风险管理:计划要赶上变化.doc
风险管理:计划要赶上变化 ‚计划赶不上变化‛,是 H 公司主管 IT 部门的卢经理过去常说的一句话。他的话并非牢骚,而是真实地表达了这几年信息化规划和需求之间,‚按下葫芦浮起瓢‛的窘境。 H 公司是一家比较注重规范管理的建筑企业,也十分注重信息化应用。但是,由于施工过程的复杂性,信息化在解决了‚提高工作效率‛的问题之后,面临着如何提升管理绩效的问题。这个问题让卢经理感觉到,靠过去那种解决技术问题的方式来推动,已经遇到了新的矛盾。 技术和业务谁‚当家‛ 在 IT 技术还不是很普及的时候,卢经理的部门仿佛有一种优越感。‚但是也真辛苦‛,回忆起公司‚从无到有‛建设信息化,推广各类部门级应用系统的体会,卢经理有一大堆故事可讲。 但是,最近一、二年的情况似乎有所不同。‚系统之间的整合成了头等大事‛,卢经理对这个问题有自己的看法,‚‘整合’的好处和必要性大家都知道,但究竟怎么整合,往往就成为争论的焦点。‛ 一段时间以来,业务部门认为‚整合‛就是要重新明确业务部门的职责;而IT 部门则强调‚在理顺流程的基础上更新系统‛。这两方面的意见,看似不同,实际上最后都 归结为‚技术和业务‘谁当家’的问题。‛ 当然,卢经理也承认这么说有点‚简单化‛。难点在于,一套系统并非可以简单地看作 IT 系统,也不能简单地看作业务运行环境,‚实际上每套信息系统的背后,都贯穿着对业务管理的规范、程序和标准,某种程度上说,信息系统就是业务规范的‘固化’。‛ ‚被自己的绳子绊倒‛ 一旦从‚固化‛的角度理解信息系统,就可以发现‚变革之难‛到底发生在什么地方。卢经理说,目前已经在运行的信息系统,无论是财务系统、施工计划系统、预算系统等等,都‚经不起变化的‘折腾’‛。 但是,平 心而论,哪个企业不是在充满变数的环境中寻找机会,作出应变决策的?在要求信息系统有一定的灵活性,能够应对企业竞争环境和市场变化的时候,‚原来所说的‘充满智慧结晶’的软件系统,好象一下子‘变傻’了‛,卢经理举例说,比如公司拓展业务类型,介入新的建筑市场,需要从基础数据、工程预算、人力资源,甚至会计科目上,对信息系统加以调整。 ‚这种调整并非是局部的,它所带来的影响是全局性的‛, H 公司这几年的变化,充分说明了这一点。从刚开始的工业建筑市场切入民用建筑市场,就是一个巨大的变革。信息系统如果没有足够的灵活性,以 最小的代价迅速反映出这种变革的需求,‚我们立刻就会面临被自己的‘绳子绊倒’的境况‛,卢经理说这话的时候,显得十分忧虑。 风险也需要管理 ‚这其实是信息系统隐含的风险‛,卢经理的看法很有代表性,它代表了人们思考‚企业信息化的‘下一步’是什么‛的问题时的普遍认识。 信息系统的建设过程实际上充满了风险。‚过去我们总认为是技术风险,总设想能通过‘合理选型、合理开发’来把这个风险最小化‛,卢经理认为,‚现在我们公司的业务和战略变革过程,提出了一个更深层次的问题:如何面对变革的风险。‛ ‚一劳永 逸的思想,多少年不落后的思想,其实是不现实的‛, H 公司的信息化之旅,真切地揭示了这样的观点。‚对于‘变革是常态’的现代企业生存环境,信息系统的规划、开发实施、维护、控制和管理,必须树立‘变革管理’、‘风险管理’的意识。‛ 实际上这种观点也正是现在 IT 业界出现正视‚风险‛,加强‚风险管理‛的深刻背景。 风险管理,需要以动态的观点看待企业的经营活动和经营环境的变迁,同样需要以动态的观点看待信息系统的更新、整合和完善。卢经理今年的任务,可以说有一个新的变化,就是更加贴近企业‚变革‛的实际,从反映企业变 革的需求出发,从服从企业战略需要出发,看待信息系统建设的‚下一步‛。 风险管理是 IT 项目管理的‚常态‛ 曾任职 IBM、埃森哲咨询公司,有 30 余年项目管理经验的 Richard Murch先生,现在是美国 Columbus 公司的咨询顾问和项目经理。在他 2001 年出版的《 IT项目经理实践入门( Project Management: Best Practices For IT Professionals)》一书中,着重强调了 IT 项目的风险管理问题。 1995 年跨掉的伦敦历史最悠久的巴林银行,成立于 1765 年。该银行设在新加坡分支机构的职员 Nicholas Leeson(里森)的违规操作,导致已经运转了 230年的巴林银行几乎一夜间灰飞湮灭。事后人们的分析指出,没有足够的风险防范措施,特别是涉及网络交易的风险防范,导致数十亿美元的非法交易在人们的眼皮下逃脱了监管,是毁灭巴林银行的主要原因。 Murch 把 IT 项目管理中的风险划分为 5 类:外部风险,如市场变化、新的行业标准、合并与收购事件、政策法规、网络故障和灾难、自然灾害等;成本风险,如未能预见的项目范围偏离、扩展和变更,对项目成本的估计出现差错,预算和 进度超计划等;进度风险,如技术和内部沟通出现障碍,资源缺乏和资源不恰当的调度等;技术风险,缺乏有效的软件测试和系统测试,未能预见技术与系统的复杂性,技术与业务的整合缺陷等;执行风险,如未能给关键人物授权,系统发布时机出现判断错误等。 以上风险类型中有 3 个关键因素值得注意:第一是识别风险存在的关键控制点;其二是对风险进行评估;其三是对风险控制进行规划与管理。 Murch 的观点是,风险管理是项目管理中的‚常规内容‛。这个观点值得 IT项目经理认真思考。很多项目经理将项目风险列为‚意外事件‛,只是在‚出 现了‘意外事件’之后,再考虑如何消除事件的影响‛,这种意识对项目风险管理是十分有害的。 当然,考虑风险控制将会在预算裕量、备择计划、资源储备和进度调整方面,要求项目经理拥有一定的自主权并得到授权。在某种程度上,会增加项目的成本。但是,防范风险的投入对公司来说,是绝对必要的。 IT 项目虽然是一个基于智力活动的项目构造过程,其间所使用的项目控制方法和系统开发方法,表面上看具有很强的确定性;但是,由于现实世界的复杂性、环境的变化和 IT 项目并非能完整表达用户的实际需求,风险和变更在 IT项目中无所不在。 现代项目管理,已经将‚变革( Change)‛作为项目生命周期的‚常态‛。在传统的计划、组织、实施、评估、财务控制等典型的项目管理职能中,风险管理作为一项核心职能之一,受到了越来越多的关注。