顧大雙

(西安財(cái)經(jīng)大學(xué)管理學(xué)院，陜西 西安 710100)

0 引言

由于信息通信等技術(shù)更新迭代快、需求多、業(yè)務(wù)流程復(fù)雜，企業(yè)信息化項(xiàng)目相較傳統(tǒng)工程建設(shè)項(xiàng)目有著顯著區(qū)別[1]，因而在其風(fēng)險管理過程中不能完全沿用傳統(tǒng)管理方法。目前，信息化項(xiàng)目風(fēng)險管理研究大多都集中于外包風(fēng)險管理及項(xiàng)目各環(huán)節(jié)風(fēng)險的識別與評價，并未涉及項(xiàng)目風(fēng)險源頭及風(fēng)險與各環(huán)節(jié)的作用關(guān)系等方面。因此，從電網(wǎng)企業(yè)信息化項(xiàng)目風(fēng)險管理的關(guān)鍵要素出發(fā)，構(gòu)建風(fēng)險管理模型，為提出更加科學(xué)可行的風(fēng)險管控措施奠定基礎(chǔ)。

1 電網(wǎng)企業(yè)信息化項(xiàng)目風(fēng)險管理模型

電網(wǎng)企業(yè)信息化項(xiàng)目是指企業(yè)從信息化發(fā)展需求出發(fā)，采用先進(jìn)的計(jì)算機(jī)技術(shù)，建設(shè)基于信息及通信網(wǎng)絡(luò)實(shí)現(xiàn)電網(wǎng)企業(yè)數(shù)字化轉(zhuǎn)型的工程建設(shè)項(xiàng)目。電網(wǎng)企業(yè)信息化項(xiàng)目時效要求高，建設(shè)周期長，需求與期望易變更，外部制約條件多，對項(xiàng)目的風(fēng)險管控要求較高[2]。因而結(jié)合電網(wǎng)企業(yè)及其信息化項(xiàng)目的特點(diǎn)，以Charette模型為基礎(chǔ)，融合Barry Boehm模型的相關(guān)理念[3]，構(gòu)建電網(wǎng)企業(yè)信息化項(xiàng)目的風(fēng)險管理模型。首先根據(jù)電網(wǎng)企業(yè)信息化項(xiàng)目風(fēng)險管理的特點(diǎn)梳理出風(fēng)險管理的三個關(guān)鍵要素，即項(xiàng)目干系人、重要活動過程、風(fēng)險域，并分析三者的相互作用，進(jìn)而輸出風(fēng)險管理模型的指標(biāo)，應(yīng)用風(fēng)險分級策略[4]和分層權(quán)重法[1]對項(xiàng)目風(fēng)險因子和項(xiàng)目本身的綜合風(fēng)險進(jìn)行量化分析。

2 風(fēng)險管理的關(guān)鍵要素因子

2.1 項(xiàng)目干系人

項(xiàng)目干系人大致可分為甲方、乙方和第三方，各自在項(xiàng)目風(fēng)險管理過程中扮演著不同的角色，所關(guān)注的重點(diǎn)也不盡相同。

1) 甲方業(yè)務(wù)部門，是電網(wǎng)企業(yè)信息化項(xiàng)目的業(yè)務(wù)部門(業(yè)務(wù)功能需求者)，也是項(xiàng)目的發(fā)起者。業(yè)務(wù)部門高層擁有對項(xiàng)目業(yè)務(wù)的管轄權(quán)，決定著項(xiàng)目的發(fā)展方向。業(yè)務(wù)部門主要關(guān)注的是項(xiàng)目效益、關(guān)鍵成果、對企業(yè)的長遠(yuǎn)影響、成本投入等。

2) 甲方技術(shù)部門，負(fù)責(zé)提供電網(wǎng)專業(yè)方面的技術(shù)支持以及與在運(yùn)系統(tǒng)的融合技術(shù)，主要關(guān)注的是使用技術(shù)是否符合相關(guān)標(biāo)準(zhǔn)，各項(xiàng)功能參數(shù)是否準(zhǔn)確無誤，新建項(xiàng)目投運(yùn)后與原有系統(tǒng)是否兼容等。

3) 甲方管理部門，是甲方對項(xiàng)目的管理機(jī)構(gòu)，主要關(guān)注的是保障項(xiàng)目是否能夠按質(zhì)、按時、按量地完成，以及時間、成本、質(zhì)量目標(biāo)等。

4) 乙方管理部門，是乙方的領(lǐng)導(dǎo)群體，是項(xiàng)目的組織管理、分配資源的決策機(jī)構(gòu)，主要任務(wù)是控制項(xiàng)目各項(xiàng)指標(biāo)的執(zhí)行。

5) 乙方項(xiàng)目實(shí)施部門，是項(xiàng)目現(xiàn)場的實(shí)施者和管理者，負(fù)責(zé)制定項(xiàng)目實(shí)施計(jì)劃，按要求完成項(xiàng)目的部署，并及時向甲方匯報項(xiàng)目情況，保障項(xiàng)目順利完成并通過驗(yàn)收。

6) 乙方開發(fā)部門，是負(fù)責(zé)項(xiàng)目研發(fā)的主體部門，按甲方要求確定開發(fā)技術(shù)路線，并完成項(xiàng)目產(chǎn)品的開發(fā)，保障產(chǎn)品的功能質(zhì)量。

7) 第三方行政單位，是項(xiàng)目建設(shè)方的上級行政管理單位，其工作是監(jiān)督保障項(xiàng)目合規(guī)、合法。

8) 第三方項(xiàng)目管理單位，負(fù)責(zé)對項(xiàng)目各階段工作實(shí)施管理，保障項(xiàng)目的全過程能夠可控、可靠，并對乙方的項(xiàng)目實(shí)施過程進(jìn)行評級打分。

9) 第三方測評機(jī)構(gòu)，負(fù)責(zé)按照國家相關(guān)標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)對其產(chǎn)品進(jìn)行安全測評，并給出評價報告和評價依據(jù)。

10) 第三方供應(yīng)商，負(fù)責(zé)根據(jù)項(xiàng)目需求向乙方(采購方)提供硬件產(chǎn)品。

2.2 重要活動過程

電網(wǎng)信息化項(xiàng)目除具備一般建設(shè)工程項(xiàng)目的特點(diǎn)外，還具備IT項(xiàng)目的部分特點(diǎn)，可將電網(wǎng)信息化項(xiàng)目分為項(xiàng)目需求調(diào)研、可行性研究、項(xiàng)目立項(xiàng)、項(xiàng)目計(jì)劃、項(xiàng)目部署實(shí)施等階段。部署階段可根據(jù)項(xiàng)目特點(diǎn)繼續(xù)劃分為硬件部署、系統(tǒng)環(huán)境搭建、軟件開發(fā)、軟件部署、聯(lián)調(diào)測試、項(xiàng)目驗(yàn)收與交付等模塊。上述過程的執(zhí)行可參照項(xiàng)目實(shí)施方案、工作組織方案、電網(wǎng)行業(yè)相關(guān)管理規(guī)范等。

2.3 風(fēng)險域

從管理學(xué)的項(xiàng)目管理領(lǐng)域出發(fā)，結(jié)合電網(wǎng)信息化項(xiàng)目的特點(diǎn)，可從安全、質(zhì)量、溝通、成本、進(jìn)度等維度對信息化項(xiàng)目的風(fēng)險管理進(jìn)行風(fēng)險域劃分。安全風(fēng)險主要涉及系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、保密安全等；質(zhì)量風(fēng)險主要涉及硬件設(shè)備質(zhì)量和系統(tǒng)功能質(zhì)量；溝通風(fēng)險主要涉及合同文本、實(shí)施手冊、技術(shù)手冊、培訓(xùn)手冊等方面；成本風(fēng)險主要涉及硬件成本、軟件成本、技術(shù)咨詢成本等方面；進(jìn)度風(fēng)險主要涉及項(xiàng)目調(diào)研進(jìn)度、開發(fā)進(jìn)度、采購進(jìn)度、現(xiàn)場實(shí)施進(jìn)度等方面。

2.4 要素間的關(guān)系分析

2.4.1 項(xiàng)目干系人與重要活動過程要素分析

從項(xiàng)目干系人與重要活動過程兩個要素進(jìn)行分析，結(jié)合干系人在項(xiàng)目各個階段的參與程度以及各單位所關(guān)注的重點(diǎn)，對二者的作用關(guān)系分析如下。

1) 甲方業(yè)務(wù)部門，負(fù)責(zé)實(shí)施方案的審查工作，確保方案達(dá)到項(xiàng)目設(shè)定目標(biāo)。

2) 甲方技術(shù)部門，負(fù)責(zé)現(xiàn)場技術(shù)交底，保障產(chǎn)品具有先進(jìn)、高兼容、可升級和易維護(hù)等特性。

3) 甲方管理部門，負(fù)責(zé)工作實(shí)施的規(guī)范性、監(jiān)控實(shí)施進(jìn)度檢查，確保進(jìn)度、成本、方法、質(zhì)量均滿足項(xiàng)目要求。

4) 乙方開發(fā)部門，負(fù)責(zé)相關(guān)軟件開發(fā)，確保在滿足招標(biāo)文件相關(guān)要求下實(shí)現(xiàn)利潤最大化。

5) 乙方實(shí)施部門，負(fù)責(zé)相關(guān)軟件的部署實(shí)施，確保按時、按質(zhì)、按量完成項(xiàng)目的功能部署。

6) 第三方測評機(jī)構(gòu)，負(fù)責(zé)系統(tǒng)軟件的規(guī)范性審查，確保符合相關(guān)規(guī)范。

2.4.2 干系人與風(fēng)險域分析

從項(xiàng)目干系人與風(fēng)險域兩個要素分析，干系人所處風(fēng)險領(lǐng)域不同，所發(fā)揮的作用也不同，兩者相互影響并直接影響著項(xiàng)目風(fēng)險管理的最終成效。

1) 甲方業(yè)務(wù)部門決定項(xiàng)目的實(shí)施范圍，其對于系統(tǒng)安全的影響程度較大。

2) 甲方技術(shù)部門決定項(xiàng)目實(shí)施的主要技術(shù)路線，其對于系統(tǒng)安全的影響程度中等。

3) 乙方開發(fā)部門決定軟件的架構(gòu)和開發(fā)流程，其對于系統(tǒng)安全的影響程度較大。

4) 乙方實(shí)施部門決定項(xiàng)目實(shí)施的流程，其對于系統(tǒng)安全的影響程度較大。

5) 行政單位負(fù)責(zé)第三方監(jiān)督管理，其對于系統(tǒng)安全的影響程度中等。

2.4.3 重要活動過程與風(fēng)險域分析

從重要活動過程與風(fēng)險域兩個要素分析，不同階段可能面臨的風(fēng)險有所差別，項(xiàng)目活動過程和風(fēng)險域之間互相交叉影響。

1) 軟件開發(fā)過程面臨開發(fā)數(shù)據(jù)被竊取、篡改、涉密數(shù)據(jù)未加密等風(fēng)險，代碼存在漏洞的質(zhì)量風(fēng)險，開發(fā)成本超支風(fēng)險，開發(fā)進(jìn)度滯后風(fēng)險等。

2) 軟件部署過程面臨系統(tǒng)功能未達(dá)預(yù)期效果的治理風(fēng)險，違反網(wǎng)絡(luò)建網(wǎng)規(guī)范、系統(tǒng)網(wǎng)絡(luò)邊界不清晰的網(wǎng)絡(luò)風(fēng)險，實(shí)施進(jìn)度滯后風(fēng)險等。

3 風(fēng)險管理模型構(gòu)建

3.1 風(fēng)險管理模型指標(biāo)輸出

結(jié)合風(fēng)險管理三要素間的關(guān)系及電網(wǎng)信息化項(xiàng)目特點(diǎn)，總結(jié)出項(xiàng)目風(fēng)險決策指標(biāo)示例(見表1)。

表1 綜合模型的輸出指標(biāo)示例

3.2 風(fēng)險管理模型構(gòu)建

信息化項(xiàng)目的管理團(tuán)隊(duì)中應(yīng)設(shè)有風(fēng)險管理人員實(shí)時監(jiān)控項(xiàng)目的風(fēng)險情況，并使用定量分析法對其進(jìn)行評估；采用專家會議法根據(jù)風(fēng)險影響后果對相關(guān)風(fēng)險因子設(shè)置風(fēng)險閾值，并根據(jù)不同閾值將風(fēng)險管理等級分為A、B、C三級，其中后果嚴(yán)重需要引起重視的為A級風(fēng)險，影響較大需要考慮解決的為B級風(fēng)險，影響較小可適當(dāng)給予關(guān)注的為C級風(fēng)險。以數(shù)據(jù)泄密、需求溢出和性能缺陷為例，對風(fēng)險發(fā)生的概率及影響后果進(jìn)行量化評估(見表2)。

表2 風(fēng)險因子的量化示例

其中，工期延誤率Tn=延誤天數(shù)/總工期，費(fèi)用損失率Cn=損失費(fèi)用/總成本，成本進(jìn)度綜合值In=Tn+Cn。引入分層權(quán)重法[5]，對各個風(fēng)險因子進(jìn)行全局評估，最終得出項(xiàng)目的綜合風(fēng)險值。

式中：an為風(fēng)險因子的權(quán)重系數(shù)，a1+a2+…+an=1；an為風(fēng)險子項(xiàng)發(fā)生的概率；In為風(fēng)險發(fā)生后的時間(Tn)和成本(Cn)的綜合影響結(jié)果。

4 風(fēng)險管理案例實(shí)踐

4.1 實(shí)踐項(xiàng)目內(nèi)容

以某企業(yè)的共享數(shù)據(jù)平臺建設(shè)項(xiàng)目為例，對其項(xiàng)目的風(fēng)險管理工作進(jìn)行研究。該項(xiàng)目的主要內(nèi)容包含：基于標(biāo)準(zhǔn)模型的運(yùn)監(jiān)業(yè)務(wù)數(shù)據(jù)建模；基于標(biāo)準(zhǔn)模型實(shí)現(xiàn)數(shù)據(jù)的標(biāo)準(zhǔn)化傳輸與校驗(yàn)；對各業(yè)務(wù)系統(tǒng)數(shù)據(jù)質(zhì)量的檢測與治理；采用多種方式實(shí)現(xiàn)基于標(biāo)準(zhǔn)模型的共享數(shù)據(jù)存儲；采用可視化靈活配置的數(shù)據(jù)服務(wù)定義工具和數(shù)據(jù)應(yīng)用視圖，支持企業(yè)相關(guān)業(yè)務(wù)的數(shù)據(jù)統(tǒng)計(jì)、挖掘與預(yù)測。

4.2 分析對象

實(shí)踐項(xiàng)目的風(fēng)險會在系統(tǒng)聯(lián)調(diào)與產(chǎn)品交付階段體現(xiàn)，故選取項(xiàng)目系統(tǒng)聯(lián)調(diào)與產(chǎn)品交付階段的風(fēng)險進(jìn)行分析。該階段的工作可分為單系統(tǒng)功能演示、單系統(tǒng)安全測試、多系統(tǒng)聯(lián)調(diào)、多系統(tǒng)性能聯(lián)調(diào)測試、系統(tǒng)整體安全測試等，以保障系統(tǒng)的安全、可靠和穩(wěn)定的運(yùn)行。

4.3 綜合性風(fēng)險管理模型應(yīng)用

案例分析中，項(xiàng)目設(shè)置了風(fēng)險管理專員，實(shí)時監(jiān)控項(xiàng)目風(fēng)險情況。結(jié)合上述風(fēng)險管理因素所建模型，采用專家打分法對分析對象的風(fēng)險項(xiàng)進(jìn)行評估，構(gòu)建項(xiàng)目檢測與交付風(fēng)險評估項(xiàng)(見表3)，其中風(fēng)險影響后果用模型中成本與進(jìn)度的綜合值In進(jìn)行量化，表現(xiàn)為成本損失率與進(jìn)度延誤率的和。

表3 項(xiàng)目檢測與交付風(fēng)險項(xiàng)評估項(xiàng)

4.4 風(fēng)險項(xiàng)量化分析

依據(jù)上述模型產(chǎn)生的項(xiàng)目風(fēng)險評估清單，結(jié)合案例項(xiàng)目實(shí)際情況，對項(xiàng)目風(fēng)險因子和綜合風(fēng)險進(jìn)行量化分析(見表4)。

表4 項(xiàng)目檢測與交付風(fēng)險量化分析

由上述方法分析得出實(shí)踐案例項(xiàng)目風(fēng)險管理等級與實(shí)際風(fēng)險發(fā)生情況相符，且可將風(fēng)險細(xì)化到項(xiàng)目干系人與項(xiàng)目各實(shí)施階段中，精準(zhǔn)落實(shí)到各風(fēng)險的責(zé)任單位。

4.5 風(fēng)險處理措施

電網(wǎng)企業(yè)信息化項(xiàng)目與IT項(xiàng)目具有又一定的相似之處，在施工完成后經(jīng)過驗(yàn)收即可交付使用[5]。因此，為保證系統(tǒng)交付后能夠安全、可靠運(yùn)行，在交付前會有較長一段時間的測試工作，且涉及到的項(xiàng)目干系人和風(fēng)險域應(yīng)盡可能與系統(tǒng)正式運(yùn)行的情況相符。在測試期間，會將系統(tǒng)的訪問權(quán)限對相關(guān)人員開放，但同時該舉措會對未正式交付的產(chǎn)品系統(tǒng)產(chǎn)生較大的自生風(fēng)險。為此，在此階段，應(yīng)設(shè)置嚴(yán)密的篩查技術(shù)手段和用戶訪問權(quán)限，對網(wǎng)絡(luò)、系統(tǒng)等層面的安全日志進(jìn)行收集與分析，加強(qiáng)系統(tǒng)的日常監(jiān)測[6]，并設(shè)置專職技術(shù)人員駐場，以便及時處理相關(guān)問題，提升風(fēng)險應(yīng)急反應(yīng)速度。

5 結(jié)束語

通過電網(wǎng)信息化項(xiàng)目風(fēng)險管理模型的構(gòu)建，以及對項(xiàng)目風(fēng)險因子及項(xiàng)目本身風(fēng)險進(jìn)行的量化分析研究可知，在梳理出項(xiàng)目風(fēng)險因子關(guān)系后，對其風(fēng)險的分析和評價會更加準(zhǔn)確，在此基礎(chǔ)上細(xì)化風(fēng)險管理要素，結(jié)合項(xiàng)目實(shí)際可制定出項(xiàng)目風(fēng)險的應(yīng)對策略和解決方案。該信息化項(xiàng)目風(fēng)險管理模型與其他IT類項(xiàng)目具有一定的相似性，因此其風(fēng)險管理體系可為其他IT項(xiàng)目的風(fēng)險管理提供參考。