摘要：風險管理在軟件項目管理中十分重要，但常常被忽視，這與組織對風險管理的認識不足有很大關系。介紹了風險管理的經(jīng)典理論，比較了幾種主流的風險管理策略和模型。還根據(jù)MIS系統(tǒng)的特點，在分析兩個主流的風險管理方法的基礎上，提出系統(tǒng)風險管理的優(yōu)化MIS和集成思路。

　　關鍵詞：風險；風險管理；CRM模型；SERIM模型

　　近幾年來軟件開發(fā)技術(shù)、工具都有了很大的進步，但是軟件項目開發(fā)超時、超支、甚至不能滿足用戶需求而根本沒有得到實際使用的情況仍然比比皆是。軟件項目開發(fā)和管理中一直存在著種種不確定性，嚴重影響著項目的順利完成和提交。但這些軟件風險并未得到充分的重視和系統(tǒng)的研究。直到20世紀80年代，Boehm比較詳細地對軟件開發(fā)中的風險進行了論述，并提出軟件風險管理的方法。Boehm認為，軟件風險管理指的是“試圖以一種可行的原則和實踐，規(guī)范化地控制影響項目成功的風險”，其目的是“辨識、描述和消除風險因素，以免它們威脅軟件的成功運作”。

　　在此基礎上，業(yè)界對軟件風險管理的研究開始慢慢豐富起來，理論上對風險進行了一些分類，提出了風險管理的思路;實踐上也出現(xiàn)了一些定量管理風險的方法和風險管理的軟件工具。雖然業(yè)界對風險管理表現(xiàn)了極大的興趣，作出了不少努力，但似乎很少開發(fā)項目的組織真正積極地在軟件開發(fā)過程中使用風險管理的方法。1995年IWSED會議作出的調(diào)查顯示：風險管理技術(shù)沒有得到廣泛應用的原因并不是大家不相信這種技術(shù)的實效性，而是對風險管理的技術(shù)和實踐缺乏了解。因此，我們認為很有必要對風險管理進行研究，并將其應用于現(xiàn)在廣泛使用但失敗率較高的MIS系統(tǒng)開發(fā)中。

　　1　經(jīng)典風險管理理論

　　(1)BarryBoehm的模型

　　Boehm用公式RE=P(UO)*L(UO)對風險進行定義，其中RE表示風險或者風險所造成的影響，P(UO)表示令人不滿意的結(jié)果所發(fā)生的概率，L(UO)表示糟糕的結(jié)果會產(chǎn)生的破壞性的程度。在風險管理步驟上，Boehm基本沿襲了傳統(tǒng)的項目風險管理理論，指出風險管理由風險評估和風險控制兩大部分組成，風險評估又可分為識別、分析、設置優(yōu)先級個子步驟，風險控制則包括制定管理計劃、解決和監(jiān)督風險3步。

　　Boehm思想的核心是10大風險因素列表，其中包括人員短缺、不合理的進度安排和預算、不斷的需求變動等。針對每個風險因素，Boehm都給出了一系列的風險管理策略。在實際操作時，以10大風險列表為依據(jù)，總結(jié)當前項目具體的風險因素，評估后進行計劃和實施，在下一次定期召開的會議上再對這10大風險因素的解決情況進行總結(jié)，產(chǎn)生新的10大風險因素表，依此類推。

　　10大風險列表的思想可以將管理層的注意力有效地集中在高風險、高權(quán)重、嚴重影響項目成功的關鍵因素上，而不需要考慮眾多的低優(yōu)先級的細節(jié)問題。而且，這個列表是通過對美國幾個大型航空或國防系統(tǒng)軟件項目的深入調(diào)查，編輯整理而成的，因此有一定的普遍性實際性。但是它只是基于對風險因素集合的歸納，尚未有文章論述其具體的理論基礎、原始數(shù)據(jù)及其歸納方法。另外，Boehm也沒有清晰明確地說明風險管理模型到底要捕獲哪些軟件風險的特殊方面，因為列舉的風險因素會隨著多個風險管理方法而變動，同時也互相影響。這就意味著風險列表需要改進和擴充，管理步驟也需要優(yōu)化。

　　雖然其理論存在一些不足，但Boehm畢竟可以說是軟件項目風險管理的開山鼻祖。在其之后，更多的組織和個人開始了對風險管理的研究，軟件項目風險管理的重要性日益得到認同。

　　SEI(SoftwareEngineeringInstitution)作為世界上著名的旨在改善軟件工程管理實踐的組織，也對風險管理投入了大量的熱情。SEI提出了持續(xù)風險管理管理模型CRM(Con-tinuousRiskManagement)。

　　(2)SEI的CRM模型

　　SEI的風險管理原則是：不斷地評估可能造成惡劣后果的因素；決定最迫切需要處理的風險;實現(xiàn)控制風險的策略；評測并確保風險策略實施的有效性。

　　CRM模型要求在項目生命期的所有階段都關注風險識別和管理，它將風險管理劃分為5個步驟：風險識別、分析、計劃、跟蹤、控制。圖1所示的框架顯示了應用CRM的基礎活動及其之間的交互關系，強調(diào)了這是一個在項目開發(fā)過程中反復持續(xù)進行的活動序列。每個風險因素一般都需要按順序經(jīng)過這些活動，但是對不同風險因素開展的不同活動可以是并發(fā)的或者交替的。

　　圖1中的箭頭標識了信息的邏輯流，而溝通則是信息流的核心和手段。其中，風險識別依靠問卷完成，問卷覆蓋了大概200個問題，一共涉及13個主要領域。風險分析側(cè)重于理解每個風險在該項目中的發(fā)生幾率和后果嚴重性，從而產(chǎn)生最嚴重的10大風險問題。風險計劃是將如下內(nèi)容文檔化：風險管理步驟的描述、負責人及其職責、行為執(zhí)行和完結(jié)的時間，并且確定風險處理的優(yōu)先級，制定整體的管理計劃。風險跟蹤是獲取、整理并匯報10大風險問題當前的狀態(tài)，其目的是收集精確的、及時的和相關的信息，并將它們表達成容易理解的方式提交給負責人。風險控制是為了根據(jù)風險及其緩解計劃進行及時而有效的決策，具體操作包括分析風險跟蹤階段產(chǎn)生的風險狀態(tài)信息，明確地決定采取什么行動，并實現(xiàn)它們。而處于核心地位的溝通則強調(diào)其有效性和針對性，要注意將合適的信息傳達給合適的組織層次以得到最有效的分析和管理，這些層次包括開發(fā)方和用戶方雙方的組織結(jié)構(gòu)。

　　SEI和Boehm的模型都以風險管理的過程為主體，研究每個步驟所需的參考信息及其操作。而Aalborg大學提出的思路則是以Leavitt模型為基礎，著重從導致軟件開發(fā)風險的不同角度出發(fā)探討風險管理。

　　(3)基于Leavitt模型的風險管理

　　1964年提出的Leavitt模型將形成各種系統(tǒng)的組織劃分為4個有趣的組成部分：任務、結(jié)構(gòu)、角色和技術(shù)。這4個組成部分和軟件開發(fā)的各因素很好地對應起來：角色覆蓋了所有的項目參與者，例如軟件用戶、項目經(jīng)理和設計人員等;結(jié)構(gòu)表示項目組織和其他制度上的安排;技術(shù)則包括開發(fā)工具、方法、硬件軟件平臺;任務描述了項目的目標和預期結(jié)果。Leavitt 模型的關鍵思路是：模型的各個組成部分是密切相關的，一個組成部分的變化會影響其他的組成部分，如果一個組成部分的狀態(tài)和其他的狀態(tài)不一致，就會造成比較嚴重的后果，并可能降低整個系統(tǒng)的性能。

　　將這個模型和軟件風險的概念相對應，即一個系統(tǒng)開發(fā)過程中任何Leavit組成成分的修改都會產(chǎn)生一些問題，甚至導致軟件修改的失敗。根據(jù)Leavitt模型，任何導致風險發(fā)生的因素都可以歸結(jié)為模型中的組成部分，例如技術(shù)及其可行性;或者歸結(jié)為組成部分之間的聯(lián)系，例如程序開發(fā)人員使用某一技術(shù)的能力。因此，使用Leavitt4模型從個方面分別識別和分析軟件項目的風險是極有條理性和比較全面的。在進行軟件項目管理時，可以采用不同的方法對不同的方面進行風險管理。Leavitt模型實際上是提出一個框架，可以更加廣泛和系統(tǒng)地將軟件風險的相關信息組織起來。Leavitt理論的設計方法和實現(xiàn)研究已經(jīng)廣泛應用于信息系統(tǒng)中，它所考慮的都是軟件風險管理中十分重要的環(huán)節(jié)，而且簡單、定義良好、適用于分析風險管理步驟。

　　2　MIS項目風險管理采用的策略

　　以上介紹的3種經(jīng)典方法都從不同角度或者細化層次對風險管理進行了研究。由于研究組織的背景和思維差異，不同的模型都有各自的針對性、側(cè)重點和優(yōu)缺點，很難說孰優(yōu)孰劣。在進行MIS項目風險管理中，我們選擇了操作性比較強的Riskit方法和SERIM方法作為基礎模型，吸納兩者的核心思想和方法。

　　(1)Riskit方法

　　Riskit方法是由Maryland大學提出的，旨在對風險的起因、觸發(fā)事件及其影響等進行完整的體現(xiàn)和管理，并使用合理的步驟評估風險。該方法使用圖形形式化的方法支持在定量分析前進行風險情景的定性分析，其評估方法可以基于歷史數(shù)據(jù)或者對當前項目的預測。