信息系统项目风险管理论文

摘要：当前，我国IT产业虽然有了很大的进步，但是与发达国家相比还有很大的差距，信息系统项目的管理水平是其中的重要问题与差距之一。信息系统项目管理之中的风险管理会直接关系到项目建设的质量、进度等，因此，加强信息系统项目的风险管理是十分重要的。主要针对信息系统的风险管理问题展开论述。今天小编为大家精心挑选了关于《信息系统项目风险管理论文(精选3篇)》仅供参考，希望能够帮助到大家。

信息系统项目风险管理论文 篇1：

浅析信息系统开发的项目风险管理

【摘  要】近年来，信息技术不断创新，信息化正以更快的速度推进生产力的发展。作为信息化主体的计算机信息系统无论是内容、规模、深度和广度，还是技术、工具、业务和流程都在不断地发展和创新。信息系统项目开发的复杂程度也是与日俱增，风险管理变得愈加重要，项目风险管理在整个项目管理中起着至关重要的作用。基于此，论文针对风险管理在信息系统项目开发中的作用进行了研究，分析了信息系统开发的主要风险因素，并从信息系统项目管理的角度介绍了风险管理过程，包括风险管理规划、风险识别、风险分析、风险应对以及风险监测和控制。

【

【關键词】信息系统;风险;风险管理

【

1 风险、风险管理和项目风险管理

“风险”一词的由来，既有来源于古代渔民认为“风”给他们带来无法预测无法确定的危险的传说，也有风险（Risk）一词是舶来品，来自西班牙语、拉丁语或来源于意大利语的考据说法。当代意义上的风险之含义，已经远远超出了“遭遇危险”的狭义本义，“风险”概念越来越抽象化，并在复杂的人类活动中逐步深化，更被赋予了哲学、经济学、社会学、管理学等诸多领域的深层次的含义，越来越紧密地与决策、行为、后果等相联系起来。无论风险一词的含义如何变化，其基本的核心含义还是“未来结果出现收益或损失的不确定性”。在遭遇风险之时，采取适当措施降低损失的概率，或者采取及时而有效的防范措施，那么风险带来的就是机会和收益，正所谓高风险高收益高回报。

风险管理（Risk Management）是指如何在项目中识别和管理未被其他管理过程所管理的风险并把风险降至最低的管理过程。风险管理包括规划风险管理、风险识别、分析、应对和监控的过程，通过提高正面风险的概率和（或）影响，降低负面风险的概率和（或）影响，主动地、有目的地处理风险，从而提高项目成功的可能性。

项目的开发与实施是一个复杂的、创新的独特性工作，是一个存在许多变数和不确定性的过程，也是一个各式各样风险交织的过程。如果没有有效措施来管理、控制这些风险，项目就会遭受各种不同程度的损失。项目管理中比较重要的一项工作就是对风险性事件和问题的处理。为了减少和避免损失，化威胁为机会，就必须了解和掌握项目风险的来源、性质和发生规律，进而进行有效的管理。信息系统项目开发的风险主要是指受内外部环境及客观因素的影响，在项目实施的过程中存在较多的不可预见因素，使项目的最终结果与预期结果不符，给项目目标带来不利影响。如果不加防范，就会影响项目的顺利进行。项目风险管理需要防范这些风险和干扰因素，保障项目的最终实施，降低或减少损失，争取项目利益最大化。在风险管理过程中如何识别、分析、应对、控制和监督风险才能在项目管理中有目的地以可控的方式去冒项目风险，以便平衡风险与回报，并创造价值。对于项目开发风险管理的研究显得尤为重要。因此，在项目实施过程中，针对不同风险需要采取针对性的管理方法，合理地应用不同的风险应对措施、管理方法技术和手段，及时有效地跟踪和控制风险，尽可能最大化正面风险或影响带来的机会以及最小化负面风险或影响产生的损失。

2 信息系统开发的主要风险因素

2.1 需求风险

项目开发在确定需求时大多都面临着一些不确定性，包括：①没有清晰的产品认识，不能提出具体而明确的需求;②项目干系人在需求分析过程中参与不够;③在开发过程中需求不断发生变化;④缺乏有效的需求变更管理过程;⑤未对需求的变化进行深入分析或未开展分析等。在需求分析阶段，就要明确需求的依赖或前提条件，同时在需求中明确应该达到的标准，包括：功能需求、性能需求、安全需求等。如果在项目开发的进程中不能消除这些不确定性，不能很好地控制与需求相关的风险因素，就会产生不符合需求的产品。

2.2 技术风险

在信息技术飞速发展的同时还存在大量的不确定性因素，当前对这些不确定性的认识和控制的能力又非常有限。项目在技术上是否可行、成熟、合适，以及软件技术迭代升级迅速导致具备丰富经验的人员不足，都可能在实施过程中影响项目的成功。主要有下面这些风险因素：①选用的项目开发框架不合理，不利于扩展和更新升级;②对开发方法、开发工具和技术的理解不够;③在项目实施相关领域技术积累不足;④盲目热衷前沿的先进技术，引入新技术带来的应用风险等。

2.3 管理风险

信息系统项目的开发离不开有效的管理，管理风险也是涉及面最广的，包括进度风险、成本风险、沟通风险、质量风险等。计划执行偏差、项目经理及团队经验不足、变更控制不力等都可能造成项目失败。

3 信息系统开发的项目风险管理

要做好项目开发的风险管理，应从以下几个方面进行管理。

3.1 风险管理规划

风险管理规划是指决定如何进行项目风险管理活动的过程。以项目管理计划、项目章程等项目文件为规划依据，通过组织项目经理、项目团队成员以及其他干系人召开规划会议制订风险管理计划，并征求相关专家意见，对风险进行优先排序，形成风险管理计划。风险管理计划中描述了如何安排与实施具体的项目风险管理活动，其主要内容包括方法论、角色与职责、预算、时间安排、风险类别、风险概率和影响的定义，为后续风险管理工作提供纲领性文件。

3.2 风险识别

通过头脑风暴、访谈、SWOF分析等技术，形成包括已识别风险清单、潜在应对措施清单、风险类别等信息的风险登记册。由于在项目开发过程中会面临很多新的风险，风险识别是一个不断迭代的过程，迭代的频率和每次迭代所需参与者将随着项目的不同而变化。项目风险识别是贯穿于项目全生命周期的一项工作。主要目标是识别和确定项目有哪些风险，可能会影响项目的哪些方面等，风险特征有哪些。

3.3 风险分析

通过对识别的每项风险，评估风险发生的概率和影响及其他特征，对风险进行优先级排序，或对已识别的风险和不确定性的其他来源对项目目标的影响进行定量分析。同时更新风险登记册相关内容。

3.4 风险应对

根据风险分析的结果，对已识别的风险制定应对计划。对不同的风险，可采取不同的措施。开拓、分享、提高或者接受积极的风险，规避、减轻、转移或者接受消极的风险，同时准备应急计划、预留管理储备应对未知的风险。在上述对策中，风险规避是指改变项目目标和计划以排除风险或条件;减轻风险是指把不利的风险事件的概率或后果降低到一个可接受的范围;转移风险是将风险转移给第三方，以分担风险后果。接受风险是主动或被动地接受风险。同时设计一些应对措施用于某些特定事件。

3.5 风险监测和控制

通过对已识别出的风险的状态进行跟踪，运用风险再评估、风险审计、偏差和趋势分析、技术绩效测量等工具与技术，重新分析现有风险，監测残余风险，审查风险应对策略的实施并评估其效力，根据新识别出的风险进行分析并制定新的风险应对措施。实现更有效、更全面的风险监控。

4 结语

由于项目自身特性，无论项目进展到哪一阶段，都可能存在或大或小的风险。如果对风险不进行科学有效的管理，这些风险有可能导致项目偏离计划、无法达成既定的项目目标。项目风险管理的有效性直接关乎项目成功与否。有效的风险管理不是项目成功的充分条件，却是项目成功的必要条件。在风险管理过程中，需要我们及时而准确地对项目生命周期内的风险进行分析研究，制定出风险管理计划，将风险实施定性、定量分析，采取针对性的风险应对措施，全面监控风险，确保项目的进度、成本和质量，保障风险管理工作的顺利进行。

【参考文献】

【1】[美]项目管理协会.项目管理知识体系指南（PMBOK 指南）第六版[M].北京：电子工业出版社，2018.

【2】谭志斌.信息系统项目管理师教程（第3版）[M].北京：清华大学出版社，2017.

作者：高清阔 张永淼

信息系统项目风险管理论文 篇2：

浅谈信息系统项目的风险管理

摘要：当前，我国IT产业虽然有了很大的进步，但是与发达国家相比还有很大的差距，信息系统项目的管理水平是其中的重要问题与差距之一。信息系统项目管理之中的风险管理会直接关系到项目建设的质量、进度等，因此，加强信息系统项目的风险管理是十分重要的。主要针对信息系统的风险管理问题展开论述。

关键词：信息系统；风险识别；风险管理

进入二十一世纪后，我国IT产业得到迅速的发展，出现了各种各样的信息系统项目，伴随这些信息系统项目的建设，各行业的工作效率也有了很大的提高，进而推动了我国经济的发展。随之而来的是信息系统项目的风险管理问题，如何有效地应对信息系统项目的风险管理是一个不容忽视的问题。

1、信息系统项目的特点

1)成功标准的主观性。信息系统是一个人机系统，是一个比较复杂的系统形式，与其他项目相比，往往更难以确定成功的标准，无法找到一个简单而且客观的标准来衡量信息系统的成功与否，而且管理实践中信息系统的价值都会看其是否“好用”和有效，因此人们在评价相关的项目开发和实施效果时难免会存在一定的主观性。

2)客户需求变化较频繁。当今社会和组织机构处于一个激烈竞争和变化迅速的市场经济体系之中，人们对管理信息的需求也是不断变化不断增长的，因此，导致信息系统项目的组织结构以及管理功能会随着用户的需要不断进行调整。一方面人们不断调整组织结构以适应不断变化的信息市场；另一方面，信息技术也应适应组织结构的调整。由于这些潜在问题的影响，造成信息系统项目开发目标的可变性。

3)技术方法不够成熟。虽然我国信息技术在一定程度上得到了很大的提高，逐渐缩小与国外发达国家的差距，但是技术方法依然不够成熟。信息系统项目的开发需要一定的周期，但是很可能在开发出一项技术后，又有新的技术出现，因此，很难满足用户日益变化的需求。

2、信息系统项目的风险管理存在的问题

1)项目管理人才缺乏。当前，IT企业内部普遍缺乏项目管理人才，具有全面项目管理知识和丰富实践经验的项目经理更是匮乏。软件项目的项目经理，主要或者是将全部的精力都忙于具体的技术开发工作中，疏于各种项目管理任务，可能会导致项目控制问题的“积劳成疾”。另外，国内除极少数国际知名的IT公司外，多数IT企业没有设立项目管理部、质量管理部等组织机构，在服务功能、组织体系、技术管理体系、人才结构等方面不能满足信息工程总承包或大型软件项目开发的要求，在风险管理方面自然跟不上要求，导致许多项目以失败告终。

2)项目风险意识薄弱。由于当前市场竞争如此激烈，再加上市场的成熟度不足，很容易造成信息系统项目开发的恶性竞争风险。为了满足客户的需求，往往忽视必要的科学性分析以及评估，签订可能完不成的项目合同，这其中就存在很大的风险性。这些风险的存在与项目的风险意识薄弱有很大的关系。

3)风险识别以及风险处理手段落后。风险识别是信息系统项目风险管理的第一个环节，由于在信息系统项目开发的不同阶段都可能会遇到风险，也决定了风险识别不是一次性完成的任务，必须在项目进行过程中周期性的反复的完成。但是由于我国的风险管理理论以及方法与国外相比引进较晚，很多信息系统项目的管理者难以识别项目面临的真风险和假风险，对于已经潜伏的风险也缺乏前瞻性的推测和判断。项目风险处理的手段也较单一，风险管理的基础较弱，这都影响了信息系统项目的风险识别与管理。

3、信息系统项目的风险管理

信息系统项目的风险管理是项目管理人在风险识别、风险估计以及风险评估的基础上进行的。项目管理人应主动的采取行动，妥善处理风险事件，尽最大可能满足用户在项目实施后的信息需求。

1)风险管理计划的编制。凡事预则立，不预则废，风险管理计划的编制是开展信息系统风险管理的重要依据，在信息系统实施项目风险管理过程中发挥重要的指导作用。后续的风险识别、风险分析、风险处理、风险跟踪都需要建立在风险管理计划的基础上。风险管理应该由专门的小组或者人员负责，除了制定风险管理的政策、标准等之外，还需定义风险管理活动、风险级别、风险类型等内容，将这些信息明确的写入风险管理计划中。随着项目的不断推进，项目风险管理计划也要做出及时的调整，使其更完整、切实可行。

2)风险识别。风险识别是风险分析和跟踪的基础，是风险管理的第一步，主要是对项目实施过程中的不确定性因素、各种风险的来源以及风险之间的关系进行识别。风险识别的手段主要包括如下几方面：其一，从历史或者其它相似的信息系统实施中寻找线索；其二，对照风险的分类情况，找出该信息系统所具有的风险；其三，在信息系统项目风险管理计划上进行估计，对可能出现的风险进行分析，进而确定风险。风险识别的结果是一份风险列表，其中记录了项目中所发现的风险。

3)风险的分析。在对风险识别后，应进行相应的分析，分析风险存在以及发生的可能性以及可能造成的危害程度。经过分析后，再将风险进行排序，使信息系统项目的实施人员能够按照风险的轻重进行控制，既提高工作的效率，又能有效的规避风险。风险分析主要包括定性分析和定量分析。定性风险分析，主要是评估已经识别风险出现的概率以及可能造成的后果，并根据其影响程度进行排序。定量风险分析，是量化分析每一风险的概率及其对信息系统的目标造成的后果。

4)风险的处理。第一，规避风险。通过变更项目计划进而消除风险或者将产生风险的条件消除，避免风险对项目目标所带来的危害。比如，在信息系统项目的风险管理过程中，对于已经识别出的一部分技术风险，可以通过规避风险的方法来消除。第二，风险的转移。当风险发生时，可以通过转移风险的方式将风险转移给第三方，但是这种方法却不能消除风险，只是将风险有一方转移至另一方。这种方法适用于信息系统风险管理中对财产风险的管理。第三，风险的接受。当风险在其可承受范围内或者项目团队没有找到合适的解决方法时，可以采取直接应对风险的策略。第四，风险的减轻。针对风险事件的发生概率以及产生的后果采取一定的措施，将风险的负面影响降至最低。缓解风险的方法主要包括反复的论证、建立备份系统等。

5)风险的跟踪与监控。风险跟踪的目的是根据项目最新的情况修正风险列表中的数据。风险跟踪与监控部不仅是对已经识别出的风险的状态进行跟踪，还包括监控风险发生标志、更深入的分析已经识别出的风险、继续识别项目中新出现的风险、复审风险应对策略的执行情况和效果。在风险跟踪过程中，具体工作包含重新评估风险、过程审计、分析、风险跟踪与监控会议等。

参考文献：

[1]姚树春、郁春江、陈芝荣，论信息系统项目风险管理[J]，中国西部科技，2010(19)

[2]姜琛凯，项目风险管理与信息和决策[J]，山东省经济管理干部学院学报，2010(2)

[3]张子华，信息系统项目信息安全风险评估研究[J]，项目管理技术，2008(Zl)

作者：谢富熹

信息系统项目风险管理论文 篇3：

论信息系统项目的风险管理

[摘 要] 以某大型三级甲等医院医院信息系统升级项目的管理工作为例，介绍了该项目将该医院从局部网络化升级为全院信息网络化的过程，这其中包括了医院信息系统（HIS）和临床信息系统（CIS）的升级工作。由于该项目对系统的时效性、稳定性及易用性要求比较高等特点，在项目管理过程中，综合运用了项目管理知识，充分考虑风险管理的重要性，从编制风险管理计划、风险识别，到风险的定性分析与风险定量分析、制订风险应对计划、项目过程中加强了风险监控，规避、减弱了项目中可能出现的各种不利风险因素，最终成功的完成了项目，得到了用户方肯定与好评。

[关键词] 医院；信息管理；风险管理

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2015 . 21. 040

2009年7月，笔者参加了某大型三级甲等医院信息系统升级项目，在项目中任项目经理，该医院信息系统包括以处理人、财、物等信息为主的医院管理信息系统（HIS）和以面向临床管理，以病人为中心的临床信息系统（CIS）。院方决定对现有系统进行升级，项目采用公开招标方式，笔者所在的公司顺利中标，项目合同额3 000万元，其中软件费用1 200万元，硬件费用1 800万元。项目于当年7月份开始，要求在次年8月全面竣工，并投入使用。

该院原有HIS系统仅仅包括门诊、住院划价收费系统、药库药房发药系统等基本系统，这次通过升级将该院信息系统和各类医保中心连接，比如新型农村合作医疗、XX十城镇职工、居民医保，真正实现了各类医保病人在出院时实时报销。这次升级的CIS系统包括：医学影像系统（PACS），实现了医学图像进行存储、传输、检索、显示打印等功能；实验室信息系统（LIS），应用计算机网络技术，对临床实验室信息进行采集、存储、处理、传输、查询，并提供分析，诊断的能力；电子病历系统（EPR）实现将纸质病历中的各类信息都变为计算机能识别和理解的结构化数据予以输入、存储、处理、查询等功能。

对于这样一个规模大，周期长，团队结构复杂的项目，如何规避和减弱了项目的风险，下面主要从几个方面论述。

1 风险管理计划的编制

风险管理计划主要包括如何处理和控制风险的方法，因为该项目的投资规模比较大，项目干系人众多，所以采用风险核对表的方法来制订了项目的风险管理计划，并召开了针对性的会议，医院主要科室负责人和医院领导参加了此次会议，在会议上，将基于以前类比项目信息及其他相关信息编制的风险识别核对图标发给参会人员，通过头脑风暴法，制订了适合本医院的充分的风险管理计划。并定义了项目中的风险管理过程。

2 有效识别风险因素

风险识别就是要识别出哪些风险会对项目造成影响，形成风险分解结构。首先根据公司定义的《风险来源及分类表》确定项目的风险来源和分类。对项目来讲有许多风险来源，包括内部和外部的，而风险类别是对收集的风险进行分类。

技术风险：在HIS升级过程中，技术风险是最主要的一个风险因素。新系统采用的技术本身就是一个风险因素。通过新技术，旧系统中的数据能否全部成功嵌入新系统，新旧系统的转换、切换可能出现的风险，能否保证新系统正常使用等等。

需求风险：用户需求变更时引起信息系统化的重要因素，故需要必须对医院具体需求进行认真分析，以利于了解用户对新系统的需求，更好的预测需求风险。通过分析与评估用户的不同需求，当有效用户的需求发生变化时，可及时将用户可靠信息反馈上级，确保工期。

3 定性风险分析

在整个项目过程总，根据风险管理计划的定义，记录了每个风险发生的可能性，并且分析了这些风险对时间成本质量等各个方面的影响，包括正面和负面的影响，接着对风险的优先级进行排序，对那些优先级高的风险加以重点关注，为此，通过定期召开会议的方式，参会人员除医院相关人员，还邀请了相关领域的专家参加，以提高分析结果的准确性，对识别出的项目风险进行认真仔细的概率和影响分析，通过建立分析矩阵确定了各个风险的优先级，例如由于医院相关干系人众多，需求风险的优先级相对较高，并在《风险分析监控表》中记录了风险定性分析的结果。

4 定量风险分析

在对已知的风险进行定性分析后，还组织相关成员对这些风险进行了定量分析，采用决策树评估方法定量的分析了各风险对项目目标的影响，在整个过程中，采用了专家评估的方法，组织醒目核心团队成员对项目进行乐观、中性和悲观估计，并在《风险分析监控表》中记录了风险定量分析的结果。

5 制订风险应对计划

通过对风险的定性和定量分析，开始根据风险的优先级等制订了风险应对计划，并采取了回避、转移与减轻等策略。

（1）针对用户需求变更风险，采用了目标转换法，从医院领导到科室操作人员逐步调研，形成了《用户需求说明书》正式文档，并制定了需求变更流程，从而很好的控制了需求变更风险。

（2）针对数据交换技术风险，制订的应对措施是与用户方负责人沟通，明确数据交换接口对接的关键性，先行与用户方了解其实现原理，确认此项目数据交换需求的可实现性，再商定数据交换的实现方案及接口实施进度时间表，并约定了双方负责人每周沟通进度及问题确保数据交换接口顺利实施，避免因此接口问题造成整体进度滞后，系统无法按期上线的情况。

6 有效地对风险进行跟踪与控制

在经过以上五个过程后，又持续地对已经识别的风险进行了监控和应对，并且将不断识别的新的风险记录到《风险分析监控表》，在这个阶段采取的措施是，在项目的各个里程碑时，对项目的质量状态和风险情况进行及时总结并进行评估，使得项目组相关干系人对项目的风险情况有了整体认识，从而有效的规避和减弱了项目的风险。

以上是笔者在HIS和CIS和升级项目风险管理的一些体会和措施，通过本项目的风险管理，在实战中积累了经验，也为项目的成功奠定了基础，在以后的工作中，要加强各相关方利益的权衡，继续深化沟通，努力提高项目管理水平，才能更好地完成项目管理工作。

作者：冯彦如