（上海交通大学信息安全工程学院上海 200030）

美国项目管理协会在相关体系指南中提道：项目管理主要指的是将专业知识、技能、工具等结合在一起的事物，进而满足个体的项目需求。实现项目目标并非十分容易，并且在这些过程中会形成封闭模式，按照制定、实施、完成的顺序进行实现。在项目管理设置中分为五步，一是确立项目；二是设计方案；三是实施项目；四是控制管理；五是评估[1]。在项目运行时，要根据内部变化进行调整，要求管理者能够适应项目。相比于常规项目，IT项目的不确定性更加突出，在具体运行时可能会遇到以下风险，具体有：（1）项目需求与目标二者不统一；（2）各方利益不一致；（3）技术的发展与变革；（4）技术路线风险；（5）系统部署风险；（6）流程构建风险；（7）人力资源风险；（8）商业模式风险；（9）自主与外包的抉择；（10）合作风险。

1 项目风险管理过程与方法

1.1 IT项目风险规划

在项目开始之前，对项目进行风险管理的首个阶段是风险规划。风险规划是采用专家座谈方式进行研究，在相关信息系统上面能够看到针对风险管理的判断包括方式、范围、人员和经费等等，能够在一定基础上形成阶段性的风险管理计划[2]。在风险管理规划阶段主要包括：项目特性的了解、获取风险管理需求、合理规划风险管理相关成员、编制科学合理的风险管理计划。

1.2 IT项目风险识别

选择合适的风险管理方法是在风险识别过程中提高识别效率和规范性的关键[3]。通常情况下，广泛使用的风险识别有很多，如：德尔菲法、头脑风暴法等，本文主要描述了以下七种方法[4]，具体论述如下：

（1）头脑风暴法

这一方法主要指的是在项目运行时，收集全体参与人员的想法和建议，在没有具体决定前都按照新方法的提出和建议实施，没有批判性的存在，最终在风暴式的交流产生新思维的共享中获取更多知识和信息，能够使得决策以后获得更好的结果[3]。

（2）德尔菲法

在搜集专家不同意见的时候充分发挥团队的优势，这样能够避免当面商议的偏见。在实际操作过程当中，对专家很少进行多次询问，因为采用这种方法容易产生成本上的超额，决策者和中层决策者需要有一个良好的把握。

（3）核对表法

在项目风险发生时，根据以前相关项目类似的做法进行编制和核对，在以前项目的编制表上进行实际实施，方便判断某一个项目的具体存在或者类似项目的风险性，能够更加有效地帮助管理人员启发和联想。

（4）流程分析法

这个方法需要对整体的流程图有一个总体和分体的表示，一定程度上可以将所有的活动展示出来。在描述和分析项目整体流程的基础上确定项目风险的位置和步骤，以及相关环节能够影响的程度和范围，在很多研究当中流程分析法都能够准确地运用到实际生活和项目当中。

（5）现场视察法

对于项目经理而言，需要针对项目现场开展实际勘查工作，以此来识别项目可能会存在的潜在风险，这一方法广泛使用于项目部署阶段[5]。

（6）相关部门配合法

在使用这一方法时，需要各个部门进行配合，其中包括部门经理在不同场合进行随时的活动了解，以及课程的收听，定期时间内进行业内的组织和规划，对于各个部门的风险具有一定识别作用。

（7）询问法

这一方法主要指的是借助邮件、通话等形式，搜集相关信息并对预测结果进行讨论，其对询问者的项目经验提出了较高要求，广泛应用在项目需求确认等阶段[5-11]。

1.3 IT项目风险评估

通常情况下，项目风险评估主要指的是对项目进行一定程度的定义与描述，在某些方面能够对风险发生的可能性大小和风险程度进行判断，了解其在项目中的实际影响程度。风险评估主要指的是针对识别出来的风险进行量化评估和排序进而制定合理的应对措施。项目风险评估一般有定性和定量两种方法。

1.4 IT项目风险应对

1.4.1 风险应对的基本概念

为了降低风险发生带来的不利影响，就需要制定合理的应对策略，这一过程就是风险应对。通常情况下，最常用的风险处理对策有以下三个，一是风险自留；二是风险转移；三是风险控制。风险应对的参考依据有五个，一是风险排序结果；二是编制的风险管理计划；三是风险主体；四是风险认知；五是一般风险应对[12-13]。

1.4.2 IT项目风险应对方法

通常情况下，IT项目风险应对方法包含以下六种[10]，具体论述如下：

（1）风险预防

从根本上对风险进行审核是项目控制效果最优的方法，这种审核方式主要是有形和无形两种。有形当中的工程法是被利用最多的一种，按照工程技术手段，对项目进行实际的规避[12-14]。在无形手段当中教育法和程序法是运用最为广泛的一种，教育能够让项目人员从实际项目当中学习到新的知识，能够实际掌握相应的风险应对方法；后者主要是从流程方面出发规避损失。

（2）风险回避

这是一种比较消极的风险控制方法，主要应用在风险发生后果难以承受、没有其他可行性应对策略的时候，在使用这一方法之前，需要全面把握风险威胁和产生的后果[15]。在项目运行后期使用这一策略会付出较多的成本，在项目活动没有全面开展的时候可以使用风险回避法。

（3）风险减轻

一定程度上，风险的降低可以减少负面影响。在策略实施的过程当中，对项目能够有一个良好的规划和接收。风险减轻在一定程度上面指的是可预测的风险，在不可预测的风险当中，能够将风险减轻的概率很小，由此就可以有效控制那些不可预测的风险。

（4）风险转移

这一方法也被称之为合伙分担风险，主要指的是通过合同、协议等手段，将风险可能会带来的损失转移给第三方，但是项目整体风险所发生的可能性和带来的不利后果并没有减弱[16]。主要存在以下四种转移方式，一是外包；二是开脱责任合同；三是出售；四是保险与担保[17]。

（5）风险自留

这一方法主要指的是结合财务风险规划，在企业风险的项目本身当中能够利用企业本身的资金对项目风险做出一个保障。主要包含以下两种形式，一是主动形式，以企业为主，企业能够有规划和有意识地对风险进行保留[18]；二是被动形式，主要指的是风险对某一种项目的费用进行没有大影响的规划。

（6）风险后备

风险后备是对风险的一种积极处理手段，在后备当中，有一些第三方转嫁的积极意义，这是一种能够有着独特风险的对应方法，在这种方法当中一般包括三种方案，分别是预控、应急和挽救方案，他们在一定程度上能够有效控制着方案的变化和延伸，能够在一定程度上维护方案的原来目标，在基本方案的基础上进行方案优化，确保项目的具体实施[19-22]。

2 结束语

本文在项目管理当中，笔者对于风险管理部分有着一定的理论基础和实践经验，首先界定了项目风险的概念，随后整合了IT项目在运行的过程中可能会遇到的风险，详细介绍了项目风险管理方法，如：风险转移等，为实际的项目管理提供了实际有效的理论依据。