第六章管理信息系统开发的风险分析与管理

第六章管理信息系统开发的风险分析与管理

第一节风险分析与管理概述第二节管理信息系统开发的风险分析第三节管理信息系统开发的风险管理复习思考题六

第一节风险分析与管理概述风险是与人类社会的生产和生活相伴产生的，是与人类的经济生活密切相关的。随着我国经济的发展和 21 世纪信息化社会的形成，在对信息系统开发投资日益增长的同时，也对信息系统开发的要求越来越高，风险分析与管理已经成为保证信息系统开发成功的重要环节之一。

一、风险分析与管理的概念 1 、风险（ Risk ）

风险是现代社会中经常用到的一个术语。但是由于人们站在不同的角度各有各自不同的解释：按照字面通俗地解释：风险就是不幸事件（生命与财产受到损失或损伤）发生的可能性，或者说风险是一个事件产生人们不希望的后果的可能性（概率）。这种解释强调了风险是某预期后果遇到了不利的情况，而且这种不利的情况是可以用概率去描述的。

美国 Cooper D. F and C. B 在《大项目风险分析》一书中对风险给出了较为权威的定义：“风险，是由于从事某项特定活动过程中存在的不确定性而产生的经济或财务损失，自然破坏或损伤的可能性”。这种解释强调了两点：一点是风险是由可确定因素和不确定因素所产生的，可以用已知的或能得到专家们一致估计的概率分布去描述各种可能的后果；另一点是产生的后果具有损失或盈利的两种可能，即风险是一种损失和盈利并存的机会。

第一节风险分析与管理概述 1 、风险（ Risk ）

总结以上的定义，风险可以归纳为：可以分析的不确定性产生的损失或盈利的机会。信息系统开发风险的定义：它是指在信息系统开发的生命周期全过程中，影响系统目标实现的不确定性产生积极或消极影响的事件发生机会。

2 、风险分析（ Risk Analysis ）美国 Chapman C·B 在 1987 年所著的“ Rsik Analysis for Projects” 一书中如下定义：风险分析是分析处理由不确定性产生的各种问题的一套方法，包括风险的辨识、风险的估计和风险的控制与管理。这个定义指出了风险分析的工作对象是由不确定性产生的各种问题，同时也指出了风险的辨识、风险的估计和风险的评价是风险分析工作包括的主要内容。

第一节风险分析与管理概述

3 、风险管理（ Risk Management ）

风险管理是指在风险分析的基础上，为了将风险控制在最低限度而进行的各项管理工作的总称。风险分析与管理的工作程序框架如图 6--1 所示。

N

开始

停止

系统风险调查

风险控制管理

能否控制风险

风险弥补管理

风险评价、检查

效果满意否？

选择方法、定量风险的大小及影响

风险的分类与因素的辨识

健全风险管理组织

确定风险管理策略

Y

N

Y

二、风险的特征

事实和经验告诉人们：天有不测风云，人有旦夕祸福。无论是自然界中的风暴、洪水、地震、雪灾、海啸等天灾，还是人类社会领域中的战争、犯罪、过失或意外事故等人祸，都是不以人的意志为转移的客观存在。而且无论是过去、现在还是将来，风险都是客观存在的必然现象。

1 、风险的客观必然性

2 、风险的偶然性风险的偶然性也称为不确定性。它是指风险的发生和损失在时间、地点、种类和损失程度上，完全是杂乱无章不确定的结果。例如：中国唐山 1976 年的大地震、每年世界各地的旱、涝灾害等，都是偶然的、不确定的。

第一节风险分析与管理概述

3 、风险的可变性风险的可变性是指风险的产生及其后果在一定的条件下是可以发生变化的。这是因为随着人类生活方式的变化和科技水平的发展，风险因素的变化和人们识别风险和抵御风险能力的提高而必然存在的特征。

风险的相对性是指对于不同的主体风险的涵义是不同的。例如：发生暴雨对于在地面和野外施工的工程项目的风险很大，而对于在室内施工的工程项目的风险就比较小；因此风险的内涵是随着主体的不同在变化的，在风险分析与管理工作中必须根据具体的情况具体的分析。

4 、风险的相对性

第一节风险分析与管理概述二、风险的特征

5 、风险的可测量性风险的可测量性是指工程项目的某种风险发生的频率以及造成损害或收益的程度是可以通过过去的历史数据资料来统计、测量、判断的。现代的计量手段和技术为风险测量的实现提供了科学的基础和保障。

6 、风险与效益的共存性风险与效益的共存性是指风险不仅可以给工程项目造成损失，也可以带来效益。事实与经验证明，工程项目中的很多风险不一定全是灾难性的，有一些风险是可以通过合同谈判、工程索赔等措施来减少损失，甚至取得一定收益的。风险与效益共存是人们现代风险观念的重大转变。

第一节风险分析与管理概述二、风险的特征

第二节管理信息系统开发的风险分析风险分析是通过风险辨识、风险估计和风险评价的工作对风险做出全面的、综合的分析。其主要内容及任务如图 6.2所示。

风险分析

风险识别

风险估计

风险评价

哪里有风险？

风险类别、因素是什么？

后果影响？

概率大小及分布？

后果大小？

风险、效益成本分析？

风险对策如何？

图 6.2 风险分析的内容及任务

一、风险的辨识风险的辨识是指在信息系统开发之前对可能引起风险的因素和产生后果所进行的分析工作。

（一）风险的分类风险的分类是按一定的原则对可能发生的风险进行归类。按照研究风险的不同角度，大致有以下几种风险分类的方法。

第二节管理信息系统开发的风险分析

（ 1 ）按风险的严峻程度可以分为两类。特殊风险，也称为非常风险。这类风险主要指由于战争、政变等政治原因引起的政权更迭，导致项目合同作废，没收承包商财产等后果的政治风险，以及由于地震、洪水、火灾等导致工程项目无法进行，财产遭受损失的自然风险。这种风险一般是致命的几乎无法弥补的风险。非特殊风险，泛指特殊风险以外的风险。这类风险一般通过必要的防范措施是可以转移或者避免的。

（ 2 ）按风险来源的性质可分为五类。社会环境风险，是指由于国际、国内的政治、经济政策的波动，或者由于自然界产生的灾害而给信息系统开发的双方带来的后果。例如政策变化、外汇汇率的涨落，以及各种自然灾害等。这种风险是属于大环境下因素变化造成的，它所带来的后果是泛指处在这一环境变化中的所有项目，而不是某一个具体项目的承包商，这类风险造成损失的大小主要取决于承包商调整承包战略的能力。经济风险，是指由于与信息系统开发相关的经济因素变化，而给项目开发双方带来的可能后果。例如价格、税收、工资等因素的变化。


技术风险，是指由于与信息系统开发相关的技术因素的变化，而给开发双方带来的可能后果。如系统开发各阶段的设计质量水平，设备的功能指标等因素的变化。

公共关系风险，是指由于与信息系统开发相关的各种内部、外部的关系因素的变化，而给项目开发双方带来的可能后果。如信息系统开发部门内部各个阶段，各个层次人员之间的关系，与外部各主要部门之间的关系，以及与开发商、同行业之间的关系等因素的变化。管理风险，是指由于与信息系统开发的管理职能与管理对象等因素的变化，而给开发双方带来的可能后果。如管理组织，领导素质，各阶段开发监督、协调等因素的变化。

第二节管理信息系统开发的风险分析（ 2 ）按风险来源的性质可分为五类。

（二）风险因素的辨识风险因素的辨识实际上是以风险分类为基础，对各种风险因素的细划与归类，也就是要找出该项目将遇到的风险因素是什么？若按信息系统开发的风险来源性质进行各类子风险的因素辨识，如图 6.3 所示。

信息系统开发的风险

社会风险经济风险技术风险公共关系风险管理风险

战争和内乱国际关系国家政策外汇汇率通货膨胀新技术发展同行业竞争

设备价格税收变动工资变动

人员的增加减少

工期变化

系统规划系统分析系统设计系统实施系统运行系统保护系统各项文件编制设备功能机房设施

与立项单位关系

与主管部门关系

开发单位内部各方的关系

计算机人员与管理人员关系开发方同行业

之间的关系

领导素质组织机构

计划开发各项目组

成员素质开工准备

各阶段的协调

图 6.3 信息系统开发风险分类及因素识别

第二节管理信息系统开发的风险分析（二）风险因素的辨识

（三）风险辨识的方法由于风险辨识工作一般不要求对风险及其后果作出定量的估计，并且有些风险很难在短时间内用数学模型精确计算或用实验手段得到证实，所以风险辨识工作经常运用定性分析的方法。常用的有以下两种方法：

1 、智暴法（ Brainstorming ）这种方法一般采用专家小组会议的形式进行。专家们在一起对某一项具体工程项目可能发生的风险广泛发表个人意见，畅所欲言，想说什么说什么，新思想、新看法越多越好。这种方法适用于问题单纯、目标明确的情况，并且要求会议的组织者具有广泛的知识和极强的组织能力，善于提出问题，引导大家不断地产生发表新的思想。


2 、特尔斐法（ Delphi ）这种方法又称为专家咨询法，它一般是以定期向有关专家发放调查表，并且对调查数据进行数理统计的形式进行。这种方法比较接近客观实际，适用于那些很难在短时间内用数理统计、实验分析等方法得到确切的风险因素估计的工程项目，尤其是适用于比较大的信息系统开发的风险辨识工作。

风险的估计是指对风险辨识得到的各种风险要素进行测量，得到工程项目的某一风险要素发生的概率以及导致后果的性质大小和概率。如果说风险辨识回答的是要遇到的风险是什么？风险估计则回答的是这种风险有多大？

二、风险的估计（一）风险估计工作的内容与任务

第二节管理信息系统开发的风险分析（三）风险辨识的方法

风险的估计是对未来风险不确定因素的测量，它是一种定量的估计，估计的结果具有一定的近似性。风险估计方法有很多，常用的方法包括以下几种：

（二）风险估计的方法

1 、概率与数理统计法这种方法是运用三点估计的模型和概率分布与计算去估计、分析工程项目风险程度的一种方法。


（ 1 ）三点估计法是依靠历史发生的数据资料以及专家的个人经验、对于工程项目的每一个可能出现的风险因素给出三种估计值，运用以下公式计算出确切的估计值的方法：

式中：是某工程项目风险第 i 个因素的估计；是某工程项目风险第 i 个因素最乐观的估计；是某工程项目风险第 i 个因素最悲观的估计；是某工程项目风险第 i 个因素最可能的估计。

第二节管理信息系统开发的风险分析 1、概率与数理统计法

6

4 iiii

bmaX

然后运用数理统计模型计算风险因素的方差、期望值、标准差和风险度等参数。

iX iaib

im

im

（ 2 ）概率分布法是通过对风险的概率分布的分析得到风险变化规律的方法。主要的概率分布有均匀分布、梯形分布、三角分布、伪正态分布等形式，其主要概率分布的形式和期望值、方差的计算如表 6.1 所示。

表６ .1几种概率分布形式的期望值和方差表


概率数理统计的方法计算简单、确切，但对于专家估计的客观性和权威性要求较高。

估计点两点三点四点

分布均匀分布伪正态分布三角分布梯形分布

图形

　 p　

0 a b ｘ

pp

0 a b x

p

0 a b x

p

0 a b x

期望值E(x)

1/2(a+b) 1/2(a+b) 1/3(a+b+c)1/3(a+b+c+d)+

(ac-bd)/(d+b-a-c)

方差D(x)

1/12(b-a)^2 1/36(b-a)^21/18(b-a)^21(c-a)(c-b)

1/[6(d+b-a-c)][(b+d)(b^2+d^2)-(a-c)(a^2+c^2)]-[E(x)]^2

它是基于对历史发生的事实或大量假定的数据进行反复实验，估计工程项目风险程度的方法。这种方法简单，能够借助计算机软件的快速运算，适用于包含随机变量较多的工程项目风险辨识的估计。

2、蒙特卡罗模拟法第二节管理信息系统开发的风险分析

除了以上方法以外，还有很多的风险估计的方法，如外推法、数字仿真法、逻辑树法和敏感性分析法等。这些方法各有各自的特点，需要根据具体情况灵活运用。

风险的评价是对各种风险要素发生的概率以及对后果产生的影响进行的分析、比较、论证、选出最优方案的工作。也就是要回答各种风险因素的影响是什么？对待这些风险因素的方法是什么？最优的方案是什么？风险评价的方法很多，最常用的包括专家打分法、费用 -- 概率曲线法等。

三、风险的评价

第三节管理信息系统开发的风险管理一、系统的风险管理思想

系统的风险管理就是指贯穿于信息系统开发全过程的风险管理。信息系统开发过程的风险管理应该分为三个主要环节，如图 6.4 所示。

立项过程的风险管理

准备投标签订合同

开发过程的风险管理总结过程的风险管理

系统评价文件规范总系系系体统统统规分设实划析计施

图 6.4 信息系统风险管理的过程

（ 2 ）签订合同是经过合同的谈判最后签订合同文件的工作。这一工作应该根据对等的权力和义务的原则，力求分清责任，尽可能的增加一些有关保险的条款等，力争在项目开工前将风险发生的可能性考虑全面。

1 、立项过程的风险管理立项过程主要是指投标与签订合同二部分：

（ 1 ）投标是指从资格预审投标准备至递交投标文件的工作。投标是取得项目开发权的前提。这一阶段应在充分广泛地调查分析有关项目的法律、法规、政策、市场竞争对手以及自身的技术经济条件等信息资料的基础上，基本确定了各种可能预见的风险、风险因素及其后果的前提之后，再来决定投标的总报价，递交投标文件。

第三节管理信息系统开发的风险管理

这一过程的风险管理主要是指在信息系统开发过程的各阶段中，充分考虑各种人力、物力、资金、技术等资源投入时可能发生的风险因素，使其总投入控制在项目开发总成本之内。

2 、信息系统开发过程的风险管理

3 、信息系统开发过程结束的风险管理这一过程是指对某一信息系统开发风险管理工作的总结。这一总结应该将风险管理过程中风险辨识的风险因素清单、使用的技术方法以及实际风险控制的情况，详细整理为规范化的文件。以利于今后在其它项目的风险管理中借鉴，不断提高本公司的风险分析与管理水平。


风险管理包括建立健全职能管理的组织；确定风险管理的策略；风险管理的评价与反馈三项工作。

二、风险管理的内容

（一）建立健全管理组织是指将一个项目看做一个整体，在信息系统开发的整个生命周期中建立相应的风险管理部门。这里的风险管理部门根据项目的大小和需要，可以独立的组成，也可以由原项目管理部门兼做风险管理的工作。风险管理的组织负责制定具体的风险管理政策、步骤、目的以及责任。


（二）确定风险管理策略对风险分析做出的各种风险评价，制定出合适的管理方法。风险管理策略分为两大类：一类是采取旨在避免或降低风险发生的可能以及造成危害的策略，也称作风险控制策略；一类是采取旨在弥补风险可能产生的损失的策略，也称为风险融通策略。具体的风险管理策略有以下四种方法。

（二）、确定风险管理策略1 、风险的回避风险的回避是指充分利用合同的条款而回避减少风险的方法。它一般包括采取增设保险的条款；选择合适的外汇计价结算方式和减少予付、垫付资金数额等策略。


2 、风险的分散与转移这是一种将风险向其它部门分散、转移而减少项目风险的方法。风险转移的方向有以下两个方面。向保险公司投保转移风险这是将一部分不可抗拒的特殊风险，（如战争、自然灾害、意外事故等造成的风险）通过投保转移给保险公司来承担的方法。如人身事故险、机械安全险、货物运输险、以及战争保险等。这种方法虽然要支付一定的保险费用，但相对于风险损失而言要小得多，况且保险费用是可以计入工程项目成本的。

在是否参加保险的决策时，可以引入生存风险度的概念：

致命损失失决策可能带来的最大损

生存风险度 SD

式中决策可能带来的损失有两种可能：一种是当前决策投保时，所支付保险费的损失；一种是指致命损失（投保的资产金额）。当生存风险度 SD<<1 时就应该投保，所以对一些工程项目资产较大，且存在风险的因素应该通过投保向保险公司转移风险。

第三节管理信息系统开发的风险管理2 、风险的分散与转移

向子项分包商转移风险这是指在签订子项目分包合同时，要求分包商接受合同文件中的各项条件，使得分包商分担风险的方法。这是一种国际承包商常用的风险转移的方法，一般在国际通用的分包合同范本中有明确的规定，分包商也是能够接受的。

3 、风险损失的控制风险损失的控制是指通过工程项目内部的经营与管理对风险的控制而达到减少经济损失的方法。这种方法包括控制成本和提出索赔两个方面：


（ 1 ）控制成本。这是指将信息系统开发的各项费用控制在总成本计划中。这里首先要制定成本计划，要为不可预见的风险因素留有余地，在投标定价中应该考虑增加一定比例的风险费，在国内称为不可预见费或应急费；其次是加强信息系统开发过程中的成本管理，经常统计、考核成本指标，密切注意并反馈风险发生发展的征兆，以便采取必要的控制措施。（ 2 ）提出索赔这是指根据合同条款向工程项目的所有权单位，保险公司和子项目承包商要求经济赔偿的方式。

是指对风险管理过程中的协调与监督工作。这项工作是动态反馈的过程，每一个过程的结论都可能向前一过程反馈，以便协调整体的风险管理效果。

第三节管理信息系统开发的风险管理4 、风险的投机与利用

在风险的管理过程中，管理者必须要充分的认识到风险分为两种类型：一种称为纯粹风险；一种称为可利用风险。纯粹风险是有害的风险。这种风险不是由项目开发者可以控制的，只能想办法尽量的减少，转换一部分风险。可利用风险也称为可投机风险。这种风险存在着有利和不利的两个方面，只要项目的开发者充分认识这种风险的可利用一面，及时准确地做好预测，并主动地创造索赔条件，就可以变不利为有利，使风险的因素成为赢利的来源。

（三）风险管理的评价

何谓风险？风险的特征是什么？风险分析的含义是什么？主要任务是什么？什么是风险辨识？按照风险来源的性质，风险可以分为哪几种类型？简述三点估计法的基本原理与应用。简述系统的风险管理思想含义是什么？简述风险管理的主要工作内容是什么？简述信息系统开发的风险管理的现实意义是什么？风险管理的策略有那些？利用投保转移风险应该注意那些问题？简述风险投机与利用策略的应用。

复习思考题六

第六章 管理信息系统开发的 风险分析与管理

Documents

第六章管理信息系统开发的风险分析与管理