抗風險一直以來都是做好IT項目管理的核心工作之一，風險管理也是IT項目管理的重要組成部分。本文以中培偉業《軟考項目經歷中高級考前培訓》學員郭經理的項目實踐為背景，探討IT項目風險管理應該注意的問題。郭經理在這里以自己實施的一個醫院信息管理系統項目為例，圍繞項目風險管理的幾個過程，論述了在信息系統項目管理中，進行風險計劃制定、風險識別、風險分析、風險應對措施制定和風險監控的一些相關技術和方法。

據郭經理介紹，這是一個總投資510萬元，工期10個月，包括業務信息處理、醫技信息管理、病案信息管理、綜合信息查詢、行政信息管理和辦公自動化6大模塊的醫院信息系統項目，本人在此項目中擔任項目經理。本文認為進行全面科學的風險管理過程去制定風險管理計劃、進行風險識別和風險分析、制定風險應對計劃和風險監控，以及選擇適合的風險管理方法是項目風險管理的關鍵，最終該系統如期正式驗收上線，系統運行穩定，也得到了用戶的認可。

風險管理是通過系統化的風險識別、分析和應對項目風險，最大化正面影響、最小化負面影響的系統性過程。2015年2月，郭經理所在公司中標了某市一家三甲醫院新建分院區的醫院信息管理系統項目，該項目總投資500多萬元，包括軟硬件和網絡建設，工期10個月，是一項以病人為中心、以提高醫院醫療管理能效的企業級醫院信息系統項目。該項目硬件包括服務器、工作站PC、相關輔助終端設備及網絡設備等；HIS系統采用C/S架構，包括業務信息處理、醫技信息管理、病案信息管理、綜合信息查詢、行政信息管理和辦公自動化OA6個大的功能模塊，其中業務信息處理包括門急診掛號收費、門急診醫生診治、門急診藥房管理、住院入出院管理、病區護理管理、病區遺囑管理、病區藥房管理和中西藥庫管理8個部分；醫技信息管理包括醫技檢驗報告、醫學影像處理和手術麻醉管理3個部分。公司任命郭經理為這個項目的項目經理。

該醫院是一家綜合性公立醫院，現有職工近1千人，日均門診量約1.1萬人次。由于是醫院信息管理系統項目，客戶對項目質量要求非常高，因此該項目在內部的技術風險、資金風險、人員風險、進度風險、質量風險、管理風險以及外部的溝通風險、采購風險、法律風險等都必然比普通項目要高很多，在這種情況下，公司也非常重視，郭經理首先組織項目組相關人員制定了初步的項目管理計劃，在計劃中又特別強調了對風險管理計劃的制定。首先組織項目有關人員利用項目章程、范圍說明書、項目管理計劃以及公司的風險管理指南等文件進行了風險管理計劃的編制，在風險管理計劃中對本項目風險管理采用的方法、相關人員職責、風險管理費用、風險類別、風險概率和影響力定義、概率影響矩陣、風險記錄格式、風險跟蹤要求等進行了明確；繼而采用檢查表和頭腦風暴法進行風險識別，采用專家判斷、打分法和PERT估算法進行風險的定性定量分析；再根據風險分析結果和風險管理計劃制定風險應對計劃，然后進行項目全過程的風險監控，從而有效地減少和降低了本項目的風險。下面具體談一談郭經理在這個項目的風險管理的經歷。

1.制定風險管理計劃。項目啟動后，郭經理便立即組織進行風險管理規劃會議，除項目組成員外，會議還邀請了院方領導、院方信息處負責人、監理代表以及郭經理公司風險管理人員及相關負責人共同參與確定風險管理方法和相關過程要求。郭經理根據項目章程、職責、項目干系人的風險承受度以及風險類別等資料，利用郭經理公司的風險管理指南和風險管理計劃模板，全面考慮了各項目干系人的意見，制定了詳細的風險管理計劃，計劃里確定了本項目風險管理采用的方法、相關人員職責、風險管理費用、風險類別、風險概率和影響力定義、概率影響矩陣、風險記錄格式、風險跟蹤要求等，并把風險管理費用納入了項目成本計劃，確定每半個月進行一次風險評估。

2.風險識別。風險識別過程是將不確定性事項轉變為明確的風險陳述的過程。為了使風險識別足夠充分，郭經理首先按照風險管理計劃將5大類、18小類放到風險識別表中的類別欄，然后組織項目組成員、專門的風險管理人員、院方相關科室代表，利用頭腦風暴法，按照風險識別表的順序逐一將18小類中可能的風險及影響充分列出，要求他們大膽設想、小心求證，最后確定出項目的風險清單。也是由于院方各科室代表的參加，使得項目組將系統中忽略的需要院方配合的工作可能影響項目質量和進度風險問題，在這次工作中得到了識別，如醫囑數據字典建立、階段試運行配合、培訓等諸如此類，也將這類風險涉及到的進度風險責任予以了明確，并得到了院方的簽字認可。后來的系統實際實施中也確實遇到了這個問題，專業性較強的醫囑項目字典的數據采集工作院方派2名藥房的人員來擔任，由于對醫囑名稱、格式內容不專業，沒有專業醫生的指導，3個人的數據采集完成后發現有錯誤，整合時又有重復和遺漏現象、浪費了約5天的時間，由于風險識別充分，制定了應對措施，最后院方承擔了進度延誤的責任。

3.定性風險分析。定性風險分析是判斷已識別的風險重要程度的過程。項目組采用了打分法和專家判斷法，要求項目風險管理小組和風險專家對已識別出的風險依據風險管理計劃中確定的風險概率和影響定義及概率影響矩陣進行打分。后果影響項目組是依據對項目費用、進度、范圍和質量的影響程度確定的5種分值，概率也是5種分值，最后風險值是概率和影響的乘積，打完分后依據風險概率影響矩陣確定了高中低三類風險，此項目最后是按照進度、質量、范圍、成本四類分別單獨按照風險高低排列形成了風險清單。

4.定量風險分析。在此項目的實際實施中，主要根據進度安排和定性分析的結果，分階段地對于近期要做出響應的高度和中度級別風險進行定量風險分析，比如設備供應商不及時供貨風險，會對進度產生影響，用PERT估算法得出風險項的加權平均值，然后對進度計劃進行調整以減輕風險。經過定量風險分析后形成了項目的主要風險清單。

5.風險應對計劃。針對定量風險分析中確定的主要風險清單，清單中的每一個風險郭經理都單獨制定了風險應對計劃表，包括采用的應對措施、需要的資源、過程驗證時間要求、責任人、執行人以及一旦風險發生采取的應急響應措施等。如項目伊始就評價出的對于項目人員流動大的風險，采用風險降低策略，措施是做好團隊建設、按期評審保證所有人員階段成果包括各類文檔等按計劃完成、應急儲備確保一旦離開項目仍可繼續；再比如服務器可能癱瘓的風險，采用了風險接受的策略，措施是制定應急預案、備用服務器、數據備份和提供風險準備金等。

6.風險監控。這個過程郭經理主要采用了定期評審結合掙值分析和核對表的方法監督已識別風險和殘留風險、識別可能出現的新風險、執行風險應對計劃、評估計劃執行的有效性。如后期風險監控發現沒有足夠的時間進行產品測試的風險事件，重新進行了風險分析評估，工期不能延長，那郭經理及時調整了工作安排，測試工作按時完成，項目的CPI、SPI沒有發生大的偏離。

終上所述，該醫院的信息管理系統項目中由于進行了全面科學的風險管理過程，制定風險管理計劃、進行風險識別和風險分析、制定風險應對計劃和風險監控，加之相應的其他項目管理手段，選擇了適合的風險管理方法，最后正式通過了驗收。

通過努力，該項目在計劃的2015年底正式運行，運行狀況良好，對改善該醫院的管理能效上起到很大的作用，醫院領導給予了很高評價。但是通過這個項目的風險管理工作讓郭經理認識到風險管理雖有計劃，但有太多的不確定性，所以風險管理各過程不是一次性的過程，是項目實施階段不斷反復的過程，要主動地分析、預防、應對和監控風險才可以，這也是郭經理以后進行項目管理需要改進的地方。