罗马不是一天建成的,风险也不是突然出现的。在风险演化为后果严重的危机之前,总会有蛛丝马迹可寻,风险监控的意义就在于此。只要我们足够的细心,给予足够的重视,很多情况下是可以化危机于无形的,或者,至少可以降低所造成的危害。
精确度量
每种风险发生的概率和造成的损害各不相同。一个项目需要关注的东西很多,不可能对每一个风险都给予同等的注意,必然会对发生概率高、危害大的风险投入更多的关注。这样就带来了一个问题,如何才能确定某个风险发生的概率和强度?
关于风险发生的概率,可以通过历史数据的分析来获得。对历史项目中这类风险发生的频度进行统计,可以大致估算出这类风险发生的概率,当然,在评估具体项目中某个风险的概率时,也要考虑到该项目的特点,只有对具有可比性的项目数据进行统计,才会对风险的概率度量有所帮助。
风险的强度系数,主要依靠对假设的风险发生状态下,可能会给组织造成的直接损失和间接损失。对信息化项目来说,最常用的衡量损失的指标就是进度和质量,这是最直接的损失,当然还会有间接的比如满意度等方面的损失。
无论是概率系数还是强度系数,都是为了衡量某个风险的重要性服务的,并不要求绝对精确,只要能够找到项目中最可能发生的、危害程度最大的风险,并加以重点防范,以避免给项目造成重大损失。
重点监控
明确了风险的内容、概率和强度,接下来我们需要对优先级最高的风险进行重点监控,把有限的精力放在最有价值的工作上。
信息化建设的项目有许多信息和指标反映项目的进展状态,比如项目进度是否落后,项目质量是否波动,需求是否又有变动,功能点完成了多少?项目的风险管理者(比如项目经理、项目度量员等角色)应该时刻关注这些项目信息,并从各种状态评估报告、项目进展报告等文件中收集所需的信息,利用这些信息拼凑成一幅完整的项目现状图。
掌握了全面的项目状态信息之后,风险管理者需要根据风险管理计划中提供的风险列表,对其中的异常信息进行重点分析,及时发出风险预警,提醒项目组成员确认风险并采取相关的风险应对措施,达到风险管理的目标。
防微杜渐是风险监控的目的,见微知著是风险监控的原则,无论计划制定的多么完美,没有及时准确的风险监控和预警体系,项目的风险管理就实实在在的成了一句空话。