信息化项目风险管理模型构建
2023-09-20顾大双
顾大双
(西安财经大学管理学院,陕西 西安 710100)
0 引言
由于信息通信等技术更新迭代快、需求多、业务流程复杂,企业信息化项目相较传统工程建设项目有着显著区别[1],因而在其风险管理过程中不能完全沿用传统管理方法。目前,信息化项目风险管理研究大多都集中于外包风险管理及项目各环节风险的识别与评价,并未涉及项目风险源头及风险与各环节的作用关系等方面。因此,从电网企业信息化项目风险管理的关键要素出发,构建风险管理模型,为提出更加科学可行的风险管控措施奠定基础。
1 电网企业信息化项目风险管理模型
电网企业信息化项目是指企业从信息化发展需求出发,采用先进的计算机技术,建设基于信息及通信网络实现电网企业数字化转型的工程建设项目。电网企业信息化项目时效要求高,建设周期长,需求与期望易变更,外部制约条件多,对项目的风险管控要求较高[2]。因而结合电网企业及其信息化项目的特点,以Charette模型为基础,融合Barry Boehm模型的相关理念[3],构建电网企业信息化项目的风险管理模型。首先根据电网企业信息化项目风险管理的特点梳理出风险管理的三个关键要素,即项目干系人、重要活动过程、风险域,并分析三者的相互作用,进而输出风险管理模型的指标,应用风险分级策略[4]和分层权重法[1]对项目风险因子和项目本身的综合风险进行量化分析。
2 风险管理的关键要素因子
2.1 项目干系人
项目干系人大致可分为甲方、乙方和第三方,各自在项目风险管理过程中扮演着不同的角色,所关注的重点也不尽相同。
1) 甲方业务部门,是电网企业信息化项目的业务部门(业务功能需求者),也是项目的发起者。业务部门高层拥有对项目业务的管辖权,决定着项目的发展方向。业务部门主要关注的是项目效益、关键成果、对企业的长远影响、成本投入等。
2) 甲方技术部门,负责提供电网专业方面的技术支持以及与在运系统的融合技术,主要关注的是使用技术是否符合相关标准,各项功能参数是否准确无误,新建项目投运后与原有系统是否兼容等。
3) 甲方管理部门,是甲方对项目的管理机构,主要关注的是保障项目是否能够按质、按时、按量地完成,以及时间、成本、质量目标等。
4) 乙方管理部门,是乙方的领导群体,是项目的组织管理、分配资源的决策机构,主要任务是控制项目各项指标的执行。
5) 乙方项目实施部门,是项目现场的实施者和管理者,负责制定项目实施计划,按要求完成项目的部署,并及时向甲方汇报项目情况,保障项目顺利完成并通过验收。
6) 乙方开发部门,是负责项目研发的主体部门,按甲方要求确定开发技术路线,并完成项目产品的开发,保障产品的功能质量。
7) 第三方行政单位,是项目建设方的上级行政管理单位,其工作是监督保障项目合规、合法。
8) 第三方项目管理单位,负责对项目各阶段工作实施管理,保障项目的全过程能够可控、可靠,并对乙方的项目实施过程进行评级打分。
9) 第三方测评机构,负责按照国家相关标准和行业标准对其产品进行安全测评,并给出评价报告和评价依据。
10) 第三方供应商,负责根据项目需求向乙方(采购方)提供硬件产品。
2.2 重要活动过程
电网信息化项目除具备一般建设工程项目的特点外,还具备IT项目的部分特点,可将电网信息化项目分为项目需求调研、可行性研究、项目立项、项目计划、项目部署实施等阶段。部署阶段可根据项目特点继续划分为硬件部署、系统环境搭建、软件开发、软件部署、联调测试、项目验收与交付等模块。上述过程的执行可参照项目实施方案、工作组织方案、电网行业相关管理规范等。
2.3 风险域
从管理学的项目管理领域出发,结合电网信息化项目的特点,可从安全、质量、沟通、成本、进度等维度对信息化项目的风险管理进行风险域划分。安全风险主要涉及系统安全、数据安全、网络安全、保密安全等;质量风险主要涉及硬件设备质量和系统功能质量;沟通风险主要涉及合同文本、实施手册、技术手册、培训手册等方面;成本风险主要涉及硬件成本、软件成本、技术咨询成本等方面;进度风险主要涉及项目调研进度、开发进度、采购进度、现场实施进度等方面。
2.4 要素间的关系分析
2.4.1 项目干系人与重要活动过程要素分析
从项目干系人与重要活动过程两个要素进行分析,结合干系人在项目各个阶段的参与程度以及各单位所关注的重点,对二者的作用关系分析如下。
1) 甲方业务部门,负责实施方案的审查工作,确保方案达到项目设定目标。
2) 甲方技术部门,负责现场技术交底,保障产品具有先进、高兼容、可升级和易维护等特性。
3) 甲方管理部门,负责工作实施的规范性、监控实施进度检查,确保进度、成本、方法、质量均满足项目要求。
4) 乙方开发部门,负责相关软件开发,确保在满足招标文件相关要求下实现利润最大化。
5) 乙方实施部门,负责相关软件的部署实施,确保按时、按质、按量完成项目的功能部署。
6) 第三方测评机构,负责系统软件的规范性审查,确保符合相关规范。
2.4.2 干系人与风险域分析
从项目干系人与风险域两个要素分析,干系人所处风险领域不同,所发挥的作用也不同,两者相互影响并直接影响着项目风险管理的最终成效。
1) 甲方业务部门决定项目的实施范围,其对于系统安全的影响程度较大。
2) 甲方技术部门决定项目实施的主要技术路线,其对于系统安全的影响程度中等。
3) 乙方开发部门决定软件的架构和开发流程,其对于系统安全的影响程度较大。
4) 乙方实施部门决定项目实施的流程,其对于系统安全的影响程度较大。
5) 行政单位负责第三方监督管理,其对于系统安全的影响程度中等。
2.4.3 重要活动过程与风险域分析
从重要活动过程与风险域两个要素分析,不同阶段可能面临的风险有所差别,项目活动过程和风险域之间互相交叉影响。
1) 软件开发过程面临开发数据被窃取、篡改、涉密数据未加密等风险,代码存在漏洞的质量风险,开发成本超支风险,开发进度滞后风险等。
2) 软件部署过程面临系统功能未达预期效果的治理风险,违反网络建网规范、系统网络边界不清晰的网络风险,实施进度滞后风险等。
3 风险管理模型构建
3.1 风险管理模型指标输出
结合风险管理三要素间的关系及电网信息化项目特点,总结出项目风险决策指标示例(见表1)。
表1 综合模型的输出指标示例
3.2 风险管理模型构建
信息化项目的管理团队中应设有风险管理人员实时监控项目的风险情况,并使用定量分析法对其进行评估;采用专家会议法根据风险影响后果对相关风险因子设置风险阈值,并根据不同阈值将风险管理等级分为A、B、C三级,其中后果严重需要引起重视的为A级风险,影响较大需要考虑解决的为B级风险,影响较小可适当给予关注的为C级风险。以数据泄密、需求溢出和性能缺陷为例,对风险发生的概率及影响后果进行量化评估(见表2)。
表2 风险因子的量化示例
其中,工期延误率Tn=延误天数/总工期,费用损失率Cn=损失费用/总成本,成本进度综合值In=Tn+Cn。引入分层权重法[5],对各个风险因子进行全局评估,最终得出项目的综合风险值。
式中:an为风险因子的权重系数,a1+a2+…+an=1;an为风险子项发生的概率;In为风险发生后的时间(Tn)和成本(Cn)的综合影响结果。
4 风险管理案例实践
4.1 实践项目内容
以某企业的共享数据平台建设项目为例,对其项目的风险管理工作进行研究。该项目的主要内容包含:基于标准模型的运监业务数据建模;基于标准模型实现数据的标准化传输与校验;对各业务系统数据质量的检测与治理;采用多种方式实现基于标准模型的共享数据存储;采用可视化灵活配置的数据服务定义工具和数据应用视图,支持企业相关业务的数据统计、挖掘与预测。
4.2 分析对象
实践项目的风险会在系统联调与产品交付阶段体现,故选取项目系统联调与产品交付阶段的风险进行分析。该阶段的工作可分为单系统功能演示、单系统安全测试、多系统联调、多系统性能联调测试、系统整体安全测试等,以保障系统的安全、可靠和稳定的运行。
4.3 综合性风险管理模型应用
案例分析中,项目设置了风险管理专员,实时监控项目风险情况。结合上述风险管理因素所建模型,采用专家打分法对分析对象的风险项进行评估,构建项目检测与交付风险评估项(见表3),其中风险影响后果用模型中成本与进度的综合值In进行量化,表现为成本损失率与进度延误率的和。
表3 项目检测与交付风险项评估项
4.4 风险项量化分析
依据上述模型产生的项目风险评估清单,结合案例项目实际情况,对项目风险因子和综合风险进行量化分析(见表4)。
表4 项目检测与交付风险量化分析
由上述方法分析得出实践案例项目风险管理等级与实际风险发生情况相符,且可将风险细化到项目干系人与项目各实施阶段中,精准落实到各风险的责任单位。
4.5 风险处理措施
电网企业信息化项目与IT项目具有又一定的相似之处,在施工完成后经过验收即可交付使用[5]。因此,为保证系统交付后能够安全、可靠运行,在交付前会有较长一段时间的测试工作,且涉及到的项目干系人和风险域应尽可能与系统正式运行的情况相符。在测试期间,会将系统的访问权限对相关人员开放,但同时该举措会对未正式交付的产品系统产生较大的自生风险。为此,在此阶段,应设置严密的筛查技术手段和用户访问权限,对网络、系统等层面的安全日志进行收集与分析,加强系统的日常监测[6],并设置专职技术人员驻场,以便及时处理相关问题,提升风险应急反应速度。
5 结束语
通过电网信息化项目风险管理模型的构建,以及对项目风险因子及项目本身风险进行的量化分析研究可知,在梳理出项目风险因子关系后,对其风险的分析和评价会更加准确,在此基础上细化风险管理要素,结合项目实际可制定出项目风险的应对策略和解决方案。该信息化项目风险管理模型与其他IT类项目具有一定的相似性,因此其风险管理体系可为其他IT项目的风险管理提供参考。
