控制風險一直是IT項目管理過程中最關鍵的環節之一。本文以中培偉業《IT項目管理最佳實踐》學員龔經理為項目經理所主持的某市公安內控管理審計系統建設項目為例，論述了風險管理在項目管理中的重要性。風險管理主要包括風險管計劃編，風險識別，定性風風險分，風險應對劃編制風險監

本文主要論述了如何進行風險識別，如何進行定性風險分析和定量風險分析，以及如何進行風險應對計劃編制等管理問題。針對此，文中說明了在項目中分別采取的相關措施：用檢查表來判別某項目是否存在表中所列或類似的風險；通過頭腦風暴、優先級矩陣來進行風險分析；提前采取行動減少風險對項目所造成的影響。實際結果表明，通過上述管理措施，使得項目達到了對全市公安系統IT人員的合規性管理目標，在2015年9月底通過驗收，得到了用戶的一致好評，并且成果在后期項目可復用。

某市公安局信息系統存儲著人口、街道、住戶、犯罪等多種重要信息，對系統維護人員加強管理以及加強對數據庫系統監控的工作必須盡快落實。市公安局決定啟動全市范圍公安系統的內控管理與審計系統的建設，涉及全市25個公安部門，包括市公安局、區分局、警校、縣局、支隊、派出所，350個運行維護人員和130臺設備，設備類型涵蓋目前市面上所有主流的操作系統、數據庫以及網絡設備。項目采取公開招標的方式，龔經理公司順利中標。該項目作為長沙市的重點工程，受到了省政府公安廳領導的高度重視。項目總合同額540萬元，開發時間為一年，其中軟件費用370萬元，硬件費用70萬元，項目于2014年15日開始，要求在201510日前全面竣工并投入使用。

項目風險是一種不確定的事件或條件，一旦發生，會對項目目標產生某種正面或負面的影響風險有其成因，如果風險發生也導致某種后果當事件、活動或項目有損失或收益與之相聯系，涉及到某種然性或不確定性和涉及到某種選擇時，風險。如果項目管理人員對風險認識不足或者沒有足夠的力量加以控制，就會給項目帶來損失。項目其他經濟活動一樣帶有風險．要避免和減少損失，將威脅化為機會，就必須了解和掌握項目風險的來源、性質和發生規律，進而實行有效的管理

根據以往經驗，龔經理認為做好風險管理是該項目成功的關鍵。在該項目中，龔經理充分重視了風險管理，按照項目風險管理理論，結合自己的項目實踐，有條不紊地完成了該項目具體來說，龔經理是從以下三個方面著手來進行風險管理的。

第一、風險識別

風險識別就是要識別出哪些風險會對項目造成影響，形成風險分解結構。在編制了風險管理計劃之后，龔經理依據公司定義的《風險來源及分類表》確定項目的風險來源和分類，然后針對項目工作分解結構中可能存在的風險進行識別，并結合項目的實際特點，對《風險來源和分類表》中羅列的風險項，逐一研討其可能性，將已識別的風險記錄到表中，以便項日執行過程中對識別的風險進行監控。在本項目中龔經理識別的風險主要有技術風險、外部風險、內部風險和項目管理風險。技術風險主要是公安局目前正在使用多種信息系統，包括人口信息、旅館管理信息、在逃人員信息、警員信息等二十多個分類，運用了Oracle、SQL Server、DB2數據庫。對這些系統進行審計就要求項目組透徹了解它們的管理維護方式，了解其數據結構及通信原理，設計數據交換的接口標準。外部風險主要是系統外部接口和涉及的廠商較多，如果任何一個外部接口變更或廠商不能提供技術支持，都會對整個項目進度造成影響。內部風險主要體現在資源協調方面，項目組之前做的項目正處于維護期，一旦系統出現問題，必然會占用項目成員的工作時間，進而可能對此項目的進度產生一定影響。項目管理風險主要體現在項目分階段實施，必須嚴格控制階段任務的進度，并嚴格控制用戶方的需求變更，否則難以保證各個階段任務順利完成。

第二、風險分析

根據風險管理計劃中的定義，龔經理確定每一個風險發生可能性并做好記錄龔經理還分析了風險對項目時間、成本、范圍等各方面的影響其中不僅僅包括對項目的負面影響，還分析了風險帶來的機會。在這個過程中，龔經理采用會議的方式來進行

在風險分析的會議中，除了有關項目干系人外，龔經理還邀請了相關領域的專家參加，以提高分析結果的準確性。例如，對于技術類風險的分析，龔經理就邀請了業內著名的架構專家參與評估。在確定了風險的可能性和影響后，接下來需要進一步確定風險的優先級。風險優先級是一個綜合的指標，其高低反映了風險對項目的綜合影響

龔經理采用了風險優先級矩陣來評定風險優先級最后得出的結果是架構風險排在第一位，該風險的可能性很高，影響也很大。對已知風險進行定性分析后，龔經理定量地分析了各風險對項目目標的影響。通過采用專家評估的方法，組織相關成員對項目進行樂觀、中性和悲觀估計，同時也利用了龔經理所在公司歷史項目的數據用來輔助評估。在進行定量分析之后，龔經理更新了風險記錄列表

第三、風險應對計劃

針對公安信息系統實時解析的技術風險，龔經理制訂的應對措施是與廠家密切溝通，明確數據結構及通信原理，以及針對大數據的分切形式，確認此項目實時解析需求的可實現性，再商定數據解析的實現方案及開發實施進度時間表，并約定了三方負責人每周溝通進度及問題，確保數據解析順利實施，避免數據解析問題造成整體進度滯后，系統無法按期上線的情況。

對于內部資源協調問題，龔經理與主管領導協商，從售后維護組專門抽調一名維護人員和本項目中一名開發人員做之前那個項目的系統維護。只有在必須修改程序才能解決問題時，由本項目中指定的開發人員負責對原系統問題進行修正。而在本項目中，在給該開發人員分配工作任務時考慮到其兼有維護任務，因此給他分配非關鍵路徑的工作，從而避免因維護原系統造成此項目進度滯后。針對用戶需求變更風險，龔經理制訂了項目需求變更流程，同時請用戶簽字確認，并在項目組內嚴格執行。

龔經理本人作為用戶方需求接口人，嚴格控制用戶需求，在需求評審后，請用戶做需求確認簽字。針對項目整體進度失控風險，龔經理在項目執行過程中從項目計劃、加強溝通、人力資源協調分配等方面對項目進度、質量和成本進行有效控制，避免因項目管理方面的問題造成項目進度和質量失控。

經過項目組的共同努力，本項目最終得以順利完成，也使作為項目經理的龔經理充分認識到風險管理在項目管理過程中的重要性。風險管理貫穿于項目的始終，是通過風險管理計劃，對風險識別、分析和應對的過程。通過風險管理的理論技術并結合實際情況，能夠規避可能出現的各種不利風險，取得很好的應用效果。

實際結果表明，通過上述管理措施，使得項目達到了對全市公安系統IT人員的合規性管理目標，在2015年9月底通過公安局的驗收，系統整體符合國家標準的指導要求，得到了用戶的一致好評，并且成果在后期項目可復用。