首页 资料文库 期刊中心 杂志订阅 发表指南 个人中心
美章网 精品范文 系统风险管理工作计划范文

系统风险管理工作计划范文

系统风险管理工作计划

系统风险管理工作计划范文第1篇

第一条本规范所称税收风险是指因纳税人、扣缴义务人(以下简称纳税人)未能按照税法的要求,及时、准确履行税务登记、纳税申报、税款缴纳以及其他纳税义务,而导致税款流失的可能性。

第二条税收风险管理是指税务机关运用风险管理的理论和方法,应用先进的管理和技术手段,识别和评估税收风险,针对不同的税收风险制定不同的管理策略,依法通过服务和管理措施防范和化解税收风险,提高税法遵从度和税收征收水平的过程。税收风险管理以省局税收风险管理平台为依托,主要包括风险管理战略规划及计划制定、风险识别、等级排序及推送、风险应对及反馈、风险应对复审、绩效评价六个步骤。

第三条县局税收风险管理领导小组负责税收风险管理的统筹指导、协调处理重大风险管理事项、指导和督促风险管理工作的开展。

第四条税收风险管理实行“统一分析、分类应对”的集约化运行机制,统一风险规划、统一风险识别、统一等级排序及推送、统一监督评价,实施递进式、差异化风险应对。

二、工作职责

第五条风险监控局的主要工作职责:负责大集中系统基础数据审计及数据标准制定,涉税数据加工、产出;负责税收风险管理战略规划、风险计划的拟定和组织实施;负责税收风险管理制度的拟定和管理流程的优化;负责全县各级税务机关的税收风险管理需求的统筹实施;负责组织和参与建立、验证、维护风险识别模型和风险指标;负责组织开展税收风险状况分析;牵头负责风险特征的管理;牵头负责第三方数据的管理工作;负责按户归集风险点,根据排序规则确定风险等级,并推送给相应的风险应对机构;牵头对全县风险管理状况进行绩效评价;负责总局定点联系企业风险管理;牵头负责重点税源监控工作,组织重点税源调查,编写重点税源风险分析报告;负责大企业管理工作;上级交办的其他事项。

第六条风险监控局设立局长室、综合股、风险识别股和风险推送股。

第七条风险监控局的部门工作职责如下:

(一)局长室:

1、负责风险监控局各项工作职责的落实;2、负责风险监控局行政管理等工作;3、负责风险监控局党风廉政建设、纪检监察等工作;4、上级交办的其他工作。

(二)综合股:

1、负责拟定税收风险管理战略规划;2、负责拟定各项规章、制度和办法;3、负责拟定风险计划、工作计划并组织实施、跟踪管理和统筹协调;4、负责扎口管理机关各业务科室(含稽查部门)、风险应对机构提出的税收风险管理工作事项;5、负责大企业管理工作;6、负责拟定税收风险识别模型的建设计划和组织落实;7、负责组织税收风险状况分析;8、负责与纳税服务、税源管理、稽查部门及业务科室业务工作的联系与衔接;9、负责部门、个人绩效考核的组织实施;10、负责部门各类总结、报表、材料的组织工作;11、负责总局定点联系企业风险管理工作;12、牵头负责重点税源监控,组织重点税源调查,编写重点税源风险分析报告;13、负责各类涉税资料整理、归类、归档;14、上级交办的其他工作。

(二)风险识别股:

1、牵头负责建立风险特征库;2、负责与税收风险管理直接相关的数据整备工作;3、牵头负责第三方数据的管理工作;4、负责组织税收风险指标的业务需求评审;5、负责统筹风险指标的技术转换,牵头制订风险指标分值算法,并组织风险指标验证;6、牵头负责风险指标的持续改进;7、负责风险点加工和上传;8、负责大集中系统数据审计;9、负责涉税数据加工、产出;10、上级交办的其他工作。

(三)风险推送股

1、负责风险排序和确定风险等级;2、负责拟定风险推送方案,并向纳税服务局、税源基础管理分局、中等风险应对分局、稽查局推送应对任务;3、负责组织编制风险应对指引;4、负责风险应对实施过程的监控;5、负责接收风险应对反馈报告;6、牵头负责税收风险管理绩效评价,编写评价报告;7、上级交办的其他工作。

三、岗位设置

第八条风险监控局的岗位设置如下:

(一)局长室岗位设置

1、局长岗:负责风险监控局全面工作,完成上级交办的其他工作。2、副局长岗:协助局长负责风险管理、行政管理等工作,完成分工负责的具体工作。

(二)综合股岗位设置

1、综合管理岗:负责拟定各项规章、制度和办法;负责部门、个人绩效考核的组织实施;负责分局各类总结、报表、材料的组织工作;负责各类涉税资料整理、归类、归档、负责后勤管理工作和安全等工作。2、计划管理岗:负责拟定税收风险管理战略规划;负责拟定风险计划、工作计划并组织实施、跟踪管理和统筹协调;负责扎口管理机关各业务科室(含稽查部门)、风险应对机构提出的税收风险管理工作事项和县局举报中心转交的举报、移送、交办案件;负责拟定税收风险识别模型的建设计划和组织落实;负责组织税收风险状况分析;负责与纳税服务、基础管理、风险应对、稽查部门及业务科室业务工作的联系与衔接。3、大企业风险管理岗:负责与市局联系并按总局和省市局要求开展定点联系企业风险管理工作;4、重点税源监控岗:牵头组织重点税源调查、开展重点税源风险分析,编写风险分析报告。

(三)风险识别股岗位设置

1、风险特征管理岗:牵头负责建立风险特征库;负责组织落实风险特征报送奖励制度。2、模型(指标)业务岗:负责风险识别模型和风险指标的业务需求分析;负责与风险识别模型和风险指标建设单位的业务联系和协调;负责组织业务需求评审。3、模型(指标)技术岗:负责风险识别模型及风险指标配置、加工、验证、后续管理过程中的技术转换、实现等工作;参与业务需求评审。4、模型(指标)管理岗:负责风险识别模型及风险指标的、维护、停用、废止等后续管理工作。5、数据整备岗:负责指标元的配置、管理和加工方案的制定,按照指标运行需要提出数据补充采集需求;负责涉税数据加工、产出。6、数据审计岗:负责大集中系统数据审计。7、风险识别岗:负责完成月度风险计划、举报案件、交办事项中的风险点加工、验证、上传、风险分值设定等工作。8、第三方数据管理岗:牵头负责第三方数据的管理工作。

(四)风险推送股岗位设置

1、风险推送岗:负责风险排序和确定风险等级;负责拟定风险推送方案;负责根据风险推送方案向纳税服务局、税源基础管理分局、中等风险应对分局、稽查局推送应对任务;负责组织编制风险应对指引。2、监督评价岗:负责风险应对实施过程的监控;负责接收风险应对反馈结果;牵头负责税收风险管理绩效评价;负责编写税收风险管理评价报告。

四、风险监控工作内容和要求

第就条风险监控局负责数据审计、确保大集中系统基础数据质量,根据业务科室需求加工、提供涉税数据。

第十条风险监控局根据市局年度税收风险管理工作计划和县局年度税收风险分析报告,统筹整合县局业务管理部门提出的税收风险管理事项,结合县局稽查局的专项检查计划和其他税源管理工作要求,每年3月底前,拟定年度税收风险管理工作计划草案,报县局税收风险管理领导小组审议通过后实施。

第十一条县局各分局针对本辖区税源管理特点,结合收入目标完成情况和应对资源使用状况,在县局年度风险计划内容之外,按季提出本部门税收风险管理需求,填写《税收风险管理工作事项表》,报县局税收风险管理领导小组办公室批准后,提交风险监控局组织实施。

第十二条县局业务管理部门根据工作需要可以发起临时性税收风险管理工作事项,编制《税收风险管理工作事项表》,并报县局税收风险管理领导小组办公室批准后,交由风险监控局调整月度风险计划。

第十三条风险监控局负责将第三方数据进行有效匹配和深度加工,形成可用于风险识别的各类风险主题数据,并与省级大集中系统进行有效对接。

第十四条风险监控局负责大企业风险管理工作。

第十五条风险监控局根据年度风险计划和其他工作要求,于每年4月底前制定全县风险识别模型建设计划,明确各模型建设的责任单位、建设目标与要求、业务指导部门、技术联系人等。

第十六条风险监控局根据工作安排组织开展税收风险指标的需求评审工作,从业务、技术、第三方数据采集等角度提出改进意见和建议。对通过需求评审的风险指标,按照市局操作规范要求,及时将风险指标部署到风险管理平台之中。

第十七条风险监控局按照普遍识别的原则,对当期可用于进行加工的风险指标,必须全部用于风险点加工。未通过验证或验证后有效率达不到要求的风险指标,不得用于风险点加工。

第十八条风险监控局根据风险识别模型所选用指标的风险分值以及预先确定的指标权重,选择加权值、加权平均值、最大值、最小值等计算方法,按户计算纳税人的风险积分,结合风险应对机构的应对资源状况,确定高等风险、中等风险和低等风险。

第十九条风险监控局根据已确定的纳税人风险等级,结合风险应对机构的应对能力状况,经县局风险管理领导小组办公室批准后,将高等风险推送稽查部门,中等风险推送中等风险应对部门,低等风险推税源基础管理部门,行为类风险根据部门工作职责确定应对机构,并明确应对期限及反馈要求。

第二十条风险监控局加强对风险应对的监控,督促风险应对机构按照要求完成应对任务。按季编写税收风险管理评价报告,主要内容包括分析风险发生的原因,评价风险识别模型及风险指标的有效性和风险应对的效率、效益,提出存在的问题及工作要求、改进税收征管、提升数据质量的建议等。

第二十一条风险监控局牵头建立覆盖税收风险管理全过程的绩效评价体系,建立税收风险管理能力评价模型,对风险管理所有环节、所有相关部门进行全方位评价和考核。

第二十二条风险监控局负责联系市局,对接总局和省市局要求,开展定点联系企业(大企业)风险管理工作。

第二十三条风险监控局牵头组织开展重点税源监控工作、制定重点税源实施办法及工作规范、组织重点税源调查、负责重点税源风险分析,编写风险分析报告。

五、交叉职能的处理原则

第二十四条风险监控局负责第三方数据的管理工作,统一对外与综合治税成员联系,负责第三方数据采集与整备;县局各科室为第三方数据利用的责任单位,负责提出数据采集需求、确定数据采集内容和制定数据应用方案。

第二十五条风险监控局负责风险指标、风险识别模型建设的统筹、组织及技术转换等工作;县局相关业务科室、县局稽查局和其他应对机构负责风险指标、风险识别模型的业务建设、风险指标验证与修正、持续改进等工作。

第二十六条风险监控局、风险发起人、督察内审科共同拟定风险复审名单,报县局税收风险管理领导小组确定,复审工作由督察内审科具体实施。

第二十七条风险监控局负责统筹建立全县风险特征库;县局相关业务管理部门负责工作职责范围内税收风险特征的征集、审核和确认工作。

六、附则

系统风险管理工作计划范文第2篇

随着医疗事业的不断发展,医院遭遇的内部与外部风险也是无可避免的,这时医院必须发挥风险导向审计在医院内部控制的作用,对医院内部进行自我监督、自我约束,使风险导向审计在医院内部发挥应有的作用。笔者在本文着重介绍了风险导向审计与医院内部控制的关系及风险导向审计在医院内部控制中的应用。

一、风险导向审计与医院内部控制的关系

风险导向审计是医院内部控制的重要组成部分,风险导向审计是对内部控制的再控制。医院虽然可以通过专业人士的评价、外部行政管理部门的监督检查、外聘中介机构等进行监督检查,但要想对日常事务进行全方位多层次的检查,只有内部审计可以做到。风险导向审计对医院内部控制系统的充分性、有效性发挥着重要作用,内部审计及时根据实际情况的变化而进行医院各部门的调整,为内部机制的有序运行提供保障。同样,内部控制搞好了,对于审计工作的顺利开展也有很大帮助:一方面可以提高审计效率,为审计制定合理的程序,另一方面也有助于确定审计的方法与范围,为审计提供依据,最后对于审计的质量也有了保证。

二、风险导向审计在医院内部控制中的应用

依据国家审计协会的《内部审计实务标准》,风险导向审计主要应用在编制审计计划时、确定审计范围时、编制审计方案时、实施审计过程中、编制审计报告时等,从风险导向审计与内部控制的关系来看,可以得出结论,医院风险导向审计离不开医院内部控制,采用风险导向审计办法,必须建立在对医院的风险管理与内部控制有一定了解的基础上,只有了解了这些基本情况,才能对内部控制实现再控制,合理配置审计资源,提高审计效率。

1.了解单位基本情况,进行应用思路的部署

进行风险导向审计的应用,必须要了解应用单位的基本情况,对于风险导向审计在医院内部控制中应用进行分析,必须要了解医院年总收入情况、固定资产、拥有病床数、相关背景、工作人员方面全方位的内容,然后进行运用思路的部署。为了实施风险导向审计,首先必须要对医院内部进行风险监测、分析、与预警,提高医院整体的风险防范意识,其次需建立健全医院内部控制制度,降低控制风险。通过对医院风险的分析与内部控制的评估,最后按风险的高低制定审计方案,开展审计工作。由审计风险模式可以看出,审计风险与重大错报风险和检查风险相关,其中重大错报风险很大层面上与医院的风险管理体制不严格、风险监测不严密相关。因此,应用风险导向审计的第一步便是完善风险管理体系。

2.建立与完善医院风险管理体系

医疗体制的改革,医疗卫生事业的迅速发展,使医院面临的风险越来越多且越来越大,建立与完善医院风险管理体系已经势在必行,为了促进医院管理体制的发展,根据相关文献与实践经验提出计划与控制系统应用于风险管理体系,如何实现计划与控制系统是需要深思的一个问题,我们必须要从组织保证、工作重点、具体措施三方面入手。在组织保证方面,需要明确的是要想实现计划与控制目标,必须要建立相应的机构来实现,这时,计划控制委员会的成立是必要的,其工作的内容是先制定医院的战略部署与总体的工作计划,再对工作的总体进程进行控制,最后对计划的内容进行评价,来决定计划与控制管理中的问题。

单独成立计划控制委员会无法对工作进行直接部署,在其下级需要成立发展计划部,计划部的组成人员可以有管理人员、医疗人员、文秘人员。该部门的主要任务是对医院各种相关情报进行收集整理分析,对于可能发生的风险提出提前预警方案,协助领导进行全院的计划与控制工作,为计划与控制委员会提出具有建设意义的方案,并且对计划的合理性进行审查与调划,成为计划与控制的桥梁。

依据其它企事业单位的实践与研究及相关研究资料表明,该部门的工作内容含有拟定实施计划与各项草案,审查设定的计划在医院风险管理以及内部控制中的运用情况,并对运用过程进行监督,对于在此过程中出现的问题给出评估,并给出相应的解决措施,对医院的内外部环境进行综合分析,对于潜在风险要进行日常管理。

医院要把全面风险管理的思想贯穿于计划与控制的整个过程,把此作为计划与控制管理工作的重点,以此为思路进行医院内部计划控制与管理,有助于计划实施的有步骤、有条理,从而实现医院的发展目标。

3.完善的系统控制降低风险

为完善医院的内部控制系统,实现风险导向在医院内部控制中的应用,要在以下几个方面进行相关研究。要点之一便是要通过监察审计室来进行内部控制的评价与估测,监察室有了对内部控制方案的基本了解后,明确各科室在内部控制中的职责,了解风险导向审计部门在对内部控制进行监督与评价时的责任与义务。依据相关文献与国家颁布的法律政策,实现评估与审计内部控制而采取的措施和政策有以下几项:审查医院的内部控制制度是否符合国家规定的有关法规以及企业制订规章制度、办法、程序等;审计医院内部控制系统是否具有真实性完整性、系统性全面性等特点。

要点之二便是排查风险,完善医院内部控制制度,这一点要求各部门对自己部门内部的各个程序所存在的风险进行一一排查与估算,对风险划分相应的等级,按照等级制定相应的应对与填补漏洞措施,完善内部控制,通过对风险点的排查,有效地降低风险的发生概率,对于风险导向审计在内部控制中的应用提供有效指导作用。

通过前两个要点对内部控制系统的完善可以有效地降低风险发生的可能性,要点三和四是对一和二的补充与拓展,要点三是开展内部风险评价试点,对内部风险进行量化评价,依据各风险点的影响与后果,划分风险等级,依据风险等级划分审计资源,节省人力、物力、财力,在有效的分配资源中降低了内部控制的风险等级。

要点四是制定和完善内部控制方法,内部控制的重要组成部分之一就是要对内部控制系统进行监督评价,因此,必须要形成有效的监督与评价体系,对医院内部各部门的风险等级进行明确划分,明确评价内容。具体评价内容包括内部控制环境、风险评估、制度建设、岗位设置与管理、权限控制、计划管理、计算机信息系统控制、应急机制等,把等级与内容相结合。

系统风险管理工作计划范文第3篇

    随着医疗事业的不断发展,医院遭遇的内部与外部风险也是无可避免的,这时医院必须发挥风险导向审计在医院内部控制的作用,对医院内部进行自我监督、自我约束,使风险导向审计在医院内部发挥应有的作用。笔者在本文着重介绍了风险导向审计与医院内部控制的关系及风险导向审计在医院内部控制中的应用。

    一、风险导向审计与医院内部控制的关系

    风险导向审计是医院内部控制的重要组成部分,风险导向审计是对内部控制的再控制。医院虽然可以通过专业人士的评价、外部行政管理部门的监督检查、外聘中介机构等进行监督检查,但要想对日常事务进行全方位多层次的检查,只有内部审计可以做到。风险导向审计对医院内部控制系统的充分性、有效性发挥着重要作用,内部审计及时根据实际情况的变化而进行医院各部门的调整,为内部机制的有序运行提供保障。同样,内部控制搞好了,对于审计工作的顺利开展也有很大帮助:一方面可以提高审计效率,为审计制定合理的程序,另一方面也有助于确定审计的方法与范围,为审计提供依据,最后对于审计的质量也有了保证。

    二、风险导向审计在医院内部控制中的应用

    依据国家审计协会的《内部审计实务标准》,风险导向审计主要应用在编制审计计划时、确定审计范围时、编制审计方案时、实施审计过程中、编制审计报告时等,从风险导向审计与内部控制的关系来看,可以得出结论,医院风险导向审计离不开医院内部控制,采用风险导向审计办法,必须建立在对医院的风险管理与内部控制有一定了解的基础上,只有了解了这些基本情况,才能对内部控制实现再控制,合理配置审计资源,提高审计效率。

    1.了解单位基本情况,进行应用思路的部署

    进行风险导向审计的应用,必须要了解应用单位的基本情况,对于风险导向审计在医院内部控制中应用进行分析,必须要了解医院年总收入情况、固定资产、拥有病床数、相关背景、工作人员方面全方位的内容,然后进行运用思路的部署。为了实施风险导向审计,首先必须要对医院内部进行风险监测、分析、与预警,提高医院整体的风险防范意识,其次需建立健全医院内部控制制度,降低控制风险。通过对医院风险的分析与内部控制的评估,最后按风险的高低制定审计方案,开展审计工作。由审计风险模式可以看出,审计风险与重大错报风险和检查风险相关,其中重大错报风险很大层面上与医院的风险管理体制不严格、风险监测不严密相关。因此,应用风险导向审计的第一步便是完善风险管理体系。

    2.建立与完善医院风险管理体系

    医疗体制的改革,医疗卫生事业的迅速发展,使医院面临的风险越来越多且越来越大,建立与完善医院风险管理体系已经势在必行,为了促进医院管理体制的发展,根据相关文献与实践经验提出计划与控制系统应用于风险管理体系,如何实现计划与控制系统是需要深思的一个问题,我们必须要从组织保证、工作重点、具体措施三方面入手。在组织保证方面,需要明确的是要想实现计划与控制目标,必须要建立相应的机构来实现,这时,计划控制委员会的成立是必要的,其工作的内容是先制定医院的战略部署与总体的工作计划,再对工作的总体进程进行控制,最后对计划的内容进行评价,来决定计划与控制管理中的问题。

    单独成立计划控制委员会无法对工作进行直接部署,在其下级需要成立发展计划部,计划部的组成人员可以有管理人员、医疗人员、文秘人员。该部门的主要任务是对医院各种相关情报进行收集整理分析,对于可能发生的风险提出提前预警方案,协助领导进行全院的计划与控制工作,为计划与控制委员会提出具有建设意义的方案,并且对计划的合理性进行审查与调划,成为计划与控制的桥梁。

    依据其它企事业单位的实践与研究及相关研究资料表明,该部门的工作内容含有拟定实施计划与各项草案,审查设定的计划在医院风险管理以及内部控制中的运用情况,并对运用过程进行监督,对于在此过程中出现的问题给出评估,并给出相应的解决措施,对医院的内外部环境进行综合分析,对于潜在风险要进行日常管理。

    医院要把全面风险管理的思想贯穿于计划与控制的整个过程,把此作为计划与控制管理工作的重点,以此为思路进行医院内部计划控制与管理,有助于计划实施的有步骤、有条理,从而实现医院的发展目标。

    3.完善的系统控制降低风险

    为完善医院的内部控制系统,实现风险导向在医院内部控制中的应用,要在以下几个方面进行相关研究。要点之一便是要通过监察审计室来进行内部控制的评价与估测,监察室有了对内部控制方案的基本了解后,明确各科室在内部控制中的职责,了解风险导向审计部门在对内部控制进行监督与评价时的责任与义务。依据相关文献与国家颁布的法律政策,实现评估与审计内部控制而采取的措施和政策有以下几项:审查医院的内部控制制度是否符合国家规定的有关法规以及企业制订规章制度、办法、程序等;审计医院内部控制系统是否具有真实性完整性、系统性全面性等特点。

    要点之二便是排查风险,完善医院内部控制制度,这一点要求各部门对自己部门内部的各个程序所存在的风险进行一一排查与估算,对风险划分相应的等级,按照等级制定相应的应对与填补漏洞措施,完善内部控制,通过对风险点的排查,有效地降低风险的发生概率,对于风险导向审计在内部控制中的应用提供有效指导作用。

    通过前两个要点对内部控制系统的完善可以有效地降低风险发生的可能性,要点三和四是对一和二的补充与拓展,要点三是开展内部风险评价试点,对内部风险进行量化评价,依据各风险点的影响与后果,划分风险等级,依据风险等级划分审计资源,节省人力、物力、财力,在有效的分配资源中降低了内部控制的风险等级。

    要点四是制定和完善内部控制方法,内部控制的重要组成部分之一就是要对内部控制系统进行监督评价,因此,必须要形成有效的监督与评价体系,对医院内部各部门的风险等级进行明确划分,明确评价内容。具体评价内容包括内部控制环境、风险评估、制度建设、岗位设置与管理、权限控制、计划管理、计算机信息系统控制、应急机制等,把等级与内容相结合。

系统风险管理工作计划范文第4篇

关键词:风险管理;项目管理;信息系统;措施

中图分类号:TP393.07 文献标识码:A DOI:10.3969/j.issn.1003-6970.2012.07.041

引言

项目风险是指由于项目所处环境和条件本身的不确定性及其项目主体或其他关联主体在客观上不能准确预见或控制影响的因素,使项目的最终结果与项目关联主体的期望值发生背离,从而给项目相关利益主体带来损失的可能性。项目风险管理强调对项目目标的主动控制,对项目实现过程中遭遇的风险和干扰因素做到防患于未然,其追求的目标就为了增加项目积极事件的概率和影响,降低项目消极事件的概率和影响,以避免和减少损失,实现项目管理过程中使损失降到最小,让效益或效率达到最大化的目的。信息系统项目的建设是复杂的、开放的、多变的和动态的,为此,在信息系统项目管理过程中可能面临的风险问题也日益突出,需要引进相应的管理方法对整个过程及每个环节进行有效的管理。因此,如何进行

信息系统项目的风险管理就成为我们当今企业所面临的一个重要的、关键性的问题。同时,风险管理也为信息系统项目的管理提供了一种新的手段及新的思路。在本论文中,笔者将根据自己亲自负责过的一个信息系统项目的风险管理工作所获得的经验与体会,深入探讨如何做好信息系统项目的风险管理。

2010年5月,广西某工程总公司与笔者所在公司签署信息化战略合作协议及《工程项目综合管理系统》信息系统项目建设协议,我有幸被任命为项目经理,全面负责项目的管理和监控工作。广西某工程总公司是广西壮族自治区人民政府监管的建筑施工企业,实力雄厚,其核心的组织结构为集团、分公司、项目部施工地三级。该项目要求信息系统采用先进、稳定、安全的技术手段,通过搭建企业工程项目综合管理信息系统平台,满足企业各层级的管理需求,促进企业不断提高生产、经营、管理、决策的效率和水平,从而提高企业的经济效益,增强企业的市场竞争力和核心竞争力。

在笔者组织下,我们根据该企业的组织机构特点和各层级的业务范围,拟定了系统功能:集团层:数据的查询分析、业务的审批监控、系统参数确定及辅助决策等;分公司层:数据查询分析(受限),业务流上传下达、报表审核、项目控制与操作等;施工项目层:具体业务操作、基础数据录入、报表准备、项目状态更新等。系统采用J2EE技术架构,数据库采用Oracle 10g,用Java作为开发语言,将前瞻性与实用性相结合,实现了可高度伸缩的系统,以此来满足该企业当前及未来发展的应用需要。

1.信息系统项目风险管理的进程及其内容

众所周知,信息系统项目开发过程中的不确定因素很多,即便进行了科学、详细周密的计划和跟踪,有时风险依然不可避免、难以预测。在项目实施中的各个层次、过程及环节中,存在着很大的不确定性、不稳定性和不可预见性,因此,要将项目的全部环节纳入风险管理计划中,以确保项目实施中不超成本,不减进度,确保按质按量按时完成预定的目标。要对信息系统项目进行合理、有效的风险管理,首先要制定风险管理计划,对风险进行预测,然后准确地识别风险,并对其进行定性和定量等,并在此基础上制定风险的相关应对策略,最后完善对风险的跟踪、监控、管理及处理,以最低的成本实现项目生命周期中最大的安全保障。

1.1制定风险管理计划

“凡事预则立,不预则废”,开发信息系统项目要有指导方针和详细计划。风险管理计划是风险管理的关键环节,是后继的风险识别、分析、应对和监控的依据,也是制定相应风险应对措施的重要依据。

信息系统项目的风险管理贯穿项目整个生命周期,即在项目的每一个阶段都必须对风险进行预测和计划,进而形成一个风险分析清单,然后制定风险管理计划。在笔者所负责的信息系统开发项目初期,通过邀请团队成员、客户业务代表及相关专家等,以召开会议研讨的形式拟定了该项目的风险管理计划,内容包括:风险管理的步骤;风险管理的负责人及其具体职责范围、任务和方法措施;项目的投入预算;风险的分类、分级;根据风险,如何进行成本、进度、质量的平衡等。为了规范风险管理计划实施过程中的沟通活动,还制定了相应的风险报告模板来满足实际需要。

在信息系统项目的实施过程中,应根据项目进展的实际情况,详细记录风险来源、风险发生的可能条件及出现的症状等信息,制定相应的风险应对措施。在项目的实施过程中,我们对风险管理计划进行了多次修改,确保风险管理计划更加符合实际情况和未来发展需要,更具有针对性和实用性,更能反映应对风险的实际需求。正是通过这种持续的改进和滚动措施,完善了信息系统项目的风险应对策略和执行方案,避免了一些风险,有效地预测并控制了某些风险,切实减小了风险的影响。

1.2风险的识别

信息系统项目的风险管理不是静止的,而是动态的、复杂的、不确定的。在笔者所负责的信息系统项目的实施过程中,我们采用分析、走查、评审等方法来识别风险。将识别出来的风险进行归类、分级,然后记录在风险识别列表中,并不断的对其进行动态更新。

该信息系统项目以业务模块开发为主,我们对程序代码和项目文档进行了走查,对各阶段的交付物进行了评审。对走查和评审中发现的问题追本溯源,认真分析信息系统项目实施过程中的不确定性因素、各种风险的来源以及风险之间的关系,找出造成问题的根本原因及其可能引起的后果,以确保及时准确地发现项目实施中存在的风险。在一次评审中,发现某个模块的交付物和预先设置的不同,我们意识到这可能导致质量风险,及时进行了处理。经调查,发现出现这种情况的原因是某程序员私自接受了客户的请求,并更改了程序的相关功能。基于这一风险因素,随后我们采取了相应的处理措施,即对“功能变更”做了更加严格的控制,避免类似的情况再次发生而影响项目质量和进度。

我们还通过分析进行风险识别。分析过程采用头脑风暴法,尽可能多的收集相关信息,分析隐藏的内容,以达到准确、及时识别风险的目的。项目成员对工作的认识及其积极性也是我们要考虑的风险因素。在实际操作中,我们对项目成员提交的每周工作报告进行仔细分析,发现维护员有连续几周没有实质性的工作进展的情况,经调查核实,主要是由于维护员对工作进程及阶段性任务的不同认识造成的。

除此之外,我们还定期邀请相关领域的专家,以研讨会的形式对项目的实际情况进行分析与问询,尽可能多地发现并识别项目中存在的潜在风险及其可能引起的后果。

1.3对风险进行排序和量化:风险定性分析和定量分析

在对信息系统项目进行风险识别的基础上,对风险存在的潜在性、隐蔽性及可能性进行预测,并对其可能造成的损失与影响进行分析,然后有针对性地做出相应的估计和衡量;对风险进行全面分析后,在此基础上对其可能产生的影响的大小进行排序,以使信息系统项目实施人员采取的措施更具有针对性和目的性,使信息系统项目的整体风险得到更加有效地预防和控制。

为了制定风险的应对策略,需要对识别出的风险进行定性分析。主要分析风险发生的可能性及其影响。因为同一个风险,会因不同的角色,而有不同的看法。比如,对于因新增功能需求引发的风险,开发人员担心影响进度,设计人员担心影响整体功能。因此我们一般采用会议研讨的方式进行定性分析,即对识别出的风险出现的概率和产生的影响进行评估,根据其对信息系统项目可能产生的危害性大小进行排序;根据风险类型,邀请相关领域的资深人士参加,依据有关操作经验及行业标准对风险进行定性分级,以提高风险预测结果的准确性和具体可操作性。通过定性分析,根据对影响信息系统项目的严重程度进行风险排序,确定风险的级别,以制定更有针对性的风险处理方案。

所谓风险定量分析,就是指在对特定风险的分析过程中,量化分析每一项风险的概率及其对信息系统项目的目标可能造成的后果与影响;基本内容为运用概率统计方法对风险的发生及其后果加以估计,得出比较准确的概率数据,为风险管理提供可靠的数据资料。风险定量分析是在不确定情况下进行决策的一种量化方法。

风险的量化分析是比较困难的,有时候投入了大量的资源,不一定能带来有价值的信息。我们主要采用专家评估的方法,结合三点估算,把风险转化为对时间、费用和目标的影响,进而分析项目完成可能需要的时间和成本。

在实际的项目风险评估过程中,定性分析和定量分析的方法常常结合在一起使用。首先将风险的不确定性进行量化,评价其潜在的影响,从而对风险进行排序归类,以便决策者采取更加有效的风险控制措施。

1.险响应规划:制定相应的风险防范措施和响应策略

为了减少风险发生的可能性,降低风险带来的危害,提高企业的效益和收益,根据已做出的风险识别与风险分析结果,形成风险管理的共识,制定相应的风险防范策略与应对措施,预防风险或减少损失,以达到使信息系统实施能够按照预定计划执行的目标。

在整个信息系统项目管理过程中,制定一个周密、完整、全面的风险响应措施和管理方案是必不可少的。因风险的多变性及复杂性,要根据风险的变化,及时制定或调整相关风险的应对措施,及时评价、监督风险应对的执行效果;要制定动态风险处理方案和技术措施,并对各项风险决策执行情况不断进行跟踪检查,细化项目流程,对项目内容进行梳理归类分析。通过制定防范策略,来有效阻止风险的发生和消除风险发生后带来的危害。在笔者所负责的信息系统开发项目的实施过程中,我们制定了如下相应措施:(1)物理安全管理方案:系统中心机房应采取安全防范措施,确保非授权人员无法进入。(2)数据备份与恢复方案:在内部网络系统中,主要设备、软件、数据、电源等应有备份,并具有在较短时间内恢复系统运行的能力。(3)技术风险管理:不断更新技术风险信息,采用先进、有效、合理的技术;另外,我们还聘请相关专家召开研讨会和对相关人员加强培训的方式来防范风险。(4)进度风险管理方案:因为项目的工期已经确定,因此存在进度风险。为确保进度,我们定期召开项目会议,检查项目的进展情况,发现有延期的任务,及时分析原因,制定相关的应对措施,通过加班和增加有经验的优秀员工可以得到有效的化解;另外,还可根据项目进度与交付物管理计划,设计有针对性的正式沟通计划来降低进度风险。(5)质量风险管理方案:质量是客户最关心的我们在合同约束下,针对每个交付物的验收标准制定严格的质量控制方法与手段,对整个项目管理过程进行责任的可追溯设计;还成立了专门的质量保证小组,通过加强测试等手段确保质量。(6)人员流失风险管理方案:根据范围、成本与进度要求,进行人力资源技能、数量以及使用时间的预算。我们制订了一份人力资源预算计划,作为人力资源预算执行过程中的控制基线,并设计执行过程中相关人员的考核依据。为避免人员流失给项目带来的风险,我们和人力资源部一起制定了一套有效的激励机制并确保落实,平时通过培训、聚餐、拓展训练等加强团队的凝聚力,构建一个稳定的项目团队。(7)事故应急方案:制定在内部网络发生安全事故时的应急响应步骤。由于客户方的用户多,系统性能方面存在风险,我们制定的响应策略主要为增加硬件资源来提高系统性能。另外,对于因项目范围模糊引发的风险,我们通过召开评审大会对范围说明书进行评审和确认,并让客户签字确认,若出现超出范围的需求变更,用户要承担一定的责任。

1.5做好风险的跟踪和监控

在信息系统项目实施过程中,风险管理是保障项目顺利进行的重要手段。成功的风险管理可以有效防止或减少项目受潜在风险的影响,充当信息系统实施的“保护伞”。

风险跟踪与监控是在信息系统实施中,对风险发生情况的控制和对风险管理过程的监督。

要对已识别的风险的状态进行跟踪,监控风险是否发生;发生后采取的一系列应对措施是否有效,风险是否已经消除,会不会引发新的风险等;还要继续识别可能发生的风险,对其进行分析,制定应对措施,更新分析列表,实现PDCA(英文单词Plan(计划)、Do(实施)、Check(检查)、Adjustment(调整)的首字母组合)的良性循环,进行持续的、动态的风险管理。

在笔者所负责的信息系统项目开发中,我们主要采用监控会议的方式来跟踪和监控风险。每次会议都对项目中的风险、应对策略的执行和跟踪情况进行评估和总结。同时,还要关注信息系统功能需求变更和项目的具体进展,因为功能需求变更会带来新的风险。随着项目的不断变化,有些风险会自动消失,而有的风险会发生改变,对残留的风险要加强评估,制定相关应对措施,降低风险带来的不利影响。通过建立合理的、科学的信息安全工作体系,确保信息系统项目管理的良性循环。

2.结语

系统风险管理工作计划范文第5篇

关键词:华兴综合管理信息系统需求进度CMMI(软件能力成熟度模型) 风险管理

中图分类号:C931.6文献标识码: A

一、前言

华兴综合管理信息系统于2011年11月5日正式通过了住建部专家对我公司特级资质就位信息化实地考核,公司的信息化建设终于取得了阶段性的成果。作为一个华兴综合管理信息系统开发的全程参与及经历者,深感在华兴综合管理信息系统的开发中,对整个开发过程的风险控制弥足重要。

二、华兴综合管理信息系统开发过程的简要回顾

第一阶段:2006年2月,公司启动了华兴综合管理信息系统的开发,选定了软件开发商,成立了软件开发小组,进入了实质性的开发。并制定了需要开发的子系统为:项目信息管理子系统、人力资源管理子系统、设备管理子系统、OA办公四个子系统,在华兴综合管理信息系统开发的过程中,由于种种原因产生了初期的需求调研不充分,致使系统开发进展不顺,因而开发出来的项目信息、设备管理、OA办公几个子系统的功能有限,没有达到预期的使用效果。

第二阶段:2009年6月,根据公司的实际需求,要求软件开发商对2006年开发的华兴综合管理信息系统进行升级改造,并对其中的OA办公、协同门户、物资管理、成本管理、进度管理、设备管理、风险管理等进行符合公司的适应性开发,虽然取得了一些效果,但是由于开发过程中的需求变更频繁,致使开发工作进展缓慢,成本增加。

第三阶段:2010年12月,公司成立了信息化建设的软件开发组,成员由软件开发商以及我方的自有的软件开发人员组成,同时成立了信息化建设的推进组,成员由科研部信息化专业人员组成,负责华兴综合管理信息系统的需求分析确定、与各业务部门的协调、各子系统上线的培训、各子系统的数据核查等,两个小组分工协同,在开发的过程中充分识别和评估了可能存在的风险,并制定了相应的应对措施,使华兴综合管理信息系统得以顺利的开发和完善,并在不到一年的时间内上线运行。

三、华兴综合管理信息系统开发的风险管理

风险管理是软件开发过程中减少失败的重要手段,在软件开发过程中的风险管理,即是在软件开发之前,通过识别出潜在风险,并对风险进行分析,判断出风险的危害程度,并采取相应的应对措施进行控制和管理,从而规避或缓解风险带来的不利影响。由此可见,有效的风险管理可以提前发现那些潜在的问题,提前对风险制定对策就,并在风险发生的时候迅速做出反应,将工作方式从被动救火方式转变为主动防范,使软件开发的进程更加平稳,获得很高的跟踪和掌控软件开发过程的能力。

软件开发过程中的风险管理是一个动态的管理过程,是风险识别、风险评估、风险控制的循环管理过程。

通过对华兴综合管理信息系统开发过程三个阶段的回顾可以看出,风险管理在华兴综合管理信息系统开发过程中控制起着举足轻重的作用,风险控制的好坏直接影响着系统开发的成败。

因此,我们在华兴综合管理信息系统第三阶段的开发的同时加强了对开发过程的风险,识别和评估出我们主要的风险有:系统需求方面的风险、软件开发人员方面的风险、软件开发进度的风险等。

下面就华兴综合管理信息系统第三阶段开发过程中遇到的风险及解决和预防措施做简要分析:

1、初期需求风险

华兴综合管理信息系统在确定需求时都面临着一些不确定性和混乱,当早期如果忽视了这些不确定性,并在进展过程中得不到解决这些问题就会对华兴综合管理信息系统造成很大的威胁。

初期需求风险因素主要表现在以下方面:

对华兴综合管理信息系统缺少清晰的认识

对华兴综合管理信息系统需求缺少认同

在做需求中各业务人员参与深度不够

针对以上可能存在的风险因素,我们采取了以下初期需求风险防范对策

(1)需求分析是整个华兴综合管理信息系统开发中需要重点控制的几个关键节点之一,首先我们在各种讨论会或是合适的场合,给需求提出者宣传需求分析的重要意义,使其在在思想上重视。

(2)需求分析报告的编写者参与到需求的搜集工作中,准确领会各个业务管理部门的意图,并转化成软件能够实现的功能。对于说不清楚需求的相关业务人员,我们抓住关键问题进行提问,或开发用户界面原型,引导相关业务人员提出自己的需求,并组织业务人员多次召开需求讨论会,详细讨论业务人员的需求。

(3)对各项需求进行了深入分析,区别出哪些需求存在日后变更的可能,哪些需求属于相对固定的,哪些需求能够实现,哪些需求需要变通才能实现,以便于指导后面的功能设计。

(4)在需求分析报告中对功能细节的描述确保全面、准确,防止歧义。

(5)需求报告的每个关乎功能的描述都让业务人员明白和理解,只有业务人员在理解之上的确认才能够保证日后一旦出现问题不致出现双方互相推托责任纠缠不清的情况。

(6)需求报告经过了由软件开发小组人员、相关业务人员及信息化推进小组相关人员参加的评审,充分发挥了团队的力量,重视每个人的才智,一个模块一个功能的逐一的过,让大家来共同找出需求报告里不合理的、有歧义的、不完善的、遗漏等问题。

通过上述策略,我们达到了初期需求阶段的主要目的:确定了华兴综合管理信息系统中每一个子系统的明确目标和清晰的范围,并通过提高公司高层的认识,强化公司对开发华兴综合管理信息系统的支持力度,为日后系统的顺利开发打下良好的基础。

2、开发过程中的需求变更风险

随着软件开发的进展,原始的初步的需求已经转化为看得见的软件内容,用户已经可以看到软件的雏形,用户的逐渐成熟,对于软件的具体要求也越来越清晰,此时不单是对原有需求的细化,而且对于软件功能提出了新的更高层次的需求,对软件的未来功能充满了期待,甚至出现了不切实际的需求。有时虽然对用户看起来是很小的需求变动,然而对程序来讲可能要做结构上的调整,这对于整个软件开发小组来讲无疑是场噩梦。另外,需求的变更还会使项目的进程可能远远地偏离了原有的计划,打乱安排好的进度,原来已经完成的工作不得不重来,项目进程陷入了反复拉锯的状态。由于时间的延期项目成本也将增加可能会是惊人的。例如在华兴综合管理信息系统开发的第二阶段的开发过程中,就产生了上述问题,需求变更频繁,致使系统开发一度处于停滞阶段,并且众多的需求变更累计的金额也十分巨大,如第二阶段中的设备变更单累计金额就多达36.6万元。

因此,我们总结了第一、第二阶段的经验和教训,需要避免上诉的问题再次发生,在第三阶段的开发过程中,我们意识到了如何正确处理需求变动风险十分重要的,并采取了如下的应对措施:

(1)大的需求的变更不但要经过需求变更提出者的书面确认,而且还需要其相关领导的确认。

(2)小的需求变更也要经过正规的需求管理流程。

(3)组织需求提出方与软件开发方进行充分的交流和沟通,达到一个双方都能接受的平衡点。因为精确的需求与范围定义并不会阻止需求的变更,并非对需求定义的越细,越能避免需求的渐变,太细的需求定义对需求渐变没有任何效果,因为需求的变化是永恒的,并非由于需求写细了,它就不会变化了。

3、人力资源风险

华兴综合管理信息系统不同于其他工程,它是智力密集型、劳动密集型项目,主要是靠人来完成,因此合理的配置使用人力资源成为华兴综合管理信息系统成败的关键之一。

在华兴综合管理信息系统中人力资源的风险主要表现在以下几个方面:

开发人员的技术水平是否达到要求

开发人员的数量是否足够

开发人员是否能够自始至终地参加软件开发工作。

开发人员是否能够集中全部精力投入软件开发工作。

开发人员的流动是否能够保证工作的连续性。

为了消除以上风险因素,在华兴综合管理信息系统的开发过程中,采取了以下应对措施:

(1)与软件开发商鉴定了战略性的合作协议,使华兴综合管理信息系统开发成功能达到双赢的效果,从而保证了软件开发商的积极性,使软件开发商在其软件开发人员的数量、质量及软件开发人员的稳定得以充分的保障。

(2)采用联合开发的方式,将我公司自有的软件开发人员参与其中,预防在非常时期软件开发人员不会断档。

(3)在华兴综合管理信息系统开发过程中,所有的过程都要形成正式的文档,这些文档包括数据库设计的文档、源代码、源代码说明、概要设计说明书、用户手册等等文档。在三阶段的开发中,我们验收了华兴综合管理信息系统源代码一份、数据库完整ER图一份、需求报告12份,用户手册11份,有了这些资料,即便软件开发商退场,我们自己的软件开发人员也能接手。

4、进度风险

华兴综合管理信息系统看了第三阶段的开发,事实上从2010年12月开始正式启动,共计要完善和开发14个子系统,并要符合公司实际业务需要,还要达到特级资质考核的标准,时间特别紧迫,此时进度是最大潜在的风险,如果不加以控制,那华兴综合管理信息系统将不能按时上线交付,那么公司的就位考核将不能通过考核,那将给公司带来的后果是灾难性的。因此,在华兴综合管理信息系统的开发中,控制进度风险尤为重要,我们采取了以下措施进行了进度风险的控制:

(1)我们首先制定了总计划,在总体计划中明确各个阶段的任务完成时间,然后在总计划的基础上进行细化分解,分解为较为精确周计划,计划的实施时间精确到天。

(2)每周一开例会,开会期间总结上周的任务完成情况,如有问题,分析原因,及时解决。

(3)如果入到突发事件,及时调整计划,总之保证计划的如期完成。

(4)提高开发人员的主动性和积极性,在人性化管理的基础上,加班加点地工作,保证实际进度不晚于计划进度。

5、华兴综合管理信息系统上线运行的风险

华兴综合管理信息系统开发完成只是完成了第一步,,成败的关键还看上线运行及推广应用,在华兴中核管理信息系统初期运行阶段中,通过评估,我们认为存在以下几点风险因素:

传统工作习惯的阻力

用户掌握系统使用熟练程度

繁琐的数据初始化工作

系统不可预见性的问题

为了有效控制上述风险,我们采取了以下几点措施:

(1)领导的关注和决策是软件应用效果的重要保障,因此,在召开系统上线推广会议时,邀请了公司高层主管领导、各事业部相关领导、各业务部门负责人共同参与,共同明确后续需要配合的事项及系统应用策略,如系统上线启用时间点、功能模块上线范围、相关业务人员使用范围,并建立业务基础数据的责任部门及责任人。由于领导的参与,传统的工作习惯的阻力能很顺利的化解,保证的整改系统的推广及应用。

(2)制定了信息的用户培训计划,充分利用公司视频会议的便利条件,对用户进行了大规模的轮番培训,以用户熟练掌握系统应用为原则,同时组建了多个QQ答疑群,随时回答用户在使用系统过程中存在的问题,使用户能在比较短的时间内熟练掌握了系统的应用。

(3)对于繁琐的数据初始化的问题,我们采用后台数据库导入的方式进行,这样既方便了用户,又保证了需要迁移的历史数据或初始化数据的快速、准确地录入到系统中。

(4)在华兴综合管理信息系统运行的初期,我们也遇到了意料之外的情况,在众多用户登录到系统后,由于并发数量过大,超出了服务器的承载,是整个系统的应用响应速度非常的慢,当我们找到原因以后,立即采用的服务器负载均衡的方式解决了这一问题。

四、总结与展望

华兴综合管理信息系统第三阶段的开发,由于在开发之前,对开发过程中可能产生的风险因素进行了充分的识别、评估及控制,使系统的开发及上线运行得以顺利进行,使公司特级资质就位信息化的考核得以顺利通过,获得了好评。

但是,华兴综合管理信息系统开发过程中的风险管理,是我们凭着经验而为,还没有升华到系统的、精细化的软件开发的风险管理,因此,我们在今后的软件开发过程中的风险管理,应在理论的指导下,与公司的具体实际情况相结合,建立一套符合公司实际情况的软件开发的风险管理体系,我对今后公司软件开发的风险管理展望如下:

建立基于CMMI(软件能力成熟度模型)的软件开发的风险管理体系,基于CMMI软件开发风险管理是强调过程管理,可以通过图一中的流程来说明。

图一:风险管理流程

风险规划:

在进行风险管理的过程中,风险规划的环节十分重要,可以通过以下模型(图二)进行风险规划:

图二:风险规划

在风险规划阶段,我们需要做的工作是:

确定风险来源:了解风险来源,将为系统地检查不断变化的风险情况打下基础,以揭示那些在软件开发过程中造成不利影响的风险。

确定风险类别:确定风险类别是为收集的风险分门别类,标识风险类别有助于风险缓解计划中整合将来的缓解活动。

定义风险参数:风险参数是评价风险的标准,使得在管理不同级别风险的时候,确保最终结果的一致性。

风险标识:

图三:风险标识

风险的标识需要软件开发项目经理和项目成员共同完成,以识别任何可能对工作或工作计划造成不利影响的潜在问题、危害、威胁等。

风险识别的依据是:项目计划、风险管理总计划、历史经验信息、项目内部的不确定性、外部风险等因素来加以判断。

风险识别的过程,风险识别是将项目的不确定性转变为风险的陈述过程,它包括三个步骤:

集记录资料

②风险定义及分类

③将风险编写为文档

识别出来的风险需要简明地表述出来,为下一步风险管理提供参考的依据。通过编写风险陈述和详细说明风险场景来记录已知风险。

风险分析:

图四:风险分析

项目经理负责运用风险类别和参数对所识别的风险进行评估并且对其赋值。这些参数包括可能性(概率)、后果(严重性或影响)以及时间框架(预计风险可能发生的时间关系)。如何确定该风险发生的可能性、后果和时间是需要评估人员根据经验或者历史数据的。这个值可以根据公司的实际情况来定,也可以根据项目的具体情况进行适当的调整。

风险分析过程包括如下步骤:

①确定风险类别:对已辨识的风险进行归类,同一类风险在一定程度上反映了风险的重要属性,对冗余的风险应该排除。

②判定风险来源及风险驱动因素:风险来源是引起风险的内在因素,由于风险识别确定的风险来源可能不太准确,因此需要通过风险分析更进一步判别,使得风险的来源更加简明、准确,便于进行下一步风险管理。

③定义风险度量准则:风险度量准则是进行风险优先级的基础,它是用来确定各风险对项目影响的相对重要性的依据。它包括可能性、后果和行动时间框架。可能性的定性度量简单定义为:高、中、低,定量度量一般用概率表示;后果的度量也可以分定性和定量的度量,这就需要根据不同的风险类型,来具体选用度量的方法;行动时间框架是指采取有效措施规避风险的时限,阻止风险发生的行动时间也随项目的不同而不同。

④预测风险影响:根据风险度量准则,用风险发生的可能性与风险后果的乘积度量风险的影响,在进度的影响中预测风险的影响是通过时间的延长来度量的。

⑤风险优先级:项目的风险很多,由于项目资源有限,不能处理每一个风险,只能集中有效资源,对高风险进行有效的管理,因此需要对已识别度量的风险进行排序,以便保证风险管理的有效性。

风险控制:

风险控制是采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或者减少风险事件发生时造成的损失。风险控制图如下图所示:

图五:风险控制

控制是指风险负责人以跟踪报告中提供的数据为基础,做出有关风险的决定。控制活动包括分析、决策和采取行动。

分析是使用跟踪数据来考察项目风险的趋势、偏差和异常情况,以此来标识风险状态中的显著变化,评估缓解计划的有效性,使决策者准确地决定最佳的行动路线。

决策是为了保证继续有效地管理项目风险,使用跟踪数据来决定如何继续进行项目风险管理,如:重新计划、关闭风险、启用应急计划、继续跟踪和控制活动等。当出现阈值超出了设定的限制、当前计划不起作用、发生了意外事件,使用趋势向相反方面发展时都应该重新制定计划。当出现风险发生的概率已经降低到或风险的影响已经减小到一个特定值以下、风险已经变成了问题并且对这个问题正在进行跟踪时,可以关闭该风险。启用风险应急计划是当出现已经超出触发条件或需要采取有关的行动时,可以启动风险应急计划。通过分析跟踪数据,发现一切都是按计划在进行,项目人员决定继续像以前一样跟踪风险。

采取行动是指执行那些关系风险和缓解计划中所作的决定,并保证将其文档化,存入公司过程财富库中,以便作为历史纪录和将来参考之用。

有效的控制能监督计划执行的质量、检测风险状态中的明显变化,同时能够对风险适时地做出以信息为基础的决策。

风险控制可分为四个步骤进行:

对触发事件做出反应

触发器提出风险警报时,收到警报的人立即对触发事件做出反应,安排有关负责人(风险应对者)负责做好风险应对的准备。

执行风险行动计划

风险应对行动应该落实到相应的风险应对的实施人员,实施者根据风险应对计划和风险事件的实际情况,执行相应风险应对的措施。

对照计划报告进展

在执行风险行动计划的同时,必须将风险应对的实施结果与风险应对计划进行对照,及时发现两者的偏差。

④修正与计划的偏差

一般应对计划和实际情况有一定的差别,因此需要对应对计划进行及时地调整修正,使得风险应对措施更为有效,并且需要将改进的内容记录在案,以便在将来制定风险应对计划能考虑到类似问题。

由此可见,通过建立基于CMMI的软件开发风险管理体系,能够实现软件开发的风险管理精细化、规范化,能对软件开发中的风险进行定性和定量的管控,提高公司软件开发的风险管理水平,将软件开发中出现的风险降低到可接受的范围。

参考文献:

[1]《软件项目管理与敏捷方法》

系统风险管理工作计划范文第6篇

制定合理的工期计划,严格按照执行并进行有效的纠正控制措施是实现铁路通信工程能够按期完成的关键措施,也是有效降低工程成本的重要手段。在项目计划阶段要编制工程进度计划表,该表主要包括工程中各子项目的计划开始时间和完成时间,子项目之间的关系等内容。其制订技巧可以根据细化的各项进程列表、进程执行时间和各项工序的逻辑顺序以及各种内外部的制约条件进行制订。其中内外部的制约条件是影响工期的重要因素。工序的逻辑关系也是工期进度的主要风险点,尤其是重要工程的相互依赖关系。对于项目计划表中的不确定因素,需要在设计时留有一定的余地。在完成进度计划表后一定要进行严格的进度控制,倘若实际进度落后于计划进度,则要压缩工期追赶计划,常见手段有赶工和任务并进。但是追赶计划工期有可能会降低工程质量,因此需要分析工期延误的原因,从根本上解决问题。

2.充分的施工前准备

为了能够按期优质完成通信工程项目,参与项目施工的所有人员均有责任对施工前的各项准备工作进行监督与落实。常见的方法是按照详细的检查表对准备工作进行仔细检查,如设计文件与前期所需材料是否到位,施工图纸和资料数据等是否齐全,施工场地是否符合要求,人力及其它资源是否准备妥当等。对于铁路项目中的通信工程需要额外注意网络规划和铁路应用数据的匹配问题。网络规划要根据经验和实际情况进行统筹分析,铁路应用数据的匹配问题需要专业的技术人员通过调研等方式收集相关信息与数据并向设备商提出需求,使得符合标准和要求的设备能够按期提供保证开工。另外,在项目建设期间就可以开始系统运维和管理的技术培训工作,这样也有利于通信工程项目向铁路运维部门的顺利移交。

3.理清工程界面和接口

所谓的工程界面和接口包括管理界面和技术界面。管理界面是得到统一承认的项目管理办法的文件,规定了参建人员的职责,规范了参建人员间的管理接口界面、工作流程和报告关系等。管理界面应该在项目计划阶段之前建设完成并公布,要求参建人员各司其职,严格执行。技术界面泛指各子系统间的技术接口,如需要遵循的技术规范和标准等。技术界面的建立可以保障设备在特定条件下稳定可靠工作,达到项目建设的预期目标。理清了工程界面和接口可以保证各子系统整合成为一个巨大的系统时能够稳定可靠的工作,维持了系统局部与全局的统一协调,是保障工程能够达到预期目标、质量过硬的重要手段。

4.强化风险管理

在项目建设从规划到实施的每一个过程中均存在不同的风险,一旦风险发生,将对项目的预期目标在质量、工期或成本某一方面或某些方面产生或大或小的负面效果。因此需要贯彻落实风险管理,预防风险的发生。进行风险预防的最重要措施是风险识别,制定出一份关于风险及其在何种条件下被触发的详细文件。所做的风险识别越全面,所做的风险应对计划也就越详细,对风险的预防或应对就能够准备的越充分,就能够在发生风险时把损失降到最低。在通信工程中的技术方案风险可以通过全面的审查与调研来进行识别,然后再安排适当的风险应对措施,视情况而定选择规避风险、转移风险、减轻风险或接受风险。并根据风险应对措施对项目计划进行反馈修改。只识别到风险而不进行监控是徒劳的,因此必须对风险进行监控,常见方式有根据时间来监控风险和根据工程所处环境的变化来监控风险。强化风险管理必须做到谨防风险不瞒报,对于已被识别的风险要告知具体相关负责人,而相关负责人对于发生的风险及其变化情况要及时向管理层汇报,以便齐心协力共同应对风险。

5.总结与展望

我国项目管理在铁路通信工程中的应用还处于起步阶段,但目前的应用实例已经证明了科学的项目管理能够合理完成工期任务、降低工程开支、提高项目质量和效益,因此对其进行推广可以有效加速铁路通信工程建设,具有重要的社会意义和经济意义。在铁路通信工程建设如火如荼的情况下,要实现系统、规范、现代化的科学项目管理,必须从项目管理的思路、方法与制度上进行研究与创新,切实做到一下方面:

(1)理念更新。把铁路通信工程的设计当做一个具有完整生命周期的完整系统与过程,重视局部对于整体重要性,进行项目管理时不能忽视整体中的任何阶段。

(2)管理手段多样化。根据铁路通信工程的特点,实施多样化的项目管理手段,如工作分解结构、组织分解结构、责任矩阵、网络管理、增值方法等。

系统风险管理工作计划范文第7篇

实践流程设计风险导向内部审计信息化的应用并不是意味着将风险导向的理念全部应用到审计信息化工作中,根据目前国内较早应用风险导向内部审计信息化企业的探索经验及电网企业的实际情况,只能是将风险导向理念引入审计业务中,部分业务采用信息化方式实现,因此设计理念采用手工业务流程和信息化相结合的方式实现。

1、风险导向内部审计工作流程

1)内部审计规划制定。

收集较为全面的风险评估信息,梳理风险,从可能性和影响程度2个维度进行评估,识别出重要业务单位和重要业务流程,编制风险图谱,对未来几年内审计进行部署,同时制定审计策略,做出对内部审计所需资源的部署,制定相应的职责定位和业务范围,由审计小组人员共同探讨决定,根据业务发展变更规划,不定期进行。电网企业通过开发风险管理信息系统,在信息系统中设置风险管理信息库,通过信息库的信息实现系统自动统计分析,自动评估风险,识别重要业务流程,并在系统中通过风险图谱形象地展示风险分布。

2)年度审计计划编制。

一般在12月份左右编制下年度审计计划,由审计小组牵头,所属单位审计或财务主管人员参与,流程如下。①确定审计项目类别并量化风险,根据风险值为风险进行排序,最后起草年度审计计划。其中量化风险包括建立风险因素标准分值体系,确定重要性系数,为风险因素打分,该部分工作可在风险管理信息系统中实现。②确定审计项目类别。通过和公司高层访谈征求意见,对机关领导和下属单位各职能部门下发调研问卷,收集审计人员意见形成审计项目计划建议方案,对审计项目进行分类列示。在对各项进行风险评估时,对领导、机关人员、审计人员赋予不同权重分值,根据最后合计分值计算出各项目的排序,由此确定年度审计项目计划的类别。该项工作需要手工完成,然后录入风险管理信息系统。③量化风险。识别出主要风险后,分析风险成因,将风险转化为可测量的具体风险因素,对各因素赋予不同的数值,说明其重要性;对各个因素的风险大小通过“高、中、低”进行反映,通过公式“因素风险值=风险因素标准分×重要性系数”为风险因素打分,设置“风险因素标准评分体系”及“重要性系数评分参考表”对其赋予量化分值,该项工作可在风险管理信息系统中实现。④根据风险值对风险进行排序。根据量化风险中计算的风险值对审计项目排序,将审计项目按总风险值高低汇总排序,作为审计计划阶段的风险评估工作结果。⑤起草年度审计计划。根据风险排序可知高风险审计项目,考虑人力资源和审计费用等因素,根据该信息制定年度审计计划,可以在信息系统中进行审计计划流程设置并收集相关资料。

3)具体审计项目实施

审前准备阶段、现场实施阶段、终结审计阶段和后续审计阶段。①审前准备阶段侧重对审计对象的风险评估,审计方案的编写应以审前调查结果为依据,方案中列明具体审计要点对应的企业目标、风险、控制措施,抽取样本量的大小应以风险评估结果为依据,高风险审计要点应抽取高比例的样本,低风险审计要点应抽取低比例的样本,根据“风险=可能性×影响程度”对项目风险进行评估,该项工作可在风险管理信息系统中实现。②现场实施阶段根据评估结果重点审计风险大的审计要点,并根据新增信息调整风险评估结果,优化审计步骤,修正审前阶段风险评估的误差,形成工作记录和工作底稿,该项工作为手工完成,录入风险管理信息系统。③终结审计阶段主要提交审计报告,体现风险管理效果的评价结论和建议,可在风险管理信息系统中实现,具体内容见表1所列。④后续审计阶段对审计出的问题进行继续跟踪审计,达到整改目标为止。可将实施信息在风险管理信息系统中进行填写,以便完成后续工作。

4)流程再造。

在对上述业务进行实践的基础上,如果发现某些环节出现了问题或者已经完全不适合审计的需要,可以对流程进行重新设计。形成新的审计流程图和审计结构的调整,该项工作可以随时进行,由地市审计部门组织,由各审计人员根据实际审计中发现的问题出具书面申请,经小组评估通过后进行。该项工作可以在信息系统中参考以前工作流程的资料进行判断,将流程再造的意见输入风险管理信息系统并提交。

2、保证流程正常运行的专业管理与控制

1)绩效考核制度:采用平衡计分卡对财务、客户、内部流程、员工学习和成长进行绩效管理,占员工奖金考核比重为+5%或-5%。

2)考核的具体指标:指标具体设置编制为指标体系,根据业务发展不断完善。

3)重大风险事项信息化管理措施:借助已有的信息化平台,尤其是ERP审计系统,可以链接信息化重要业务内容,实现原始数据的直接穿透,对常见的审计问题及重大风险事项进行文档归集管理,在该系统中及时查阅相关数据信息,出现异常及时处理,实现对重大风险的实时监控。

二、电网企业风险导向内部审计信息化建设展望

1、全员参与审计规划制定为了实现全面风险管理的思想,未来将审计规划拓展到更为广阔的领域,参与制定规划的机构也要随之不断完善,参与人数也要涉及业务的各个领域,使得规划制定更务实、有效,在信息系统中设置不同权限实现全员参与管理。

2、在信息系统中引进更科学的风险评估方法风险评估一直是风险管理的重点和难点,未来要加强风险评估的专业化研究,随着风险导向内部审计范围的不断扩大,风险评估手段要引进更多的分析方法,尤其是定量评估,如流程图法、风险指标法、敏感度分析法、情景分析法等,并对不同方式适合的业务类型进行细化管理。

3、建立风险评估信息数据库风险的评估主要是依靠信息资料,信息资料越充分,评估就越准确。风险评估内容包括风险测试、风险识别、风险评价、风险控制、风险报告等。未来所有业务数据可以通过风险管理信息系统实现集成,在系统中实现风险评估内容的自动生成,将目前电网企业信息系统所有信息自动链接,对行业指标设定阈值,如果超过阈值,系统自动报警,实现风险的自动化预警,比人工发现问题更及时,而且设定报警期限,如1天、1周或1个月,系统在设置的时间内,自动进行测试,并可出具相关风险信息的报告,详细反映该问题。

4、根据业务流程在信息系统中发现风险点在流程中发现风险是目前更为科学的风险管理方式,比单纯依靠财务资料、以往审计资料等渠道更为直接,更接近业务实际。目前电网企业信息系统已有业务流程管理功能,可根据目前业务流程进行功能升级,提高根据业务流程的各个控制点发现风险的能力。

5、在信息系统中引进数学模型对抽样进行科学分析设n为样本量,c为置信水平系数,S为标准差,L为可容忍误差,则:n=c2S2/L2(1)属性抽样审计法服从二项分布的原则,近似服从正态分布,在计算抽取数量多少时,置信水平越高,抽取的数量越多,可容忍误差越小,月底抽取的数量越多,可以实现高风险高抽取数量的科学预测,该方法在电网企业审计项目有相似模型可以参考。

三、结语

系统风险管理工作计划范文第8篇

1.1降低技术风险应对措施

对于通信工程信息管理系统的设计风险采取多轮、多层次、多专业论证的方法予以规避。采用风险缓解的方法,来解决后期的实施过程中出现的前期设计风险。加强挽救和应急方案的实施力度。由于项目周期过长,项目的设计方案有着明显的超前性,不能按照现有的国家标准为方案提供参考和评估依据,所以对于标准,规范所产生的风险应当使用专家组会审,然后设计施工方案。通过详细、准确、完备的施工计划来预防风险事件的发生。施工组织多轮的设计并且通过多轮的审核,但是因为大型工程项目都有较大的差异,所以尽管结构类似也不能相互移植,只能通过风险规避和缓解来解决。咨询机构依靠自己的设计来赚取咨询费用,而不是依靠卖产品和设备来提取佣金。这就使他们有可能真正保持“中立”,有可能摆脱工程项目管理组对某种项目的倾向性,降低合作风险,当好企业的参谋。随着在竞争环境中咨询行业的逐步规范发展,尽管目前咨询业的发展还并不是非常完善,但是可以相信,咨询公司的“中立”性会进一步的加强。

1.2降低管理风险应对措施

通信工程信息管理系统施工点多、投资大、施工专业多、施工面积大,招投标、监理、项目管理公司等项目咨询企业也很多,管理跨度大、层次多,组织机构设置既要满足项目管理方方面面的要求又要简单,要在项目规划期就做设计好组织机构,还要在项目实施过程中出现的此类风险时能够快速改变组织结构,采取缓解的措施,原则上主要采取风险控制的措施来对待此类风险。通信工程信息管理系统主要通过风险规避和自留来解决项目管理的计划工作风险。如通过增加项目风险储备金、广泛获取信息以合理地规避,运用成熟的方案等方法、增加项目资源来规避风险,如果风险可以自行承担,可以采用风险自留的方法,如果不能自行承担则将风险尽量的转嫁个相关单位,最大程度上降低风险对整个项目造成的危害,例如跨区域文化沟通风险,就是一个非常难控制的风险。通信工程信息管理系统中,完工风险也是一个非常重要的风险,在项目的制定和设计阶段就要充分注意到后期施工组织设计的系统行,详细考虑到各方面可能对进度造成影响的风险,充分准备,提前计划,快速反应,减少风险的发生,如果发生问题要尽量减少损失,还要避免产生连锁反应,例如,因为通信工程信息管理系统的土建施工计划不周详,导致进度延误影响了钢结构施工进度,钢结构施工进度又影响到了屋面施工进度,致使整体进度滞后。项目的质量风险要在之前详细的分析,积极的预防,发生后要积极使用方法将损失尽量降低。为应对项目实施过程中合作风险,很多信息被收集和反映出来,例会也扩大到了项目管理小组和项目实施小组两个层面,例会的周期由每月一次缩短到了每2周一次,并且越来越多的问题都在例会上被提出来讨论、决定,讨论改造功能风险计划、设计调整、进度控制等方面的问题。通过例会机制的建立。同时,制定切实可行的项目进度计划:根据项目总体目标,项目小组将实施过程划分为若干阶段,细化后的项目计划更利于项目的实施,并为细化项目长达数月年的实施过程,使目标更加具体,为每个阶段制定了具体的阶段目标、工作内容等。

1.3降低组织风险应对措施

由于通信工程信息管理系统的建设和应用,改变了原有的一些流程,改变了原有一些风险管理模式,为应对项目的流程重组带来的风险,项目小组主要采取了以下措施:打破部门的界限,向项目相关的各部门宣贯流程管理的意识。通过持续、深入地对上至公司领导层,向这些人员宣传、灌输通信工程信息管理系统风险管理的相关知识和信息,项目实施的管理人员、相关人员。除了上述的常规风险,还有一些合同风险和信用风险。主要使用转移、控制、自留的方法来解决。对于通信工程信息管理系统各相关方的合同风险来说,由于项目的特殊性,在合同签订时无法将所有风险考虑在内,但是可以通过广泛的获取信息,制定细致的合同、在合同中制定相应的工程担保条款、工程保险来规避或者是转移风险,如果风险损失影响不大的话,可以自己承担。

2结语

系统风险管理工作计划范文第9篇

1.1项目管理的定义

它需要管理人员熟练运用知识、技能、工具和专业技术对项目进行科学有效的管理,以便满足(甚至超过)项目利益关系者对项目的需求和期望。良好的项目管理可以缩短项目周期,降低项目成本,优化资源配置,使研发的系统发挥最大作用。

1.2预警信息系统软件具备项目管理的特点

预警信息系统是战场情报、预警探测装备、通信系统的有机集成,软件、硬件设备规模较大,其软件体系结构非常复杂,由多个子系统或配置项组成,可运行在有线、无线、短波、超短波等多种复杂的网络通信环境。软件系统对预警信息系统的可用性影响较大,因此,为了确保预警信息系统的软件质量,必须通过不断改进并提高软件过程和项目管理水平,提高软件生产力能力和水平[2]。预警信息系统软件开发属于项目的范畴,具有明显的项目特征,包括一些独特的、复杂的并且互相关联的活动,而这些活动有着一个明确目标或者目的[3],同时由于软件研发所涉及的技术复杂度高、知识面广,计算机技术的日新月异使得方案的设计必须要有前瞻性,留有升级换代的余地,要求在整个项目生命周期中,利用项目管理的理论和技术,在有限时间内,调配有限的资源,组织各方面人员,分阶段地完成这些任务,最终完成整个系统开发。

1.3实施项目管理是增强企业核心竞争力的需要

国内有众多从事预警信息系统研发的科研院所,行业竞争比较激烈。只有在软件研发中实施有效的项目管理,才能在同等资源条件下,在系统论证、研制、验收、运行等过程中正确有效地开展工作,提高军用软件质量,缩短开发周期及部署时间,提高综合保障能力,才能最大限度地提高客户满意度,从而树立行业形象,提升企业的核心竞争力。

2软件项目管理过程

结合多年来从事预警信息系统软件项目管理的经验,将软件项目管理分为4个阶段:启动、策划、执行、结项。各阶段项目管理过程活动如图1所示。图1软件项目管理过程软件项目管理从项目启动开始,首先要求对软件项目作开发策划。按照标准过程剪裁得到项目的已定义过程,制定出软件开发计划。在项目执行过程中,对项目计划进行分解细化,制定详细的可跟踪和可测量的实施计划,完成项目实施策划。以项目计划为依据,实施项目监控。对项目实际进展情况提供适当的可视性以监控项目按计划实施,当项目进展与计划有重大偏离时及时采取有效应对措施,直到项目结束。

2.1项目启动

软件项目组在接收到软件研制任务后,项目经理主持召开项目启动会议,明确任务特征、周期、目标等项目基本信息,明确项目组人员职责,包括技术负责人,软件开发人员、测试人员、软件质量保证员、软件配置管理员、计划员等;建立软件工作环境,并根据上述信息建立项目管理软件平台环境;软件配置管理员建立并初始化项目配置库,正式启动项目。

2.2项目策划

项目正式启动后,项目经理根据任务要求,分析项目基本特征信息,包括软件规模、项目规模、项目周期、资源充分性、需求稳定性、新研程度、安全等级以及用户的特殊需求,确定软件开发阶段,形成适合项目实际情况的软件开发过程,确定适合本项目的生命周期。确定了项目过程,项目经理将运用范围管理、进度管理、成本管理等知识,完成顶层工作分解结构(WorkBreakdownStructure,WBS),以确定项目范围,并在此基础上估计项目的软件规模、工作量、进度和成本。软件系统工作量的估算,是依据软件的开发内容、开发人员、开发工具等因素,预测需求分析、软件设计、编码、测试等整个研发过程所花费的时间、费用及工作量[4]。某预警信息处理系统的顶层WBS分解图如图2所示。图2某预警信息系统顶层WBS分解图在顶层WBS分解的基础上,项目经理和技术负责人结合项目资源,制定并形成《项目软件开发计划》《项目评审计划》《风险管理计划》,作为项目软件开发和跟踪的依据。软件开发计划中要明确项目的里程碑、基线。基于部队项目的特点,项目经理应负责建立企业和军方用户沟通的桥梁,协商项目计划并取得一致。在此阶段,项目组根据企业的相关标准制定《软件质量管理计划》《软件配置管理计划》,还应根据项目的特点和技术要求,制定《项目培训计划》等。项目经理根据这一阶段生成的数据及时维护项目管理工具平台,以便在后续阶段实时跟踪和调整项目的执行。

2.3项目执行

项目经理组织相关领域技术专家、军方代表对《软件开发计划》等在项目策划阶段形成的文档评审并通过后,项目将进入执行阶段。这一阶段,项目经理配合技术负责人进行阶段活动WBS分解,估计模块规模、任务工作量,建立项目阶段实施计划和计划网络图,任务分配表、计划网络图直接在项目管理工具平台上用甘特图实现,并使项目的所有成员对该甘特图达成共识,进行任务协商与分配,形成有效的项目沟通。项目正式实施后,确保所有的任务按计划执行,以及收集项目执行的相关信息是项目经理的职责[5]。项目开发人员应及时将工作日志、任务报告、工作进展、问题报告等信息录入项目管理工具平台。项目经理借助该平台信息,分析项目的实际进展状态,定期组织项目例会,对实时状态进行讨论,分析执行过程中存在的问题和风险,提出解决问题的方法,必要时可同军方代表协商,进行计划变更,对处理措施要跟踪直至问题解决。质量管理员定期对项目进行质量审计,配置管理员应及时维护软件配置库,他们必须定期(月度/阶段)向项目经理和技术负责人提交质量总结报告和配置管理报告。项目经理应根据项目开发计划的要求,在项目进展的关键阶段和里程碑阶段进行项目管理评审。这是项目监控的主要机制之一。评审内容主要包括计划执行情况、存在问题、风险、产品工作状态等,项目评审可以分为多种层次,有项目组级、部门级、里程碑级等,其中里程碑级属于项目关键点,属于正式评审,其评审目的是明确项目的一个重要阶段是否已完成,是否具备转阶段的条件,必须有军方代表参加。在此阶段,项目组应完成项目的管理文档和软件设计、软件测试等软件工程化文档,提交项目的阶段评审报告。项目执行过程中涉及的关键活动如图3所示。

2.4项目结项

在项目结束时,配合系统集成组完成《软件研制总结报告》《质量总结报告》和《配置管理总结报告》等,描述软件的研制过程、关键技术和解决的办法,并总结功能性能指标情况,同时还应对软件的质量保证及配置管理情况作总结说明。这些文档作为整个系统组成部分参加产品评审,必要时可以单独对软件项目进行项目评审。评审通过后,完成项目管理平台环境的更改,固化配置管理库,软件系统即可交付给部队试用。

3软件项目管理中的风险管理

项目风险是指项目中可能发生的潜在问题以及它们如何妨碍项目的成功。风险可能存在于软件项目的各个阶段。随着项目的不断推进,风险的识别、分析应对、监控不断形成闭环且贯穿项目整个周期[5]。首先,在项目启动阶段,项目经理应根据具体情况,对执行过程中可能存在的风险,包括成本风险、技术风险、管理风险、人员风险等,进行风险识别、分析和评估。风险管理的有效方法是建立项目风险识别与跟踪表,运用已定义的风险参数,分析并计算各项风险的风险系数,对风险进行排序,评估风险出现的概率和风险可能影响,针对每个高优先级风险制定风险处理措施,并记录到表中的对应部分,如表1所示。在项目执行过程中,项目经理应跟踪有关软件项目成本、资源、进度和技术方面的风险,根据事先的风险缓解措施,采取适当的处理方式来规避、转移或减缓风险;还应及时识别可能的新风险,并制定缓解措施,及时维护项目风险识别与跟踪表。在预警信息系统软件项目管理和开发中,由于其对质量、性能、功能等的特殊要求,如果能提前重视风险,并且有所防范,进行风险管理,就可以最大限度地减少风险的发生,确保项目按时、按质顺利完成。

4软件项目管理是实现CMM的基础

能力成熟度集成模型(CapabilityMaturityModelIntegration,CMMI)采用了质量管理体系的过程管理思想,将软件开发视为过程,对软件开发和维护过程进行监控和研究,使其更加科学化、标准化,使企业能够更好地实现商业目标。从集成产品与过程发展的角度出发,建立起包含健全系统开发原则的软件过程改进模型[6]是衡量软件企业软件开发管理水平的重要参考因素和软件过程改进事实上的工业标准,也是企业通过CMMI认证,走向国际市场的必有之路。CMMI由5个成熟度等级组成,即初始级、可重复级、已定义级、定量管理级和优化级,软件项目管理过程4个阶段覆盖了CMMI模型2级和3级中的关键实践,如在项目策划阶段,覆盖了2级模型中需求管理和项目计划;项目执行阶段覆盖了2级模型中全部5个关键实践,如针对具体软件项目,裁剪标准过程并进行管理,即达到已定义级标准。在此基础上,使软件过程和产品质量得到定量的了解和控制,以实现对软件过程管理进行持续的过程改进,则可达到CMMI4级或4级成熟度。

5软件项目管理平台

软件开发模式趋向于规范化生产,需要协作紧密的团队,强调质量、工期、成本的受控。在客观上要求能够将计划与控制、软件过程管理、实时项目状态度量和统计、配置管理、需求管理和缺陷跟踪等功能集成为一个项目管理平台。本研究选择了中科方德有限公司的QONE软件过程管理平台。该平台围绕项目生命周期的活动对软件开发和生产的过程进行管理,包括软件需求管理、项目管理、过程管理、过程与产品度量分析和质量管理5个部分。对于项目管理者,能够在平台上掌握团队进度、开发者的现状以及资源配置状况等数据,尽早发现和解决项目中存在的问题,规避项目风险,从而帮助其灵活配置人力物力,确保开发按时、按目标完成。而对团队成员来说,能在平台上了解开发的最新进度、最新的开发和测试结果,按平台规定的工作流程协同工作。

6结束语

通过在预警信息系统软件研发中运用项目管理技术,对软件开发整个生命周期进行全方位的管理,使软件项目达到设计规范、过程受控、风险受控、质量可靠,提高了军用软件的质量,提高了企业的核心竞争力。

作者:初剑 单位:南京电子技术研究所

参考文献

[1][美]ProjectManagementInstitute.项目管理知识体系指南[M].许江林等,译.北京:电子工业出版社,2013:7-10.

[2]张月红.探索软件开发过程的CMM最佳实现方法[J].软件工程师,2011(05):36-39.

[3]李连,崔菲菲,陶开军.基于项目管理理论的军械信息系统开发研究[J].项目管理技术,2011(03):84-87.

[4]张俊光,宋喜伟,杨芳芳.软件项目工作量动态估计方法研究[J].计算机应用研究,2014(10):2998-3001.

系统风险管理工作计划范文第10篇

【关键词】IT项目管理;教务管理;风险管理

【中图分类号】TP351

【文献标识码】A

【文章编号】1672-5158(2012)12-0015-01

一、项目概述

随着学校教学规模的扩大、教学模式发生了转变,使得学校教学教务管理任务越来越重,不仅增大了工作量、更是增大了工作难度。这些根本性变化的同时也对学校的教务管理提出了更高的要求,为了适应这些新变化,提高教学教务管理的工作效率,建立一套完整统一、技术先进、高效稳定、安全可靠的基5CIntemet/Intranet的教学管理信息系统成为当务之急。

作为学校IT陔心支撑系统,要求为教务教学管理提供IT支撑。学校通过本系统可以实时了解教务管理晴况和学员反馈晴况,有利于提高教务管理水平。本项目内容包含学校招生管理、教研计划、教务处理、教学质量管理、教师考核管理、学生档案管理等。

该系统为支持学校教务管理工作的核心系统,为教务教学管理提供IT支撑。该系统采用B/S模式开发,使用J2EE技术,提供web访问模式。其面向的使用对象包括学校及下属各学院的教务工作人员、教师及学员,为其提供各类综合。工作人员通过本系统完成所有的日常教务工作。从招生到学员毕业离校,其在校内的所有和教务相关的数据都通过教务系统进行管理。学员则可以通过系统进行网上报名、选课及查询自己的个人相关信息(教学计划、课程表、成绩等)。教师则可以查询自己的课程安排,上传课件,录入学员成绩,查询教师业绩考核晴况等。

项目能否成功与很大程度上归功于对项目风险的有效管理,项目要想以有限的成本在有限的时间内达到项目目标,就必须加强风险管理。风险管理的目的就是降低负面风险,同时抓住风险带来的机会。

二、风险管理计划编制

在项目启动初期,组织有关人员编制了风险管理计划,作为该项目处理风险管理的行动指南。

考虑到学校项目涉及的干系人众多,采用了会议形式来制订风险管理计划。参加会议的人员包括:项目高层经理、项目经理、学校教务处处长、教研科科长、师资管理科科长、教材科科长、各开发组组长等。在这个过程里,对以下几方面进行了重点的讨论:影响项目目标的管理类以及技术类风险主要包括哪些方面;风险减轻的可交付成果是什么;怎样减轻风险;谁负责实施风险管理计划;什么时候是风险管理的里程碑;需要多少资源来减轻风险等等。根据讨论的结果,并结合学校的项目计划来制订本项目的风险管理计划,该计划主要描述了在项目当中如何组织和执行风险管理,并将其作为项目管理计划的组成部分,对风险的管理费用也一并纳入项目预算内。

三、风险识别

根据本项目的实际情况,把风险划分为技术类风险、管理类风险两大类,每一大类下又细分为各小类。比如技术风险包括需求、设计、测试等等。在结合组织级的风险列表库基础上,通过采用访谈以及优势/劣势/机会/威胁(SWOT)分析等方法,形成了风险清单。同时在项目实施过程中,以周为单位,定期对风险清单中的风险内容进行审查,以便根据项目的进展重新检查及识别可能的风险来源和触发条件,从而进—步发现以前没有注意到的或者是未知的风险。

四、风险分析

风险分析是指对已识别的风险做出进一步的定性和定量分析,定义出风险发生的具体概率和后果,从而确定出风险的优先级。在分析过程中,组织风险专家对风险的概率及影响进行了科学的分析评估,对风险清单中列明的所有风险计算出一个确定的风险值,然后再根据风险值确定风险相对优先顺序。对于优先级高的风险比如:最危险的风险定义为:进度延误大于30%,或者费用超支大于30%;风险发生的几率为0.8~1.0)。

将其单独列在《风险管理报告》中,并提交高层经理和项目管理部。同时分派项目风险管理人员对高级别的风险展开实时跟踪监控及记录。在项目实施过程中,列在《风险管理报告》中的高级别风险主要有以下几条:

1、系统安全风险:由于采用B/S结构,只要能上网就能使用系统,在带来方便性的同时,也带来了很大的安全隐患,如果有人成功入侵服务器,严重的话可能出现最坏的结果。

2、核心人员流失的风险:在目前的软件企业里面,如果在开发过程中关键的开发人员流失,而无合适的替代人员,项目可能直接宣告失败,后果十分严重。

五、风险应对计划编制

通过对风险的分析,根据风险的优先级等制订了风险应对计划。在该计划中,充分考虑了以下几个因素:风险级别、所需应对成本、应对的及时性要求、处理结果是否可以被项目干系人所接受,并为每一个风险指定了相关的责任人以及应采取的风险应对措施。

对于《风险管理报告》中所列的需重点监控的风险,专门组织了会议,对重点风险的应对制定了更有效的应对策略,并使其应对办法取得了重点项目干系人的认同与支持。会后形成的主要应对策略如下:

1、对于安全性问题,服务器采用托管在电信机房比较好,电信机房安全性高,24&时有人执守,专业机房可保证服务器物理安全性能。在系统平台上,采用机房的硬件防火墙,操作系统采用UNIX并安装网络版的杀毒软件。在软件系统里面,增加对网卡MAC地址的控制和校验,只有登记授权的机器才能登录系统。以控制系统的使用范围,防止数据在未经过授权的机器泄露。通过这些措施的实施,使得客户对于系统的安全性信心大大增强。

2、对于人员稳定性问题,由于本系统建设周期较长,因此在项目人员挑选上也采取了一定的措施。对于参与人员进行了详细的调查,如果确定某些人存在离职念头的,都不能参与此项目。与项目人员签订相应的意向书,并做了一定的物质补偿,以保持内部人员的相对稳定。

六、风险监控

系统风险管理工作计划范文第11篇

摘要:

结合我国通用航空运行的实际,从通用航空运行控制系统、飞行运行系统、机务维修系统和综合保障系统四个模块构建了通用航空的安全管理系统,并详细探讨了通用航空安全管理系统的实施方式。建立通用航空的安全管理系统,旨在提高通用航空的安全管理水平,为其他航空安全管理部门提供借鉴。

关键词:

通用航空;安全管理系统;运行控制系统;飞行运行系统;机务维修系统;综合保障系统

0引言

自2013年12月1日《通用航空飞行任务审批与管理规定》付诸实施,制约通用航空发展的制度性因素将逐渐消失,可以预见在今后一段时期内通航企业将如雨后春笋般出现。发展通用航空,首先必须改变以往对于通用航空的理解,转变对于通用航空不重视的观念,并且真正意识到通用航空对于中国民航乃至整个社会发展的作用[1]。预计今后10年间中国通用航空年均增长将超过15%[2]。国家也将通用航空的发展提上了战略层面,制定了符合中国国情的通用航空发展路径,即包括近期规划和中长期规划。近期规划包括制定国家层面的产业政策,改善通用航空发展的宏观环境,健全管理体制并理顺发展政策;推进完成低空空域的开放试点工作,完善运营服务环境,调动社会力量形成人才培养体系。而中长期规划则是将通用航空发展纳入到国家长远规划,培育和延伸通用航空产业链,建立完整的通用航空运行管理、行业监督系统,完善通用航空基础设施建设,以期在全社会建立起成熟的通用航空文化。然而由于通用航空所使用的航空器机型繁多,飞行任务时间不定,并且飞行高度差异较大,飞行任务多样化;另外,我国通用航空保障条件和作业环境较差,安全管理体系不健全,因此我国通用航空飞行事故和事故征候高于运输航空[3]。通用航空与运输航空是民航发展的两翼,民用航空的持续安全也包含通用航空的安全[4]。因此随着通用航空的不断壮大,安全管理问题必然会成为通用航空能否可持续发展的关键问题。建立一套科学合理的通用航空安全管理系统已成为当下必须要解决的核心问题。

1通用航空安全管理系统的构建

在《ICAO安全管理体系手册》的基础之上,实地考察通用航空单位,借鉴国内空管、航空公司、机场安全管理系统的构建模式,参照我国通航的发展特点以及安全管理的理论,考虑通用航空的多种影响因素,将通用航空安全管理系统的内容划分为运行控制系统、飞行运行系统、机务维修系统、综合保障系统四个模块,并构建一个以安全管理为核心的通用航空安全运行大系统。这四大模块构成一个闭合循环的安全管理系统,伴随着通航的持续运行,安全管理系统将会得到不断改进和完善。运行控制系统和飞行运行系统的安全管理侧重于对运行阶段的通航飞行进行的管理,机务维修系统是对通航运行的所有机型的飞机的维护进行有效的安全管理,而综合保障系统则是对整个通航运行结束后进行的综合保障性的管理。

2通用航空安全管理系统的实现

2.1运行控制系统安全管理模块

运行控制是通用航空安全管理系统的核心,主要包括航班管理业务和航班保障业务。航班管理业务主要包括航班计划管理、飞机及各类空勤人员的排班等;航班保障业务主要包括飞行签派、飞机和空勤人员的调度、商务调度等。从数据流上划分,该系统主要由航班计划信息流,以签派为源头的当日航班执行信息流(起飞、降落、备降、延误、取消等)和以商务调度为源头的商务保障信息流组成[5]。运行控制系统的安全运行依托于对当日航班计划信息及当日航班执行信息进行有效的管控,侧重于对这些信息的安全检查和安全处置。安全检查是运行控制系统中信息收集的重要方法之一,也是开展主动识别风险的有效途径。针对当日航班计划信息、执行信息和商务调度信息开展安全检查工作,以查找各业务系统以及各单位在安全管理工作中存在的问题。首先需制定检查计划,再根据计划制定检查的方案,之后制定出检查单,这样便可以实施检查。在安全检查结束后总结检查情况,若结果符合情况则保存检查记录。如果发现不符合项,则执行预防和纠正措施,若发现新的危险源或者风险控制措施无效,则须执行风险管理的操作。运行控制阶段执行安全检查是为了确保风险控制措施的持续执行,并保证在不断变化的环境下持续有效。安全工作信息处置的具体流程如图1所示。

2.2飞行运行系统安全管理模块

通用航空飞行运行系统的安全运行主要依赖于对航班安全和作业人员安全的风险评估。航班安全的管理主要包括飞机状态的报告、飞机位置的报告、飞行计划报告及各类静态数据的报告,并对报告来的内容进行评估,飞行运行系统飞机动态监控的实施流程如图2所示。鉴于目前通航基础设施建设比较薄弱的实际情况,航班安全的风险评估可以主要通过评估问卷的方式进行管理。具体可以分三步进行,一是构建通航企业自己的评估问卷管理系统,用于管理航班安全风险评估问卷内容的编制及管理工作;二是填写评估问卷,向涉及飞行运行的人员发放调查问卷,定期将其汇总并得出风险值,便于后期进行设计支持工作;三是根据得出的历次风险值,汇总后得出相应的统计图表并记录存档。作业人员的安全风险评估可划分为三个模块,即指标管理模块、安全风险评估模块、统计分析模块。指标管理模块用于管理在飞行运行过程中用于安全风险分析的指标,安全评估模块主要是对作业人员定期进行安全风险评估,统计分析模块是针对飞行运行系统作业人员的安全风险评估结果,进行统计和分析。

2.3机务维修系统安全管理模块

机务维修系统安全运行管理模块可以细分为工作计划指派、工作执行检验、工作进度管理、告警信息管理、工时绩效管理以及上岗培训管理。针对机务维修系统的运行特点,须对机务维修的流程进行程序化的管理。建立一套基于无线数据传输的机务维修运行系统,将机务维修班组长以及工作者和检验员通过互联网的联系达到对整个系统的信息共享和持续监控。机务维修系统的安全运行依赖于整个工作流程的程序化管理,因此构建一个维修人员的工卡控制系统就显得尤为重要。工卡控制系统包括工卡进度管理和定检工作包进度管理。将整个维修工作的进度进行可视化的展现,将每位工作人员的工作量进行程序化管理,确保对整个维修流程进行全面梳理,对应于每个人以及每一工作步骤,确保维修工作进度的连续性。借助于计算机可以初步构建一套机务维修的工卡管理系统,该系统可以显示维修人员姓名和所负责的飞机号,维修的计划开始时间、工作时间以及预计完成时间,维修的实际开始时间以及已用时间,另外,还可以跟踪每项工作的完成进度及步骤数。

2.4综合保障系统安全管理模块

通用航空的综合保障系统是对整个安全管理系统运行结束后进行的保障服务,需要对运行后飞机做全面系统的管理,还需要将该次通航飞行的相关运行记录及时整理并进行归档处理。需要整理的运行记录包括本次飞行的飞行任务书、飞行计划、飞行放单和运行阶段相关的航行通告等。将通航运行数据整理成册入档,可以为以后的通航运行积累经验教训,另外,通用航空相关部门可以通过该运行数据来分析运行中的不足,并对运行中存在的相应问题加以改正。通用航空运行中高效、准确、实时的信息是极其重要的,精确的信息服务为通用航空的运行提供了可靠的安全保障。通用航空一般为目视飞行,所以其对导航的依赖性较小。针对通用航空飞行的实际,可以将空中交通管制转化为信息的自动传递,这样通航飞机可以实现信号连续的跨区域运行,另外,飞机之间可以利用自动相关监视技术,完成信息传递和相关监视的任务,这样可以克服雷达监视的缺陷,使飞行机组的到更加准确的信息,还可以使空中交通更加流畅,达到空域利用的最大化[6]。或者利用多基站测量定位系统(MDS),实时对场面和终端区进行高精度的监视,为频繁的通航飞行提供实时可靠的航行信息。综合保障系统运行记录处理流程图如图3所示。

3通用航空安全管理系统风险管理

在通用航空安全管理系统的建立和运行中,其影响因素涉及多个,这个系统是一个包含多个部分的复杂系统,并且各个影响因素之间是相关和共存的,因此对于整个系统进行有效的风险管理就显得尤为重要。通用航空安全管理系统风险管理的实施主要通过系统和工作分析,识别通航危险源,分析评价相关风险,制定并采取相关控制措施,最终达到将安全风险控制在可接受水平的目的,确保通用航空的安全运转。针对通用航空运行过程中存在的各种危险因素或安全隐患进行有效的识别,建立危险源数据库,分析发生风险的可能性和发生后果,确立危险源登记,之后选择合适的风险控制方案,实施风险控制,通过收集、更新、编辑、整理和分析风险数据,追踪风险降低计划的有效性信息。运用现代信息手段,对安全信息和通航飞行数据进行收集整理、分析挖掘、处理、、信息储存和反馈,构建畅通的信息渠道,为不安全事件调查、安全监督、审核与评估和安全目标制定等安全活动提供决策依据。实施以风险管理为核心的安全闭环管理是通用航空安全管理系统的关键,风险管理如图4所示。

4结论

安全管理保障了民航的正常运转,对通用航空来说极其重要。参考通航安全管理的特点,本文从运行控制系统、飞行运行系统、机务维修系统、综合保障系统四个方面介绍了我国通用航空安全管理系统的具体实现方式。构建了以风险管理为核心的安全闭环管理,以实现对整个运行系统的风险管理。本文尝试建立的通用航空安全管理系统,对于通用航空及通航安全管理水平的提高是有益的。另外通航安全管理系统的建立,可以将通航的作用发挥到最大,为通航甚至民航的发展做出贡献。鉴于本系统还未在实际通航作业中运用和推广,其中运行过程中可能会出现一定问题,希望可以在以后加以改进。

参考文献:

[1]董念清.中国通用航空发展现状、困境及对策探析[J].北京理工大学学报:社会科学版,2014,(2):110-111.

[2]国务院,中央军委.关于深化我国低空空域管理改革的意见[EB/OL].[2013-09-10].

[3]陈勇刚.我国通用航空安全管理体系建设研究[J].中国安全生产科学技术,2012,(6)8:216-219.

[4]陈农田,周长春,谭鑫.我国通用航空安全监管问题研究[J].中国安全生产科学技术,2012,(3):198-199.

[5]任瑞玲,张晓钰,王忠.航空公司飞行运行控制系统应用方案[J].信息技术,2004,(1)1:7-8.

系统风险管理工作计划范文第12篇

关键词:银行;信息系统;风险管理

中图分类号:TP311.52

在信息化不断推进的驱动下,银行开始逐渐利用计算机系统来加工、处理各种业务,然而,在银行业务对信息系统依赖度逐渐增加的情况下,信息系统建设中的技术风险与管理风险的问题与不足,在一定程度上影响着银行信息系统建设的顺利进行,进而对银行的发展带来极大的影响。因此,加强对银行信息系统项目建设的风险管理,是极为重要的。

1 信息系统与风险管理介绍

信息系统,指的就是在企业或者是单位中,由工作人员、计算机硬件、网络通讯设施等构成的,可以开展收集、传递、存储、加工、维护以及使用信息等操作的一个系统。

项目风险管理是指在整个项目生命周期中,项目管理人员对项目中所存在的风险展开一系列操作,例如辨识、评估以及评价等,同时利用各种管理技术、方法以及手段,对项目风险予以控制的活动。

在信息系统项目建设与运转过程中,或多或少的都会存在一定的问题,因此,对其进行风险管理是有必要的。对信息管理系统展开风险管理,能够在一定程度上减少信息系统失误或者是失败的概率,在企业或者是单位中,即使是采取少量的风险管理措施,都有可能起到减低成本的作用。所以,加强风险管理,对确保信息系统的正常运作,具有极为重大的意义。

2 银行信息系统项目建设的风险特点

2.1 目标不明确、任务边界模糊

在信息系统建设开发的过程中,客户最初对项目只有一些最基本的功能要求,并没有极为明确的要求与想法,所以,信息系统项目的主要任务,在一定程度上受项目组所做系统规划与需求分析的影响[1]。因为客户对信息技术的一些指标、性能并不了解,因此,信息系统项目是否能够满足相应的质量要求,在绝大程度上取决于项目组,而客户仅仅负责对项目的审查工作。为了能够对信息系统项目的质量与任务范畴进行严格的定义与审查,客户方可请有关的咨询机构对项目的实施进行有效的监督。

2.2 需求变换频繁

虽然已经进行了严格的系统规划和可行性的研究,并且签订了合同(其中包含比较确切的技术要求)。但是,在信息系统的分析、设计以及实施的过程中,客户的需求也会发生相应的改变,进而致使信息系统的界面、程序和有关的文档等,都必须进行一定程度的修改;而在对其进行相应修改的过程中,又可能产生新的问题,而这些问题可能需要通过较长的一段时间之后,才有可能被察觉,进而使信息系统项目建设开发的周期被延长,开发成本增加。

2.3 人力资源要求较高

一般而言,信息系统项目是一种劳动密集型、智力密集型的项目,人力资源对信息系统项目的开发有着极大的影响。在某种程度上来看,信息系统项目的建设质量和成功与否,在一定程度上取决于项目开发工作人员的结构、能力、责任心以及稳定性等[2]。众所周知,信息系统项目工作对技术有比较高的要求,脑力劳动强度较大。近年来,虽然信息系统辅助开发工具得到了广泛的应用,但是,在信息系统项目开发的一些阶段,依然需要人工手工劳动来进行。而这些工作往往是十分复杂、细致,且极易出错的,所以,信息系统项目的建设与开发,不但是一种智力密集型的项目,同时还是一种劳动密集型的建设项目。

3 银行信息系统的风险管理方案

3.1 制定风险管理计划

银行信息系统风险管理活动开展的一个重要参考依据,就是风险管理计划,其在整个信息系统的建设与开发过程中,起到了至关重要的作用。风险管理计划中的内容决定了怎样在信息系统项目中开展风险管理。银行信息系统项目实施过程中,应当安排专门的工作人员或者是小组来负责项目的风险管理工作,且制定相关的风险管理内容,例如管理政策、标准、时间、实施进度等,并且将这些信息纳入到项目风险管理计划之中。随着信息系统项目的持续发展,可能需要对风险管理计划进行适度的调整,以便进一步增加其科学性、合理性以及可操作性。

3.2 加强风险识别

在正式步入风险管理程序之后,就必须对银行信息系统项目中所存在的风险或者是潜在风险,展开风险识别。在风险识别的精准性方面,有着比较高的要求,假使风险识别出现差错,那么必然会对后续的风险管理操作带来极大的影响。在对信息系统进行风险识别时,其主要的识别内容包括风险的来源、风险的种类以及危险程度等等。一般情况下,可以通过对信息系统的外部方面或者是内部方面,展开全方位、系统的辨识,进而对风险加以明确,之后再将存在风险与潜在风险的识别情况列举出来。在进行风险识别的过程中,可以利用以下几种技术工具进行识别,即专家法、项目分解法、核对表等等。

3.3 强化风险分析

在对风险进行识别之后,再对风险发生后可能会对信息系统带来的损失情况,展开详细的分析,且对其损失程度加以评估。通过风险分析之后,对各个风险的重要性予以明确,并且依据风险重要性进行排序,以便使工作人员能够将更多的时间与精力用在主要风险的应对上,进而有效加强对风险的控制。风险分析一般分成两种,即定量分析、定性分析。

3.4 制定风险应对计划

所谓的风险应对计划,指的就是针对已经知晓的风险,制定科学有效的行动对策与执行方案,以确保信息系统的建设可以依据预定的计划有序展开。风险应对计划的主要内容为:对已经知晓的各个风险制定有效的应对策略,且安排专门的人员予以负责;依据每一个风险的特点,选择最理想的应对方案,换而言之,就是应对策略最为有效、成本最少,且对信息系统目标的损坏程度最低[3]。

3.5 风险处理

在风险即将出现,亦或者是已经出现时,依据预先制定好的风险计划,采取有效的风险应对措施,以最大限度的控制信息系统运行风险的一种活动,就称之为风险处理。一般情况下,应对风险的常见措施主要有以下四种,分别是接受风险、缓解风险、规避风险以及转移风险等等。

3.6 风险监控

所谓的风险监控就是在信息系统运行过程中,对风险发生状况的控制,以及监督风险管理过程的一系列活动。其主要内容有:对已经知晓的风险进行跟踪,对残余风险予以监督,且对新风险进行识别;确保风险管理计划与应对计划的贯彻落实;对风险应对计划的有效性予以评估。

4 结束语

综上,银行信息系统在建设与开发过程中,或多或少的存在一些问题与不足,进而对银行的正常经营带来一定的影响。因此,依据银行信息系统项目建设的风险特点,提出有效的项目风险管理对策与措施,对强化银行信息系统项目建设具有重大意义。

参考文献:

[1]刘秋莲.我国商业银行信息系统风险管理与对策[J].价值工程,2011(07):166-167.

[2]刘洪锋.浅谈邮储银行信息系统风险管理体系构建[J].财务与会计,2013(02):55-56.

系统风险管理工作计划范文第13篇

一、现有软件项目风险管理模型分析

软件风险管理是一种软件工程实践,包括过程、方法和工具,并利用这些过程、方法和工具去完成持续评估风险、确定风险优先级、实施策略处理风险工作。现有软件项目风险管理模型包括:(1)BarryBoehm理论。20世纪80年代,软件风险管理之父Boehm认为,软件风险管理这门学科的出现就是试图将影响项目成功的风险形式化为一组易用的原则和实践的集合,目标是在风险成为软件项目返工的主要因素并由此威胁到项目的成功运作前,识别、描述并消除这些风险项。他将风险管理过程归纳成两个基本步骤,即风险评估和风险控制。其中风险评估包括风险识别、风险分析、风险排序;风险控制包括制定风险管理计划、解决风险、监控风险。(2)SEI(软件工程研究所)的CRM(持续风险管理)模型。SEI提出的CRM模型要求在项目生命周期的所有阶段都关注风险识别和管理,它将风险管理划分为识别、分析、计划、跟踪和控制5个步骤,并采取不同的策略。(3)Riskit方法。如果组织在项目早期采用系统化的风险管理过程和技术,那么组织就有能力避免很多问题。Riskit方法能提供这种系统化的风险管理过程和技术,它由Mary-land大学提出的,旨在对风险的起因、触发事件及其影响等进行完整的体现和管理,并使用合理的步骤评估风险。对于风险管理中的每个活动,Riskit都提供了详细的活动执行模板,包括活动描述、进入标准、输入、输出、采用的方法和工具、责任、资源、退出标准。Riskit风险管理过程在项目生命期内,这些活动可以重复多次。(4)SofiRisk风险管理模型。SoftRisk模型是由Keshlaf和Hashim提出的,它基于这样一种观念:记录并将注意力集中在高可能性和高破坏性的风险上是进行风险管理的有效途径。这样可以节省软件开发过程中的时间成本和人力成本,并可有效减轻风险的破坏性。此模型确保在软件项目进行中持续地进行风险管理。(5)IEEE风险管理标准。IEEE风险管理标准定义了软件开发生命周期中的风险管理过程。该风险管理过程是一个持续的过程,系统地描述和管理在产品或服务的生命周期中出现的风险,包括计划并实施风险管理、管理项目风险列表、分析风险、监控风险、处理风险、评估风险管理过程等。(6)CMMI(软件能力成熟度模型集成)的风险管理过程域。CMMI是由SEI在CMM基础上发展而来,并在全世界推广实施的一种软件能力成熟度评估标准,主要用于指导软件开发过程的改进和进行软件开发能力评估。风险管理过程域是在CMMI第三级一一已定义级中的一个关键过程域。CMMI认为风险管理是一种连续的前瞻性的过程。它要识别潜在的可能危及关键目标的因素,以便策划应对风险的活动并在必要时实施这些活动,缓解不利影响,最终实现组织目标。CMMI的风险管理被清晰地描述为实现三个目标,每个目标的实现又通过一系列的活动来完成。(7)Microsoft的MSF风险管理模型。MSF的风险管理认为,风险管理必须是主动的,它是正式的系统的过程,风险应被持续评估、监控、管理,直到被解决或问题被处理。

二、面向企业全面成本计算模型的风险管理策略

结合企业全面成本计算理论和软件项目的风险管理内容,笔者通过对国家科技攻关项目“模型驱动的异构系统集成框架与基于SOA的数据交换平台技术”进行分析,建立一种面向企业全面成本计算模型的风险管理策略。

(一)基于网格体系的企业全面成本计算模型ETCM以客户价值与企业利润最大化为目标,面向产品全生命周期,通过成本企画确定目标成本,并将成本筑人到产品的设计与制造过程;在广度上,面向企业整个供应链,通过作业成本管理确立成本计算模型,优化供应链中的增值作业;并通过层次分析(AHP)方法、企业资源计划(ERP)或系统预测确立EAD模型(费用与作业关联矩阵)和APD模型(作业与产品关联矩阵)等成本分配率模型。在计算过程中,ETCM计算模型涉及合作伙伴各种高度异构、动态分布的信息平台。以Web服务为运行平台,采用面向服务的体系架构,建立图1所示兼容硬件平台、遗留信息系统和知识资源的全面成本管理体系结构,实现对企业整个供应链资源的有效组织和管理,帮助企业在整个供应链范围内,准确计算产品成本信息,辅助决策。

ETCM模型的体系结构由基础支撑平台层、集成化容器层、企业成本相关业务逻辑表示层、业务建模层、企业门户应用层、网格应用层构成。以硬件、系统软件和Internet为基础平台,在容器层建立支持业务运行的Java和功能组件、网格服务和Web服务组件,通过企业业务逻辑表示层实现网格高层应用功能的逻辑表达。企业业务逻辑表示层在企业业务过程编排与工作流技术的连接与管理下,将Legacy(遗留系统)、MTC(微软组件)、E-JB(企业Java组件)、Web服务和网格服务封装成不同领域内的商务应用(如企业物流、财务、人力资源、制造资源、全面成本管理、客户关系管理),并通过企业咨询与诊断、企业业务过程需求分析、业务流程建模、业务流程再造和业务流程持续改进等功能为企业提供实施网格应用的方法论指导。门户应用层为用户提供用户界面和一致的访问接口(如基于Web的服务门户)。应用层在Web服务和网格服务基础上提供网格制造系统高层应用,这些系统不局限于协同环境中的全面成本管理,还可应用于电子商务和电子市场、商务协同、制造协同与供应链协同等领域。容器层提供遗留系统容器、Web应用容器、Web容器以及网格服务容器等分别处理和封装来自合作伙伴或企业内部不同软硬件应用平台和操作系统的成本相关的业务应用。遗留系统容器集成与处理基于业务功能的商务应用,Web应用容器为EJB、Java Bean、MTC、CCM(CORBA组件)等企业级服务器组件提供安全运行环境与管理机制,Web容器为JSP(Java页面)、Servlets、ASP(Active页面)等

Web组件提供安全运行环境与管理机制,网格服务容器集成基于Microsoft,Net、J2EE(Java 2 Enterprise Edition)的Web容器和Web应用容器及Legacy容器,为网格服务与Web服务提供相应执行环境、服务组件执行周期、事务以及安全与服务质量的管理,并支撑Web服务组件的开发、部署、调试和运行,解决了协同环境中异构成本信息的共享与集成问题。

(二)面向ETCM计算模型的风险管理策略 通过对国家科技攻关项目 “模型驱动的异构系统集成框架与基于SOA的数据交换平台技术”的分析,结合上述企业全面成本计算理论的复杂性以及传统软件项目风险管理的主要内容和策略,笔者建立一种面向企业全面成本计算模型的风险管理策略模型,如图2所示:

在图2所示的风险策略管理模型中,理论基础是一个开放的概念,多受益于其他学科,包括风险和风险管理的定义、风险管理模型等体系结构。风险管理模型形成指导性的框架结构,核心风险管理步骤通过引入风险实体的概念和面向目标辨识、评估风险的思想,针对不同企业的计算环境提供不同的风险处理思路。技术基础包括风险定量计算、风险决策支持、风险预测及模拟等相关的风险决策和预测技术。决策树帮助大多数风险项确定相关的解决方案,例如,图形化的评审技术或随机型决策技术(GERT)是在计划评审技术(PERT)和关键路径法(CPM)之后发展起来的随机型网络技术,通过将不确定性引入计划,使系统状态不能全部列举出来,使得任何一种状态都不能完全代表系统的真正结果,增强了节点的逻辑判断功能,且数学模型可以使用计算机仿真来实现。在GER技术基础上,风险评审技术(VERT)从单纯考虑计划的时间因素发展到全面考虑计划中的时间、费用和效益因素,可以对计划进行更全面的分析和评价。

系统风险管理工作计划范文第14篇

【关键词】:视频会议;电力企业;风险管理;风险评估

电力企业针对企业信息通信信息化的投资是非常大的,当前电力行业面临着主辅分离等体制改革,势必将逐步推向市场化。电力企业在面向市场经营之后,需要借助IT技术完善信息化建设,增强公司集团化,这为IT技术的应用也开拓了更广阔的市场。视频会议系统是计算机网络、多媒体技术和人工智能等技术的综合应用。随着网络技术的快速发展,组建大规模视频会议系统可以采用数字信息的方式,其具有抗干扰能力强的特点,用户可通过网络通道进行远程会议和管理,系统具有非常好的稳定性和安全性。

1、系统建设项目的风险规划

1.1系统建设项目介绍

1.11项目概况

本项目的电力企业是国内最大的国有事业单位企业集团,承载全国的电力调度与电力信息传送的重大工作,该视频会议系统的建设不仅承担视频会议的基本功能,同时,该项目建设完成后的系统还承担着通信信息传递、生产与调度信息传递、电力数据的传送等特殊功能。项目建设范围主要包括电视会议系统网络通道的建设、视频音频会议汇聚设备及终端、会议管理平台三个部分。该项目建成后,不仅能够满足任意节点之间的高清视频会议的要求,而且还需要满足总部层面到达全国各地任何节点的工作生产等情况的实时监控。

1.12项目建设的规划

电力企业信息化通信系统建设项目的核心是开发一套电视会议管理系统,在总部实现一级部署,根据用户需求配置相应权限,总部各部门、各分部、省级公司、地市公司、县公司具有权限的用户可通过Web登陆系统进行相应操作。用户可通过系统软件对电视会议系统和会议资源进行调度、管理、监控和设备维护。系统建设分两个阶段进行:第一阶段是对会管系统调研、设计、开发及接入实施阶段;第二阶段是对会管系统功能完善及兼容性扩展阶段。

1.2系统建设项目的风险管理规划

1.21项目风险管理的条件

企业创新氛围的形成、对风险管理认识的提高,这包括三个方面的内容:一是高层领导对项目实施中的风险管理有了充分的认识,对项目实施进行了充分的授权;其次是负责人通过对各种试验条件的分析,能认识到项目风险管理的意义,并决定在项目管理计划中引入风险管理;再次是项目参与人员的危机意识和风险意识的增强以及接受度。

1.22项目风险管理模式设计

针对电力企业信息化系统建设的相关历史做简要分析发现,风险管理的组织模式难以采用职能式的管理模式。设计项目风险组织管理的模式如下:增加现场办公室的职能,由办公室负责项目风险管理方面的工作,成立专项办,成员组成根据风险管理需要由各职能工作小组成员参加。

2、系统建设项目的风险管理策略

2.1项目风险应对策略

(1)设备运送风险的应对措施

针对该风险,管控组要求各省及直属单位指定专门负责人与发货商沟通对接;同时由领导小组及项目管控组制定收发货进度安排计划,并由专项办严格督导实施;同时为保证发货质量,要求厂商在发货前需对所有设备进行严格厂验;制定应急预案,如在设备运输过程中突发意外事件时,采取有效措施,进而保证设备及时安全地送到每个节点。

(2)通道开通风险的应对措施

为了保证通道开通的质量,首先由通道组制定完善的通道开通方案,要对通道的带宽性能参数、稳定性、安全性、可靠性等多方面严格要求并测试;每个节点的通道开通情况需绘制通道电路开通单并交予相关方留档备查。

(3)施工风险的应对措施

面对这类风险,可采用风险减轻的策略,进行现场环境勘察工作,并且强化施工人员的安全意识,确保人员人身安全,施工人员必须具备施工资质,严格按照施工方案实施。由设计人员现场追踪施工进度,根据实际情况提前做出合理方案,供施工方使用,以减轻风险对施工工期和进度造成的损失。

(4)沟通风险的应对措施

为统一项目整体的建设进度,要求各节点单位成立项目推进组,并统一向专项办报备所有成员的职责及联系方式;同时总部设立项目专用内网邮箱,作为向所有单位传达信息的统一出口,各节点单位建设情况以周报的形式通过该邮箱上报;项目管控组在公司总部内网设立项目专栏,上传工作要求、项目进度报告、项目资料及相关标准,方便各单位查询;还采用电话会议和现场会议相结合的模式,定期召开周例会和项目推进会。

(5)性能及参数保证风险的应对措施

为确保项目设计方案符合国家行业标准及要求,项目设计方案需由具备高资质和丰富经验的单位制定;通过严格的厂验测试,保证设备发货前的质量;安装完毕后,需对设备功能、性能等进行单机测试及联调测试,使其符合设计要求。

(6)安装人员风险的应对措施

首先公司出台《信息化建设安全实施规范》,严格规范操作流程,面向工程师开展技术、安全等相关培训,培养施工人员的安全责任意识,规范出差人员的交通工具及食宿要求;同时安装人员应具备相应的施工资质和丰富的施工经验。

2.2项目风险监控策略

随着项目建设的不断推进,风险监控活动将慢慢介入,风险监控的目的是为了改变项目管理组织所能承受的风险程度,对可能造成风险变化的因素采取一定的处置措施,在最大程度上降低风险事故发生的概率,减小损失的程度。风险监控依据监控风险实际是通过监视项目的进展和h境,即项目环境变化因素的变化达到核对风险管理策略和风险管理措施的实际效果的目的;获取反馈信息,改善和细化风险规避计划,以便改进将来的实际决策。

结语

本文研究了电力企业视频会议系统建设项目的风险规划,分析了电力企业视频会议系统建设项目的风险识别与评估,提出了电力企业视频会议系统建设项目的风险管理策略。本文的研究成果为今后类似项目的建设提供了风险管理框架模型,建立了一套比较规范的风险评价方法和评价指标体系,增强了视频监控项目工程建设的风险管理和防范能力。

系统风险管理工作计划范文第15篇

内容摘要:大型信息系统实施风险分析具有相当大的难度和复杂性,需要设计适当的风险分析模型。本文在社会技术系统理论的指导下,采用风险矩阵分析方法,参照COBIT标准重新设计分析矩阵,进而构建大型信息系统实施风险分析模型,为重要风险的识别和后续风险控制打好基础。

关键词:大型信息系统 实施风险 分析模型

大型信息系统实施风险是指对大型信息系统目标产生负面影响的事件发生的可能性,具有客观性、普遍性、多样性和多层次性,以及单一风险事件发生的偶然性和大量风险事件发生的必然性等特点。大型信息系统作为一个社会技术系统,它涉及到组织运营的各个层面,实施周期长、难度大、对象复杂,因此实施过程中存在大量不确定性。本文在社会技术系统理论的指导下,采用风险矩阵分析方法,参照COBIT标准重新设计分析矩阵,进而构建大型信息系统实施风险分析模型。

大型信息系统实施风险的矩阵分析方法

大型信息系统实施风险识别是风险管理的前期工作,如果不能对大型信息系统进行充分、准确的风险分析,就很难全面把握风险种类及其影响程度,难以完成风险评价、风险控制等风险管理的后续工作。传统上风险分析多采用核对表、风险清单等方法,由于这些方法要依赖于个人风险管理经验,因此用于大型信息系统实施风险分析就显得过于简化。此外,风险分析还可以采用分类结构、阶段风险报告等方法或项目风险分析工具,但是由于分类结构对项目状态和分类方法极为敏感,如果分类结构覆盖不全面,则无法得出正确结果,反之,大而全的分类结构则可能会因过于细致而可能漏掉一些重要风险。

风险矩阵分析方法是识别大型信息系统实施风险的一种重要的结构化方法。采用这种方法分析大型信息系统实施风险时,风险沿两个维度进行分类,即大型信息系统实施阶段(时间维)和大型信息系统实施相关因素(领域维),以此表示风险在大型信息系统实施的不同阶段有不同的表现,并分属不同的领域。

(一)基于时间维度的大型信息系统实施阶段划分

基于时间维度的风险分析体现了大型信息系统实施所处的阶段不同,所对应的风险也有所不同。

大型信息系统实施阶段的划分有多种方法。SAP在R/ 3过程参考模型基础上于1996年提出大型信息系统实施过程划分为项目准备、业务蓝图、系统实现、最后准备、投入运行和支持五个阶段。金蝶公司提出大型信息系统实施分为项目组织、系统培训、系统定义、数据准备、系统切换、运行维护六个阶段。许多学者提出了大型信息系统实施的过程模型,包括四阶段模型、五阶段模型和六阶段模型。Rose在研究大量大型信息系统案例的基础上提出的五阶段模型,包括设计、实施、稳定、提高和提升;M.Lynne.Markus和C.Tanis提出的四阶段模型包括准备、执行、调整和上升;通过整合上述两个模型,G.Shanks等提出四阶段模型,即计划、实施、稳定和提高。也有的将大型信息系统实施阶段按照IT项目生命周期划分为:需求分析、系统设计、系统开发、系统测试、运行维护五个阶段,或者IT规划、需求分析、软件设计、软件测试、系统集成、系统运行和系统维护七个阶段。

上述划分方法从划分角度和涵盖范围上来看,具有明显的不足之处。首先,以上划分方法大多是从软件开发商的角度划分大型信息系统的实施阶段。然而,大型信息系统实施所涉及的不仅仅是信息技术的应用,往往还涉及到组织战略、管理流程和持续改进等多方面的问题,这些划分方法忽略了大型信息系统实施业主的主导地位,脱离了实施环境和组织的实际,并有可能遗漏大型信息系统实施的风险因素。其次,上述划分方法大多依据IT项目管理的过程,从范围上没有包括IT战略实施、IT监控、IT评估等大型信息系统实施的必要组成部分。

IT治理研究院提出的COBIT标准把IT工作流程分为四个域(Domains),分别是规划与组织(Plan & Organise)、获取与实施(Acquire & Implement)、交付与支持(Deliver & Support)、监控与评估(Monitor & Evaluate),从系统实施业主的角度,从全面IT治理的范围比较全面、准确地定义了IT系统实施过程,避免了上述缺陷,为大型信息系统实施阶段的划分提供了参照标准。因此,采用这一定义进行基于时间维的大型信息系统实施阶段的划分,能为分析大型信息系统实施风险确立良好基础。

(二)基于领域维的大型信息系统实施风险因素的设定

此文中的领域是指整个大型信息系统实施所涉及的范围,是大型信息系统实施风险因素的来源和产生主体。

相关研究成果表明,信息系统建设的风险因素分析在经历了技术系统理论、人机系统理论和社会技术系统理论。在技术系统理论的阶段,笔者认为IT技术提高了工作效率,系统建设的成败在于系统硬件和软件等技术因素。人机系统理论认为成功实施信息系统要受到技术与管理两个领域的因素影响,信息化的过程不仅是高技术项目的实施,同时也是一个管理优化的过程。20世纪90年代末期的社会技术系统理论在技术、管理两个方面的因素以外,更强调组织要素,特别是强调组织中人的素质、观念和态度等组织文化方面的内涵,认为信息化的过程是组织有计划的变革过程,从而最终达到技术水平、管理水平和组织水平的提升。

在这里,技术、管理和组织有着复杂的相互作用关系,从而形成大型信息系统实施过程中信息技术领域、管理领域和组织领域的统一,各个领域的风险在时间坐标上不断变化,是一个动态的过程。实施大型信息系统是信息技术与现代管理理念的结合,信息技术的应用将改变原来组织结构、管理思想、决策方式、工作方法等;反之,大型信息系统实施要在适当的管理下开展,包括技术管理、实施项目管理等。信息技术改变组织原来的业务流程,建立基于共享的资源平台;反之,组织原有的流程又在一定程度上限制信息技术在组织中的应用,需要组织全力推进流程重组。

因此,社会技术系统理论比较真实、全面地反映了信息系统实施的本质和信息化过程的规律,因此,在领域维中设定技术、管理和组织三个方面,能够全面反应大型信息系统风险因素的来源和产生主体。

大型信息系统实施风险分析矩阵模型的构建

通过上述分析,大型信息系统实施阶段和实施相关因素是风险分析矩阵的两个维度,本文构造了一个完整的大型信息系统实施风险集合,见图1。

风险分析矩阵模型中的风险项描述

(一)环境风险

大型信息系统的实施与外界环境进行交互作用,由此产生的系统性风险称为环境风险,其中包括经济环境风险、社会环境风险。一方面,经济环境的改变对组织的冲击巨大;另一方面,政治、军事、法律等方面的社会环境变化也会影响系统实施进程。由于组织自身的相对稳定性导致其在面临环境变化的情况下反应滞后,从而系统实施过程会受到一定冲击。

(二)组织领域的风险

决策风险是因系统实施的决策失误而带来的风险。许多大型信息系统实施效果并不理想,有相当一部分主要是决策失误造成的。人力资源风险是指系统实施过程中缺乏人力资源保证从而导致项目未能实现预期目标甚至失败的风险。项目建设之前的决策规划人员、项目建设过程中的实施和咨询人员以及项目交付后的使用、管理、维护人员的数量、技术水平、管理水平、支持程度、参与热情和协作能力等是大型信息系统实施成功的重要保证。持续改进风险是指组织IT战略与组织运营战略不能保持一致,导致系统得不到持续改进而目标偏离或效能下降的风险。大型信息系统实施不只是一个信息化项目,而是一个持续不断的过程,从而使系统不断适应组织的业务需求并得到持续改进,实现系统的应有价值。

(三)管理领域的风险

项目进度风险是指系统实施完成时间滞后计划进度的风险。因此,在大型信息系统实施的时间管理过程中要充分考虑各种潜在因素,将项目进度作为重要的成功因素来管理。成本控制风险是指成本严重超出项目预算的风险。如果实施业主不能有效控制各项费用支出,项目成本严重超出预算,会造成实施失败甚至财务困难。系统转换风险是系统转入正式运行时部分或完全不能达到系统目标的风险。系统转换是大型信息系统硬件、软件、数据、人员等各要素整体参与的过程,是项目成败的关键环节,如果系统转换不具备相应的条件,将产生不可预料的问题。流程重组风险是指业务流程重组不能达到预期目标的风险。

流程重组风险体现在四个方面:一是流程重组的规划风险。业务流程改造目标风险是否明确,管理职责定义是否明晰,流程重组的承受力和可接受程度有多大等问题需要做出细致规划,否则会导致流程重组的失败。二是流程重组的偏离风险。业务流程重组但应避免脱离业务实际,以及不能与系统进行技术匹配。三是流程重组的政治风险。流程重组必然涉及各方面的管理变革,可能会因工作惯性、利益冲突等原因受到抵制,使实施过程复杂化。四是流程重组的数据风险。系统业务流程和功能变动后,如果数据不能真实、准确、及时、完整,会导致数据失真,引起组织运营风险。系统合规风险是指因系统流程、数据、内部控制等管理问题导致组织违反法律、规章和组织内外部相关标准的风险。系统中数据的输入、存储和输出形式隐蔽、可视性低,内部控制环境、标准尚不能完全适应IT技术的特点,传统风险管理方式对大型信息系统没有针对性,因此组织将承担着更大的合规成本。

(四)技术领域的风险

系统选型风险主要表现为对系统软硬件供应商及软硬件的选择中存在的风险。系统的软件和硬件是大型信息系统的基础架构,对项目实施成功与否影响很大。因此,实施业主应通过管理诊断和需求分析明确组织的管理需求,考虑组织业务需求与大型信息系统的匹配程度,通过投资效益分析确定系统成本定位,同时关注系统的稳定性、集成性和成熟度以及供应商的技术服务水平和管理水平。项目质量风险是指大型信息系统实施项目结束时交付物不能达到标准,以至于不能满足系统正常持续运转的风险。符合标准的项目交付物应该包括稳定、安全、灵活、可扩充的软硬件平台,保持共享、集成和统一的数据和应用,丰富的行业参考信息资源,产品和服务的持续性以及与组织实际的适应性。系统安全风险就是大型信息系统弱点受到威胁的可能性。如果系统中存在弱点,在开放的环境中就容易受到外界威胁,有给组织造成损失的可能。系统维护风险是大型信息系统得不到持续维护和升级,从而导致不能达到原有目标或新目标的风险。系统维护是否正常,标志着大型信息系统应用是否成熟,是持续运行和持续改进的重要基础工作。

参考文献:

1.朱宗乾,程传旭.ERP系统实施风险辨识矩阵模型研究[J].情报杂志,2005,9

2.刘义理.IT治理与企业IT风险控制[J].同济大学学报(社会科学版),2005,16(4)

3.金文,张金城.基于COBIT的信息系统管理、控制与审计的模型构建研究[J].审计研究,2005,4

精品推荐
扩展阅读
推荐期刊