IT風險管理

在IT項目管理中，管理者盡量去定義明確不變的需求，以便進行計劃並高效管理，但商業環境總是快速變化的，甚至是無序的變化。所以，企業在進行項目管理的過程中，必須採用適合自己的風險管理方法進行風險管理，以確保軟體項目在規定的預算和期限內完成項目。IT風險管理能夠幫助企業提煉IT風險管理焦點問題，分析風險起因，排除無效IT治理，解決遇到的實際問題，幫助企業在規避IT風險的同時利用IT風險為企業創造價值。

在項目管理中，建立風險管理策略和在項目的生命周期中不斷控制風險是非常重要的，風險管理包括四個相關階段：

風險識別 識別風險的方法常用的有風險識別問詢法（座談法、專家法）、財務報表法、流程圖法、現場觀察法、相關部門配合法和環境分析法等。

風險評估 對已識別的風險要進行估計和評價，風險估計的主要任務是確定風險發生的概率與後果，風險評價則是確定該風險的經濟意義及處理的費/效分析，常用的方法有：概率分佈、外推法、多目標分析法等。

風險處理 一般而言，風險處理有三種方法，①風險控制法，即主動採取措施避免風險，消滅風險，中和風險或採用緊急方案降低風險。②風險自留，當風險量不大時可以余留風險。③風險轉移。

風險監控 包括對風險發生的監督和對風險管理的監督，前者是對已識別的風險源進行監視和控制，後者是在項目實施過程中監督人們認真執行風險管理的組織和技術措施。

針對軟體項目中的風險管理問題，不少專家、組織提出了自己的風險管理模型。主要的風險管理模型有：Boehm模型，CRM模型和SERIM模型。

Barry Boehm模型

模型：RE=P(UO)*L(UO)

其中RE表示風險或者風險所造成的影響，P(UO)表示令人不滿意的結果所發生的概率，L(UO)表示糟糕的結果會產生的破壞性的程度。Boehm思想的核心是10大風險因素列表。針對每個風險因素，都給出了一系列的風險管理策略。在實際操作時，Boehm以10大風險列表為依據，總結當前項目具體的風險因素，評估後進行計劃和實施，在下一次定期召開的會議上再對這10大風險因素的解決情況進行總結，產生新的10大風險因素表，依此類推。

SEI的CRM(Continuous Risk Management)模型

SEI CRM模型的風險管理原則是：不斷地評估可能造成惡劣後果的因素；決定最迫切需要處理的風險；實現控制風險的策略；評測並確保風險策略實施的有效性。CRM模型要求在項目生命期的所有階段都關注風險識別和管理，它將風險管理劃分為個步驟：風險識別、分析、計劃、跟蹤、控制。

SERIM(Software Engineering Risk Model)模型

SERIM從技術和商業兩個角度對軟體風險管理進行剖析，考慮的問題涉及開銷、進度、技術性能等。它還提供了一些指標和模型來估量和預測風險，由於這些數據來源於大量的實際經驗，因此具有很強的說服力。

步驟1：確定業務需求。對整個企業內所有涉及合規性、可用性、安全性和業務連續性的業務流程和應用的要求進行評估。衡量停機對各業務應用與流程的影響。

步驟2：評估風險等級。對可用性、安全性與持續性進行全面且深入的評估，以確定風險領域，制定保護IT環境、改善IT服務的策略。將企業目前現行的實踐與“最佳信息技術基礎設施信息庫（ITIL）”推薦的最佳實踐進行比較，了解差距，根據業務影響確定風險等級。

步驟3：設計與實施解決方案。將需求轉化為切實可行的技術與服務解決方案，其中包括存儲、資料庫、應用、系統、網路和環境基礎設施等。制定持續性服務改進計劃。

步驟4：監控、管理與發展。制定IT服務管理政策，建立培訓機制，採用最佳實踐調整人員與優化流程。在業務發展過程中，對持續性與可用性計劃進行再評估、監控、審計與測試。