风险分解结构是基于风险源的集合,它可以充分反映风险的层次性,有效表示风险的结构,确保找出项目所面临的所有风险要素,有助于风险管理人员全面理解项目面临的风险并指导风险管理过程。
1、IT风险的分类
IT项目本身是一个复杂的系统,引起风险的因素很多,风险因素之间的关系错综复杂,而且其中很多风险并不都是显露在外的,不加识别或者错误识别风险,不仅难以管理风险,而且还会造成难以预料的损失。因此必须从系统的观点对风险进行有效的识别。
因此,我们采用风险分解结构法来识别IT风险。风险分解结构是基于风险源的集合,它可以充分反映风险的层次性,有效表示风险的结构,确保找出项目所面临的所有风险要素,有助于风险管理人员全面理解项目面临的风险并指导风险管理过程。
建立风险分解结构关键的一步是确定分解层次,多数情况下,第一层是项目总体风险,第二层是前面所确定的主要风险要素,下一层对主要风险要素的进一步细分。如下图所示:
由上图可知,IT风险来源可以从项目过程发现。在项目的全生命周期中,项目启动、制定计划、范围定义、资源预算、人员组织、进度控制、项目状态、项目的协调和管理以及信息系统的运行阶段都会产生风险。
IT风险来源也可以从项目内容来看风险可能来自资金投入、人力资源、时间和进度、应用软件和技术等各个方面。 另外一种风险来源依据风险出现在项目内或项目以外,分为内部风险和外部风险。项目的外部风险主要是指项目的政治、经济环境的变化,包括与项目相关的规章或标准的变化,组织中雇佣关系的变化,如公司并购、自然灾害等,这类风险对项目的影响和项目性质的关系较大。