参考学习资料 集成 7风险管理制度.doc

信息系统项目风险管理办法

本管理办法由系统集成部制订并督促执行，适用于公司信息系统和项目中承建的信息系统，目的是对信息系统的风险进行管理，保障信息系统的安全、高效和稳定。

信息系统风险管理按流程分为风险管理计划编制、风险识别、风险分析、风险处理、风险监控和预防。

风险计划，指决定如何着手进行风险管理活动的过程。风险计划能够确定一套完整全面有机配合、协调一致的策略和方法并将风险其形成文件的过程，针对风险对项目影响进行全面考虑，制订充分的风险管理计划，其中需要定义风险管理过程和要求，对时间表和费用进行预估。

风险识别是指将风险进行分类，列举风险的基本特征、引起风险的主要因素以及可能会对项目造成什么影响，形成详细的风险跟踪记录表。对风险的识别不仅要通过感性认识和经验进行判断，更重要的是必须依靠对各种客观统计资料和风险记录进行分析、归纳和整理，从而发现各种风险的特征及规律，也就是发现引起风险的主要因素。

风险分析包括定性和定量分析，最后形成风险点列表。

定性分析是指根据风险管理计划中的定义，确定每个风险发生的可能性、分析风险对项目的影响，包括时间、成本、范围等各方面，影响包括威胁和机遇。定性分析的方法包括专家评估和事宜项目干系人的头脑风暴。

定量分析是指采用专家评估的方法，组织人员对项目分别进行乐观、中性和悲观估计。

风险处理是指根据风险分析的结果，对已识别的风险制订对应的处理计划。针对不同的风险，采用不同的应对措施。

风险监控是指对风险识别中所有的风险进行跟踪及监控，根据已经识别出的风险的状态进行跟踪，核对风险管理策略和措施的实际效果是否与预见的相同；寻找机会改善和细化风险控制计划，获取反馈信息，以便将来的决策更符合实际，及时发现那些新出现的以及预先制定的策略或措施不见效或性质随着时间的推延而发生变化的风险，然后及时反馈，并根据对生产活动的影响程度，重新进行风险识别、估计、评价和处理，同时还应对每一风险事件制定成败标准和判据。在这个过程中，主要采用了偏差分析、项目绩效分析和监控会议的方式进行。

风险预防

针对项目进行相关的风险分析与评估等相关处理之后，可以采取以下几个重要预防措施进行风险预防

1、减轻风险通过缓和和预知手段来减轻风险，降低风险发生的可能性和带来的不利后果，以达到减少风险的目的，减轻风险是风险存在优势时使用的一种风险决策，其有效性在很大程度上要看风险是已经风险、可预测风险还是不可预测风险。

2、回避风险主要包括预防风险和完全放弃两种，主动预防风险是从风险源入手，将风险来源彻底消除。

3、转移风险将风险转移至该项目的其他人或其他组织，所以又叫合伙分担风险，其目的不是降低风险发生的概率和减轻不利后果，而是借用合同和协议，在风险事故一旦发生时候将损失一部分转移到有能力承受的个人或组织。

4、接受风险应对风险策略之一，指有意识地选择承担风险后果。接受的风险包括主动风险和被动风险，主动风险指在风险规划阶段对一些风险做了准备，所以当风险发生时马上执行应急计划。被动风险指风险事件造成损失数额不大，不影响项目大局时，项目管理组将损失列为项目的一种费用。