珠海城市职业技术学院 周红兵
企业信息系统项目实施周期长、难度大、投资大、不确定因素多,项目实施存在巨大的风险,全面信息系统实施成功的仅占10%~20%[1]。信息系统项目风险管理,是信息系统项目管理者在整个项目生命周期内,对项目风险进行识别、评估、评价以及使用多种管理方法、技术和手段对其进行有效控制的一系列活动,信息系统项目风险管理伴随着信息系统项目过程的始终。
国家电网公司为有效支撑“集团化运作、集约化发展、精细化管理、标准化建设”的企业目标,从2006年起开始逐步构建一体化企业级信息平台——“SG186工程”。该平台包括建设财务(资金)管理、营销管理、安全生产管理、协同办公管理、人力资源管理、物料管理、项目管理、综合管理等八大业务体系及其保障体系。其中,财务管控项目是在完成需求业务分析、集成方案设计、典型业务设计、典型业务系统原型建设等工作的基础上,先在福建、安徽、河南等电力公司先期成功试点,再以国家电网公司财务管控典型业务设计为模板,在国家电网公司范围内实施。业务范围包括:核算信息反映、预算编制、资金监控、电价管理、产权管理、稽核评价、报表管理、综合管理。通过系统实施实现成熟套装软件SAP和集团财务管控模块全面融合,构筑“横向集成、纵向贯通”的公司系统财务应用。各省分公司项目实施分为:项目规划、差异分析、系统配置、运行上线、验收交付五个阶段。国家电网公司财务管控项目的实施过程,按照大型复杂项目和项目群的管理模式进行项目管理。为保障各省级项目同时开展实施,由国家电网公司、远光软件公司、国网信通公司共同成立项目管理办公室(PMO),以统一协调配置资源、发布统一的标准和模板工具、对各省项目实施进行指导和集中共同的风险并进行管理。
1 业主单位、实施单位、监理单位共同建立项目风险管理机制
国家电网公司自开始财务管控项目需求调研分析之始,便与项目承建单位远光软件公司、项目监理单位国网信通公司就项目风险管理共同设立了相应的监管机制,使风险管理全面覆盖项目的范围和贯穿项目过程的始终,保证了项目中对风险的有效识别、分析和应对,对风险的管理和风险责任提出了明确的要求,确保了在项目实施过程中有效减少风险、降低风险带来的不利后果,保障项目达到预期目标。
1.1 建立两级项目风险监管组织
财务管控项目由国家电网公司、远光软件公司、国网信通公司共同设了两级风险监管组织:国家电网公司财务管控建设领导小组和各省一级财务管控项目领导小组,负责对项目风险的监控跟踪管理。由国家电网公司财务管控建设领导小组,对项目风险进行统一管理,发布总体项目风险管理指导、风险列表、风险监控模板和重大风险上报流程等。各省级项目领导小组作为系统的具体实施层面,对在财务管控项目具体实施过程中实施风险监控、协调和处理,并对重大风险进行上报。国家电网公司从总体层面对项目整体风险的掌控,统一发布各省级项目在实施过程风险管理制度、工具和方法,同时又形成了一个有利的风险反馈机制,做到了从上到下的全面风险管理。同时省级电力公司作为项目具体的实施方,统一的风险管理工具和方法,可以使不同省的项目之间互相参考和借鉴实施过程中出现的不同风险。
1.2 实施项目管理中的全过程风险监管
国家电网公司财务管控项目于2009年8月在全公司范围内开始全面推广,涉及20多个省1000多家单位。为确保项目整体风险得到有效控制,各省项目组按照国家电网公司公司财务管控项目建设领导小组的统一安排和部署,对实施中各个阶段和全过程实施了全面和全过程的风险监管。在风险识别方面,除按照国家电网公司领导小组统一发布的风险清单进行一一检查和跟踪外,在项目进入每个新阶段的工作时,重新进行一次全面风险识别,并更新风险清单。每周工作计划安排先进行风险识别和评估,对识别的新风险进行定性分析和排序,明确对可能出现的风险事件的处理责任人,每周更新风险清单和跟踪处理情况。在项目实施的全过程中,循环进行风险识别工作,对识别出的风险进行连续的跟踪和监控。
1.3 将风险控制效果评价与绩效管理相挂钩
风险控制最终的输出结果,主要有:风险的潜在因素得到有效控制,风险最终消失;无法阻止风险的发生,但采取措施有效地降低了风险带来的损失;风险失控,风险事件意外爆发,对项目造成影响和损失。按照国家电网公司财务管控领导小组的统一进度,在项目的阶段工作结束后,对阶段风险的控制效果进行评价。对于失控的风险总结经验教训,形成文档并更新组织过程资产,以便提高下一步的风险识别和监控能力。风险控制效果评价结果,作为项目管理能力考核的指标之一,纳入项目管理工作绩效。
2 全面制定国家电网财务管控项目风险管理总体规划
总体风险管理规划由项目管理办公室暨国家电网公司财务管控建设领导小组编制(见图1),在风险管理总体规划中对项目的范围、时间进度、成本预算、项目质量、人力资源、项目沟通、需求变更及系统集成中的风险进行了全面的分析和识别,形成了风险清单。对项目风险管理的过程制定统一流程和工作标准,实现总体规划控制,各省级项目组分级管理的风险管理模式。各省级项目风险管理按照制定的风险上报流程,对各项目中出现的特别风险每周进行上报,需要项目管理办公室统一协调的风险事件,由上级项目管理领导小组统一协调解决。上报风险进入项目风险库,并及时通报跟踪处理结果。风险库形成组织的一项过程资产。作为项目的具体实施者,各省级项目管理组,按照国家电网公司财务管控领导小组的总体风险管理规划,编制各自项目的风险管理计划。制定具体的风险应对措施,明确具体风险责任人和风险控制沟通交流渠道。
对于风险应对措施,在项目中涉及集成接口问题,采用风险转移的办法,外包给有资质的第三方进行,以减少因集成项目技术问题带来的风险。对于不确定的风险采取缓解的办法,降低它的影响程度,如尽量采取措施降低人员流失率、临时借调其他项目熟练人员、对成员工作成果增加检查次数等。对于无法规避并且影响不大的风险,采取风险接受的办法,但是由于风险的不确定性,只有采取权变措施对没有识别出的风险进行处理。涉及重大风险无法解决需上级PMO统一协调的,按照风险上报流程进行上报处理。
3 定期召开阶段风险分析联席会议,加强各方沟通
各省级项目的实施,在项目完成阶段工作并交付成果后,由远光软件公司、国网信通公司和国家电网公司共同召开阶段风险分析联席会议。总结上一阶段出现的项目风险和对项目造成的影响,并对下阶段项目工作开展可能遇到的风险做出分析。对于涉及需国家电网公司解决的风险,如关键用户的培训、服务器设备到位、数据确认等,在联席会议上提出并指定人员跟进要求尽快解决。联席会议由承建方项目经理、监理公司项目总监和国家电网公司项目负责人共同主持,以沟通协调项目实施过程中存在的问题。除在阶段工作完成后固定进行以外,在项目的双周会议中同时进行项目过程风险通报,及时向国家电网公司通报实施过程中的风险和问题。对于涉及变更产生的风险,通过变更控制委员会,对变更产生的影响、范围和后果进行评估,然后再确定是否进行变更,并经变更流程进行变更实施和过程的跟踪,以减小变更带来的风险。
4 规范风险评估标准和工具与应对预案的制定
国家电网公司财务管控项目风险评估包括总体风险评估和各项目特别风险评估两个层面。由国家电网公司财务管控项目建设领导小组负责项目整体风险的评估,对项目整体可能面临的风险进行全面分析,列出已识别风险的影响范围、出现概率和紧急程度三个方面的风险矩阵。风险分析过程充分考虑企业战略,并与企业战略相结合,考虑企业的内外部环境,采用SWOT法对企业所处环境进行分析,以充分做到风险分析和评估的全面性[2]。国家电网公司财务管控项目建设领导小组统一发布整体风险评估报告和风险管理模板工具。省级项目是系统的二级数据中心,是系统实施的基础,直接面对实施过程中出现的各种具体问题和风险影响。虽然各省按照国家电网公司项目领导小组发布的统一标准开展实施工作,但各省仍有各自不同的情况,所以各省级项目除具有项目统一的风险清单外,都存在各自的特别风险。如:四川电力公司组织机构改革后,省直管县级公司,造成二级实施单位近200家,同样的青海省二级单位仅20多家;经济发达省份浙江电力电费业务量巨大,产生电费业务数据巨大,而青海省全省三年用电量未及沿海发达地区一个地级市一年的用电量等等。针对这些特殊情况,各省级公司在实施过程的风险评估时,有重点地进行相应的风险分析和评估,对各省新识别出的风险,专门形成各自的评估报告并上报项目管理办公室。
表1 国家电网公司某省分公司风险清单及应急计划举例
在风险的应对措施上,国家电网公司财务管控项目建设小组制定了统一的风险应对策略和流程。在风险应对策略中,将风险划分为项目风险、技术风险和商业风险,并针对不同的划分提出不同的应对措施。项目风险主要是针对在项目管理过程中出现的问题,如预算、进度、组织和用户需求等;技术风险主要是潜在的系统设计、实现、集成接口、测试和维护方面存在的问题;商业风险主要是软件实施配置方案与用户方企业的战略是否符合,预算和人员得不到保障,失去用户支持等。针对这些问题,制定出相应的风险应对计划,如:相关部门人员对业务不理解,要加强人员培训;需求变更,采取变更审批流程管理;系统集成,采取外包第三方等等。重大风险在省级项目层面无法处理的,通过风险上报机制,由上级项目管理办公室暨国家电网公司财务管控项目建设领导小组统一协调解决。
5 构建风险控制体系与规范流程
国家电网公司财务管控项目领导小组对财务管控项目风险控制体系分为以下几个层面:
(1)风险信息跟踪和分析主要是通过对项目各环节产生的信息及过程文档资料,进行收集分析以便识别风险,并进行有效控制和应对,信息跟踪和分析在项目管理中是贯穿始终的日常风险管理活动,是风险管理控制体系的常设机制。
(2)预警指标是风险量化后的临界值,超出这个值就有危险。在各省的风险预警中,项目经理把风险进行定量分析后,确定风险预警值,在安全范围内采用绿色标识,接近临界值时采用黄色标识,超过预警值时采用红色标识。
(3)风险应急预案,主要是由于风险存在不确定性,对于没有识别的风险或对风险影响评估不足的风险采取的突发风险处理预案。
(4)责任制度划定了项目各方应承担的风险责任,以及具体的风险责任人,以便增强实施过程相关干系人的风险意识和责任感,出了问题各咎其责。
(5)时间安排,涉及项目过程中的进度和影响进度事项,如法定节假日、客户方系统结账、出具报表、审计盘点等。
(6)操作规程主要是对项目风险管理的具体执行细则做出规定,如变更登记、系统更新记录、风险事项跟踪反馈等。
根据国家电网公司财务管控项目风险控制体系,由项目管理办公室制定了对应的风险控制活动流程图。由国家电网公司项目建设领导小组,建立公司一级总体风险监控库,负责对项目中涉及整体项目的风险事件进行监控跟踪,省级项目建立自己的项目库,对特别风险入库监控跟踪,并经过风险定性分析与评估后,确定要进一步控制的风险;所有风险经过风险量化分析,确定风险量化值;在风险库中设置相应风险的量化预警指标,通过预警指标,对风险进行及时的预警;建立风险活动流程中的风险责任制度,在项目组内设置风险信息管理员,落实风险管理具体的工作职责和工作任务;建立项目组内的风险工作汇报反馈机制,由风险信息管理员每天向项目经理反馈汇报当日情况;对于新识别出的突发项目风险,通过风险应急预案采取相应措施,对于风险结果为已解决的风险,更新风险列表,并入风险库归档,未解决的风险,一般是未识别出的风险或条件发生变化产生了新的问题,将流转重新进入风险活动流程,再次进行风险处理。
6 结语
在大型信息系统项目中,项目风险管理对保障信息系统项目的成功至关重要:在项目生命周期内,风险没有出现时,风险管理有助于通过科学的分析和方法,降低风险发生的概率或转移风险,减小风险损失;当风险出现时,风险管理有助于快速做出反应,减小风险对整个项目所造成的影响。
[1] 孙长东.ERP管理思想及其实施风险分析[J].管理世界,2002(8).
[2] 房西苑,周蓉翌.项目管理融会贯通[M].北京:机械工业出版社,2010.
