《信息管理系统开发中的风险研究 毕业论文.docx》由会员分享,可在线阅读,更多相关《信息管理系统开发中的风险研究 毕业论文.docx(32页珍藏版)》请在三一文库上搜索。
1、信息管理系统开发中的风险研究摘要风险是与人们或者组织追求的目标、愿望密切联系在一起的。在目标的实现过程中存在着可见的和不可见的危险行为,或者存在着一些不确定性,这都会形成阻碍 目标实现的因素,而这些可能发生的危险行为和因素构成了风险因素。在信息管理系统的开发中存在着各种风险。对开发中的风险进行研究有利于进行风险管理和控制,从而降低风险。本文根据目前国内外学者对信息管理系统开发中风险研究的成果,通过对实例的研究,分析了信息系统开发风险评价的研究现状和存在问题,总结出目前信息管理系统开发中的风险类型,影响风险的因素和关键问题,提出具体的风险评估方法和应对措施文章。关键词:风险研究;信息管理系统;评
2、估;风险因素Risk in the development of Information Management SystemAbstractRisk is with people or organizations to pursue the goals, aspirations are closely linked. Goals of the process in the existence of visible and invisible risk behavior, or there is some uncertainty, which would achieve the objectiv
3、e of the factors that hinder the formation, and these possible risk behaviors and factors that constitute risk factors. There are all kinds of risks in the development of the IT information management system. Study of the risk in development is advantageous to risk management and control, thus reduc
4、ing risk. According to current domestic and foreign research achievement of the risk in developing IT information management system, this paper analysis risk evaluation information system development research status and existing problems and summarizes types of risk, the factors influence risk and t
5、he key issue by analysis some examples. Also, this paper puts forward specific risk assessment methods and measures.Keywords: risk research; information management system; assessment;risk factorII目 录摘要IAbstractII1绪论11.1课题研究的背景11.2信息系统开发风险研究的国内外现状11.2.1国外风险研究现状11.2.2我国风险研究现状21.3本课题要研究的内容31.3.1信息管理系统开
6、发中的风险识别41.3.2信息管理系统开发中的风险估算61.3.3信息管理系统开发中的风险监控71.4 研究方法和手段81.5 小结82 信息管理系统开发中的风险因素分析102.1风险因素分析方法与原则102.1.1 风险因素分析方法102.2 信息系统开发重点风险因素分析122.3 基于AHP和因果分析方法的风险因素的评价模型152.4 小结163 实证分析183.1 房地产信息系统管理系统开发背景183.2 房地产信息管理系统开发中的风险研究213.3 基于AHP和因果分析方法的风险实例分析223.4 小结254 结论26参考文献27附录:28致谢29291绪论1.1课题研究的背景近年来,
7、计算机的普及和计算机技术的迅猛发展使信息管理系统在各个领域得到的广泛的应用。信息管理系统高效,便捷,可靠,低成本的特性受到各类机构单位的青睐。然而,信息管理系统的开发是一项涉及面广,技术难度大的综合性系统工程,需要投入大量的人力、财力、物力、时间等资源,在系统开发的过程中,存在着各种风险。只有对系统的整个开发过程按照系统的观点使用现代项目管理的科学理念和方法进行风险分析和控制,才可能降低风险,以较小的投入,取得较为理想的效果。软件开发过程风险管理的意义就是对开发过程潜在的不利因素进行辨识、分析、评估、度量,并根据具体情况采取相应措施进行处理。避免、减少由于风险的发生而导致项目开发的失败,使得用
8、户方和开发者都处于双赢的状态。由于风险具有不确定性和危害性,风险管理的作用就是辨别风险的不确定性及消除风险的危害性。因此其重要性体现在: 1)辨识出潜在的风险因素并在其成为风险事件前采取相应措施进行处理。2)在软件开发过程中对那些可能影响项目目标和系统质量的因子进行跟踪。3)为项目管理者进行资源 (人力、资金、设备) 分配提供依据,指导各类开发人员关注与其相关的问题。4)提高软件项目开发的成功率。1.2信息系统开发风险研究的国内外现状1.2.1国外风险研究现状国外IT项目风险管理的系统性研究始于二十世纪八十年代末,美国在理论研究和实践操作方面都处于领先位置,软件工程研究所(SEI)是理论与实践
9、的领跑者。Boehm的“软件风险管理”奠定了在这一领域的理论基础。Charette也从不同的角度,提出了类似的风险管理结构丰富了IT项目的风险管理理论。SEI认为,软件风险评估,风险辨识和持续的风险管理,形成了风险管理软件的基本框架。微软认为,风险管理可以分为五个步骤:风险识别,风险分析,风险活动的规划,风险跟踪和风险控制。实践中,鲍威尔明确了一般项目的风险管理技术,方法和项目应用软件的开发步骤,并开展决策支持系统的完整的风险分析研究。 詹姆斯认为IT项目的成功,可以从四个方面来衡量,不同风险产生不同的影响,他通过调查和建立模型,以解决重大项目风险源与成功可能性的关系。SEI提出了以分类为基础
10、的风险识别方法。在SEI的软件能力成熟度模型(SW - CMM中)提出的能力成熟度模型为基础的软件模型,主要用于大型团队和复杂的项目。IEEE Spectrum:Why Software Fails中写到的:项目经理负责项目规划和估算,控制,组织,合同管理,质量管理,风险管理,通信和人力资源管理工作,这些都是有效规避风险的措施。1.2.2我国风险研究现状通过研究发现,我国当前项目风险管理领域的研究重点在于对整体项目进行风险识别、风险估计、风险评价和规避,基本上没有有针对项目的各阶段存在的不同风险源的识别、评估及其对项目各指标影响的研究,针对IT 项目的风险研究就更少了。与国外比较而言,中国的I
11、T产业因起步较晚,IT项目的风险管理也还处于初级阶段,在这一领域的研究远远不够。 IT项目风险管理的基本经验不够,以基础管理为主要研究对象,缺乏先进的理论指导,没有形成风险管理的规范性文件。从总体上看,我国对IT 项目风险测度仍然以定性研究为主,而定量研究仍然处于起步阶段,对IT 项目风险某一阶段或某一过程研究较多,针对IT项目风险全寿命周期还没有形成系统的研究体系结构;对经验数据缺少深层次的总结,比较成熟的应用于信息化项目风险测度的模型和方法还较少,现有的风险评估理论与方法研究的成果与实际应用尚有一定距离。国内也有许多关于IT项目风险管理的研究与论文,如谢彬在他的硕士论文中总结出如下IT项目
12、风险管理的经验:1)在自身层次上,高级IT经理必须推进项目风险管理。如果做不到这一点,项目经理应该建议或提出实施风险管理的一个业务案例。2)培训是重要的,我国IT项目风险管理水平低,与风险管理人才缺乏有很大关系,国家应该有意识地培养IT项目风险管理人才。 3)IT项目的风险因素很多,技术风险只是其中的一种,最大的风险是人的因素造成的风险,必须加强项目人力资源管理,最大限度地利用人力资源。4)在项目开始时就要进行风险管理,尽量减小实现项目受到威胁的可能性。要重视“重大问题”,但不要忽视其他问题,寻找增加利润的机会,但不要以增加风险为代价。5)风险存在于IT项目开发的整个过程,安全解决方案的基础是
13、风险分析,应该根据风险的变化,进行动态调整,达到风险预测、实时响应、降低风险的良性循环能力,保证项目开发成功。上海立信会计学院的周华在他的论文敏捷环境下信息系统开发的风险研究中对信息系统开发中的风险做了如下分类:1) 开发范围风险:没有明确地描述开发项目的范围,将会导致系统开发风险,甚至导致计划、进度、成本不可控的风险。2) 质量风险:没有确认相关的质量技术标准和开发规范、没有准确定义功能标准都可能导致质量风险,使系统无法达到预期的质量标准。3) 技术风险:指潜在的设计、实现、接口、验证和维护等方面的问题。主要表现为不能或者延迟完成技术的突破的风险。4) 组织风险:组织风险是指企业组织内部如项
14、目组、企业高级管理层等对项目目标范围存在不一致的理解。组织战略目标的改变等导致资金、计划安排上带来风险。5) 人员风险:项目组成员的变动;开发人员和管理层之间关系不佳;缺乏激励措施,士气低下;某些技术人员对业务不理解;项目组成员之间沟通不畅;没有找到项目急需的具有特定技能的优秀人才。6) 环境风险:开发环境风险主要体现在项目的政治环境的变化以及外国际关系的微妙变化也将导致有些行业的系统开发的改变,导致开发风险的发生。7) 市场风险:随着市场竞争的不断加剧,在项目开始阶段所确定下来的业务流程或产品已经不适合现时的环境等。8) 客户风险:客户风险主要是客户对产品的不满意或客户对产品的要求有新的变化
15、需更改等。 关于风险管理的策略,彭志清在浅析管理信息系统开发中的风险管理一文中将其分为被动策略与主动策略,他更加看好主动策略。他写道“主动策略早在技术工作开始之前就已经启动了,通过标识出潜在的风险,评估它们出现的概率及产生的影响,对风险按重要性进行排序,然后,管理信息系统开发组建立一个计划来管理风险。主动策略中的风险管理,其主要目标是预防风险。但是,不是所有的风险都能够预防,所以,管理信息系统开发组必须建立一个应付意外事件的计划,使其在必要时能够以可控的及有效的方式做出反应。” 此外张薇在基于结构方程模型的信息系统开发风险评价研究中将结构方程模型引入到信息系统开发风险评价过程中来,从开发风险的
16、来源和构成出发,构建信息系统开发风险评价结构方程模型,并将该模型应用于实例的求解。应用结果表明,该模型能够区分风险造成影响的显著程度,从而为管理者提供对风险进行事前控制的有力依据。1.3本课题要研究的内容信息管理系统开发过程中不可避免的会有问题出现,避免信息管理系统失控最好的方法,就是从一开始就提前考虑信息系统开发中的风险,进而实行有效的管理。一般只要预先考虑到风险并采取了相应的处理方法和步骤,大部分的风险是可以避免或者控制的。因此,这就要求我们在制定信息系统开发计划和定义里程碑时,要识别、分配和处理管理信息系统开发过程中可能遇到的风险,以便确定采取什么措施来处理。信息管理系统开发中风险主要有
17、三种不同类型:管理风险、技术风险和产品质量风险。管理风险是指潜在的预算、人力、进度、资源、用户及需求等方面的问题,会威胁到管理信息系统计划,影响进度,增加成本等。 技术风险是指潜在的方案、构架、分析、设计、接口、实现、测试和维护等方面的问题,技术的不确定性、旧的技术或新的技术、系统二义性等都可能造成技术故障 或信息系统缺陷,这些问题会威胁到管理信息系统的质量。产品质量风险是指因管理信息系统质量问题而造成的风险,是涉及各种缺陷、错误,并对其进行改正、维 护而造成的风险。这三种风险在实际项目开发过程中往往是有关联的交织在一起。1.3.1信息管理系统开发中的风险识别风险识别就是试图确定管理信息系统开
18、发中各种威胁到MIS的计划、估算、进度和资源分配的风险因素和事件,并预测不良后果。通过识别已知的和可预测的风险,管理信息系统管理者就有可能避免这些风险,且当必要时控制这些风险。要识别风险,不仅要了解在管理信息系统实施的各个阶段都有可能发生哪些风险及风险的概率,也要了解哪些阶段发生的风险对信息系统损失的影响程度,如下图是管理信息系统开发阶段中,风险发生概率和风险对开发项目损失的影响曲线图:图1-3-1-1 项目损失影响曲线图分析图1曲线走向可知,信息系统开发的风险随着开发阶段的进行,成功的可能性增大,风险发生的概率减小;风险发生对信息系统开发项目的损失逐渐变大,快到结束阶段时,风险对项目的损失最
19、大,随着结束发布的进行又逐渐变小。下面是针对系统开发的四个阶段的风险特征,列举存在的风险事件并预测它的 不良后果。 1.起始阶段:(1)管理信息系统目标不清;(2)管理信息系统范围不明确;(3)没有进行可行性研究。这时发生的风险一般属于高级别的风险,有可能导致开发的失败甚至取消。2.设计阶段:(1)管理信息系统队伍缺乏经验,如缺乏有经验的系统分析员;(2)没有变更控制计划,以至变更没有依据;(3)计划仓促,带 来进度方面风险;(4)漏项,由于设计人员疏忽某个功能没有考虑进去。这个阶段相对起始阶段,这些风险的应对比较明确,但需要更多的专业人员进行. 如进行设计评审和确认,进行变更控制等。但是,如
20、设计上有些风险属灾难性的,其埋下的设计问题,可能导致整个项目全部无效,浪费了资源和时间。3.实施阶段:(1)开发环境不具备;(2)设计错误;(3)程序员开发能力差,或程序员对开发工具不熟;(4)管理信息系统范围改变,如突然要增加或修改一些功能,需要重新考虑设计;(5)管理信息系统进度改变,如要求提前完成任务等;(6)人员的变动,导致系统开发工作的不连续;(7)开发团队内部沟通不够,导致程序员对系统设计的理解上有偏差;(8)没有有效的备用方案;(9)没有合理的测试计划以及测试人员经验。此阶段的风险,大都属于中等风险,需要专业能力解决。如可进行编码培训防止编码混乱带来的风险,召开沟通会议消除对设计
21、的理解不一致等。4.收尾阶段:(1)开发的信息系统质量差;(2)客户不满意;(3)设备没有按时到货;(4)资金不能回收。这些情况可在前面的阶段进行更好的控制来减轻这里的风险,当然也可以进行升级修改的方式。但是这里发生的风险在开始的时候对开发和项目的成败影响达到最大化,然后开始减少。以上只是列举了常见的风险事件,对不同的管理信息系统应该具体问题具体分析,识别出真正可能发生在该管理信息系统上的风险事件。 识别项目中潜在的风险并不是项目经理一个人的事情,也不仅仅与项目团队的活动相关,它与公司高层领导、公司其他部门及客户(用户)都是相关的。因此,如何去识别风险应该从多方面了解和分析,下面介绍几种识别风
22、险的方法。1 咨询和探讨项目经理不但要与项目组的所有成员探讨项目可能存在的风险,还要向公司相关的管理人员、技术支持人员、工程施工人员及其他项目组人员广泛征询对本项目风险的看法。另外,还可以向公司之外的专家和咨询机构进行咨询。在咨询和探讨的过程中,可以采用“头脑风暴法”漫谈项目风险。在漫谈过程中,项目经理应该将观点全面地记录下来,不要深究某一个看法的合理性与准确性。之后再冷静思考,剔除不合理的部分,保留其精华部分。对于向专家或咨询机构进行咨询,最好事先给专家或咨询机构发送书面问卷,如果有必要再根据书面问卷中的相关问题进行咨询,因为专家和咨询机构的时间较为宝贵,所以要注意咨询的效率和效果。2. 分
23、析历史数据有些管理比较规范的软件公司,一般会建立一个软件资料库,其中会保存以前做过的所有项目的相关文档资料及软件代码。一般来说,沿着别人走过的路去走比自己摸着石头过河的风险要小一些。对以前的类似项目进行分析,主要是分析项目的进度、成本、软件维护和用户反馈等方面存在的问题。识别风险主要找失败的项目来分析原因,而制定计划则要借鉴成功项目的经验。3.流程图法用流程图法来识别风险,首先建立一个软件项目的总开发流程和分流程图,展示项目实施的全部活动。流程图也可以利用WBS来表示。下图是一个软件项目中确定客户需要的过程示意图。系统分析员根据整理成文的需求与客户逐条进行确认系统分析员进行整理、客户提出的需求
24、系统分析员与相关客户进行交流 双方达成一致后,客户负责人和系统分析员要再需求报告上签字 图1-3-1-2 确定客户需要的过程示意图从图1-3-1-2可以分析其中可能存在的风险。1) 从第一个步骤分析,系统分析员可能缺乏经验,或者客户不积极配合,导致与客户交流不深入,没有充分把客户的需求反映出来。2) 在第一个步骤当中,分析还可能存在这样的风险:没有找到合适的客户进行调研,既浪费了时间,又增加了项目的差旅费开支。3) 在第二个步骤中可能存在这样的风险:系统分析员缺乏行业知识,没有准确地从客户的叙述中发现和提炼出客户的真正需要,没能清晰且符合行业特点地描述需求,这样可能造成在与客户确定需求时,双方
25、在理解上存在差异。1.3.2信息管理系统开发中的风险估算风险估算也叫风险预测,它从两方面评估一个风险,即风险发生的可能性或概率和风险一旦发生所产生的后果。这些内容可以用一张风险影响评估表来表示。例如:元素等级性能支持成本进度灾难的1无法满足需求而导致任务失败错误将导致进度延迟和成本增加,估计超支500K2严重退化使得根本无法达到要求的技术性能无法做出响应或无法技术的软件严重的资金短缺,很可能超出预算无法在交付日期内完成严重的1无法满足需求而导致系统性能下降,使得任务能否成功受到质疑错误将导致操作上的延迟并使成本增加,估计超支100K到500K2技术性能有些降低在软件修改中有少量的延迟资金不足,
26、可能会超支交付日期可能延迟轻微的1无法满足需求而导致次要任务的退化成本、影响和(或)可恢复的进度上的小问题,估计超支¥1K到¥100K2技术性能有较小的降低较好的软件支持有充足的资金来源实际的、可完成的进度计划可忽略的1无法满足需求而导致使用不方便或不易操作错误对进度及成本的影响很小,估计超支少于1K2技术性能不会降低易于进行软件支持可能低于预算交付日期将会提前 图1-3-2-1 风险影响评估表(引自文献5) 容易发现,当软件不能满足用户需求时造成的风险是最严重的。对于风险类别,我们也可以建立一张相类似的表,并根据一定的次序(如发生的机率或对项目的威胁程度)排序,以便更清楚地了解每一种风险。在
27、风险评估中,应当注意一些方法及问题,以下是三条建议:1) 不要固定地使用几个方法来识别风险,要用分析的方法判断;2) 可以使用在以往的项目风险管理中积累的经验;3) 定义一条基准线(也叫中止线),所有定义在该基准线以上的风险都必须管理。 风险评估是每个软件开发项目在进行前和进行时都必须做,且必须做好的,它能够使开发人员时刻保持警惕,避免各种风险的发生给软件项目造成的严重损失。1.3.3信息管理系统开发中的风险监控风险被识别和估算以后,项目必须制定一项控制风险的计划。制定控制风险的计划包括界定扩大机会的步骤,制定对项目的成功构成威胁或风险的处理计划。风险监控主要靠管理者的经验来实施,它是利用项目
28、管理方法及其他技术,如原型法、软件心理学、可靠性等来设法避免风险或转移风险。风险监控的目的是:监视风险的状况,确定风险是已经发生、仍然存在还是已经消失;检查风险的对策是否有效,监控机制是否在运行;不断识别新的风险并制定对策;收集可用于将来进行风险分析的信息。无论IT项目进展的情况如何,都必须将风险管理的计划和行动结果整理汇总进行分析,形成风险管理报告。采取书面或口头、不定期的或阶段性的等多种方式,为项目的实施、控制、管理、决策提供信息基础。风险监控依据包括风险管理计划、实际发生了的风险时间和随时进行的风险识别结果,主要内容包括: 1) 风险管理计划;2) 风险应对计划; 3) 项目沟通。工作成
29、果和多种项目报告可以表述项目进展和项目风险。一般用于监督和控制项目风险的文档有:事件记录、行动规程、风险预报等; 4) 附加的风险识别和分析。随着项目的进展,在对项目进行评估和报告时,可能会发现以前未曾识别的潜在风险事件。应对这些风险继续执行风险识别、估计、量化和制订应对计划;5) 项目评审。风险评审者检测和记录风险应对计划的有效性,以及风险主体的有效性,以防止、转移或缓和风险的发生。风险控制的步骤如下:1) 与在职的项目成员协商,确定人员流动的原因(如工作条件差、收入低、市场竞争等);2) 在项目开始前,把环节这些原因(避开风险)的工作列入已拟订的控制计划中;3) 当项目启动时,做好人员流动
30、会出现的准备,采取一些办法已确保人员一旦离开时仍能继续(削弱风险); 4) 建立项目组,使所有项目成员能即时了解有关项目活动的信息; 5) 制定文档标准,并建立一种机制以保证文档能及时产生; 6) 对所有工作组织细致的评审,以使更多的人能够按计划保持对风险因素相关信息的收集工作进度,完成自己的工作; 7) 对每一个关键的技术人员,要培养后备人员;8) 在项目里程碑处进行事件跟踪和主要风险因素跟踪,以进行风险的再评估。 虽然这些步骤会给项目带来额外的支出,并占用许多有效的项目计划工作量,但实践证明,所有付出都是值得的。1.4 研究方法和手段本部分的主要通过查阅书籍以及相关论文收集资料,并结合了研
31、究的后期在软件公司的实地实习经验与调研。1.5 小结风险管理是有关理解可能导致项目失败的内部或外部的项目影响因素。一旦建立了项目计划,就应该进行风险分析。最初的风险分析结果是一个风险计划,该计划应该定期复查并相应调整。风险管理的主要目的是识别和处理项目变动的不常见的原因。这可以通过一个正式的过程来完成,在此过程中,风险因素进行系统的识别、评估和提供。在软件领域,SEI对风险的定义更适当:“风险是遭受损失的可能性”。在软件开发项目中,损失指的是对项目的负面影响,可能是最终产品的质量下降、成本增加、完成时间的推迟,或者是项目彻底的失败。风险是不确定性或者缺乏对一些列可能性的完整认识。卡内基梅隆大学
32、的软件工程学院开发了一种基于Shewhart-Deming周期的软件风险模型。该模型提供了关于风险活动、当前风险和形成风险对项目内部或外部的信息和反馈。 图1-5-1 基于Shewhart-Deming周期的软件风险模型总的来说有效的风险管理可以帮助MIS管理者抓住工作重点,将主要精力集中于重大风险防范,提高信息系统的成功率。MIS风险管理可以分为风险评估、风险控制两个阶段。 风险确定 检查表 决策驱动因素分析风险评估 分解 性能模型,成本模型 风险分析 网络分析,决策分析 质量因素分析 风险暴露 风险优先次序确定 风险调整 复合风险降低风险管理 购买信息,风险降低 风险管理计划 风险避免,风
33、险转移 风险元素计划,计划集成 原型,模拟 风险解析 基准,分析 风险控制 人员安排 里程碑跟踪,风险重新评估 风险监督 前10项跟踪,纠正性操作图1-5-2 Boehm 项目风险模型2 信息管理系统开发中的风险因素分析风险因素是指引起或增加风险事故发生的机会或扩大损失幅度的原因和条件。构成风险因素的条件越多,发生损失的可能性就越大,损失就会越严重。风险因素是风险事故发生的潜在原因,是造成损失的内在的或间接的原因。根据影响损失产生的可能性和程度,风险因素可分为有形风险因素和无形风险因素:1. 有形风险因素,是指导致损失发生的物质方面的因素。比如财产所在的地域、建筑结构和用途等。对于信息管理系统
34、开发而言,有形的风险因素主要表现为开发信息系统所用的、存在于一定的物理环境中的一些设备可能受到各种人为或自然灾害的破坏,必然要承担一定的风险。2. 无形风险因素。文化、习俗和生活态度等一类非物资形态的因素也会影响损失发生的可能性和受损的程度。无形风险因素包括道德风险因素和行为风险因素两种。道德风险因素是指人们以不诚实、或不良企图、或欺诈行为故意促使风险事故发生,或扩大已发生的风险事故所造成的损失的因素。行为风险因素是指由于人们行为上的粗心大意和漠不关心,易于引发风险事故发生的机会和扩大损失程度的因素。2.1风险因素分析方法与原则2.1.1 风险因素分析方法我们知道,对于风险分析所作的工作大多局
35、限于任务风险分析当中。这些方法对于考虑项目风险领域的分析方法也有一定意义,风险分析方法可分为定性和定量两种,定量的风险分析方法是在定性的基础上而实现的。下面,我们对这两类风险分析方法作简要的论述。1. 定性风险分析的目的是界定风险源,利用已识别风险的发生概率、风险发生对项目目标的相应影响,以及其他因素,例如时间框架和项目费用、进度、范围和质量等制约条件的承受度,对已识别风险的优先级别进行评价,并初步判明风险的严重程度,以给出系统风险的综合印象。下面介绍一种定性分析的具体方法。该方法使用定性语言将风险的发生概率及其后果描述为极高、高、中、低、极低5级。其中风险概率描述某一风险事件发生的可能性,风
36、险后果描述某一风险事件如果发生将对项目目标产生的影响。风险的这两个维度适用于描述具体的风险事件,可以帮助我们甄别出那些需要强有力地加以控制与管理的风险,但不适用于描述项目整体。通过建立概率后果风险评价矩阵可以直观的看到各种可能存在的风险发生的概率与后果。1) 风险后果评价表,如表:图2-1-1-1风险后果评价表上图描述了各种风险导致的后果严重程度评价。2) 概率后果矩阵,如下图: 后果(I) 极高0.8 风险值=概率(P)后果(I) 高0.4 中0.2 低0.1 极低0.05 极低 低 中 高 极高 概率(P)图2-1-1-2概率后果矩阵从图表中可以直观的看出,图中阴影部分的面积即为某项风险的
37、风险值。(其中概率从01)2. 定量风险分析是在定性分析的逻辑基础上,给出各个风险源的风险量化指标及其发生概率,再通过一定的方法合成,得到系统风险的量化值。它是基于定性风险分析基础上的数学处理过程。现发展较为成熟的方法有PRA(概率风险评估),DPRA(动态风险概率评估)及仿真通用软件VERT(风险评审技术)等。 PRA和DPRA都是在FTA分析基础上的量化,在可靠性及运行系统风险分析领域内应用广泛。稍作改造,我们便可将其运用到项目风险分析领域。其分析步骤如下:1) 识别项目研制过程中的困难环节,找出风险源;2) 对各风险源考察其在项目研制中的地位,及相互逻辑关系,给出项目的风险源树;3) 标
38、识各风险源后果大小,及风险概率;4) 对风险源通过逻辑及数学方法进行组合,最后得到系统风险的度量。如果是用DPRA进行评估,则尚须考虑它们在时间上的关系。 另一种被广泛运用于风险评估的方法是VERT 。VERT是国外在八十年代初期发展的一通用仿真软件,它对项目研制构造过程网络,将各种复杂的逻辑关系抽象为时间、费用、性能的三元组的变化。网络模型面向决策,统筹处理时间、费用 、性能等风险关键性参数,有效地解决多目标最优化问题,具有较大的实用价值。它的原理是通过丰富的节点逻辑功能,控制一定的时间流、费用流和性能流流向相应的活动。每次仿真运行,通过蒙特卡洛模拟,这些参数流在网络中按概率随机流向不同的部
39、分,经历不同的活动而产生不同的变化,最后至某一终止状态。用户多次仿真后,通过节点收集到的各参数了解系统情况以辅助决策。如果网络结构合理,逻辑关系及数学关系正确,且数据准确,我们可以较好地模拟实际系统研制时间、费用及性能的分布,从而知道系统研制的风险。2.1.2 风险因素分析原则在风险分析时,应该遵循一些分析原则。下面是进行风险分析的几个一般性原则:1) 风险分析是软件设计的一部分,就像需求分析是传统软件设计实践的部分一样;2) 风险分析是正式的、严谨的、定量化的;3) 风险分析的目的是为了支持决策,应当把风险分析作为系统软件设计和研制过程的一部分,而不应该过迟而无法做出主要的改变和资金的压力强
40、迫在安全性和可靠性上妥协,而这种妥协不能接受的情况下,作为一种反省进行;4) 风险分析可以按各种等级的详细程度、彻底程度和精密程度来进行;5) 风险分析详细、彻底、精确程度与分析项目的重要性和环境潜在的破坏程度大小相一致;6) 在一个项目的早期概念阶段,能够而且应该实施近似的风险分析,随着设计的逐渐开展,风险分析的精度和详细程度也随之提高。2.2 信息系统开发重点风险因素分析信息管理系统开发中重点风险因素可分为产品规模风险因素、需求风险因素、相关性风险因素、技术风险因素、管理风险因素、安全风险因素等。1. 产品规模风险因素:项目的风险是与产品的规模成正比的。与软件规模相关的常见风险因素有:(1
41、)估算产品规模的方法(包括:代码行,文件数,功能点等),(2)产品规模估算的信任度,(3)产品规模与以前产品规模平均值的偏差,(4)产品的用户数,(5)复用的软件有多少,(6)产品的需求变更多少等。一般规律,产品规模越大,以上的问题就越突出,尤其是估算产品规模的方法,复用软件的多少,需求变化。2. 需求风险因素:很多项目在确定需求时都面临着一些不确定性。当在项目早期容忍了这些不确定性,并且在项目进展过程当中得不到解决,这些问题就会对项目的成功造成很大威胁。如果不控制与需求相关的风险因素,那么就很有可能产生错误的产品或者拙劣地建造预期的产品。每一种情况对产品来讲都可能致命的。与客户相关的风险因素
42、有:(1)对产品缺少清晰的认识,(2)对产品需求缺少认同,(3)在做需求中客户参与不够,(4)没有优先需求,(5)由于不确定的需要导致新的市场,(6)不断变化需求,(7)缺少有效的需求变化管理过程,(8)对需求的变化缺少相关分析等。3. 相关性风险因素:许多风险都是因为项目的外部环境或因素的相关性产生的。经常我们在控制外部的相关性上做的不够,因此缓解策略应该包括可能性计划,以便从第二资源或协同工作资源中取得必要的组成部分,并且觉察潜在的问题。与外部环境相关的因素有:(1)客户供应条目或信息,(2)交互成员或交互团体依赖性,(3)内部或外部转包商的关系,(4)经验丰富人员的可得性,(5)项目的复
43、用性。4. 技术风险因素:软件技术的飞速发展和经验丰富员工的缺乏,意味着项目团队可能会因为技巧的原因影响项目的成功。在早期,识别风险从而采取合适的预防措施是解决风险领域问题的关键,比如:培训、聘请顾问以及为项目团队招聘合适的人才等。主要有下面这些风险因素:(1)缺乏培训,(2)对方法、工具和技术理解的不够,(3)应用领域的经验不足,(4)新的技术和开发方法应用等。5. 管理风险因素:尽管管理问题制约了很多项目的成功,但是不要因为风险管理计划中没有包括所有管理活动而感到惊奇。在大部分项目里,项目经理经常是写项目风险管理计划的人,他们有先天性的不足自己检查自己的错误,这是最难的。然而,像这些问题可
44、能会使项目的成功变得更加困难。如果不正视这些棘手的问题,它们就很有可能在项目进行的某个阶段影响项目本身。当我们定义了项目追踪过程并且明晰项目角色和责任,就能处理这些风险因素:(1)计划和任务定义不够充分,(2)实际项目状态,(3)项目所有者和决策者分不清,(4)不切实际的承诺,(5)员工之间的沟通等。6. 安全风险因素:软件产品本身是属于创造性的产品,产品本身的核心技术保密非常重要。但一直以来,我们在软件这方面的安全意识比较淡薄,对软件产品的开发主要注重技术本身,而忽略了专利的保护。软件行业的技术人员流动是很普遍的现象,随着技术人员的流失、变更,很能会导致产品和新技术的泄密,致使我们的软件产品被它公司窃取,导致项目失败。而且在软件方面关于知识产权的认定目前还没有明确的一个行业规范,这也是我们软件项目潜在的风险。并且这些因素是相互关联的。团队成员的缺勤率、技术人员和市场人员关系融洽程度能够影响项目风险程度。其中技术人员和市场人员关系融洽程度的增加会提高项目产品或技术质量,团队成员缺勤率的提高则会降低研发项目产品或技术质量。团队成员的缺勤率、所采用技术的恰当程度以及项目进行过程中客户需求的变动程度能够影响产品或技术功能满意度。其中增加所采用技术的恰当程度会提高客户对产品或技术功能的满意度