信息系统项目的质量与风险ppt课件

《信息系统项目的质量与风险ppt课件》由会员分享，可在线阅读，更多相关《信息系统项目的质量与风险ppt课件（151页珍藏版）》请在装配图网上搜索。

1、2020/9/30,1,第6章 信息系统项目的质量与风险,2020/9/30,2,第6章 信息系统项目的质量与风险,6.1 信息系统项目质量管理 6.2 信息系统安全、监理与审计 6.3 信息系统项目风险管理,十一五规划教材 信息系统项目管理讲义,2020/9/30,3,6.1 信息系统项目质量管理,十一五规划教材 信息系统项目管理讲义,2020/9/30,4,6.1.1 信息系统项目的全面质量管理,什么是质量？ 质量是反映实体（产品、过程或活动等）满足明确的和隐含的需要的能力特性总和。 国际标准化组织,2020/9/30,5,什么是信息系统的质量？ 管理方面的 即项目管理过程质量，包括系统建

2、设的准备、规划、组织、协调以及运行管理方面所反映的工作质量问题； 技术方面的 即产品实现过程质量，包括系统生命期各阶段的产品质量,十一五规划教材 信息系统项目管理讲义,2020/9/30,6,制造业服务业怎么实现质量管理？ 全面质量管理 是一个组织以质量为中心，以全员参与为基础，目的在于通过让顾客满意和本组织所有成员及社会受益而达到长期成功的一种质量管理模式。 国际标准化组织,2020/9/30,7,全面质量管理的指导思想分两个层次： 整个组织要以质量为核心 组织的每个员工要积极参与全面质量管理 全面质量管理的根本目的： 使全社会受益和使组织长期成功,十一五规划教材 信息系统项目管理讲义,20

3、20/9/30,8,全面质量管理的核心思想： 全员性：全员参与质量管理； 全过程性：管理好质量形成的全过程； 全要素性：管理好质量所涉及的各个要素。,2020/9/30,9,什么是信息系统的全面质量管理？ 信息系统的全面质量管理包括： 系统实现时的质量管理； 系统分析、系统设计时的质量管理； 对系统实现时软件的质量管理；包括对文档、系统建设人员和用户培训的质量管理,十一五规划教材 信息系统项目管理讲义,2020/9/30,10,为什么要对信息系统采取全面管理？ 对信息系统采取全面质量管理，是因为在信息系统生命期的各个阶段，对上一阶段的理解和本阶段的设计与实现上都存在着这样那样的问题，如下图所示

4、：,2020/9/30,11,2020/9/30,12,信息系统全面质量管理的主要措施 （1）实行工程化的开发方法 （2）实行阶段性冻结与变更控制 （3）实行里程碑式审查与版本管理 （4）实行面向用户参与的原型演化 （5）强化项目管理，引入外部监理与审计 （6）尽量采用基于重用的方法进行系统开发 （7）按照CMM持续改善的要求管理软件的开发过程 （8）进行全面测试,十一五规划教材 信息系统项目管理讲义,2020/9/30,13,软件能力成熟度模型的英文为Capability Maturity Model for Software，缩写为CMM。CMM模型是1986年由美国卡内基梅隆大学（Car

5、negie Mellon University）软件工程研究所（Software Engineering Institute，SEI）提出的。,十一五规划教材 信息系统项目管理讲义,6.1.2 软件能力成熟度模型,2020/9/30,14,软件能力成熟度模型有什么作用？ 软件能力成熟度模型是评估软件能力与成熟度的一套标准，该标准基于众多软件专家的实践经验。 主要用于对软件过程改善和软件过程评估，是国际上流行的软件生产过程标准和软件企业成熟度等级认证的标准。,2020/9/30,15,CMM模型的内容是什么？ CMM模型提供了一个基于过程能力阶梯式进化的框架，阶梯共有五级。 这五级由低到高依次为

6、： 初始级 可重复级 定义级 定量管理级 优化级,十一五规划教材 信息系统项目管理讲义,2020/9/30,16,（1）初始级 初始级的软件过程是未加定义的随意过程，项目的执行是随意甚至是混乱的。 （2）可重复级 第二级的焦点集中在软件管理过程上。一个可管理的过程应该是一个可重复的过程，一个可重复的过程则能逐渐进化和成熟。,2020/9/30,17,（3）已定义级 要求制定企业范围的工程化标准，包括管理和工程开发，并将这些标准集成到企业软件开发标准过程中去。 所有开发的项目需根据这个标准过程，剪裁出与项目适宜的过程，并执行这些过程。,十一五规划教材 信息系统项目管理讲义,2020/9/30,1

7、8,（4）定量管理级 是定量化的管理。所有过程需建立相应的度量方式，所有工作产品和提交给用户的产品都需要有明确的度量指标。 （5）优化级 目标是达到一个持续改善的境界。所谓持续改善是指可根据过程执行的反馈信息来改善下一步的执行过程，即优化执行步骤。,2020/9/30,19,图6.2,2020/9/30,20,2002年，新的软件集成能力成熟度模型（CMMI：Capability Maturity Model Integration）正式发布。,十一五规划教材 信息系统项目管理讲义,2020/9/30,21,CMMI与CMM有什么不同？ CMMI与CMM的不同在于，CMMI可以解决现有不同能力

8、成熟度模型的重复性、复杂性，并减少由此引起的成本、缩短改进过程； 它的涉及面更广，专业领域覆盖软件工程、系统工程、集成产品开发和系统采购等方面。,2020/9/30,22,6.1.3 信息系统项目的质量规划,什么是信息系统项目的质量规划？ 信息系统项目的质量规划就是要将与信息系统有关的质量标准标识出来，并提出如何达到这些质量标准和要求 。,2020/9/30,23,如何制定信息系统项目质量管理计划？ 首先搜集本组织以前的历史数据，统计分析出该组织质量管理工作量占项目总工作量的一般比例； 根据新项目的大体工作量，计算出本项目的质量管理工作量； 根据质量管理工作量情况，安排该项目的质量管理任务，其

9、中还要确定该项目的相关质量标准，决定各质量管理任务的频度和相应的各种工作资源； 制定并评审通过信息系统项目的质量规划,十一五规划教材 信息系统项目管理讲义,2020/9/30,24,质量规划的依据和成果 质量规划主要的依据包括如下两个部分： 组织的质量方针 项目的合同文件中对交付产品的要求,十一五规划教材 信息系统项目管理讲义,2020/9/30,25,质量方针 质量方针是由组织的高层管理者对所有信息系统项目应达到的质量目标和方向制定的一个指导性文件。 项目的合同文件 合同文件中有关产品的描述包含了更多的技术细节和性能标准，是制定质量管理计划必不可少的部分 项目质量管理计划的制定还必须参考相关

10、领域的各项标准和特殊规定,2020/9/30,26,信息系统项目质量规划的主要成果有哪些？ 主要包括质量管理计划、检查表和相应的操作说明等。,十一五规划教材 信息系统项目管理讲义,2020/9/30,27,质量管理计划 主要描述项目质量保证团队应该如何实施项目质量方针。 各种检查表 是记录项目执行情况和进行分析的工具。 操作说明 包括如何进行项目工作、如何控制、如何度量、以及在何种情况下采取何种质量管理措施和方法等的说明。,2020/9/30,28,全面质量管理的基本工作步骤 PDCA循环 PDCA循环体现了全面质量管理的基本思想，也是全面质量管理的基本工作步骤和程序，是在质量规划中可以采用的

11、一种思路和方法。,十一五规划教材 信息系统项目管理讲义,2020/9/30,29,PDCA把质量管理过程 具体划分为：计划（Plan）、执行（Do）、检查（Check）、处理（Action）四个阶段和八个工作步骤，强调按此顺序不断循环从而进行所有质量管理活动。,2020/9/30,30,（1）P（Plan）计划，确定项目质量管理方针和目标，确定项目质量计划； （2）D（Do）执行，实地去做，实现项目质量计划中的内容； （3）C（Check）检查，总结执行项目质量计划的结果，注意效果，找出问题； （4）A（Action）处理，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的

12、教训加以总结以免重现，未解决的问题放到下一个PDCA循环。,十一五规划教材 信息系统项目管理讲义,2020/9/30,31,表PDCA循环的步骤和方法,十一五规划教材 信息系统项目管理讲义,2020/9/30,32,表 PDCA循环的步骤和方法（续）,十一五规划教材 信息系统项目管理讲义,2020/9/30,33,6.1.4 信息系统项目的质量保证,什么是质量保证？ 质量保证是在质量体系中实施的全部有计划的、有系统的活动，提供满足项目相关标准的措施，贯穿整过项目实施的全过程。,2020/9/30,34,与关注产品质量检查、质量控制相比，质量保证关注的是质量计划中规定质量管理过程是否被正确执行，

13、是对过程的质量审计。,2020/9/30,35,信息系统项目的质量保证 要对信息系统的开发计划、标准、过程、系统需求、系统设计、数据库、手册以及测试信息等进行评审； 要对系统产品的评审过程、项目的计划和跟踪过程、系统需求分析过程、系统设计过程、系统实现和单元测试过程、集成和系统测试过程、项目交付过程、子承包商的控制过程、配置管理过程等进行评审,十一五规划教材 信息系统项目管理讲义,2020/9/30,36,质量保证工作的依据和内容 实施项目质量保证的依据主要有项目质量管理计划、质量控制的度量结果以及质量工作的操作说明。 质量控制的度量结果 可以用于比较和分析。 项目质量工作说明 是对于项目质量

14、管理具体工作的描述，以及对于项目质量保证与控制方法的具体说明。,十一五规划教材 信息系统项目管理讲义,2020/9/30,37,质量保证主要包括以下几个方面的工作 ： （1）清晰的质量要求说明 （2）科学可行的质量标准 （3）组织和完善项目质量体系 （4）配备合格和必要的资源 （5）持续开展有计划的质量改进活动 （6）项目变更的全面控制,十一五规划教材 信息系统项目管理讲义,2020/9/30,38,2.质量保证工作的方法和技术 当进行项目的质量保证时，采用的方法和技术主要是质量审计和质量改进 。 质量审计 也称为质量审核，是对特定质量管理活动的结构化审查。,十一五规划教材 信息系统项目管理讲

15、义,2020/9/30,39,目的是确定质量活动及其相关结果是否符合质量计划安排，以及这些计划安排是否有效地贯彻执行，并且是否适合于达到项目目标。 质量审计可以包括质量体系审计、项目产品质量审计、过程质量审计、监督审计、内部质量审计、外部质量审计等,2020/9/30,40,质量改进 是以“增加项目的有效性和效率，提高项目投资人收益”为主要目的而采取的各种行动。 其方法包括项目质量改进建议和质量改进行动两个方面。,十一五规划教材 信息系统项目管理讲义,2020/9/30,41,一般的项目质量改进建议至少包括： 目前存在的项目质量问题及其后果； 发生项目质量问题的原因分析； 进行项目质量改进的建

16、议目标； 进行项目质量改进的方法和步骤； 进行项目质量改进所需的资源； 项目质量改进成果的确认方法。,2020/9/30,42,项目质量改进行动的方法多数是根据项目质量改进建议而确定的具体工作方法。 质量保证的成果主要是项目质量的改进。,2020/9/30,43,6.1.5 信息系统项目的质量控制,项目的质量控制 主要是监督项目的实施结果以决定它们是否符合相关的质量标准及确定排除不满意结果原因的方法 。,2020/9/30,44,项目质量控制和项目质量保证有什么区别？ 项目质量控制和项目质量保证最大的区别在于： 项目质量保证是一种预防性、提高性和保障性的质量管理活动； 而项目质量控制是一种纠偏

17、性和把关性的质量管理活动,十一五规划教材 信息系统项目管理讲义,2020/9/30,45,质量控制工作的依据和成果 信息系统项目的质量控制是指对项目实施全过程中的产成品进行持续不断地检查、度量、评价和调整的活动。 质量控制的依据 项目的阶段工作成果 项目质量管理计划 操作描述 项目质量控制标准与要求,十一五规划教材 信息系统项目管理讲义,2020/9/30,46,质量控制成果 通过项目质量控制之后，所得到的最重要的成果就是项目质量的改进。 除质量改进外，质量控制的结果还可能是接受项目成果、返工或对项目管理过程进行调整。,2020/9/30,47,质量控制工作的方法和技术 项目质量控制的方法 项

18、目质量控制的方法有很多，最常用也是最直接的方法就是检查，包括：为确定项目的各种结果是否符合用户需求所采取的诸如测量、检查和测试等活动，既可能检查单个活动的结果，也可能检查项目的最终产品的结果。,十一五规划教材 信息系统项目管理讲义,2020/9/30,48,质量控制工具 检查表和流程图是很常用的质量控制工具。下面我们重点介绍帕累托图、因果图和控制图。,十一五规划教材 信息系统项目管理讲义,2020/9/30,49,帕累托图 帕累托图（Pareto chart）是以意大利经济学家V.Pareto的名字而命名的。 帕累托图又叫排列图、主次图,是按照发生频率大小顺序绘制的直方图；是分析和寻找影响质量

19、主要因素的一种工具。 原则：关键的少数和次要的多数。,2020/9/30,50,帕累托图的表示 帕累托图用双直角坐标系表示,左边纵坐标表示频数,右边纵坐标表示频率. 分析线表示累积频率。 横坐标表示影响质量的各项因素,按影响程度的大小(即出现频数多少)从左到右排列。 其形式如下图：,2020/9/30,51,29%,52%,69%,79%,（频数）件N=123,50 40 30 20 10,甲 乙 丙 丁 戊 其他 质量影响因素 帕累托图,100 80 60 40 20,（频率）%,87%,十一五规划教材 信息系统项目管理讲义,2020/9/30,52,影响质量的因素分三类： 主要因素： 累计

20、百分数在70%80%范围内的因素； 次要因素： 累计百分数在80%90%范围内的因素； 一般因素： 累计百分数在90%100%范围内的因素。,2020/9/30,53,因果图 又称鱼骨图、树枝图是由日本石川馨发明的，故又名石川图。 鱼骨图是一种发现问题“根本原因”的方法。 问题的特性总是受到一些因素的影响，通过头脑风暴法找出这些因素，并将它们与特性值一起，按相互关联性整理而成的层次分明、条理清楚，并标出重要因素的图形。,2020/9/30,54,因果图,十一五规划教材 信息系统项目管理讲义,2020/9/30,55,控制图 控制图又称为管制图。第一张控制图诞生于1924年5月16日，由美国的哈

21、特（W.A.Shewhart)博士首先提出。 控制图就是对生产过程的关键质量特性值进行测定、记录、评估并监测过程是否处于控制状态的一种图形方法。 它是根据假设检验的原理构造的一种图，用于监测生产过程是否处于控制状态。它是统计质量管理的一种重要手段和工具。,2020/9/30,56,十一五规划教材 信息系统项目管理讲义,中心线,下限,上限,样本序号（时间）,控制图,质量特性值,2020/9/30,57,6.2信息系统安全、监理与审计,十一五规划教材 信息系统项目管理讲义,2020/9/30,58,6.2.1 信息系统安全,信息系统安全工作的目的： 进不来 拿不走 看不懂 改不了 跑不掉,2020

22、/9/30,59,信息系统安全的含义与层次 信息系统安全是指采取技术和非技术的各种手段，通过对信息系统建设中的安全设计和运行中的安全管理，使运行在计算机网络中的信息系统是有保护的，没有危险，即组成信息系统的硬件、软件和数据资源受到妥善的保护，不因自然和人为因素而遭到破坏、更改或者泄露系统中的信息资源，信息系统能连续正常运行。,十一五规划教材 信息系统项目管理讲义,2020/9/30,60,十一五规划教材 信息系统项目管理讲义,应用层面安全 （应用软件、支撑软件、工具软件）,系统层面安全 （操作系统、数据库管理系统）,网络层面安全 （网络系统各层的协议与软件）,物理层面安全 （计算机硬件、网络硬

23、件、各类设备及介质、环境）,安 全 管 理 层,图 安全等级保护五个层面所涉及的具体内容,2020/9/30,61,信息系统安全的设计 信息系统安全的设计包括： 物理实体安全的设计 硬件系统和通信网络的安全设计 软件系统和数据的安全设计,十一五规划教材 信息系统项目管理讲义,2020/9/30,62,信息系统软件和数据的安全应注意的事项 （1）选择安全可靠的操作系统和数据库管理系统 （2）设计、开发或采购安全可靠的应用程序 （3）注重信息系统中数据安全的设计 数据存取的控制 防止数据信息泄露 防止计算机病毒感染和破坏 数据备份的方法设计,2020/9/30,63,6.2.2 信息系统监理 信息

24、系统监理的含义 信息系统监理，是指具备相应资质的第三方（丙方），根据信息系统的建设规律以及国家法律法规、建设合同和监理合同的要求，对信息系统建设过程中的行为、事件和文档进行审查和监督，为用户方（甲方）提供与项目有关的信息和信息处理能力的支持，以确保信息系统项目的建设成功。 监理与项目管理主要区别在于主体不一样，对于成本、进度、质量考虑的重点不一样,十一五规划教材 信息系统项目管理讲义,2020/9/30,64,信息系统监理的内容 项目管理工作的核心可以归纳为“三控两管一协调”。 所谓“三控”，是指成本、进度和质量三者的控制； 所谓“两管”，是指合同管理和信息管理； 所谓“一协调”，是指甲乙丙三

25、方关系的协调。,十一五规划教材 信息系统项目管理讲义,2020/9/30,65,信息系统监理的工作内容也是从“三控两管一协调”出发，包括6个基本内容 ： 质量控制 进度控制 投资控制 合同管理 信息管理 关系协调,2020/9/30,66,具备良好素质的监理人员能够极大地降低信息系统项目建设的风险： 能帮助甲方对系统建设方案进行正确评价和选择；并能对乙方提供的证明材料等进行辨析； 能判明乙方是否偏离了甲方的实际需求，是否简化了系统的功能模块，是否选用了性能低的配置或质量较差的产品，是否隐含了安全问题或系统的缺陷等； 能减低由于甲方因管理改革不到位或不及时造成的风险。,2020/9/30,67,

26、监理方对甲乙双方都有约束 对乙方是监督和管理，重在监督； 对甲方是督促和助理，重在助理。,2020/9/30,68,信息系统监理的类型 按照监理对象的类型划分，可以分为三类：硬件网络集成项目的监理、软件产品实施型项目的监理、以及软件开发型项目的监理。 按照业主的要求和介入项目的深度分类，可分为咨询式监理、里程碑式监理和全程式监理三种类型：,十一五规划教材 信息系统项目管理讲义,2020/9/30,69,咨询式监理 咨询式监理以咨询工作为主，重点在于项目前期组织的信息化整体规划和需求分析； 工作完成的方式是以提交组织的信息化整体规划书为主要任务，对于信息系统项目实施阶段发生的问题，主要根据业主提

27、出要求，回答相应问题。 监理基本上不需要和建设方发生过多接触，是一种咨询顾问的角色。对甲方单位而言，这种方式的成本相比较是最低的,十一五规划教材 信息系统项目管理讲义,2020/9/30,70,里程碑式监理 是指按照信息系统的建设规律，将信息系统的建设划分为若干个阶段，在每一个阶段结束都设置一个里程碑，在里程碑到来时通知监理方进行审查或测试。 一般来讲，这种方式比咨询式监理的费用要多，当然，监理方也要承担一定的责任。 监理合同的确立也需要开发方的参与，避免里程碑的界定不同而互相扯皮。,十一五规划教材 信息系统项目管理讲义,2020/9/30,71,全程式监理 最复杂的一种，不但要求对信息系统建

28、设过程中的里程碑进行审查，还应该派相应人员全程现场跟踪、收集系统开发过程中的信息，不断评估信息系统建设方的质量和效率。 这种方式费用最高，监理方的责任也最大，适合那些对信息系统的建设不太了解、技术力量偏弱的用户方采用。,十一五规划教材 信息系统项目管理讲义,2020/9/30,72,6.2.3 信息系统审计 信息系统审计的含义和内容 信息系统审计是审计技术与信息技术共同发展的必然产物，是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程,十一五规划教材 信息系统项目管理讲义,2020/9/30,73,信息系统审计与控制协会

29、（Information Systems Audit and Control Association，ISACA）是从事信息系统审计的专业人员惟一的国际性组织。 信息系统审计师资格（Certified Information System Auditor，CISA）是惟一的职业资格。,2020/9/30,74,信息系统审计的基本内容包括 计算机资源管理审计； 硬件、软件的获取审计； 系统软件审计； 程序审计； 数据完整性审计； 系统开发审计； 应用系统开发审计； 系统运行审计； 系统维护审计； 操作审计； 安全审计。,十一五规划教材 信息系统项目管理讲义,2020/9/30,75,计算机资源管

30、理审计,硬件、软件等获取审计,系统开发审计,操作审计,系统软件审计,安全审计,程序审计,应用系统开发审计,系统维护审计,数据完整性审计,系统运行审计,十一五规划教材 信息系统项目管理讲义,图 信息系统审计基本内容相互关系图,2020/9/30,76,信息系统审计与信息系统监理、信息系统测试和信息系统评价的区别： 监理重在对系统规划与开发过程监督和管理，而审计不但要对开发过程审计，还要对系统运行过程审计； 系统测试主要测试系统是否实现了设计的逻辑模型，并且主要是从技术上测试；而审计是测试系统是否忠于组织的实际运作原型，是否符合国家法律法规； 系统的评价是信息系统审计的延伸，信息系统的评价更带有主

31、观性，与评价指标的选择有关；而信息系统的审计比较客观，强调的是数据的真实性和性能的客观性。,2020/9/30,77,信息系统审计的流程 （1）信息系统审计的计划阶段 是整个信息系统审计过程的起点，是通过调查被审计单位的内部环境，初步评价审计风险，接受审计委托，在此基础上制定审计计划。 （2）信息系统审计的实施阶段 是根据计划阶段确定的范围、要点、步骤、方法进行取证、评价，借以形成审计结论，实现审计目标的中间过程，是审计全过程的中心环节，由符合性测试阶段和实质性测试阶段构成。,十一五规划教材 信息系统项目管理讲义,2020/9/30,78,符合性测试阶段 目标是审查系统内部控制制度的建立及遵守

32、情况，根据测试结果修订审计计划，确定后续测试。 实质性测试阶段 是对交易和事项的详细测试，以获得审计期间这些事项或交易合法、完整、准确的审计证据。,2020/9/30,79,（3）信息系统审计的报告阶段 信息系统审计人员运用专业判断，以经过核实的设计证据为依据，形成审计意见，出具信息系统设计报告。 审计报告中应说明信息系统审计的范围、目标、期间和所执行的审计工作的性质和范围，以及信息系统审计结论和建议等,2020/9/30,80,6.3 信息系统项目风险管理,十一五规划教材 信息系统项目管理讲义,项目风险就是为实现项目目标的活动或事件的不确定性和可能发生的危险。,2020/9/30,81,项目

33、风险管理就是对项目风险进行识别、分析和应对的系统过程。 主要包含三个内容： 信息系统项目风险的识别 信息系统项目风险的定性定量分析 信息系统项目的风险应对与监控,2020/9/30,82,6.3.1 信息系统项目的风险识别,风险识别指确定哪些风险会影响项目，并将其特性记载成文。 风险识别是一项贯穿项目实施全过程的工作。,2020/9/30,83,风险识别的依据和成果 风险识别主要考虑以下三个内容： 事业环境因素 在风险识别过程中，任何一种以及所有存在于项目周围并对项目成功有影响的组织事业环境因素与制度等，都可以成为风险识别的依据。 组织过程资产 从先前项目的项目档案或知识库中获取相关信息。,十

34、一五规划教材 信息系统项目管理讲义,2020/9/30,84,项目范围说明书和工作分解结构 项目范围说明书中有关项目假设条件的不确定性，应作为项目风险的潜在成因进行评估； 风险都是和具体工作联系在一起，需借助工作分解结构识别风险。,2020/9/30,85,进行风险识别还要参考风险管理计划和项目管理计划： 风险管理计划中阐述了项目的风险管理政策：哪些是一级风险，哪些是二级风险； 实际情况与项目管理计划对比，得出的范围偏差、进度偏差、成本偏差等可能反应各种风险。,十一五规划教材 信息系统项目管理讲义,2020/9/30,86,风险识别过程的主要成果 风险识别过程的主要成果是形成项目管理计划中风险

35、登记册的最初记录，即形成风险事件列表，又叫风险清单。,2020/9/30,87,2.风险识别的方法和工具 要进行风险识别，首先需要对与该项目有关的各种文件进行审查，对项目文件（包括计划、假设、先前的项目文档和其他信息）进行系统和结构性的审查。 其次，需要根据历史资料，特别是以往类似项目所形成的风险分解结构（Risk Breakdown Structure，RBS）模板（参见下图），来识别RBS上的各种可能出现的风险。,十一五规划教材 信息系统项目管理讲义,2020/9/30,88,十一五规划教材 信息系统项目管理讲义,风险分解结构（Risk Breakdown Structure，RBS）,2

36、020/9/30,89,我们还可以采用很多其他的风险信息搜集技术，包括访谈、 因果图分析、挣值分析、头脑风暴法、德尔菲技术、SWOT分析、假设分析、核对表分析等。,十一五规划教材 信息系统项目管理讲义,2020/9/30,90,头脑风暴法 选择人员 明确会议的中心议题 与会专家轮流发言，并记录发言的内容 终止发言 评价所提出的所有意见。,2020/9/30,91,德尔菲法 从企业内外部挑选相关专家组成专家小组，专家彼此不会面，不交流 要求所有专家匿名对中心议题提出看法 将所有专家的意见整理形成综合意见，并将综合意见分发给专家。 各专家根据综合意见提出自己的看法。 重复以上过程知道得出满意的结果

37、。,十一五规划教材 信息系统项目管理讲义,2020/9/30,92,92,风险检查表 风险检查表是从以往类似项目和其他信息途径收集到的风险经验的列表，通过查找此表可以简便快捷地识别风险。 缺点：风险表的完备性受历史和类似项目的限制，对没有列出的风险可能被调查表所局限。,2020/9/30,93,流程图法 通过对项目的流程分析，发现项目风险可能发生在哪些工序和活动中，以及风险对各项活动可能造成的影响。 流程图可以通过网络图和工作分解结构来表示。 系统分析法 系统分析法是一种将复杂的项目风险分解成比较容易识别的风险子系统，进而识别子系统风险的方法。,2020/9/30,94,SWOT分析 从项目内

38、部的优势（Strength）、弱点（Weakness），以及外部的机会（Opportunity）与威胁（Threat）四个角度对项目进行审议，以扩大风险考虑的广度。 SWOT分析有四种不同类型的组合： 优势机会（SO） 弱点机会（WO） 优势威胁（ST） 弱点威胁（WT）。,十一五规划教材 信息系统项目管理讲义,2020/9/30,95,SWOT分析一般分成五步：,（1）列出项目的优势和劣势，可能的机会与威胁，填入道斯矩阵的I、II、III、IV区，如下图所示。,2020/9/30,96,图 道斯矩阵,2020/9/30,97,（2）将内部优势与外部机会相组合，形成SO策略，制定抓住机会、发挥

39、优势的战略，填入道斯矩阵的V区。 如：一个资源雄厚（内在优势）的企业发现某一国际市场未曾饱和（外在机会），那么它就应该采取SO战略去开拓这一国际市场。,2020/9/30,98,（3）将内部劣势与外部机会相组合，形成WO策略，制定利用机会克服弱点的战略，填入道斯矩阵VI区。 如：一个面对计算机服务需求增长的企业（外在机会），却十分缺乏技术专家（内在劣势），那么就应该采用WO战略。把聘技术专家，或购入一个高技术的计算机公司作为策略。,2020/9/30,99,（4）将内部优势与外部威胁相组合，形成ST策略，制定利用优势减少威胁战略，填入道斯矩阵VII区； 如：一个企业的销售渠道（内在优势）很多，

40、但是由于各种限制又不允许它经营其他商品（外在威胁），那么就应该采取ST战略，走集中型、多样化的道路。,2020/9/30,100,（5）将内部劣势与外部挑战相组合，形成WT策略，制定弥补缺点、规避威胁的战略，填入道斯矩阵VIII区。 如：一个商品质量差（内在劣势），供应渠道不可靠（外在威胁）的企业应该采取战略，强化企业管理，提高产品质量，稳定供应渠道，或走联合，合并之路以谋生存和发展。,2020/9/30,101,101,假设分析 通过先给出项目状态或情况的描述，然后变动项目的某种因素，分析变动后项目整个情况会怎样？会有什么样的风险发生？风险的后果怎么样？等等。 步骤：,2020/9/30,1

41、02,假设分析法比较适合于： 可用于分析和识别项目风险的后果； 分析和识别项目风险可能波及的范围； 研究某些关键因素对项目的影响。,2020/9/30,103,6.3.2 信息系统项目的风险定性定量分析,通过项目风险识别后得到风险清单并记录在风险登记册后，就可以进一步对风险进行定性分析和定量分析。 风险的定性分析 风险分类、评估发生概率、后果 风险的定性分析 量化影响，得到风险期望值，对风险排序、确定级别,2020/9/30,104,风险的定性分析,风险定性分析是析风险的性质、 估算风险事件发生的概率及其后果的严重程度,2020/9/30,105,风险的定性分析主要包括两个部分： 风险发生概率

42、的评估 风险造成影响或后果的评估。 风险定性分析的目的就是得到某个具体风险事件的风险概率和风险影响值。,十一五规划教材 信息系统项目管理讲义,2020/9/30,106,风险概率评估 指调查每项具体风险发生的可能性。 风险影响评估 旨在调查风险对项目目标（如时间、费用、范围、质量）的潜在影响，既包括消极影响或威胁，也包括积极影响或机会。针对识别的每项风险，确定风险的概率范围和影响范围。,2020/9/30,107,风险的定性分析可通过采用召开会议或进行访谈等方式对风险进行评估： 参与者对每项风险事件的概率级别及其对每项项目目标（成本、时间、范围、质量）的影响进行评估，确定风险概率和风险影响值的

43、等级。,十一五规划教材 信息系统项目管理讲义,2020/9/30,108,粗略评估风险概率及影响之后，通过查询风险概率（可能性）度量表以及风险影响值度量表（见下图），就可以将定性分析的结果转化为一个定量的数值。,2020/9/30,109,十一五规划教材 信息系统项目管理讲义,表6.2 风险概率（可能性）度量表,2020/9/30,110,十一五规划教材 信息系统项目管理讲义,表6.3 风险对四大项目主要目标影响值表,2020/9/30,111,例如： 如果有一个风险事件是信息系统的人机界面很不友好，该风险较可能发生，预测该风险事件一旦发生对于进度的影响将是12%，对成本的影响是7%，对于质量

44、的影响很小，对范围的影响几乎觉察不到。,2020/9/30,112,对照表6.2，该事件对应的风险概率可用三种方式给出为：75%、70%、4。,2020/9/30,113,十一五规划教材 信息系统项目管理讲义,参见表6.3，该事件的影响值为,2020/9/30,114,该风险的最终影响值是上述四个影响的最大值，即0.4。 任何一个风险事件都是从项目的成本、进度、范围、质量四个方面对项目产生影响，所以必须要分析出每个风险事件对上述四个方面的具体影响，参考上表，找出四个方面影响最大的值作为该风险事件的风险影响值。,2020/9/30,115,二、风险定量分析,风险定量分析是在不确定情况下 进行决策

45、的一种量化的方法,2020/9/30,116,风险的定量分析 风险的定量分析是指在得到风险概率和风险影响值之后，进一步得到每个风险的风险期望值，在此基础上，对所有风险进行排序和确定风险级别。,十一五规划教材 信息系统项目管理讲义,2020/9/30,117,风险期望值是评价风险预期损失或机会的重要参数，它的计算公式为： 风险期望值风险概率风险影响值 根据风险期望值确定风险等级，不同的等级应该对应不同的负责人。,2020/9/30,118,例如：以前面的人机界面不友好为例，采用第三列的分级风险概率数值70%，而风险影响值为0.4，那么 风险期望值风险概率风险影响值 0.7 0.4=0.28。 含

46、义：比如项目合同金额为100万，那么该风险事件的风险期望值为28万。,2020/9/30,119,119,项目风险评估工具,决策树 决策节点 状态节点，或机会节点 结果节点。 优点：能够进行多级决策；决策的层次性和相互影响一目了然。 缺点：当分级过多时，将变得非常复杂,2020/9/30,120,120,例题：某项目准备投产生产两种产品甲和乙，分别需要投资50万元和55万元，两种产品的生产年限是一样的。经过市场调研后，预测新产品上市后，畅销的概率为70%，滞销的概率为30%。甲乙两种产品在不同情况下的收益如表所示：,2020/9/30,121,121,决策树分析,0,1,2,1,2,3,4,甲

47、产品,乙产品,-50万元,-55万元,畅销70%,滞销30%,畅销70%,滞销30%,160万元,-80万元,180万元,-120万元,2020/9/30,122,十一五规划教材 信息系统项目管理讲义,表 风险等级划分表,2020/9/30,123,以上仅是某IT公司的数据模板，不同的项目团队应该有自己的风险等级政策。 对于识别出的每个风险事件，还可以对每个风险事件的紧迫性进行评估。实施风险应对措施所需要的时间、风险等级等都可以作为确定风险紧迫性的指标。,2020/9/30,124,6.3.3 信息系统项目的风险应对与监控,风险应对规划指为项目目标增加实现机会，减少失败威胁而制定方案，决定应采

48、取对策的过程。,2020/9/30,125,风险的应对 风险应对过程包括确认与指派相关风险应对负责人，从几个备选方案中选择一项最佳的风险应对措施来应对识别出的风险。,十一五规划教材 信息系统项目管理讲义,2020/9/30,126,信息系统项目风险应对的措施可以分为两大类，一类是对于威胁大于机会的消极风险的应对策略(规避、转移、缓解)，一类是对于机会大于威胁的积极风险的应对策略(开拓、分享、提高）,2020/9/30,127,1）消极风险的应对策略： （1）规避 风险规避是指在考虑到某项目的风险及其损失都很大时，主动放弃或终止该项目，以避免与该项目相联系的风险及其损失的一种处置风险的方式。 特

49、点：处置最彻底、但同时失去了可能的利益。,2020/9/30,128,（2）转移 风险转移是指项目组将风险有意识地转移给其他有相互经济利益关系的另一方承担的风险处置方式。 如：购置保险、租赁合同、分包合同等。 特点：风险本身没减少，只是承担者发生了变化。,2020/9/30,129,（3）缓解 风险缓解是为了最大限度地降低风险事件的发生的概率和减小损失幅度而采用的风险处置技术。 如：有些时候实施风险预案需要时间和条件，权宜措施就是为了争取时间和创造条件。 当客户拖延付款的时候，你当务之急也许不是催讨债款而是拆借周转资金。,2020/9/30,130,2）积极风险的应对策略 （1）开拓 风险开拓

50、是指通过确保机会肯定实现而消除与特点积极风险相关的不确定性。 如：为项目分配更多的资源，增派有经验、能力强的项目成员。,2020/9/30,131,（2）分享 将风险的责任分配给最能为项目利益获取机会的第三方。 建立风险分享合作关系，签订机会利润分享活动。,2020/9/30,132,（3）提高 通过提高积极风险的概率或其积极影响，识别并最大限度地发挥这些积极风险的驱动因素，强化其促发条件，提高机会发生的概率。,2020/9/30,133,不管是威胁还是机会都可以采用风险接受的策略。 风险接受又称作风险自留，是由项目团队自行准备风险准备金以承担风险的处置方法，在实践过程中有主动接受和被动接受之

51、分。,十一五规划教材 信息系统项目管理讲义,2020/9/30,134,风险应对措施分为两大类，预防措施和纠正措施： 预防措施是指为防止风险事件发生采取的措施； 纠正措施是指一旦风险发生时所采取的应对措施,2020/9/30,135,2.风险的监控 风险监控是指识别和分析新生风险，追踪已识别风险和“风险应对表”中的风险，重新分析现有风险，审查风险应对策略的实施并评估其效力的过程。,十一五规划教材 信息系统项目管理讲义,2020/9/30,136,在风险监控中，一般要关注以下五个工作 （1）风险再评估 安排定期进行项目风险再评估； （2）偏差和趋势分析 通过挣值分析、项目偏差和趋势分析等对项目总

52、体绩效进行监控； （3）风险准备金分析 将剩余的风险准备金金额与拟接受的风险进行比较，确定剩余的风险准备金是否充足；,十一五规划教材 信息系统项目管理讲义,2020/9/30,137,（4）更新风险登记册 将新的风险识别和应对情况，原有风险的变动情况纳入风险登记册中； （5）更新风险数据库 对于典型的风险事件可以形成记录并对风险分解结构和组织的风险数据库进行更新。,2020/9/30,138,风险监控的方法,1、系统的项目监控方法 2、风险预警系统,风险预警管理是指对于项目管理过程中有可能出现的风险，采取超前或预先防范的管理方式，一旦在监控过程中发现有发生风险的征兆，及时采取校正行动并发出预警

53、信号，以最大限度地控制不利后果的发生。,2020/9/30,139,风险监控的成果,2020/9/30,140,6.3.3 案例：学院网站建设项目的风险识别、分析与应对 本项目风险的识别与应对经过了以下三个步骤。 风险识别：列出所有可能的风险事件； 风险分析：为每个风险事件分析风险概率和风险影响值，计算风险期望值，确定风险的级别和顺序； 风险应对：确定风险应对的策略、应对措施及其截止时间和负责人,十一五规划教材 信息系统项目管理讲义,2020/9/30,141,风险的识别 风险识别的方法是确定“风险编号”、找出可能发生风险的“WBS模块”、再拟定“风险事件名称” 项目组成员依据前已有的WBS中

54、那些没有下一层工作的底层工作包，通过头脑风暴法识别出可能会影响项目进度、成本、范围、质量的潜在风险，对每个风险事件都进行编号，赋予一个含义明确的名称记录在下面的风险识别、分析和应对表中。,十一五规划教材 信息系统项目管理讲义,2020/9/30,142,风险的分析 风险的分析阶段由项目团队分别确定“风险概率”、“风险影响描述”、“风险影响值”、“风险期望值”、“排序”、“风险级别” （1）对每件风险事件，由项目组有经验的成员分别对该风险事件发生概率进行估计，加总平均得出此事件的风险概率。,十一五规划教材 信息系统项目管理讲义,2020/9/30,143,（2）对每件风险事件，由项目组有经验的成

55、员分别对该风险事件一旦发生，造成的影响进行讨论。将在进度、成本、范围与质量四方面的影响进行具体描述，然后到“风险影响值的转换表”中分别找到对应的影响值，将四方面影响最大的影响值填入“风险识别、分析和应对表”的风险影响值一栏中，将对应的风险影响描述填入“风险影响描述”一栏中。,十一五规划教材 信息系统项目管理讲义,2020/9/30,144,（3）根据得出风险概率和风险影响值，将“风险概率”与“风险影响值”相乘计算得出风险期望值，并将风险事件按照风险期望值从大到小排序，为其赋予一个顺序编号，对于前十个风险我们要重点进行监控，进行十大风险追踪。,十一五规划教材 信息系统项目管理讲义,2020/9/

56、30,145,（4）项目组假设参照表“风险等级划分表”确定风险等级，根据得到的风险期望值得到风险的级别，并确定相应的风险负责人。假设规定风险期望值在0，0.05之间的风险为四级风险，由项目的相应工作包负责人负责，并通知项目经理；(0.05，0.1之间的风险为三级风险，由项目经理负责,十一五规划教材 信息系统项目管理讲义,2020/9/30,146,3.风险的应对 在风险应对中，确定“风险策略”、“风险应对措施”、“风险处理截止时间”和“风险负责人”。对每件风险事件，项目组员讨论确定一种主要的风险策略，确定出一项或多项措施来应对风险。参照“风险等级划分表”中风险的级别可以得出每件风险事件的负责人。根据所要采取的具体措施，确定处理的截止时间，比如截止时间填写一周，那么，对于预防类措施，截止时间是指风险识别之后的一周之内；对于纠正类措施，截止时间是风险发生之后的一周之内。,十一五规划教材 信息系统项目管理讲义,2020/9/30,147,十一五规划教材 信息系统项目管理讲义,2020/9/30,148,十一五规划教材 信息系统项目管理讲义,2020/9/30,149,十一五规划教材 信息系统项目管理讲义,2020/9/30,150,十一五规划教材 信息系统项目管理讲义,2020/9/30,151,十一五规划教材 信息系统项目管理讲义,