信息系统监理师学习笔记-第18章风险管理

本章风险管理是信息系统监理师考试的核心重点章节，核心围绕“识别风险、分析风险、应对风险、监控风险”全流程展开，知识点兼具理论性和实操性，也是监理工作中“风险控制”的核心依据。

一、风险管理基础认知（考点1）

在信息系统工程建设中，风险无处不在：小到需求变更、人员离职，大到技术故障、政策调整，都可能影响项目目标的实现。

1.1 风险的核心定义（必记）

风险的核心是“不确定性”，具体来说：项目生命周期中，由于各种内外部因素，导致项目无法按计划实施、达不到预期目标或满足质量要求的不确定性，一旦发生会对项目目标产生正面或负面影响。

易错提醒：风险不仅是“坏事”，也可能是“好事”：比如技术突破带来的成本节约、需求优化带来的项目价值提升，这种能带来正面影响的不确定性，同样属于风险。

1.2 信息系统项目常见10类风险（高频考点）

考试常以选择题、案例题形式考查风险类型判断，结合监理工作场景理解，重点掌握每类风险的核心特征和典型例子：

1.技术风险：核心是“技术相关”，比如技术不成熟、系统兼容性差、技术选型错误（如选用小众框架导致后期维护困难），这也是信息系统项目最常见的风险之一，甚至可能出现监理按流程检查仍未发现的隐蔽设计缺陷风险。

2.需求变更风险：核心是“客户需求变了”，比如项目执行中客户提出新增功能、修改需求，导致进度延期、成本增加、质量下降。

3.人力资源风险：核心是“人出问题”，比如核心开发人员离职、新员工培训不到位、团队成员协作不畅。

4.管理风险：核心是“管理不到位”，比如项目沟通不畅、组织结构不合理、领导决策失误（如盲目压缩工期）。

5.合同风险：核心是“合同有问题”，比如合同条款不明确、内容不清晰、双方未履行合同约定（如甲方拖欠款项、乙方未按约定交付）。

6.质量风险：核心是“质量不达标”，比如系统存在漏洞、功能不符合要求，导致客户不满意、返工整改。

7.成本风险：核心是“钱不够、浪费多”，比如成本超出预算、资源浪费严重，导致项目经济效益受损。

8.进度风险：核心是“进度延误”，比如未按计划完成阶段性任务、交付延期，影响项目整体上线。

9.法律和政策风险：核心是“规则变了”，比如项目执行中法律法规、行业政策调整，导致项目需要整改（如数据安全法实施后，系统需补充安全合规改造）。

10.外部环境风险：核心是“外部不可控因素”，比如自然灾害、市场竞争加剧、宏观经济下行，影响项目推进。

二、风险管理核心流程（考点2）

风险管理不是“遇到风险再处理”，而是一套标准化的全流程工作，贯穿项目全生命周期。核心分为5个步骤，循序渐进、闭环管理，考试常考查流程顺序和每个步骤的核心作用，记准“规划→识别→分析→应对→监控”的逻辑即可：

1.风险规划：核心是“定规则”，明确如何开展项目风险管理活动（比如谁来负责、用什么方法、花多少钱），相当于为整个风险管理工作制定“总方案”。

2.风险识别：核心是“找风险”，全面识别项目中可能出现的单个风险和整体风险，记录风险的来源和特征（比如“核心人员离职”是风险事件，“人员稳定性差”是风险源）。

3.风险分析：核心是“评风险”，分为定性分析和定量分析——定性分析靠经验判断风险优先级，定量分析靠数据和模型量化风险影响。

4.风险应对：核心是“解风险”，根据风险的优先级和类型，选择合适的应对策略，制定具体措施（比如“核心人员离职”可采用“签订竞业协议+培养备用人员”的措施）。

5.风险监控：核心是“盯风险”，全程跟踪风险应对措施的效果，识别新出现的风险，评估风险管理的有效性，及时调整方案。

补充：监理在风险管理中，核心是监督整个流程的执行，确保承建单位按规范开展风险管理，避免风险扩大影响项目目标，这也是监理“风险控制”职责的核心体现。

三、风险规划（考点3、考点4）

风险规划是风险管理的第一步，核心是制定“风险管理计划”，明确“怎么管、谁来管、管什么”，需遵循3个核心原则，掌握“输入-方法-输出”的逻辑。

3.1 风险规划的3个核心原则

•全面性原则：要覆盖项目各阶段、各类风险，不能遗漏（比如启动阶段关注需求风险，执行阶段关注技术、人力风险）。

•灵活性原则：无法预料所有风险，规划时要留有余地，能根据项目实际变化调整（比如新增政策风险时，可快速调整应对方案）。

•职责明确性原则：明确风险管理的人员和职责，避免“没人管、没人负责”（比如指定项目经理负责整体风险管理，监理负责监督）。

3.2 风险规划的“输入-方法-输出”（高频考点）

按“依据→方法→成果”的逻辑记忆，贴合监理工作实际，容易理解：

1.输入（依据）：开展风险规划的前提条件，共3个核心：

￮项目管理计划（项目的整体计划，是风险管理的基础）；

￮组织过程资产（企业过往的风险管理经验、模板等）；

￮项目干系人（干系人的风险偏好、需求，会影响风险管理策略）。

2.技术与方法：核心是“会议”——通过召开风险管理规划会议，组织干系人、项目团队、监理共同讨论，确定风险管理方案。

3.输出（成果）：项目风险管理计划（核心成果），一份完整的计划至少包含8个内容（简化记忆，重点掌握核心项）：

￮方法论：明确风险管理的方法、技术和数据来源；

￮角色与职责：明确谁负责风险管理、具体分工（如监理负责监督风险应对执行）；

￮预算：风险管理的资金（包括常规费用和风险储备金）；

￮沟通计划：风险信息的汇报渠道、方式和文档格式；

￮风险分类：按类型划分风险（如技术风险、人力风险），可使用风险分解结构（RBS）；

￮风险概率和影响：划分风险发生的概率、影响等级（如“高概率、高影响”“低概率、低影响”）；

￮干系人风险承受度：记录关键干系人的风险偏好（如甲方无法接受进度延误超过10天）；

￮跟踪：明确风险活动的记录方式、是否需要审计（监理可参与风险审计，评估风险管理有效性）。

四、风险识别（考点5）

风险识别是“找风险”的过程，核心是“全面、准确、反复”——因为项目推进中会产生新的风险，所以识别工作不是一次性的，要贯穿项目全生命周期。重点掌握“输入-方法-输出”，尤其是识别方法和风险登记册。

4.1 风险识别的“输入-方法-输出”

1.输入（依据）：4个核心，结合风险规划的成果展开：

￮项目管理计划、项目风险管理计划（前期制定的核心计划）；

￮项目文档（如需求说明书、进度计划，从中识别潜在风险）；

￮组织过程资产（过往项目的风险案例，可借鉴）。

2.技术与方法：7种常用方法，考试常考查方法的适用场景，简化理解如下：

￮专家判断：找经验丰富的人（如资深监理、项目经理）判断风险；

￮头脑风暴：组织团队畅所欲言，快速挖掘潜在风险；

￮德尔菲法：专家匿名发表观点，反复汇总，最终达成共识（避免专家之间相互影响）；

￮情景分析：假设“如果发生某件事，会产生什么风险”（如“如果核心人员离职，会导致进度延误”）；

￮风险核对表：根据过往经验制定清单，逐一核对是否存在对应风险；

￮SWOT分析：分析项目的优势、劣势、机会、威胁，从威胁中识别风险；

￮风险分解结构（RBS）：按风险类型分层拆解，确保不遗漏（如“技术风险→兼容性风险→系统与硬件不兼容”）。

3.输出（成果）：风险登记册（核心成果），记录所有识别出的风险，至少包含6个内容：

￮风险事件：具体的风险（如“需求变更频繁”“技术选型错误”）；

￮风险源：导致风险的原因（如“需求变更频繁”的风险源是“客户需求不明确”）；

￮风险影响：风险发生后对项目的正面或负面影响；

￮风险措施：潜在的应对措施（如“需求变更频繁”可提前明确需求变更流程）；

￮风险状态：当前风险的状态（如“未发生”“已发生”“已处理”）；

￮责任人：负责该风险的人员（如监理负责监督“需求变更”风险的应对）。

五、风险分析（考点6、考点7）

风险分析的核心是“评估风险的优先级”，分为定性分析和定量分析，二者的核心区别的是“是否量化”：定性靠经验判断，定量靠数据计算。考试常考查两种分析的区别、方法和输出。

5.1 风险定性分析（必做，所有项目都需开展）

核心作用：快速筛选出高优先级风险，重点关注、优先应对，无需复杂计算，适合所有项目。

1.输入（依据）：4个核心：风险管理计划、项目范围说明书、风险登记册、组织过程资产；

2.技术与方法：4种常用方法：

￮专家判断：靠经验评估风险的概率和影响；

￮风险概率影响矩阵：核心工具，横轴是“影响程度”，纵轴是“发生概率”，将风险划分为高、中、低优先级（如“高概率、高影响”是最高优先级）；

￮风险紧迫性：评估风险发生的紧急程度（如“1周内可能发生的风险”比“1个月后可能发生的风险”更紧迫）；

￮风险数据质量评估：判断识别出的风险数据是否准确、可靠（数据不准确会影响分析结果）。

3.输出（成果）：更新风险登记册，核心是“排列风险优先级”（将高优先级风险放在前面，优先应对）。

5.2 风险定量分析（可选，非所有项目必需）

核心作用：对高优先级风险进行量化分析，计算风险的具体影响（如“进度延误多少天”“成本增加多少元”），为风险应对提供数据支撑。只有大型、复杂项目（如大型政务系统）才需要开展。

1.输入（依据）：3个核心：项目管理计划、风险登记册、组织过程资产；

2.技术与方法：3种常用方法（记名称即可，考试不考复杂计算）：

￮决策树法：用“树状图”分析不同应对方案的风险和收益，选择最优方案；

￮蒙特卡罗模拟：通过大量随机模拟，计算风险发生的概率和影响（如模拟1000次进度延误，得出平均延误天数）；

￮敏感性分析：分析哪个风险因素对项目目标的影响最大（如“需求变更”对进度的影响比“人员离职”更大）。

3.输出（成果）：更新风险登记册，核心更新3个内容：

￮概率分析：量化进度、成本的风险（如“进度延误超过10天的概率是30%”）；

￮量化风险优先级清单：用数据明确风险优先级（如“需求变更风险会导致成本增加20万元，优先级最高”）；

￮风险应对建议：根据量化结果，提出针对性的应对建议（如“需预留10万元应急储备金，应对成本风险”）。

六、风险应对（考点8、考点9）

风险应对是风险管理的核心实操环节，核心是“根据风险类型（积极/消极）和优先级，选择合适的应对策略”，并将应对措施融入项目计划（预算、进度）。重点掌握7种应对策略，区分积极风险和消极风险的应对方式。

6.1 风险应对的“输入-输出”

•输入（依据）：项目管理计划、风险登记册、组织过程资产；

•输出（成果）：更新风险登记册（记录应对措施、责任人、时间），必要时更新项目管理计划（如调整预算、进度）。

6.2 7种核心应对策略（高频考点，必记）

7种策略分为3类：应对消极风险（威胁）、应对积极风险（机会）、通用策略（接受），结合监理工作场景理解，重点掌握策略的适用场景和例子：

（1）应对消极风险（威胁）的策略（4种）

核心原则：高概率、高影响的严重风险，用“规避、减轻”；低影响的轻微风险，用“转移、接受”，同时可配合“上报”策略（超出权限时）。

•上报：风险超出项目范围或应对措施超出项目经理权限时使用（如政策变更风险，需上报组织管理层）；

•规避：主动放弃或改变计划，完全消除风险（如技术选型错误，放弃该技术，重新选型；需求不明确，先澄清需求再推进）；

•转移：将风险的消极影响和应对责任转移给第三方（不消除风险，只转移责任），比如外包、购买保险、签订履约保函（如将系统测试外包，转移测试质量风险）；

•减轻：采取措施降低风险的发生概率或影响（积极主动），比如组织员工参加原厂技术培训解决技能不足、增加测试次数降低质量风险、选用更可靠的供应商；

•接受：接受风险存在，不采取措施（除非风险发生），分为主动接受（建立应急储备金、预留缓冲时间）和被动接受（未识别的风险发生后，被动应对）。

（2）应对积极风险（机会）的策略（3种）

核心原则：主动抓住机会，扩大正面影响，同样可配合“上报”策略（超出权限时）。

•上报：机会超出项目范围或应对措施超出权限时使用（如技术突破带来的成本节约，超出项目经理决策范围，上报管理层）；

•开拓：消除不确定性，确保机会肯定发生（如使用全新技术，确保项目效率提升；将组织最优秀的资源分配给项目，确保项目质量）；

•分享：将机会的应对责任分配给第三方，共享收益（如与合作伙伴建立合伙关系，共享技术突破带来的收益）；

•增强：提高机会的发生概率和正面影响（如增加资源投入，加快项目进度，提前上线获得收益；开展培训，提高团队能力，抓住技术优化机会）。

七、风险监控（考点10）

风险监控贯穿项目全生命周期，核心是“跟踪、检查、调整”。确保风险应对措施有效，及时发现新风险，评估风险管理的整体效果，避免风险失控。监理在风险监控中扮演重要角色，需全程监督执行。

7.1 风险监控的“输入-方法-输出”

1.输入（依据）：4个核心：

￮项目管理计划、风险登记册（核心依据）；

￮项目绩效信息（如进度、成本数据，从中发现风险迹象）；

￮其他项目文档（如会议纪要、测试报告）。

2.技术与方法：2种核心方法（监理常用）：

￮风险审计：评估风险管理的有效性（如审计风险应对措施是否执行、是否有效），监理可参与审计过程；

￮风险审查：定期召开审查会，检查风险应对效果，开展风险再评估（如每周召开风险审查会，跟踪高优先级风险的状态）。

3.输出（成果）：4个核心更新内容：

￮更新项目管理计划（如调整风险应对措施、预算）；

￮更新风险登记册（如更新风险状态、新增风险、调整应对措施）；

￮更新项目绩效信息（记录风险对项目绩效的影响）；

￮更新项目文档（如风险审计报告、审查会议纪要）。

八、风险评估技术和方法（考点11）

风险评估技术是风险识别、风险分析的核心工具，除了前面提到的方法，这里补充11种常用技术，重点掌握每种技术的核心特征和适用场景（考试常考方法区分），结合监理工作实际简化理解：

1.头脑风暴法：激励团队畅所欲言，快速挖掘潜在风险，适合初期风险识别；

2.结构化/半结构化访谈：结构化访谈按提纲提问，半结构化可自由对话，适合相关人员无法聚集的场景；

3.德尔菲法：专家匿名发表观点，反复汇总达成共识，避免专家相互影响，适合复杂风险评估；

4.情景分析：“如果……怎样……”的假设分析，预测不同情景下的风险影响；

5.检查表：基于过往经验制定风险清单，逐一核对，简单高效；

6.风险概率影响矩阵：核心工具，用于风险定性分析，划分风险优先级；

7.故障树分析：用逻辑树分析事故的原因、结果，找出预防措施（如分析系统崩溃的原因，识别潜在风险）；

8.SWOT分析：分析优势、劣势、机会、威胁，全面识别风险和机会；

9.决策树分析：用树状图分析不同应对方案的风险和收益，适合定量分析中的方案选择；

10.蒙特卡罗模拟：通过大量随机模拟，量化风险概率和影响，适合复杂项目；

11.敏感性分析：分析哪个风险因素对项目目标影响最大，明确重点关注的风险。

补充：选择评估技术时，需考虑8个因素（简化记忆）：评估目标、决策者需求、风险类型、后果严重程度、专业人员、数据可获得性、更新必要性、法律法规要求。

九、本章核心总结（备考重点）

本章知识点繁杂，但核心重点集中在5个方面，备考时优先掌握，结合监理工作场景理解，避免死记硬背：

1.风险的定义和10类常见风险（基础考点，选择题、案例题常考）；

2.风险管理5大流程（规划→识别→分析→应对→监控），记准顺序和核心作用；

3.风险规划、识别、分析、应对、监控的“输入-方法-输出”（高频考点，选择题核心）；

4.7种风险应对策略（区分积极/消极风险，掌握适用场景和例子）；

5.常用风险评估技术（重点区分方法的适用场景，避免混淆）。

往期文章推荐：