纸面工作导致进程比预期的慢；②前期的质量保证行为不真实，导致后期的重复工作；③太不正规（缺乏对软件开发策略和标准的遵循），导致沟通不足，质量欠佳，甚至需重新开发；④过于正规（教条地坚持软件开发策略和标准），导致过多耗时于无用的工作；⑤向管理层撰写进程报告占用开发人员的时间比预期的多；⑥风险管理粗心，导致未能发现重大的项目风险。

风险分析

在进行了风险辨识后，我们就要进行风险估算，风险估算从以下几个方面评估风险清单中的每一个风险：

(1）建立一个尺度，以反映风险发生的可能性；

(2）描述风险的后果；

(3）估算风险对项目及产品的影响；

(4）标注风险预测的整体精确度，以免产生误解。

对辨识出的风险进行进一步的确认后分析风险，即假设某一风险出现后，分析是否有其他风险出现，或是假设这一风险不出现，分析它将会产生什么情况，然后确定主要风险出现最坏情况后，如何将此风险的影响降低到最小，同时确定主要风险出现的个数及时间。进行风险分析时，最重要的是量化不确定性的程度和每个风险可能造成损失的程度。为了实现这点，必须考虑风险的不同类型。识别风险的一个方法是建立风险清单，清单上列举出在任何时候可能碰到的风险最重要的是要对清单的内容随时进行维护，更新风险清单，并向所有的成员公开，应鼓励项目团队的每个成员勇于发现问题并提出警告。建立风险清单的一个办法是将风险输入缺陷追踪系统中，建立风险追踪工具，缺失追踪系统一般能将风险项目标示为已解决或尚待处理状态，也能指定解决问题的项目团队成员，并安排处理顺序。风险清单给项目管理提供了一种简单的风险预测技术，下表事一个风险清单的例子：

风险   类别   概率   影响  

资金将会流失   商业风险   40%   1  

技术达不到预期效果   技术风险   30%   1  

人员流动频繁   人员风险   60%   3  

在风险清单中，风险的概率值可以由项目组成员个别估算??通过先做个别估算而后求出一个有代表性的值来完成。对风险产生的影响可以对影响评估的因素进行分析。

一旦完成了风险清单的内容，就要根据概率进行排序，高发生率、高影响的风险放在上方，依次类推。项目管理者对排序进行研究，并划分重要和次重要的风险，对次重要的风险再进行一次评估并排序。对重要的风险要进行管理。从管理的角度来考虑，风险的影响及概率是起着不同作用的，一个具有高影响且发生概率很低的风险因素不应该花太多的管理时间，而高影响且发生率从中到高的风险以及低影响且高概率的风险，应该首先列入管理考虑之中。

在这里，我们需要强调的是如何评估风险的影响，如果风险真的发生了，它所产生的后果会对三个因素产生影响：风险的性质、范围及时间。风险的性质是指当风险发生时可能产生的问题。风险的范围是指风险的严重性及其整体分布情况。风险的时间是指主要考虑何时能够感到风险及持续多长时间。可以利用风险清单进行分析，并在项目进展过程中迭代使用。项目组应该定期复查风险清单，评估每一个风险，以确定新的情况是否引起风险的概率及影响发生改变。这个活动可能会添加新的风险，删除一些不再有影响的风险，并改变风险的相对位置。

在风险评估过程中，我们可以采取以下的步骤：

(1）定义项目的风险参考水平值。要使风险评估发生作用，就要定义一个风险参考水平值，对于大多数项目而言，通过对性能、成本、支持及进度等因素的分析，可以找出风险的参考水平值，对于性能下降、成本超支、支持困难或进度延迟（或者这四种的组合）等情况，超过这一参考水平值项目就会被终止。

(2）建立每一组（风险、风险发生的概率、风险产生的影响）与每一个参考水平值的关系。

(3）预测一组临界点以定义项目终止区域，该区域由一条曲线或不确定区域界定。

(4）预测什么样的风险组合会影响参考水平值。

风险驾驭

风险驾驭包括对策指定、风险缓解、风险监控、风险跟踪等内容。

所有风险分析活动都只有一个目的——辅助项目组建立处理风险的策略。如果软件项目组对于风险采取主动的方法，则避免永远是最好的策略。这可以通过建立一个风险缓解计划来达到即制定对策。

对不同的风险项要建立不同的风险驾驭和监控的策略比。如对于开发人员离职的风险项目开始时应作好人员流动的准备采取一些措施确保人员一旦离开时项目仍能继续；制定文档标准并建立一种机制保证文档及时产生；对每个关键性技术岗位要培养后备人员。对于技术风险，可以采用的策略有，对采用的关键技术进行分析，避免软件在生命周期中很快落后；在项目开发过程中保持对风险因素相关信息的收集工作，减少对合作公司的依赖尤其是对延续性强的项目应该尽可能地吸收合作公司的技术并变为自己的技术，避免因为可能发生的与合作公司合作的终止带来的影响和风险降低投入成本。

一个有效的策略必须考虑风险避免、风险监控和风险管理及意外事件计划这样三个问题。风险的策略管理可以包含在软件项目计划中，或者风险管理步骤也可以组成一个独立的风险缓解、监控和管理计划（RMMM计划）。RMMM计划将所有风险分析工作文档化，并且由项目管理者作为整个项目计划的一部分来使用，RMMM计划的大纲主要包括：主要风险，风险管理者，项目风险清单，风险缓解的一般策略、特定步骤，监控的因素和方法，意外事件和特殊考虑的风险管理等。一旦建立了RMMM计划，我们就开始了风险缓解及监控，风险缓解是一种避免问题的活动，风险监控则是跟踪项目的活动。它有三个主要目的：评估一个被预测的风险是否真的发生了；保证为风险而定义的缓解步骤被正确地实施；收集能够用于未来的风险分析信息。

软件开发是高风险的活动。如果项目采取积极风险管理的方式，就可以避免或降低许多风险，而这些风险如果没有处理好，就可能使项目陷入瘫痪中。因此在软件项目管理中还要进行风险跟踪。对辨识后的风险在系统开发过程中进行跟踪管理，确定还会有哪些变化，以便及时修正计划。具体内容包括：

(1）实施对重要风险的跟踪；

(2）每月对风险进行一次跟踪；

(3）风险跟踪应与项目管理中的整体跟踪管理相一致；

(4）风险项目应随着时间的不同而相应地变化。

通过风险跟踪，进一步对风险进行管理，从而保证项目计划的如期完成。

加强管理

简化支付流程是指精简组织内的，以及外部贸易和银行合作伙伴的交易。

这些效率可以分为两种类别：

·降低企业财务和银行合作伙伴之间的实体连接点数量。

·付款和现金报告采用行业标准消息格式（SMF）。

要实现这一点，所需的商业智能解决方案要超越操作和技术孤岛，提高数据流之外的融合价值。任何商业智能创建的策略都是来衡量过去，监控并预测未来。所有这一切都可以通过确定和实施合适的关键绩效指标（KPI），为银行和客户端谋取利益。

这样的商业智能解决方案需要以下几部分组成：

·一个数据管理平台，可以全力使用来自内部和外部系统的各种信息资料、来自云端的流化数据和非结构化数据。

·一个分析组件，将原始数据转化为企业信息。

·自助服务配置，基于用户和合作使独特的数据可视化，安全地与他人共享和宣传效果。

特殊考虑

1、管理变革的风险。

信息化是一个管理理念上的改变，而不仅仅是一个n’项目。不少企业高层管理人员尚未认识到这一点。项目实施的过程中仅由技术主管负责，缺少管理人员和业务人员的积极参与，项目经理由技术部门的领导担任。

管理观念的转变还体现在信息化系统实施过程对企业原有的管理思想的调整上。信息化不仅仅是用一个系统或买一套软件，更重要的是带来了整套先进的管理思想。只有深刻理解、全面消化吸收了新的管理思想，并结合企业实际情况加以运用，才能充分发挥系统带来的效益。因此，在实施过程中企业管理人员和业务人员转变管理思想是一个必不可少的痛苦过程。顺利转变管理思想，在某种意义上是信息化成功推行的最关键的因素。

2、业务流程进行重组的风险。

在信息化的过程中，自然地要对企业的业务流程进行重组。系统的成熟、先进的业务流程模板值得借鉴。但是业务流程的重组牵涉到人员的变动、权力的重新分配、组织机构的改变，会触动某些人的既得利益，形成很大的阻力。没有充分的思想准备和物质准备，往往由于可能造成企业不愿或不能承担的损失，会迫使领导者半途止步，保留原有低效但运作平稳的流程。实施信息化系统不是一个简单的更新软件系统的事情，而是对企业的重新定位以及业务重组的事情。高层管理的实际支持与参与是根本保障。有些企业简单地把信息化的职权与责任移交给技术部门，而在实施过程中这些被赋予的权责往往很难得到落实。一把手的参与和支持是项目成功的重要因素之一。另外，不正视企业的特殊环境，以满足软件要求而进行业务流程重组，难免“削足适履”，因小失大。

3、技术风险。

包括软件的技术风险和软件的选择风险。由于信息技术发展的速度非常快，不确定性的因素大量存在，而人们对这些不确定性的认识和控制的能力又非常有限，许多经过认真论证的很好的研究项目，最后出现大大出乎预料之外的或者失败的结果的情形并非偶然的。此外，由于信息技术的基本载体与人们日常生活经验直觉的信息载体的差异，人们对信息技术的变化和当中的一些错误都不是很容易感知的。

4、部门和人员间沟通不畅的风险。

实施队伍对于信息管理系统的成功实施至关重要，通常要由项目经理、流程指导顾问、技术支持顾问、项目组核心成员构成。项目实施小组要由具有丰富信息化系统项目实施和企业流程管理经验的咨询人员和企业内部的管理人员、业务人员以及技术人员一起组成。经常发生的情况是各方人员不到位，实施小组完全由计算机专业背景的技术人员组成，然而业务部门往往是决定项目正常运作的关键，缺少业务部门的积极参与与沟通将使项目的实施隐藏巨大的风险。

5、经费预算的风险。

信息化项目投资弹性大并且经费的估计比较软性，资金的风险也需要特殊考虑。另外外部环境的变化也会对资金的需求产生一些预定计划之外的风险。信息化实施过程中需要投入较大的成本，实际资金支出往往远远超出当初的预算。咨询、维护、调整、升级等许多意想不到的开支往往使成本急剧增加，因此应有很好的成本控制计划。软件使用许可证的一次性费用约为几百万元人民币甚至过千万，每年的软件支持维护费在几十万元，一些品牌软件系统的维护费用是按照发达国家的人工和服务费标准收取的。支持系统运行的硬件投入和人员费用也是很大的。很多企业在支出过大而效益又不明显的情况下，只能后悔或放弃一些信息化的项目。

6、信息与系统安全的风险。

系统安全措施包括：操作系统授权、网络设备权限、应用系统功能权限、数据访问权限、病毒的预防、非法入侵的监督、数据更改的追踪、数据的安全备份与存档、主机房的安全管理规章、系统管理员的监督，等等。

普遍存在着不重视系统安全的现象，诸如用户口令泄密、超级用户授权过多等。缺乏安全意识的直接后果是系统在安全设计上出现漏洞和缺陷，它将导致系统的瘫痪。对系统软件过多的更改可能会影响程序和数据的一致性和完整性，也给将来的软件版本升级增加了难度和成本。

7、延误时间的风险。

智力密集型项目的时间安排弹性比较大，在实施信息化的过程中，进行项目管理、控制项目进度、确保整个实施过程能够按照预计的时问表进行，对项目的成败至关重要。人们在项目在一开始就没有能够制定明确的、可行的实施计划，在实施过程中不能按时实现里程碑性的目标，使领导人员和实施人员丧失信心，原定的目标发生变化，最终导致项目半途而废。

8、系统的协调、升级和维护方面的风险。

企业中原先各自分离的部门开发的一些信息系统在集成时会发生很多接口上的问题，要深入了解各独立模块之间的内部机制，将其有机地集成并非一件易事。数据库的共享需要数据的规范和利益各方的协调，如果考虑不周，很难将系统集成起来。软件版本需要经常性更新以积极运用日新月异的技术水平和容纳先进的管理思想，但各个软件商的发展方向、策略和版本更换步调不一致，它们之间的合作很松散，许多软件商在激烈的竞争中被淘汰，将来产品更新时新软件商未必能顾及与企业先前曾经合作的伙伴的软件产品的接口问题，因而会造成软件组合无法更新换代。业务流程在发展，对系统的要求不能一成不变，这最终导致企业不得不摈弃原有软件系统。因此选用信息化软件时最好不要同时选用多个厂家的产品组合。

9、专业人员流失和变化的风险。

一方面，如果系统的普适性较差，会使得系统对专业技术人员的依赖性太强，骨干人员的流失会造成系统的不稳定或无效。即便软件商或其他机构有一些服务的承诺，也时常会有令人很不愉快的事情发生。另一方面，一个不可忽视的情况是，由于信息化的过程弱化了一些不再重要的业务流程的骨干人员的作用，在不预先进行适当的考虑和统筹安排的情况下，这会挫伤他们的积极性并且可能直接影响到企业的长期发展。

10、软件系统的选择风险。

系统的选择是一项十分复杂的工作。每个实施信息化的企业必须开发或选用一套大型的软件系统。软件系统的实现方案有三种，即自行开发、购买现成产品和租赁。

至于选择自行开发还是购买现成软件包；如果选择购买现成软件包，又应当如何挑选软件，这些抉择直接影响实施的时问、成本、风险及其对业务流程的影响程度。

11、系统和人之间的误解造成的风险。

(1）一部分核心业务部门的人的观念中，信息系统只是一个电脑系统，信息化的实施是信息系统部门的事情，跟其他部门关系不大；或者认为rI’部门是系统实施的责任人，在流程设计和实施上完全依赖rI’部门，他们要求怎么做就怎么做，出了问题就直接找rI’部门，自己反而成为了系统的操作员或奴隶。而rI’部门的人对业务流程的理解往往不够全面深入，很可能造成一些技术上可行，但业务上荒唐的错误。

(2）系统设计本身的错误或者新的情况变化后，系统没有及时作出适当的调整。

(3）有的人总认为系统是万能的，盲目相信系统，没有认真分析数据和信息，以至于发生一些明显的重大的错误。再好的系统也是帮助决策的，信息技术永远是一种支撑的手段。保持批评性的态度，结合经验和直觉进行必要的分析和检验是有益的也是必要的。

12、盲目照搬他人模式的风险。

信息化软件有一个本土化和对具体企业的适应要求。一些国外的著名软件供应商的系统软件功能强大，性能稳定，包括了一些标准的通用模块和比较方便的调整接口。

但是，一般的供应商的兴趣和特定的企业用户需求之间的差距总是存在并且有时是很明显的。同时，服务支持系统及费用通常也是很需要考虑的因素。

最近的研究表明，企业在信息化的过程中同时也要注意兼顾原有的业务发展和管理经验，对信息系统进行有创意的改进。比如制造业企业的许多生产流15程的标准是很独特的，管理软件使用不当常常造成生产上的严重损失。企业信息化要强调以应用为主导，从应用人手，吸收国内外先进的生产管理理念，以改善国内企业管理经营者的基本工作条件。

以企业取得的实际效果为目标，才是企业信息化的正确道路。信息化建设不要追求技术水平如何高，而是要解泱企业的实际问题，让企业真正见效益，否则就没有生命力。信息化过程中的资金、人员、设备的投入都要以提高企业竞争力和企业效益为依归。实施企业信息化首先应该管理先行，要站在企业管理的角度建立模型，进行业务流程的优化。

把控方法

风险是客观存在的，任何企业都面临内部或外部风险，它会影响企业目标的实现，因此企业管理者必须进行风险管理，那么该如何做好企业风险管理呢？

1、提高风险管理意识，在企业经营活动中，企业管理者应根据自身的能力去承接项目，对所承接的项目要进行预评估制度，对经评估确认风险较大的项目要尽量避开和放弃。有多少人接多少项目，这样才能有效避免由于人员不到位、人员与投标不符、资质降低等容易受到处罚的风险。此外，不盲目扩大规模，使各个项目均能处于企业管理者的有效管理范围之内，有效避免因企业管理不到位带来的风险。

2、企业应该尽量采用规范化的管理模式，制定规范化的规章制度、岗位责任制，《老板》杂志表示企业管理者对每个具体的项目，还应根据其自身特点，对涉及监理风险的工作内容，制定较为细致的、有针对性的监理实施细则和风险管理计划，从而使企业的所有项目均能按统一规定的工作程序、要求、标准去做好监理工作，正确履行监理的各种责任，从而达到降低风险的目的。

3、企业管理者应建立较为完善的监督检查机制，进行动态管理。企业的各级领导、业务部门要经常到项目中进行检查与指导，并加强与业主的沟通，听取业主的意见，及时把各种新的法律法规、内外形势变化、企业和业主的要求等传达到项目监理人员当中，并在检查中及时发现项目监理机构的不足，企业管理者应针对项目存在的风险隐患，及时加以处理，使其消失于萌芽状态，避免风险事故的发生。

4、 组建突发事件公关队伍,全面应对突发事件。企业管理者为了加强对突发事件的管理与应对，在企业内部建立一支训练有素、精干高效的突发事件公关队伍是完全必要的。其成员应包括企业最高决策层、公关部门、生产部门市场销售部门、技术研发部门、保安部门、人力资源部门等相关部门的人员以及法律顾问、公关专家等专业人士。在正常情况下，突发事件公关小组负责对企业内外环境进行实时监测，在广泛收集信息的基础上分析发现存在的问题和隐患，对可能出现的突发事件情况做出准确预测，帮助企业管理者根据预测结果制定切实可行的突发事件防范措施，监督指导防范措施的落实，加强对突发事件预警机制的管理，开展对公关人员和全体员工的培训，组织突发事件状况模拟演习等。当突发事件发生时，突发事件公关小组要起到指挥中心的作用，包括建立突发事件控制中心、制定紧急应对方案，策动方案实施，与媒体进行联系沟通，控制险情扩散、恶化，减弱突发事件的不良影响，化解公众疑虑和敌对情绪，以便尽快结束突发事件。