抗风险一直以来都是做好IT项目管理的核心工作之一，风险管理也是IT项目管理的重要组成部分。本文以中培伟业《软考项目经历中高级考前培训》学员郭经理的项目实践为背景，探讨IT项目风险管理应该注意的问题。郭经理在这里以自己实施的一个医院信息管理系统项目为例，围绕项目风险管理的几个过程，论述了在信息系统项目管理中，进行风险计划制定、风险识别、风险分析、风险应对措施制定和风险监控的一些相关技术和方法。

据郭经理介绍，这是一个总投资510万元，工期10个月，包括业务信息处理、医技信息管理、病案信息管理、综合信息查询、行政信息管理和办公自动化6大模块的医院信息系统项目，本人在此项目中担任项目经理。本文认为进行全面科学的风险管理过程去制定风险管理计划、进行风险识别和风险分析、制定风险应对计划和风险监控，以及选择适合的风险管理方法是项目风险管理的关键，最终该系统如期正式验收上线，系统运行稳定，也得到了用户的认可。

风险管理是通过系统化的风险识别、分析和应对项目风险，最大化正面影响、最小化负面影响的系统性过程。2015年2月，郭经理所在公司中标了某市一家三甲医院新建分院区的医院信息管理系统项目，该项目总投资500多万元，包括软硬件和网络建设，工期10个月，是一项以病人为中心、以提高医院医疗管理能效的企业级医院信息系统项目。该项目硬件包括服务器、工作站PC、相关辅助终端设备及网络设备等；HIS系统采用C/S架构，包括业务信息处理、医技信息管理、病案信息管理、综合信息查询、行政信息管理和办公自动化OA6个大的功能模块，其中业务信息处理包括门急诊挂号收费、门急诊医生诊治、门急诊药房管理、住院入出院管理、病区护理管理、病区遗嘱管理、病区药房管理和中西药库管理8个部分；医技信息管理包括医技检验报告、医学影像处理和手术麻醉管理3个部分。公司任命郭经理为这个项目的项目经理。

该医院是一家综合性公立医院，现有职工近1千人，日均门诊量约1.1万人次。由于是医院信息管理系统项目，客户对项目质量要求非常高，因此该项目在内部的技术风险、资金风险、人员风险、进度风险、质量风险、管理风险以及外部的沟通风险、采购风险、法律风险等都必然比普通项目要高很多，在这种情况下，公司也非常重视，郭经理首先组织项目组相关人员制定了初步的项目管理计划，在计划中又特别强调了对风险管理计划的制定。首先组织项目有关人员利用项目章程、范围说明书、项目管理计划以及公司的风险管理指南等文件进行了风险管理计划的编制，在风险管理计划中对本项目风险管理采用的方法、相关人员职责、风险管理费用、风险类别、风险概率和影响力定义、概率影响矩阵、风险记录格式、风险跟踪要求等进行了明确；继而采用检查表和头脑风暴法进行风险识别，采用专家判断、打分法和PERT估算法进行风险的定性定量分析；再根据风险分析结果和风险管理计划制定风险应对计划，然后进行项目全过程的风险监控，从而有效地减少和降低了本项目的风险。下面具体谈一谈郭经理在这个项目的风险管理的经历。

1.制定风险管理计划。项目启动后，郭经理便立即组织进行风险管理规划会议，除项目组成员外，会议还邀请了院方领导、院方信息处负责人、监理代表以及郭经理公司风险管理人员及相关负责人共同参与确定风险管理方法和相关过程要求。郭经理根据项目章程、职责、项目干系人的风险承受度以及风险类别等资料，利用郭经理公司的风险管理指南和风险管理计划模板，全面考虑了各项目干系人的意见，制定了详细的风险管理计划，计划里确定了本项目风险管理采用的方法、相关人员职责、风险管理费用、风险类别、风险概率和影响力定义、概率影响矩阵、风险记录格式、风险跟踪要求等，并把风险管理费用纳入了项目成本计划，确定每半个月进行一次风险评估。

2.风险识别。风险识别过程是将不确定性事项转变为明确的风险陈述的过程。为了使风险识别足够充分，郭经理首先按照风险管理计划将5大类、18小类放到风险识别表中的类别栏，然后组织项目组成员、专门的风险管理人员、院方相关科室代表，利用头脑风暴法，按照风险识别表的顺序逐一将18小类中可能的风险及影响充分列出，要求他们大胆设想、小心求证，最后确定出项目的风险清单。也是由于院方各科室代表的参加，使得项目组将系统中忽略的需要院方配合的工作可能影响项目质量和进度风险问题，在这次工作中得到了识别，如医嘱数据字典建立、阶段试运行配合、培训等诸如此类，也将这类风险涉及到的进度风险责任予以了明确，并得到了院方的签字认可。后来的系统实际实施中也确实遇到了这个问题，专业性较强的医嘱项目字典的数据采集工作院方派2名药房的人员来担任，由于对医嘱名称、格式内容不专业，没有专业医生的指导，3个人的数据采集完成后发现有错误，整合时又有重复和遗漏现象、浪费了约5天的时间，由于风险识别充分，制定了应对措施，最后院方承担了进度延误的责任。

3.定性风险分析。定性风险分析是判断已识别的风险重要程度的过程。项目组采用了打分法和专家判断法，要求项目风险管理小组和风险专家对已识别出的风险依据风险管理计划中确定的风险概率和影响定义及概率影响矩阵进行打分。后果影响项目组是依据对项目费用、进度、范围和质量的影响程度确定的5种分值，概率也是5种分值，最后风险值是概率和影响的乘积，打完分后依据风险概率影响矩阵确定了高中低三类风险，此项目最后是按照进度、质量、范围、成本四类分别单独按照风险高低排列形成了风险清单。

4.定量风险分析。在此项目的实际实施中，主要根据进度安排和定性分析的结果，分阶段地对于近期要做出响应的高度和中度级别风险进行定量风险分析，比如设备供应商不及时供货风险，会对进度产生影响，用PERT估算法得出风险项的加权平均值，然后对进度计划进行调整以减轻风险。经过定量风险分析后形成了项目的主要风险清单。

5.风险应对计划。针对定量风险分析中确定的主要风险清单，清单中的每一个风险郭经理都单独制定了风险应对计划表，包括采用的应对措施、需要的资源、过程验证时间要求、责任人、执行人以及一旦风险发生采取的应急响应措施等。如项目伊始就评价出的对于项目人员流动大的风险，采用风险降低策略，措施是做好团队建设、按期评审保证所有人员阶段成果包括各类文档等按计划完成、应急储备确保一旦离开项目仍可继续；再比如服务器可能瘫痪的风险，采用了风险接受的策略，措施是制定应急预案、备用服务器、数据备份和提供风险准备金等。

6.风险监控。这个过程郭经理主要采用了定期评审结合挣值分析和核对表的方法监督已识别风险和残留风险、识别可能出现的新风险、执行风险应对计划、评估计划执行的有效性。如后期风险监控发现没有足够的时间进行产品测试的风险事件，重新进行了风险分析评估，工期不能延长，那郭经理及时调整了工作安排，测试工作按时完成，项目的CPI、SPI没有发生大的偏离。

终上所述，该医院的信息管理系统项目中由于进行了全面科学的风险管理过程，制定风险管理计划、进行风险识别和风险分析、制定风险应对计划和风险监控，加之相应的其他项目管理手段，选择了适合的风险管理方法，最后正式通过了验收。

通过努力，该项目在计划的2015年底正式运行，运行状况良好，对改善该医院的管理能效上起到很大的作用，医院领导给予了很高评价。但是通过这个项目的风险管理工作让郭经理认识到风险管理虽有计划，但有太多的不确定性，所以风险管理各过程不是一次性的过程，是项目实施阶段不断反复的过程，要主动地分析、预防、应对和监控风险才可以，这也是郭经理以后进行项目管理需要改进的地方。