移动办公风险管理过程

11.2　移动办公风险管理过程

移动办公风险管理涉及的主要过程包括:风险识别、风险估计、风险评价、风险应对计划及风险监控。

11.2.1　风险识别

对各种风险因素和可能发生的风险事件进行分析，是风险管理的首要步骤。项目风险识别要回答下列问题:项目中存在哪些潜在的风险因素?这些因素会引起什么风险?这些风险造成的后果有多大?忽视、缩小或夸大项目风险的范围、种类和造成的后果都会造成不必要的损失。

11.2.1.1　风险识别的程序

风险识别可分三步进行:收集信息，估计项目风险形势，确定风险事件并归类。

(1)收集信息

风险识别需要大量地占有信息，了解情况，要对项目系统以及系统的环境有十分深入的了解，并要进行预测，不熟悉情况是不可能进行有效风险识别的。风险信息的来源主要有以下几个方面:

①项目的前提、假设和制约因素;

②项目的规划;

③风险的种类;

④历史资料;

⑤项目的自身特点、外在环境以及项目生命周期各个阶段的风险。

风险识别不仅需要收集足够的信息，还要判断信息的准确性和可信度，这就给收集信息的工作增加了一定的难度。

(2)风险形势估计

风险形势估计是要明确项目的目标、目标实现的战略、项目所处的内外环境、项目资源状况、项目的前提和假设，以确定项目及其环境的不确定性。进行风险形势估计，可以使项目管理班子换一个角度重新审查项目计划，认清项目形势，揭露原来隐藏的假设、前提和以前未曾发觉的风险，抛弃所有个人的良好愿望，承认项目现有的能力。

(3)按照先分类后识别的方法确定风险事件

先分类后识别的方法的优点在于:一是可以充分发挥分析人员的专业特长，提高识别的准确性;二是可以减少分析工作的工作量，节约时间，提高效率;三还可以基本杜绝风险因素的遗漏、能更全面识别项目风险因素。

11.2.1.2　风险识别的方法

识别项目风险的方法主要有专家访谈法、头脑风暴法、德尔菲技术、SWOT分析、编制安全检查表、故障树分析法、工作分解结构、核对表法、幕景分析法等，每一种方法都有其适用范围，都有各自的优缺点。在实际中究竟应采用何种方法，要视具体情况而定，通常需要综合运用几种方法，才能收到较好的效果。

11.2.1.3　风险识别的结果

风险识别之后要把结果整理出来，写成书面文件，为风险评估和风险应对及风险监控做准备，整理的过程分如下两个步骤:

(1)风险的陈述

风险陈述是用标准的表示法对风险进行简要说明，描述一个风险，不仅要考虑其症状，还要考虑其结果。此外，还要用风险背景记录额外的信息(事件、条件、约束、假定、环境、有影响的因素及项目内部的相互关联问题)来补充风险陈述，风险背景能比风险陈述提供更多的细节。

(2)建立潜在损失一览表

“潜在损失一览表”罗列的风险应尽可能的全面，而不管风险事件发生的频率和可能性、收益或损失、损害或伤害有多大，都要一一列出，如表11.1列出了与各知识领域相关的可能风险条件。

表11.1　与各知识领域相关的可能风险条件

11.2.2　风险估计

在风险识别和初步分类之后，下一步就要对风险进行估计。风险估计的对象是项目的各单个风险，而非整体风险。风险估计有以下几个方面的目的:加深对项目自身和环境的理解;进一步寻找实现项目目标的可行方案;务必使项目所有的不确定性和风险都经过充分系统而又有条理的考虑;明确不确定性对项目其他各个方面的影响;估计和比较项目各种方案或行动路线的风险大小，从中选择威胁最少、机会最多的方案或行动路线。

风险估计所回答的问题就是:

◇风险到底有多大;

◇风险以多大的概率出现;

◇该风险将造成多严重的损失。

因此，对风险做出评估就要从确定损失概率和损失度开始:

(1)风险事件发生概率的估计

风险估计的首要工作是确定风险事件的概率分布。风险估计有主观和客观两种。在移动办公项目风险分析时，可能遇到的事件不可能做出准确的分析，也很难计算出客观概率。但由于决策的需要，必须对事物出现的可能性做出估计，因此通常使用主观概率估计法。主观概率并不是凭空得来的，它是估计者根据合理的判断和当时能搜集到的有限信息以及过去长期的经验所进行估计的结果。即使是那些纯粹一次性项目也与过去的项目和当今科技有着一定的联系，另外，主观概率不应由一个人或者一个团体做出，主观概率应该通过使用德尔菲法等技术来反复修正。

(2)风险事件后果的估计

风险事故造成的损失大小要从三个方面来衡量:损失性质、损失范围和损失的时间分布。损失性质指损失是属政治性的、经济性的还是技术性的。损失范围包括:严重程度、变化幅度和分布情况。严重程度和变化幅度可分别用损失的数学期望和方差表示;而分布情况是指那些项目参与者的损失。时间分布指风险事件是突发的还是随着时间的推移逐渐致损，或该损失是马上就感受到了还是随着时间的推移逐渐显露出来。

11.2.3　风险评价

风险估计只是对项目各个阶段单个风险进行估计和量化，没有考虑各个单个风险综合起来的总体效果，也没有考虑这些风险是否能被项目主体所接受，而这些正是风险评价的任务。风险评价就是对各风险事件后果进行评价，并确定其严重程度顺序。

11.2.3.1　风险评价的内容

(1)确定风险评价基准。风险评价基准就是项目主体针对每一种风险后果确定的可接受水平。风险的可接受水平可以是绝对的，也可以是相对的。评价基准和项目目标密不可分。项目目标量化后，就可以选作评价基准。

(2)确定项目整体风险水平。风险的可预见性、发生概率和后果大小三个方面可以多种方式组合，使项目的整体风险评价变得十分复杂。帕累托二八原理表明，20%的风险构成了对项目严重威胁的80%。一般情况下，项目面临的各种风险的严重性和发生频率都呈现这种分布规律。

(3)风险水平同评价基准比较。当项目整体风险小于或等于整体评价基准时，风险是可以接受的。这时如果有个别单个风险大于相应的评价基准，则可以进行成本效益分析或其他方法权衡，考虑是否有其他风险小的替代方案可用。当项目整体风险比整体评价基准大出很多时，风险不能接受，此时，要认真考虑是不是放弃这个项目。

11.2.3.2　风险评价的指标体系

(1)指标体系设置的原则

①全面性原则

指标体系作为一个整体，要比较全面地反映项目的整体风险特征。移动办公的风险因素涉及的范围非常广，风险来源众多，对项目的整体风险必须从多个角度进行全方面的把握。

②科学性原则

科学和公正是所有指标体系都应遵守的准则。指标的选择、指标权重的确定、数据的选取、计算与合成必须以公认的科学理论(统计理论、管理与决策科学理论等)为依据。

③独立性原则

设置指标时应尽量选择那些具有代表性的指标，指标与指标之间往往存在信息的重叠，所以要尽量选择那些具有相对独立性的指标。

④可测性原则

可测性原则是指指标体系所规定的内容能够根据测量标准直接进行度量，并获得确定的结果。一般讲，目标层、准则层是不可直接测量的，只有逐级分解为具体指标才具有可测性。

⑤可操作性原则

在指标选取和评价方法的选择上，要做到既有利于评价结果的全面性，又有利于评价过程的可操作性。移动办公的风险评价系统的指标体系最终要被决策者使用，要为项目的投资决策服务，因而指标体系不是越多越好，要考虑指标的量化和数据取得的难易程度和可靠性。脱离实际，不能应用到实践中的指标体系是毫无意义的。

设置指标体系时，上述各项原则既要综合考虑，又要区别对待。一方面要综合考虑评价指标的系统全面性、科学性、独立性、可测性和可操作性，不能仅由某一原则决定指标的取舍;另一方面由于各项原则各具特殊性及目前认识上的差距，对各项原则的衡量方法和精度，不能强求一致。

(2)指标权重的确定

权重指的是各个指标之间的相对重要程度，它是影响综合评价结果的重要因素，不同的权重分配将产生不同的评价结果。

指标权重的准确与否在很大程度上影响综合评价的准确性和科学性。指标权重值的确定方法随着研究的深入也由最初的依据研究者的实践经验和主观判断来确定权重，逐步发展为用德尔菲(DELPHI)法确定权重，但应用此法，权重分配的难度和工作量(反复次数)随指标数量的增多而增大，甚至难以获得满意的结果。近年来用层次分析法(AHP)定权重越来越受到研究人员的重视，并在很多方面得到应用，如表11.2所示的麦克法兰的风险调查问卷。

表11.2　麦克法兰的风险调查问卷

续表

11.2.4　风险应对计划

经过项目风险整体评价，有两种结果:一是项目的总体风险超过了评价基准;二是项目总体风险在可接受的范围内。如项目总体风险超过可接受的水平，企业就应取消对移动办公项目的实施计划;如项目总体风险水平可被接受，则不必改变项目原定计划，而应关注处理和监控已识别出的风险。

依据风险管理理论，风险管理应是一个持续的、不断更新的过程，也是新风险不断产生、发展和消灭的过程。为实现风险管理目标，必须采取适当的风险对策进行风险控制，即制定风险应对计划。

应对风险，可以从改变风险因素的性质，风险发生的概率或风险后果大小三个方面，提出多种策略。应对风险的主要方法有:规避，转移，缓解和接受。风险规避是风险管理技术中最简单亦最为消极的一种，采取风险规避策略，最好在项目活动尚未实施时，这时对项目的损失最小。放弃或改变正在进行的项目，付出的代价一般都比较高。

风险转移的实现大多是借助于协议或者合同，将损失的法律责任或财务后果转由他人承担。转移风险主要有五种方式:出售、外包、合同中列入开脱责任条款、合同中列入转移责任条款以及保险与担保。值得注意的是，在移动办公中实行的项目外包有时并不是为了转移风险，而是为了更好的发挥不同企业的核心竞争力。项目投保在移动办公中是一种较好的风险转移方法。

在移动办公中，作为减轻风险损失的一般措施，制定规范化的工作流程和进行风险管理教育是预防和避免风险的有效措施。项目有关人员按照规范化的流程进行工作，常常可以避免由随意性的工作方式造成风险。风险管理教育能使有关人员充分了解项目所面临的种种风险，了解和掌握控制这些风险的方法，使他们认识到个人的任何疏忽或错误行动都可能给企业造成损失。

对于风险管理者来说，虽然有多种应对策略可以选择，但是一个项目拥有的资源是有限的，如何选择既经济又有效的策略也是一个问题。通常项目管理者取舍的标准有:

(1)选择风险倍率高的。风险倍率是对执行不同风险应对活动的相对成本和利益的比较。其定义为:

风险倍率=［风险影响(应对之前)-风险影响(应对之后)］/风险应对成本

(2)选择风险应对多样化。在金融市场，常常通过组合投资来减小投资的风险是非常有效的，同样在选择风险管理的应对策略上，也不能只依赖一种策略，需要多样化的策略、多样化的方法、多样化的工具以及多样化的实施人员等。

11.2.5　风险监控

风险监控就是跟踪已识别的风险，监视残余风险和识别新的风险，保证风险计划的执行，并评估这些计划对减低风险的有效性。风险监控是项目整个生命周期中的一种持续进行的过程。当风险事件发生时实施风险管理应对计划中预定的规避措施;当项目的情况发生变化时，重新进行风险分析，并制定新的规避措施。一个好的风险监控系统可以在风险发生之前就提供给决策者有用的信息，并使之做出有效的决策。

风险监控的目的是为了确定以下内容:

(1)风险应对措施是否已经按计划得到实施;

(2)风险应对措施是否像期望那样有效，或是否需要制定新的应对方案;

(3)项目假设是否依然成立;

(4)风险暴露与以前的状态相比是否发生了变化，并做出趋势分析;

(5)某一风险触发器是否已经发生;

(6)适当的政策和程序是否得到了遵从;

(7)先前未曾识别出的风险是否已经发生或出现。

风险监控的技术和方法:

(1)项目风险应对审计。在应对风险时，风险审计员检查和记录风险应对措施的有效性。为控制风险，风险审计应在项目整个生命周期内进行。

(2)定期项目风险审核。项目风险审核应有规律地定期进行。在项目生命期内，风险值和优先次序可能会发生变化，任何变化可能都需要进行额外的定性和定量分析。

(3)挣值分析。用于监督整个项目相对于其基准计划的绩效。挣值分析的结果可以显示到项目完成时，成本和时间上潜在的偏差。当一个项目显著偏离于基准计划时，应进行更新的风险识别和分析。

(4)技术绩效测量。

(5)附加风险应对计划。如果出现某种风险，而风险应对计划中又没有预计到，或者该风险对目标的影响比预期的要大，那么原计划的应对措施可能就不是很适当了，需要编制附加风险应对计划。