控制风险一直是IT项目管理过程中最关键的环节之一。本文以中培伟业《IT项目管理最佳实践》学员龚经理为项目经理所主持的某市公安内控管理审计系统建设项目为例，论述了风险管理在项目管理中的重要性。风险管理主要包括风险管计划编，风险识别，定性风风险分，风险应对划编制风险监

本文主要论述了如何进行风险识别，如何进行定性风险分析和定量风险分析，以及如何进行风险应对计划编制等管理问题。针对此，文中说明了在项目中分别采取的相关措施：用检查表来判别某项目是否存在表中所列或类似的风险；通过头脑风暴、优先级矩阵来进行风险分析；提前采取行动减少风险对项目所造成的影响。实际结果表明，通过上述管理措施，使得项目达到了对全市公安系统IT人员的合规性管理目标，在2015年9月底通过验收，得到了用户的一致好评，并且成果在后期项目可复用。

某市公安局信息系统存储着人口、街道、住户、犯罪等多种重要信息，对系统维护人员加强管理以及加强对数据库系统监控的工作必须尽快落实。市公安局决定启动全市范围公安系统的内控管理与审计系统的建设，涉及全市25个公安部门，包括市公安局、区分局、警校、县局、支队、派出所，350个运行维护人员和130台设备，设备类型涵盖目前市面上所有主流的操作系统、数据库以及网络设备。项目采取公开招标的方式，龚经理公司顺利中标。该项目作为长沙市的重点工程，受到了省政府公安厅领导的高度重视。项目总合同额540万元，开发时间为一年，其中软件费用370万元，硬件费用70万元，项目于2014年15日开始，要求在201510日前全面竣工并投入使用。

项目风险是一种不确定的事件或条件，一旦发生，会对项目目标产生某种正面或负面的影响风险有其成因，如果风险发生也导致某种后果当事件、活动或项目有损失或收益与之相联系，涉及到某种然性或不确定性和涉及到某种选择时，风险。如果项目管理人员对风险认识不足或者没有足够的力量加以控制，就会给项目带来损失。项目其他经济活动一样带有风险．要避免和减少损失，将威胁化为机会，就必须了解和掌握项目风险的来源、性质和发生规律，进而实行有效的管理

根据以往经验，龚经理认为做好风险管理是该项目成功的关键。在该项目中，龚经理充分重视了风险管理，按照项目风险管理理论，结合自己的项目实践，有条不紊地完成了该项目具体来说，龚经理是从以下三个方面着手来进行风险管理的。

第一、风险识别

风险识别就是要识别出哪些风险会对项目造成影响，形成风险分解结构。在编制了风险管理计划之后，龚经理依据公司定义的《风险来源及分类表》确定项目的风险来源和分类，然后针对项目工作分解结构中可能存在的风险进行识别，并结合项目的实际特点，对《风险来源和分类表》中罗列的风险项，逐一研讨其可能性，将已识别的风险记录到表中，以便项日执行过程中对识别的风险进行监控。在本项目中龚经理识别的风险主要有技术风险、外部风险、内部风险和项目管理风险。技术风险主要是公安局目前正在使用多种信息系统，包括人口信息、旅馆管理信息、在逃人员信息、警员信息等二十多个分类，运用了Oracle、SQL Server、DB2数据库。对这些系统进行审计就要求项目组透彻了解它们的管理维护方式，了解其数据结构及通信原理，设计数据交换的接口标准。外部风险主要是系统外部接口和涉及的厂商较多，如果任何一个外部接口变更或厂商不能提供技术支持，都会对整个项目进度造成影响。内部风险主要体现在资源协调方面，项目组之前做的项目正处于维护期，一旦系统出现问题，必然会占用项目成员的工作时间，进而可能对此项目的进度产生一定影响。项目管理风险主要体现在项目分阶段实施，必须严格控制阶段任务的进度，并严格控制用户方的需求变更，否则难以保证各个阶段任务顺利完成。

第二、风险分析

根据风险管理计划中的定义，龚经理确定每一个风险发生可能性并做好记录龚经理还分析了风险对项目时间、成本、范围等各方面的影响其中不仅仅包括对项目的负面影响，还分析了风险带来的机会。在这个过程中，龚经理采用会议的方式来进行

在风险分析的会议中，除了有关项目干系人外，龚经理还邀请了相关领域的专家参加，以提高分析结果的准确性。例如，对于技术类风险的分析，龚经理就邀请了业内著名的架构专家参与评估。在确定了风险的可能性和影响后，接下来需要进一步确定风险的优先级。风险优先级是一个综合的指标，其高低反映了风险对项目的综合影响

龚经理采用了风险优先级矩阵来评定风险优先级最后得出的结果是架构风险排在第一位，该风险的可能性很高，影响也很大。对已知风险进行定性分析后，龚经理定量地分析了各风险对项目目标的影响。通过采用专家评估的方法，组织相关成员对项目进行乐观、中性和悲观估计，同时也利用了龚经理所在公司历史项目的数据用来辅助评估。在进行定量分析之后，龚经理更新了风险记录列表

第三、风险应对计划

针对公安信息系统实时解析的技术风险，龚经理制订的应对措施是与厂家密切沟通，明确数据结构及通信原理，以及针对大数据的分切形式，确认此项目实时解析需求的可实现性，再商定数据解析的实现方案及开发实施进度时间表，并约定了三方负责人每周沟通进度及问题，确保数据解析顺利实施，避免数据解析问题造成整体进度滞后，系统无法按期上线的情况。

对于内部资源协调问题，龚经理与主管领导协商，从售后维护组专门抽调一名维护人员和本项目中一名开发人员做之前那个项目的系统维护。只有在必须修改程序才能解决问题时，由本项目中指定的开发人员负责对原系统问题进行修正。而在本项目中，在给该开发人员分配工作任务时考虑到其兼有维护任务，因此给他分配非关键路径的工作，从而避免因维护原系统造成此项目进度滞后。针对用户需求变更风险，龚经理制订了项目需求变更流程，同时请用户签字确认，并在项目组内严格执行。

龚经理本人作为用户方需求接口人，严格控制用户需求，在需求评审后，请用户做需求确认签字。针对项目整体进度失控风险，龚经理在项目执行过程中从项目计划、加强沟通、人力资源协调分配等方面对项目进度、质量和成本进行有效控制，避免因项目管理方面的问题造成项目进度和质量失控。

经过项目组的共同努力，本项目最终得以顺利完成，也使作为项目经理的龚经理充分认识到风险管理在项目管理过程中的重要性。风险管理贯穿于项目的始终，是通过风险管理计划，对风险识别、分析和应对的过程。通过风险管理的理论技术并结合实际情况，能够规避可能出现的各种不利风险，取得很好的应用效果。

实际结果表明，通过上述管理措施，使得项目达到了对全市公安系统IT人员的合规性管理目标，在2015年9月底通过公安局的验收，系统整体符合国家标准的指导要求，得到了用户的一致好评，并且成果在后期项目可复用。