信息系統(tǒng)項目的質(zhì)量與風險課件

2022/11/221第6章信息系統(tǒng)項目的

質(zhì)量與風險2022/11/211第6章信息系統(tǒng)項目的

質(zhì)量與風險2022/11/222第6章

信息系統(tǒng)項目的質(zhì)量與風險6.1信息系統(tǒng)項目質(zhì)量管理6.2信息系統(tǒng)安全、監(jiān)理與審計6.3信息系統(tǒng)項目風險管理十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/212第6章信息系統(tǒng)項目的質(zhì)量與風險62022/11/2236.1信息系統(tǒng)項目質(zhì)量管理十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2136.1信息系統(tǒng)項目質(zhì)量管理十一五規(guī)劃2022/11/2246.1.1信息系統(tǒng)項目的全面質(zhì)量管理什么是質(zhì)量？質(zhì)量是反映實體（產(chǎn)品、過程或活動等）滿足明確的和隱含的需要的能力特性總和。

——國際標準化組織2022/11/2146.1.1信息系統(tǒng)項目的全面質(zhì)量管理2022/11/225什么是信息系統(tǒng)的質(zhì)量？管理方面的即項目管理過程質(zhì)量，包括系統(tǒng)建設(shè)的準備、規(guī)劃、組織、協(xié)調(diào)以及運行管理方面所反映的工作質(zhì)量問題；技術(shù)方面的即產(chǎn)品實現(xiàn)過程質(zhì)量，包括系統(tǒng)生命期各階段的產(chǎn)品質(zhì)量十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/215十一五規(guī)劃教材2022/11/226制造業(yè)服務(wù)業(yè)怎么實現(xiàn)質(zhì)量管理？全面質(zhì)量管理是一個組織以質(zhì)量為中心，以全員參與為基礎(chǔ)，目的在于通過讓顧客滿意和本組織所有成員及社會受益而達到長期成功的一種質(zhì)量管理模式。——國際標準化組織2022/11/216制造業(yè)服務(wù)業(yè)怎么實現(xiàn)質(zhì)量管理？2022/11/227全面質(zhì)量管理的指導思想分兩個層次：整個組織要以質(zhì)量為核心組織的每個員工要積極參與全面質(zhì)量管理全面質(zhì)量管理的根本目的：使全社會受益和使組織長期成功十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/217十一五規(guī)劃教材2022/11/228全面質(zhì)量管理的核心思想：全員性：全員參與質(zhì)量管理；全過程性：管理好質(zhì)量形成的全過程；全要素性：管理好質(zhì)量所涉及的各個要素。2022/11/218全面質(zhì)量管理的核心思想：2022/11/229什么是信息系統(tǒng)的全面質(zhì)量管理？信息系統(tǒng)的全面質(zhì)量管理包括：系統(tǒng)實現(xiàn)時的質(zhì)量管理；系統(tǒng)分析、系統(tǒng)設(shè)計時的質(zhì)量管理；對系統(tǒng)實現(xiàn)時軟件的質(zhì)量管理；包括對文檔、系統(tǒng)建設(shè)人員和用戶培訓的質(zhì)量管理

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/219十一五規(guī)劃教材2022/11/2210為什么要對信息系統(tǒng)采取全面管理？對信息系統(tǒng)采取全面質(zhì)量管理，是因為在信息系統(tǒng)生命期的各個階段，對上一階段的理解和本階段的設(shè)計與實現(xiàn)上都存在著這樣那樣的問題，如下圖所示：2022/11/2110為什么要對信息系統(tǒng)采取全面管理？2022/11/2211系統(tǒng)分析說明書分析員：我可以提供什么用戶需求用戶：我要什么系統(tǒng)設(shè)計說明書設(shè)計員：我要讓系統(tǒng)怎么做源程序與文檔程序員：我要讓計算機怎么做運行結(jié)果計算機：信息系統(tǒng)提供的結(jié)果理解正確性設(shè)計正確性表達正確性理解正確性編碼正確性輸入正確性運行正確性相符嗎理解正確性表達正確性圖6.1信息系統(tǒng)生命期各階段之間的關(guān)系2022/11/2111系統(tǒng)用戶需求系統(tǒng)源程序運行結(jié)果理解正2022/11/2212信息系統(tǒng)全面質(zhì)量管理的主要措施（1）實行工程化的開發(fā)方法（2）實行階段性凍結(jié)與變更控制（3）實行里程碑式審查與版本管理（4）實行面向用戶參與的原型演化（5）強化項目管理，引入外部監(jiān)理與審計（6）盡量采用基于重用的方法進行系統(tǒng)開發(fā)（7）按照CMM持續(xù)改善的要求管理軟件的開發(fā)過程（8）進行全面測試十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2112信息系統(tǒng)全面質(zhì)量管理的主要措施十一五2022/11/2213軟件能力成熟度模型的英文為CapabilityMaturityModelforSoftware，縮寫為CMM。CMM模型是1986年由美國卡內(nèi)基·梅隆大學（CarnegieMellonUniversity）軟件工程研究所（SoftwareEngineeringInstitute，SEI）提出的。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義6.1.2軟件能力成熟度模型2022/11/2113軟件能力成熟度模型2022/11/2214軟件能力成熟度模型有什么作用？軟件能力成熟度模型是評估軟件能力與成熟度的一套標準，該標準基于眾多軟件專家的實踐經(jīng)驗。主要用于對軟件過程改善和軟件過程評估，是國際上流行的軟件生產(chǎn)過程標準和軟件企業(yè)成熟度等級認證的標準。

2022/11/2114軟件能力成熟度模型有什么作用？2022/11/2215CMM模型的內(nèi)容是什么？CMM模型提供了一個基于過程能力階梯式進化的框架，階梯共有五級。這五級由低到高依次為：初始級可重復(fù)級定義級定量管理級優(yōu)化級

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2115CMM模型的內(nèi)容是什么？十一五規(guī)劃教2022/11/2216（1）初始級初始級的軟件過程是未加定義的隨意過程，項目的執(zhí)行是隨意甚至是混亂的。（2）可重復(fù)級第二級的焦點集中在軟件管理過程上。一個可管理的過程應(yīng)該是一個可重復(fù)的過程，一個可重復(fù)的過程則能逐漸進化和成熟。2022/11/2116（1）初始級2022/11/2217（3）已定義級

要求制定企業(yè)范圍的工程化標準，包括管理和工程開發(fā)，并將這些標準集成到企業(yè)軟件開發(fā)標準過程中去。所有開發(fā)的項目需根據(jù)這個標準過程，剪裁出與項目適宜的過程，并執(zhí)行這些過程。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2117（3）已定義級十一五規(guī)劃教材2022/11/2218（4）定量管理級是定量化的管理。所有過程需建立相應(yīng)的度量方式，所有工作產(chǎn)品和提交給用戶的產(chǎn)品都需要有明確的度量指標。（5）優(yōu)化級目標是達到一個持續(xù)改善的境界。所謂持續(xù)改善是指可根據(jù)過程執(zhí)行的反饋信息來改善下一步的執(zhí)行過程，即優(yōu)化執(zhí)行步驟。2022/11/2118（4）定量管理級2022/11/2219圖6.22022/11/2119圖6.22022/11/22202002年，新的軟件集成能力成熟度模型（CMMI：CapabilityMaturityModelIntegration）正式發(fā)布。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/21202002年，新2022/11/2221CMMI與CMM有什么不同？

CMMI與CMM的不同在于，CMMI可以解決現(xiàn)有不同能力成熟度模型的重復(fù)性、復(fù)雜性，并減少由此引起的成本、縮短改進過程；它的涉及面更廣，專業(yè)領(lǐng)域覆蓋軟件工程、系統(tǒng)工程、集成產(chǎn)品開發(fā)和系統(tǒng)采購等方面。

2022/11/2121CMMI與CMM有什么不同？2022/11/22226.1.3信息系統(tǒng)項目的質(zhì)量規(guī)劃什么是信息系統(tǒng)項目的質(zhì)量規(guī)劃？信息系統(tǒng)項目的質(zhì)量規(guī)劃就是要將與信息系統(tǒng)有關(guān)的質(zhì)量標準標識出來，并提出如何達到這些質(zhì)量標準和要求。2022/11/21226.1.3信息系統(tǒng)項目的質(zhì)量規(guī)劃什2022/11/2223如何制定信息系統(tǒng)項目質(zhì)量管理計劃？首先搜集本組織以前的歷史數(shù)據(jù)，統(tǒng)計分析出該組織質(zhì)量管理工作量占項目總工作量的一般比例；根據(jù)新項目的大體工作量，計算出本項目的質(zhì)量管理工作量；根據(jù)質(zhì)量管理工作量情況，安排該項目的質(zhì)量管理任務(wù)，其中還要確定該項目的相關(guān)質(zhì)量標準，決定各質(zhì)量管理任務(wù)的頻度和相應(yīng)的各種工作資源；制定并評審?fù)ㄟ^信息系統(tǒng)項目的質(zhì)量規(guī)劃十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2123如何制定信息系統(tǒng)項目質(zhì)量管理計劃？十2022/11/2224質(zhì)量規(guī)劃的依據(jù)和成果質(zhì)量規(guī)劃主要的依據(jù)包括如下兩個部分：組織的質(zhì)量方針項目的合同文件中對交付產(chǎn)品的要求

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2124質(zhì)量規(guī)劃的依據(jù)和成果十一五規(guī)劃教材2022/11/2225質(zhì)量方針質(zhì)量方針是由組織的高層管理者對所有信息系統(tǒng)項目應(yīng)達到的質(zhì)量目標和方向制定的一個指導性文件。項目的合同文件合同文件中有關(guān)產(chǎn)品的描述包含了更多的技術(shù)細節(jié)和性能標準，是制定質(zhì)量管理計劃必不可少的部分項目質(zhì)量管理計劃的制定還必須參考相關(guān)領(lǐng)域的各項標準和特殊規(guī)定2022/11/2125質(zhì)量方針2022/11/2226信息系統(tǒng)項目質(zhì)量規(guī)劃的主要成果有哪些？主要包括質(zhì)量管理計劃、檢查表和相應(yīng)的操作說明等。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2126信息系統(tǒng)項目質(zhì)量規(guī)劃的主要成果有哪些2022/11/2227質(zhì)量管理計劃主要描述項目質(zhì)量保證團隊應(yīng)該如何實施項目質(zhì)量方針。各種檢查表是記錄項目執(zhí)行情況和進行分析的工具。操作說明包括如何進行項目工作、如何控制、如何度量、以及在何種情況下采取何種質(zhì)量管理措施和方法等的說明。2022/11/2127質(zhì)量管理計劃2022/11/2228全面質(zhì)量管理的基本工作步驟PDCA循環(huán)PDCA循環(huán)體現(xiàn)了全面質(zhì)量管理的基本思想，也是全面質(zhì)量管理的基本工作步驟和程序，是在質(zhì)量規(guī)劃中可以采用的一種思路和方法。

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2128全面質(zhì)量管理的基本工作步驟十一五規(guī)劃2022/11/2229PDCA把質(zhì)量管理過程具體劃分為：計劃（Plan）、執(zhí)行（Do）、檢查（Check）、處理（Action）四個階段和八個工作步驟，強調(diào)按此順序不斷循環(huán)從而進行所有質(zhì)量管理活動。

2022/11/2129PDCA把質(zhì)量管理過程2022/11/2230（1）P（Plan）——計劃，確定項目質(zhì)量管理方針和目標，確定項目質(zhì)量計劃；（2）D（Do）——執(zhí)行，實地去做，實現(xiàn)項目質(zhì)量計劃中的內(nèi)容；（3）C（Check）——檢查，總結(jié)執(zhí)行項目質(zhì)量計劃的結(jié)果，注意效果，找出問題；（4）A（Action）——處理，對總結(jié)檢查的結(jié)果進行處理，成功的經(jīng)驗加以肯定并適當推廣、標準化；失敗的教訓加以總結(jié)以免重現(xiàn)，未解決的問題放到下一個PDCA循環(huán)。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2130（1）P（Plan）——計劃，確定項2022/11/2231表PDCA循環(huán)的步驟和方法階段步驟主要方法P1、分析現(xiàn)狀，找出問題排列圖，直方圖，控制圖2、分析各種影響因素或原因因果圖3、找出主要影響因素排列圖，帕累托圖4、針對主要原因，制定措施計劃

回答“5W1H”的問題：為什么制定該措施（Why）？達到什么目標（What）?

在何處執(zhí)行（Where）？由誰負責完成（Who）?

什么時間完成（When）?

如何完成（How）?十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2131表PDCA循環(huán)的步驟和方法階段步2022/11/2232D5、執(zhí)行、實施計劃

C6、檢查計劃執(zhí)行結(jié)果排列圖，直方圖，控制圖A7、總結(jié)成功經(jīng)驗，制定相應(yīng)標準制定或修改工作規(guī)程、檢查規(guī)程及其它有關(guān)規(guī)章制度8、把未解決或新出現(xiàn)問題轉(zhuǎn)入下一個PDCA循環(huán)

表PDCA循環(huán)的步驟和方法（續(xù)）十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2132D5、執(zhí)行、實施計劃2022/11/22336.1.4信息系統(tǒng)項目的質(zhì)量保證什么是質(zhì)量保證？質(zhì)量保證是在質(zhì)量體系中實施的全部有計劃的、有系統(tǒng)的活動，提供滿足項目相關(guān)標準的措施，貫穿整過項目實施的全過程。

2022/11/21336.1.4信息系統(tǒng)項目的質(zhì)量保證什2022/11/2234與關(guān)注產(chǎn)品質(zhì)量檢查、質(zhì)量控制相比，質(zhì)量保證關(guān)注的是質(zhì)量計劃中規(guī)定質(zhì)量管理過程是否被正確執(zhí)行，是對過程的質(zhì)量審計。2022/11/2134與關(guān)注產(chǎn)品質(zhì)量檢查2022/11/2235信息系統(tǒng)項目的質(zhì)量保證要對信息系統(tǒng)的開發(fā)計劃、標準、過程、系統(tǒng)需求、系統(tǒng)設(shè)計、數(shù)據(jù)庫、手冊以及測試信息等進行評審；要對系統(tǒng)產(chǎn)品的評審過程、項目的計劃和跟蹤過程、系統(tǒng)需求分析過程、系統(tǒng)設(shè)計過程、系統(tǒng)實現(xiàn)和單元測試過程、集成和系統(tǒng)測試過程、項目交付過程、子承包商的控制過程、配置管理過程等進行評審

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2135信息系統(tǒng)項目的質(zhì)量保證十一五規(guī)劃教材2022/11/2236質(zhì)量保證工作的依據(jù)和內(nèi)容實施項目質(zhì)量保證的依據(jù)主要有項目質(zhì)量管理計劃、質(zhì)量控制的度量結(jié)果以及質(zhì)量工作的操作說明。質(zhì)量控制的度量結(jié)果可以用于比較和分析。項目質(zhì)量工作說明是對于項目質(zhì)量管理具體工作的描述，以及對于項目質(zhì)量保證與控制方法的具體說明。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2136質(zhì)量保證工作的依據(jù)和內(nèi)容十一五規(guī)劃教2022/11/2237質(zhì)量保證主要包括以下幾個方面的工作：（1）清晰的質(zhì)量要求說明（2）科學可行的質(zhì)量標準（3）組織和完善項目質(zhì)量體系（4）配備合格和必要的資源（5）持續(xù)開展有計劃的質(zhì)量改進活動（6）項目變更的全面控制

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2137質(zhì)量保證主要包括以下幾個方面的工作2022/11/22382.質(zhì)量保證工作的方法和技術(shù)當進行項目的質(zhì)量保證時，采用的方法和技術(shù)主要是質(zhì)量審計和質(zhì)量改進。質(zhì)量審計也稱為質(zhì)量審核，是對特定質(zhì)量管理活動的結(jié)構(gòu)化審查。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/21382.質(zhì)量保證工作的方法和技術(shù)十一五規(guī)2022/11/2239目的是確定質(zhì)量活動及其相關(guān)結(jié)果是否符合質(zhì)量計劃安排，以及這些計劃安排是否有效地貫徹執(zhí)行，并且是否適合于達到項目目標。質(zhì)量審計可以包括質(zhì)量體系審計、項目產(chǎn)品質(zhì)量審計、過程質(zhì)量審計、監(jiān)督審計、內(nèi)部質(zhì)量審計、外部質(zhì)量審計等

2022/11/2139目的是確定質(zhì)量活動及其相關(guān)結(jié)果是否符2022/11/2240質(zhì)量改進是以“增加項目的有效性和效率，提高項目投資人收益”為主要目的而采取的各種行動。其方法包括項目質(zhì)量改進建議和質(zhì)量改進行動兩個方面。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2140質(zhì)量改進十一五規(guī)劃教材2022/11/2241一般的項目質(zhì)量改進建議至少包括：目前存在的項目質(zhì)量問題及其后果；發(fā)生項目質(zhì)量問題的原因分析；進行項目質(zhì)量改進的建議目標；進行項目質(zhì)量改進的方法和步驟；進行項目質(zhì)量改進所需的資源；項目質(zhì)量改進成果的確認方法。2022/11/2141一般的項目質(zhì)量改進建議至少包括：2022/11/2242項目質(zhì)量改進行動的方法多數(shù)是根據(jù)項目質(zhì)量改進建議而確定的具體工作方法。質(zhì)量保證的成果主要是項目質(zhì)量的改進。2022/11/2142項目質(zhì)量改進行動的方法多數(shù)是根據(jù)項目2022/11/22436.1.5信息系統(tǒng)項目的質(zhì)量控制項目的質(zhì)量控制主要是監(jiān)督項目的實施結(jié)果以決定它們是否符合相關(guān)的質(zhì)量標準及確定排除不滿意結(jié)果原因的方法。2022/11/21436.1.5信息系統(tǒng)項目的質(zhì)量控制項2022/11/2244項目質(zhì)量控制和項目質(zhì)量保證有什么區(qū)別？項目質(zhì)量控制和項目質(zhì)量保證最大的區(qū)別在于：項目質(zhì)量保證是一種預(yù)防性、提高性和保障性的質(zhì)量管理活動；而項目質(zhì)量控制是一種糾偏性和把關(guān)性的質(zhì)量管理活動十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2144項目質(zhì)量控制和項目質(zhì)量保證有什么區(qū)別2022/11/2245質(zhì)量控制工作的依據(jù)和成果

信息系統(tǒng)項目的質(zhì)量控制是指對項目實施全過程中的產(chǎn)成品進行持續(xù)不斷地檢查、度量、評價和調(diào)整的活動。

質(zhì)量控制的依據(jù)項目的階段工作成果項目質(zhì)量管理計劃操作描述項目質(zhì)量控制標準與要求

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2145質(zhì)量控制工作的依據(jù)和成果十一五規(guī)劃2022/11/2246質(zhì)量控制成果通過項目質(zhì)量控制之后，所得到的最重要的成果就是項目質(zhì)量的改進。除質(zhì)量改進外，質(zhì)量控制的結(jié)果還可能是接受項目成果、返工或?qū)椖抗芾磉^程進行調(diào)整。

2022/11/2146質(zhì)量控制成果2022/11/2247質(zhì)量控制工作的方法和技術(shù)

項目質(zhì)量控制的方法項目質(zhì)量控制的方法有很多，最常用也是最直接的方法就是檢查，包括：為確定項目的各種結(jié)果是否符合用戶需求所采取的諸如測量、檢查和測試等活動，既可能檢查單個活動的結(jié)果，也可能檢查項目的最終產(chǎn)品的結(jié)果。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2147質(zhì)量控制工作的方法和技術(shù)十一五規(guī)劃2022/11/2248質(zhì)量控制工具檢查表和流程圖是很常用的質(zhì)量控制工具。下面我們重點介紹帕累托圖、因果圖和控制圖。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2148質(zhì)量控制工具十一五規(guī)劃教材2022/11/2249帕累托圖帕累托圖（Paretochart）是以意大利經(jīng)濟學家V.Pareto的名字而命名的。帕累托圖又叫排列圖、主次圖,是按照發(fā)生頻率大小順序繪制的直方圖；是分析和尋找影響質(zhì)量主要因素的一種工具。

原則：關(guān)鍵的少數(shù)和次要的多數(shù)。2022/11/2149帕累托圖2022/11/2250帕累托圖的表示帕累托圖用雙直角坐標系表示,左邊縱坐標表示頻數(shù),右邊縱坐標表示頻率.分析線表示累積頻率。橫坐標表示影響質(zhì)量的各項因素,按影響程度的大小(即出現(xiàn)頻數(shù)多少)從左到右排列。其形式如下圖：2022/11/2150帕累托圖的表示2022/11/225129%52%69%79%（頻數(shù)）件N=1235040302010甲乙丙丁戊其他質(zhì)量影響因素帕累托圖10080604020（頻率）%87%十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/215152%69%79%（頻數(shù)）件N=122022/11/2252影響質(zhì)量的因素分三類：主要因素：累計百分數(shù)在70%—80%范圍內(nèi)的因素；次要因素：累計百分數(shù)在80%—90%范圍內(nèi)的因素；一般因素：累計百分數(shù)在90%—100%范圍內(nèi)的因素。2022/11/2152影響質(zhì)量的因素分三類：2022/11/2253因果圖又稱魚骨圖、樹枝圖是由日本石川馨發(fā)明的，故又名石川圖。魚骨圖是一種發(fā)現(xiàn)問題“根本原因”的方法。問題的特性總是受到一些因素的影響，通過頭腦風暴法找出這些因素，并將它們與特性值一起，按相互關(guān)聯(lián)性整理而成的層次分明、條理清楚，并標出重要因素的圖形。

2022/11/2153因果圖2022/11/2254原因類別主要缺點第一層原因第二層原因第三層原因

因果圖十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2154原因類別主要缺點第一層原因第二層原因2022/11/2255控制圖控制圖又稱為管制圖。第一張控制圖誕生于1924年5月16日，由美國的哈特（W.A.Shewhart)博士首先提出。

控制圖就是對生產(chǎn)過程的關(guān)鍵質(zhì)量特性值進行測定、記錄、評估并監(jiān)測過程是否處于控制狀態(tài)的一種圖形方法。它是根據(jù)假設(shè)檢驗的原理構(gòu)造的一種圖，用于監(jiān)測生產(chǎn)過程是否處于控制狀態(tài)。它是統(tǒng)計質(zhì)量管理的一種重要手段和工具。2022/11/2155控制圖2022/11/2256十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義中心線下限上限樣本序號（時間）控制圖質(zhì)量特性值2022/11/2156十一五規(guī)劃教材2022/11/22576.2信息系統(tǒng)安全、監(jiān)理與審計

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/21576.2信息系統(tǒng)安全、監(jiān)理與審計十一2022/11/22586.2.1信息系統(tǒng)安全信息系統(tǒng)安全工作的目的：進不來拿不走看不懂改不了跑不掉2022/11/21586.2.1信息系統(tǒng)安全信息系統(tǒng)2022/11/2259信息系統(tǒng)安全的含義與層次信息系統(tǒng)安全是指采取技術(shù)和非技術(shù)的各種手段，通過對信息系統(tǒng)建設(shè)中的安全設(shè)計和運行中的安全管理，使運行在計算機網(wǎng)絡(luò)中的信息系統(tǒng)是有保護的，沒有危險，即組成信息系統(tǒng)的硬件、軟件和數(shù)據(jù)資源受到妥善的保護，不因自然和人為因素而遭到破壞、更改或者泄露系統(tǒng)中的信息資源，信息系統(tǒng)能連續(xù)正常運行。

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2159信息系統(tǒng)安全的含義與層次十一五規(guī)劃教2022/11/2260十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義應(yīng)用層面安全（應(yīng)用軟件、支撐軟件、工具軟件）系統(tǒng)層面安全（操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)）網(wǎng)絡(luò)層面安全（網(wǎng)絡(luò)系統(tǒng)各層的協(xié)議與軟件）物理層面安全（計算機硬件、網(wǎng)絡(luò)硬件、各類設(shè)備及介質(zhì)、環(huán)境）安全管理層圖安全等級保護五個層面所涉及的具體內(nèi)容2022/11/2160十一五規(guī)劃教材2022/11/2261信息系統(tǒng)安全的設(shè)計信息系統(tǒng)安全的設(shè)計包括：物理實體安全的設(shè)計硬件系統(tǒng)和通信網(wǎng)絡(luò)的安全設(shè)計軟件系統(tǒng)和數(shù)據(jù)的安全設(shè)計十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2161信息系統(tǒng)安全的設(shè)計十一五規(guī)劃教材2022/11/2262信息系統(tǒng)軟件和數(shù)據(jù)的安全應(yīng)注意的事項（1）選擇安全可靠的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)（2）設(shè)計、開發(fā)或采購安全可靠的應(yīng)用程序（3）注重信息系統(tǒng)中數(shù)據(jù)安全的設(shè)計數(shù)據(jù)存取的控制防止數(shù)據(jù)信息泄露防止計算機病毒感染和破壞數(shù)據(jù)備份的方法設(shè)計2022/11/2162信息系統(tǒng)軟件和數(shù)據(jù)的安全應(yīng)注意的事項2022/11/22636.2.2信息系統(tǒng)監(jiān)理信息系統(tǒng)監(jiān)理的含義信息系統(tǒng)監(jiān)理，是指具備相應(yīng)資質(zhì)的第三方（丙方），根據(jù)信息系統(tǒng)的建設(shè)規(guī)律以及國家法律法規(guī)、建設(shè)合同和監(jiān)理合同的要求，對信息系統(tǒng)建設(shè)過程中的行為、事件和文檔進行審查和監(jiān)督，為用戶方（甲方）提供與項目有關(guān)的信息和信息處理能力的支持，以確保信息系統(tǒng)項目的建設(shè)成功。監(jiān)理與項目管理主要區(qū)別在于主體不一樣，對于成本、進度、質(zhì)量考慮的重點不一樣十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/21636.2.2信息系統(tǒng)監(jiān)理十一五規(guī)劃教2022/11/2264信息系統(tǒng)監(jiān)理的內(nèi)容項目管理工作的核心可以歸納為“三控兩管一協(xié)調(diào)”。所謂“三控”，是指成本、進度和質(zhì)量三者的控制；所謂“兩管”，是指合同管理和信息管理；所謂“一協(xié)調(diào)”，是指甲乙丙三方關(guān)系的協(xié)調(diào)。

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2164信息系統(tǒng)監(jiān)理的內(nèi)容十一五規(guī)劃教材2022/11/2265信息系統(tǒng)監(jiān)理的工作內(nèi)容也是從“三控兩管一協(xié)調(diào)”出發(fā)，包括6個基本內(nèi)容：質(zhì)量控制進度控制投資控制合同管理信息管理關(guān)系協(xié)調(diào)2022/11/2165信息系統(tǒng)監(jiān)理的工作內(nèi)容也是從“三控兩2022/11/2266具備良好素質(zhì)的監(jiān)理人員能夠極大地降低信息系統(tǒng)項目建設(shè)的風險：能幫助甲方對系統(tǒng)建設(shè)方案進行正確評價和選擇；并能對乙方提供的證明材料等進行辨析；能判明乙方是否偏離了甲方的實際需求，是否簡化了系統(tǒng)的功能模塊，是否選用了性能低的配置或質(zhì)量較差的產(chǎn)品，是否隱含了安全問題或系統(tǒng)的缺陷等；能減低由于甲方因管理改革不到位或不及時造成的風險。2022/11/2166具備良好素質(zhì)的監(jiān)理人員能夠極大地降低2022/11/2267監(jiān)理方對甲乙雙方都有約束對乙方是監(jiān)督和管理，重在監(jiān)督；對甲方是督促和助理，重在助理。2022/11/21672022/11/2268信息系統(tǒng)監(jiān)理的類型按照監(jiān)理對象的類型劃分，可以分為三類：硬件網(wǎng)絡(luò)集成項目的監(jiān)理、軟件產(chǎn)品實施型項目的監(jiān)理、以及軟件開發(fā)型項目的監(jiān)理。按照業(yè)主的要求和介入項目的深度分類，可分為咨詢式監(jiān)理、里程碑式監(jiān)理和全程式監(jiān)理三種類型：十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2168信息系統(tǒng)監(jiān)理的類型十一五規(guī)劃教材2022/11/2269咨詢式監(jiān)理咨詢式監(jiān)理以咨詢工作為主，重點在于項目前期組織的信息化整體規(guī)劃和需求分析；工作完成的方式是以提交組織的信息化整體規(guī)劃書為主要任務(wù)，對于信息系統(tǒng)項目實施階段發(fā)生的問題，主要根據(jù)業(yè)主提出要求，回答相應(yīng)問題。監(jiān)理基本上不需要和建設(shè)方發(fā)生過多接觸，是一種咨詢顧問的角色。對甲方單位而言，這種方式的成本相比較是最低的十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2169十一五規(guī)劃教材2022/11/2270里程碑式監(jiān)理

是指按照信息系統(tǒng)的建設(shè)規(guī)律，將信息系統(tǒng)的建設(shè)劃分為若干個階段，在每一個階段結(jié)束都設(shè)置一個里程碑，在里程碑到來時通知監(jiān)理方進行審查或測試。一般來講，這種方式比咨詢式監(jiān)理的費用要多，當然，監(jiān)理方也要承擔一定的責任。監(jiān)理合同的確立也需要開發(fā)方的參與，避免里程碑的界定不同而互相扯皮。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2170里程碑式監(jiān)理十一五規(guī)劃教材2022/11/2271全程式監(jiān)理

最復(fù)雜的一種，不但要求對信息系統(tǒng)建設(shè)過程中的里程碑進行審查，還應(yīng)該派相應(yīng)人員全程現(xiàn)場跟蹤、收集系統(tǒng)開發(fā)過程中的信息，不斷評估信息系統(tǒng)建設(shè)方的質(zhì)量和效率。這種方式費用最高，監(jiān)理方的責任也最大，適合那些對信息系統(tǒng)的建設(shè)不太了解、技術(shù)力量偏弱的用戶方采用。

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2171全程式監(jiān)理十一五規(guī)劃教材2022/11/22726.2.3信息系統(tǒng)審計信息系統(tǒng)審計的含義和內(nèi)容信息系統(tǒng)審計是審計技術(shù)與信息技術(shù)共同發(fā)展的必然產(chǎn)物，是一個獲取并評價證據(jù)，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效率地利用組織的資源并有效果地實現(xiàn)組織目標的過程十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/21726.2.3信息系統(tǒng)審計十一五規(guī)劃教2022/11/2273信息系統(tǒng)審計與控制協(xié)會（InformationSystemsAuditandControlAssociation，ISACA）是從事信息系統(tǒng)審計的專業(yè)人員惟一的國際性組織。信息系統(tǒng)審計師資格（CertifiedInformationSystemAuditor，CISA）是惟一的職業(yè)資格。2022/11/2173信息系統(tǒng)審計與控制協(xié)會（Inform2022/11/2274信息系統(tǒng)審計的基本內(nèi)容包括

計算機資源管理審計；硬件、軟件的獲取審計；系統(tǒng)軟件審計；程序?qū)徲?；?shù)據(jù)完整性審計；系統(tǒng)開發(fā)審計；應(yīng)用系統(tǒng)開發(fā)審計；系統(tǒng)運行審計；系統(tǒng)維護審計；操作審計；安全審計。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2174十一五規(guī)劃教材2022/11/2275計算機資源管理審計硬件、軟件等獲取審計系統(tǒng)開發(fā)審計操作審計系統(tǒng)軟件審計安全審計程序?qū)徲嫅?yīng)用系統(tǒng)開發(fā)審計系統(tǒng)維護審計數(shù)據(jù)完整性審計系統(tǒng)運行審計十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義圖

信息系統(tǒng)審計基本內(nèi)容相互關(guān)系圖

2022/11/2175計算機資源管理審計硬件、軟件等獲取審2022/11/2276信息系統(tǒng)審計與信息系統(tǒng)監(jiān)理、信息系統(tǒng)測試和信息系統(tǒng)評價的區(qū)別：監(jiān)理重在對系統(tǒng)規(guī)劃與開發(fā)過程監(jiān)督和管理，而審計不但要對開發(fā)過程審計，還要對系統(tǒng)運行過程審計；系統(tǒng)測試主要測試系統(tǒng)是否實現(xiàn)了設(shè)計的邏輯模型，并且主要是從技術(shù)上測試；而審計是測試系統(tǒng)是否忠于組織的實際運作原型，是否符合國家法律法規(guī)；系統(tǒng)的評價是信息系統(tǒng)審計的延伸，信息系統(tǒng)的評價更帶有主觀性，與評價指標的選擇有關(guān)；而信息系統(tǒng)的審計比較客觀，強調(diào)的是數(shù)據(jù)的真實性和性能的客觀性。2022/11/2176信息系統(tǒng)審計與信息系統(tǒng)監(jiān)理、信息系統(tǒng)2022/11/2277信息系統(tǒng)審計的流程（1）信息系統(tǒng)審計的計劃階段是整個信息系統(tǒng)審計過程的起點，是通過調(diào)查被審計單位的內(nèi)部環(huán)境，初步評價審計風險，接受審計委托，在此基礎(chǔ)上制定審計計劃。

（2）信息系統(tǒng)審計的實施階段是根據(jù)計劃階段確定的范圍、要點、步驟、方法進行取證、評價，借以形成審計結(jié)論，實現(xiàn)審計目標的中間過程，是審計全過程的中心環(huán)節(jié)，由符合性測試階段和實質(zhì)性測試階段構(gòu)成。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2177十一五規(guī)劃教材2022/11/2278符合性測試階段目標是審查系統(tǒng)內(nèi)部控制制度的建立及遵守情況，根據(jù)測試結(jié)果修訂審計計劃，確定后續(xù)測試。實質(zhì)性測試階段是對交易和事項的詳細測試，以獲得審計期間這些事項或交易合法、完整、準確的審計證據(jù)。2022/11/2178符合性測試階段2022/11/2279（3）信息系統(tǒng)審計的報告階段信息系統(tǒng)審計人員運用專業(yè)判斷，以經(jīng)過核實的設(shè)計證據(jù)為依據(jù)，形成審計意見，出具信息系統(tǒng)設(shè)計報告。審計報告中應(yīng)說明信息系統(tǒng)審計的范圍、目標、期間和所執(zhí)行的審計工作的性質(zhì)和范圍，以及信息系統(tǒng)審計結(jié)論和建議等

2022/11/2179（3）信息系統(tǒng)審計的報告階段2022/11/22806.3信息系統(tǒng)項目風險管理

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義項目風險就是為實現(xiàn)項目目標的活動或事件的不確定性和可能發(fā)生的危險。2022/11/21806.3信息系統(tǒng)項目風險管理十一五2022/11/2281項目風險管理就是對項目風險進行識別、分析和應(yīng)對的系統(tǒng)過程。主要包含三個內(nèi)容：信息系統(tǒng)項目風險的識別信息系統(tǒng)項目風險的定性定量分析信息系統(tǒng)項目的風險應(yīng)對與監(jiān)控2022/11/2181項目風險管理就是2022/11/22826.3.1信息系統(tǒng)項目的風險識別

風險識別指確定哪些風險會影響項目，并將其特性記載成文。風險識別是一項貫穿項目實施全過程的工作。2022/11/21826.3.1信息系統(tǒng)項目的風險識別2022/11/2283風險識別的依據(jù)和成果風險識別主要考慮以下三個內(nèi)容：事業(yè)環(huán)境因素在風險識別過程中，任何一種以及所有存在于項目周圍并對項目成功有影響的組織事業(yè)環(huán)境因素與制度等，都可以成為風險識別的依據(jù)。組織過程資產(chǎn)從先前項目的項目檔案或知識庫中獲取相關(guān)信息。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2183風險識別的依據(jù)和成果十一五規(guī)劃教材2022/11/2284項目范圍說明書和工作分解結(jié)構(gòu)項目范圍說明書中有關(guān)項目假設(shè)條件的不確定性，應(yīng)作為項目風險的潛在成因進行評估；

風險都是和具體工作聯(lián)系在一起，需借助工作分解結(jié)構(gòu)識別風險。2022/11/21842022/11/2285進行風險識別還要參考風險管理計劃和項目管理計劃：風險管理計劃中闡述了項目的風險管理政策：哪些是一級風險，哪些是二級風險；實際情況與項目管理計劃對比，得出的范圍偏差、進度偏差、成本偏差等可能反應(yīng)各種風險。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2185進行風險識別還要參考風險管理計劃和項2022/11/2286風險識別過程的主要成果風險識別過程的主要成果是形成項目管理計劃中風險登記冊的最初記錄，即形成風險事件列表，又叫風險清單。2022/11/2186風險識別過程的主要成果2022/11/22872.風險識別的方法和工具要進行風險識別，首先需要對與該項目有關(guān)的各種文件進行審查，對項目文件（包括計劃、假設(shè)、先前的項目文檔和其他信息）進行系統(tǒng)和結(jié)構(gòu)性的審查。其次，需要根據(jù)歷史資料，特別是以往類似項目所形成的風險分解結(jié)構(gòu)（RiskBreakdownStructure，RBS）模板（參見下圖），來識別RBS上的各種可能出現(xiàn)的風險。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/21872.風險識別的方法和工具十一五規(guī)劃教2022/11/2288十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義技術(shù)風險需求界面復(fù)雜性可靠性安全外部風險政策市場氣候客戶分包商和供應(yīng)商項目風險管理風險進度成本質(zhì)量計劃編制控制組織風險內(nèi)部制度優(yōu)先權(quán)項目依賴關(guān)系資金資源風險分解結(jié)構(gòu)（RiskBreakdownStructure，RBS）2022/11/2188十一五規(guī)劃教材2022/11/2289我們還可以采用很多其他的風險信息搜集技術(shù)，包括訪談、因果圖分析、掙值分析、頭腦風暴法、德爾菲技術(shù)、SWOT分析、假設(shè)分析、核對表分析等。

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2189我們還可以采用很多其他的風險信息搜集2022/11/2290頭腦風暴法選擇人員明確會議的中心議題與會專家輪流發(fā)言，并記錄發(fā)言的內(nèi)容終止發(fā)言評價所提出的所有意見。2022/11/2190頭腦風暴法2022/11/2291德爾菲法從企業(yè)內(nèi)外部挑選相關(guān)專家組成專家小組，專家彼此不會面，不交流要求所有專家匿名對中心議題提出看法將所有專家的意見整理形成綜合意見，并將綜合意見分發(fā)給專家。各專家根據(jù)綜合意見提出自己的看法。重復(fù)以上過程知道得出滿意的結(jié)果。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2191德爾菲法十一五規(guī)劃教材2022/11/229292風險檢查表風險檢查表是從以往類似項目和其他信息途徑收集到的風險經(jīng)驗的列表，通過查找此表可以簡便快捷地識別風險。缺點：風險表的完備性受歷史和類似項目的限制，對沒有列出的風險可能被調(diào)查表所局限。2022/11/219292風險檢查表2022/11/2293流程圖法通過對項目的流程分析，發(fā)現(xiàn)項目風險可能發(fā)生在哪些工序和活動中，以及風險對各項活動可能造成的影響。流程圖可以通過網(wǎng)絡(luò)圖和工作分解結(jié)構(gòu)來表示。系統(tǒng)分析法系統(tǒng)分析法是一種將復(fù)雜的項目風險分解成比較容易識別的風險子系統(tǒng)，進而識別子系統(tǒng)風險的方法。2022/11/2193流程圖法2022/11/2294SWOT分析從項目內(nèi)部的優(yōu)勢（Strength）、弱點（Weakness），以及外部的機會（Opportunity）與威脅（Threat）四個角度對項目進行審議，以擴大風險考慮的廣度。

SWOT分析有四種不同類型的組合：

優(yōu)勢——機會（SO）弱點——機會（WO）優(yōu)勢——威脅（ST）弱點——威脅（WT）。

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/2194SWOT分析十一五規(guī)劃教材2022/11/2295SWOT分析一般分成五步：（1）列出項目的優(yōu)勢和劣勢，可能的機會與威脅，填入道斯矩陣的I、II、III、IV區(qū)，如下圖所示。2022/11/2195SWOT分析一般分成五步：（1）列出2022/11/2296III優(yōu)勢列出自身優(yōu)勢IV劣勢具體列出弱點I機會列出現(xiàn)有的機會VSO戰(zhàn)略抓住機遇，發(fā)揮優(yōu)勢戰(zhàn)略VIWO戰(zhàn)略利用機會，克服劣勢戰(zhàn)略II挑戰(zhàn)列出正面臨的威脅VIIST戰(zhàn)略利用優(yōu)勢，減少威脅戰(zhàn)略VIIIWT戰(zhàn)略彌補缺點，規(guī)避威脅戰(zhàn)略圖

道斯矩陣2022/11/2196IIIIVIVVIIIVIIVIII2022/11/2297（2）將內(nèi)部優(yōu)勢與外部機會相組合，形成SO策略，制定抓住機會、發(fā)揮優(yōu)勢的戰(zhàn)略，填入道斯矩陣的V區(qū)。如：一個資源雄厚（內(nèi)在優(yōu)勢）的企業(yè)發(fā)現(xiàn)某一國際市場未曾飽和（外在機會），那么它就應(yīng)該采取SO戰(zhàn)略去開拓這一國際市場。2022/11/2197（2）將內(nèi)部優(yōu)勢與外部機會相組合，形2022/11/2298（3）將內(nèi)部劣勢與外部機會相組合，形成WO策略，制定利用機會克服弱點的戰(zhàn)略，填入道斯矩陣VI區(qū)。

如：一個面對計算機服務(wù)需求增長的企業(yè)（外在機會），卻十分缺乏技術(shù)專家（內(nèi)在劣勢），那么就應(yīng)該采用WO戰(zhàn)略。把聘技術(shù)專家，或購入一個高技術(shù)的計算機公司作為策略。2022/11/2198（3）將內(nèi)部劣勢與外部機會相組合，形2022/11/2299（4）將內(nèi)部優(yōu)勢與外部威脅相組合，形成ST策略，制定利用優(yōu)勢減少威脅戰(zhàn)略，填入道斯矩陣VII區(qū)；

如：一個企業(yè)的銷售渠道（內(nèi)在優(yōu)勢）很多，但是由于各種限制又不允許它經(jīng)營其他商品（外在威脅），那么就應(yīng)該采取ST戰(zhàn)略，走集中型、多樣化的道路。2022/11/2199（4）將內(nèi)部優(yōu)勢與外部威脅相組合，形2022/11/22100（5）將內(nèi)部劣勢與外部挑戰(zhàn)相組合，形成WT策略，制定彌補缺點、規(guī)避威脅的戰(zhàn)略，填入道斯矩陣VIII區(qū)。

如：一個商品質(zhì)量差（內(nèi)在劣勢），供應(yīng)渠道不可靠（外在威脅）的企業(yè)應(yīng)該采?。祝詰?zhàn)略，強化企業(yè)管理，提高產(chǎn)品質(zhì)量，穩(wěn)定供應(yīng)渠道，或走聯(lián)合，合并之路以謀生存和發(fā)展。2022/11/21100（5）將內(nèi)部劣勢與外部挑戰(zhàn)相組合，2022/11/22101101假設(shè)分析通過先給出項目狀態(tài)或情況的描述，然后變動項目的某種因素，分析變動后項目整個情況會怎樣？會有什么樣的風險發(fā)生？風險的后果怎么樣？等等。步驟：描述項目狀態(tài)確定影響項目的主要因素預(yù)測哪些風險會發(fā)生確定風險的后果2022/11/21101101假設(shè)分析描述項目確定影響項目2022/11/22102假設(shè)分析法比較適合于：可用于分析和識別項目風險的后果；分析和識別項目風險可能波及的范圍；研究某些關(guān)鍵因素對項目的影響。2022/11/21102假設(shè)分析法比較適合于：2022/11/221036.3.2信息系統(tǒng)項目的風險定性定量分析通過項目風險識別后得到風險清單并記錄在風險登記冊后，就可以進一步對風險進行定性分析和定量分析。風險的定性分析風險分類、評估發(fā)生概率、后果風險的定性分析量化影響，得到風險期望值，對風險排序、確定級別2022/11/211036.3.2信息系統(tǒng)項目的風險定性2022/11/22104風險的定性分析風險定性分析是析風險的性質(zhì)、估算風險事件發(fā)生的概率及其后果的嚴重程度2022/11/21104風險的定性分析風險定性分析是析風險2022/11/22105風險的定性分析主要包括兩個部分：風險發(fā)生概率的評估風險造成影響或后果的評估。

風險定性分析的目的就是得到某個具體風險事件的風險概率和風險影響值。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/21105十一五規(guī)劃教材2022/11/22106風險概率評估指調(diào)查每項具體風險發(fā)生的可能性。風險影響評估旨在調(diào)查風險對項目目標（如時間、費用、范圍、質(zhì)量）的潛在影響，既包括消極影響或威脅，也包括積極影響或機會。針對識別的每項風險，確定風險的概率范圍和影響范圍。

2022/11/21106風險概率評估2022/11/22107風險的定性分析可通過采用召開會議或進行訪談等方式對風險進行評估：參與者對每項風險事件的概率級別及其對每項項目目標（成本、時間、范圍、質(zhì)量）的影響進行評估，確定風險概率和風險影響值的等級。

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/21107風險的定性分析可通過采用召開會議或2022/11/22108粗略評估風險概率及影響之后，通過查詢風險概率（可能性）度量表以及風險影響值度量表（見下圖），就可以將定性分析的結(jié)果轉(zhuǎn)化為一個定量的數(shù)值。

2022/11/21108粗略評估風險概2022/11/22109十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義表6.2風險概率（可能性）度量表現(xiàn)象分析風險可能性范圍分級計算數(shù)值順序計量分值非常不可能發(fā)生0％～10％5％1發(fā)生可能性不大11％～40％25％2可能在項目中發(fā)生41％～60％50％3較可能發(fā)生61％～80％70％4極有可能發(fā)生81％～100％90％52022/11/21109十一五規(guī)劃教材2022/11/22110十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義表6.3風險對四大項目主要目標影響值表定性度量非常低低中等高非常高非線性度量0.050.10.20.40.8項目目標成本不顯著的成本增加成本增加<10%成本增加10～20%成本增加20～40％成本增加>40%時間不顯著的進度拖延進度拖延<5%進度拖延5%~10%進度拖延10~20%進度拖延>20%范圍范圍減少不易察覺范圍次要部分受到影響范圍主要部分受到影響范圍減少到干系人無法接受項目最終結(jié)果不可用質(zhì)量質(zhì)量退化不易察覺只有要求很高的應(yīng)用受到影響質(zhì)量降低需要干系人確認質(zhì)量降低到干系人無法接受項目最終結(jié)果不可用2022/11/21110十一五規(guī)劃教材2022/11/22111例如：如果有一個風險事件是信息系統(tǒng)的人機界面很不友好，該風險較可能發(fā)生，預(yù)測該風險事件一旦發(fā)生對于進度的影響將是12%，對成本的影響是7%，對于質(zhì)量的影響很小，對范圍的影響幾乎覺察不到。2022/11/21111例如：2022/11/22112對照表6.2，該事件對應(yīng)的風險概率可用三種方式給出為：75%、70%、4。現(xiàn)象分析風險可能性范圍分級計算數(shù)值順序計量分值較可能發(fā)生61％～80％70％42022/11/21112對照表6.2，該事件對應(yīng)的風險概率2022/11/22113十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義參見表6.3，該事件的影響值為定性度量非常低低中等高非常高非線性度量0.050.10.20.40.8項目目標成本7%不顯著的成本增加成本增加<10%成本增加10～20%成本增加20～40％成本增加>40%時間12%不顯著的進度拖延進度拖延<5%進度拖延5%~10%進度拖延10~20%進度拖延>20%范圍覺察不到范圍減少不易察覺范圍次要部分受到影響范圍主要部分受到影響范圍減少到干系人無法接受項目最終結(jié)果不可用質(zhì)量影響很小質(zhì)量退化不易察覺只有要求很高的應(yīng)用受到影響質(zhì)量降低需要干系人確認質(zhì)量降低到干系人無法接受項目最終結(jié)果不可用2022/11/21113十一五規(guī)劃教材2022/11/22114該風險的最終影響值是上述四個影響的最大值，即0.4。任何一個風險事件都是從項目的成本、進度、范圍、質(zhì)量四個方面對項目產(chǎn)生影響，所以必須要分析出每個風險事件對上述四個方面的具體影響，參考上表，找出四個方面影響最大的值作為該風險事件的風險影響值。2022/11/21114該風險的最終影響值是上述四個影響的2022/11/22115二、風險定量分析

風險定量分析是在不確定情況下進行決策的一種量化的方法2022/11/21115二、風險定量分析風險定量分析2022/11/22116風險的定量分析風險的定量分析是指在得到風險概率和風險影響值之后，進一步得到每個風險的風險期望值，在此基礎(chǔ)上，對所有風險進行排序和確定風險級別。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/21116風險的定量分析十一五規(guī)劃教材2022/11/22117風險期望值是評價風險預(yù)期損失或機會的重要參數(shù)，它的計算公式為：風險期望值＝風險概率×風險影響值根據(jù)風險期望值確定風險等級，不同的等級應(yīng)該對應(yīng)不同的負責人。2022/11/21117風險期望值是評價風險預(yù)期損失或機會2022/11/22118例如：以前面的人機界面不友好為例，采用第三列的分級風險概率數(shù)值70%，而風險影響值為0.4，那么風險期望值＝風險概率×風險影響值＝0.7×0.4=0.28。含義：比如項目合同金額為100萬，那么該風險事件的風險期望值為28萬。2022/11/21118例如：以前面的人機界面不友好為例，2022/11/22119119項目風險評估工具決策樹□——決策節(jié)點○——狀態(tài)節(jié)點，或機會節(jié)點△——結(jié)果節(jié)點。優(yōu)點：能夠進行多級決策；決策的層次性和相互影響一目了然。缺點：當分級過多時，將變得非常復(fù)雜2022/11/21119119項目風險評估工具決策樹2022/11/22120120例題：某項目準備投產(chǎn)生產(chǎn)兩種產(chǎn)品甲和乙，分別需要投資50萬元和55萬元，兩種產(chǎn)品的生產(chǎn)年限是一樣的。經(jīng)過市場調(diào)研后，預(yù)測新產(chǎn)品上市后，暢銷的概率為70%，滯銷的概率為30%。甲乙兩種產(chǎn)品在不同情況下的收益如表所示：產(chǎn)品暢銷（70%）滯銷（30%）甲160萬元-80萬元乙180萬元-120萬元2022/11/21120120例題：某項目準備投產(chǎn)生產(chǎn)兩種2022/11/22121121決策樹分析0121234甲產(chǎn)品乙產(chǎn)品-50萬元-55萬元暢銷70%滯銷30%暢銷70%滯銷30%160萬元-80萬元180萬元-120萬元2022/11/21121121決策樹分析0121234甲產(chǎn)2022/11/22122十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義表

風險等級劃分表風險等級風險值范圍風險負責人一級風險0.2＜風險期望值≤1總經(jīng)理負責，通知客戶二級風險0.1＜風險期望值≤0.2公司主管項目副總負責，通知客戶和總經(jīng)理三級風險0.05＜風險期望值≤0.1項目經(jīng)理負責，通知主管副總四級風險0≤風險期望值≤0.05項目成員負責，通知項目經(jīng)理2022/11/21122十一五規(guī)劃教材2022/11/22123以上僅是某IT公司的數(shù)據(jù)模板，不同的項目團隊應(yīng)該有自己的風險等級政策。對于識別出的每個風險事件，還可以對每個風險事件的緊迫性進行評估。實施風險應(yīng)對措施所需要的時間、風險等級等都可以作為確定風險緊迫性的指標。2022/11/21123以上僅是某IT公司的數(shù)據(jù)模板，不同2022/11/221246.3.3信息系統(tǒng)項目的風險應(yīng)對與監(jiān)控

風險應(yīng)對規(guī)劃指為項目目標增加實現(xiàn)機會，減少失敗威脅而制定方案，決定應(yīng)采取對策的過程。2022/11/211246.3.3信息系統(tǒng)項目的風險應(yīng)對2022/11/22125風險的應(yīng)對風險應(yīng)對過程包括確認與指派相關(guān)風險應(yīng)對負責人，從幾個備選方案中選擇一項最佳的風險應(yīng)對措施來應(yīng)對識別出的風險。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/21125風險的應(yīng)對十一五規(guī)劃教材2022/11/22126信息系統(tǒng)項目風險應(yīng)對的措施可以分為兩大類，一類是對于威脅大于機會的消極風險的應(yīng)對策略(規(guī)避、轉(zhuǎn)移、緩解)，一類是對于機會大于威脅的積極風險的應(yīng)對策略(開拓、分享、提高）2022/11/21126信息系統(tǒng)項目風險應(yīng)對的措施可以分為2022/11/221271）消極風險的應(yīng)對策略：（1）規(guī)避風險規(guī)避是指在考慮到某項目的風險及其損失都很大時，主動放棄或終止該項目，以避免與該項目相聯(lián)系的風險及其損失的一種處置風險的方式。特點：處置最徹底、但同時失去了可能的利益。2022/11/211271）消極風險的應(yīng)對策略：2022/11/22128（2）轉(zhuǎn)移風險轉(zhuǎn)移是指項目組將風險有意識地轉(zhuǎn)移給其他有相互經(jīng)濟利益關(guān)系的另一方承擔的風險處置方式。如：購置保險、租賃合同、分包合同等。特點：風險本身沒減少，只是承擔者發(fā)生了變化。2022/11/21128（2）轉(zhuǎn)移2022/11/22129（3）緩解風險緩解是為了最大限度地降低風險事件的發(fā)生的概率和減小損失幅度而采用的風險處置技術(shù)。如：有些時候?qū)嵤╋L險預(yù)案需要時間和條件，權(quán)宜措施就是為了爭取時間和創(chuàng)造條件。

當客戶拖延付款的時候，你當務(wù)之急也許不是催討債款而是拆借周轉(zhuǎn)資金。

2022/11/21129（3）緩解2022/11/221302）積極風險的應(yīng)對策略（1）開拓風險開拓是指通過確保機會肯定實現(xiàn)而消除與特點積極風險相關(guān)的不確定性。如：為項目分配更多的資源，增派有經(jīng)驗、能力強的項目成員。2022/11/211302）積極風險的應(yīng)對策略2022/11/22131（2）分享將風險的責任分配給最能為項目利益獲取機會的第三方。建立風險分享合作關(guān)系，簽訂機會利潤分享活動。2022/11/21131（2）分享2022/11/22132（3）提高通過提高積極風險的概率或其積極影響，識別并最大限度地發(fā)揮這些積極風險的驅(qū)動因素，強化其促發(fā)條件，提高機會發(fā)生的概率。2022/11/21132（3）提高2022/11/22133不管是威脅還是機會都可以采用風險接受的策略。風險接受又稱作風險自留，是由項目團隊自行準備風險準備金以承擔風險的處置方法，在實踐過程中有主動接受和被動接受之分。十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/21133不管是威脅還是機會都可以采用風險接2022/11/22134風險應(yīng)對措施分為兩大類，預(yù)防措施和糾正措施：預(yù)防措施是指為防止風險事件發(fā)生采取的措施；糾正措施是指一旦風險發(fā)生時所采取的應(yīng)對措施

2022/11/21134風險應(yīng)對措施分為兩大類，預(yù)防措施和2022/11/221352.風險的監(jiān)控風險監(jiān)控是指識別和分析新生風險，追蹤已識別風險和“風險應(yīng)對表”中的風險，重新分析現(xiàn)有風險，審查風險應(yīng)對策略的實施并評估其效力的過程。

十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/211352.風險的監(jiān)控十一五規(guī)劃教材2022/11/22136在風險監(jiān)控中，一般要關(guān)注以下五個工作

（1）風險再評估安排定期進行項目風險再評估；（2）偏差和趨勢分析通過掙值分析、項目偏差和趨勢分析等對項目總體績效進行監(jiān)控；（3）風險準備金分析將剩余的風險準備金金額與擬接受的風險進行比較，確定剩余的風險準備金是否充足；十一五規(guī)劃教材《信息系統(tǒng)項目管理》講義2022/11/21136在風險監(jiān)控中，一般要關(guān)注以下五個工2022/11/22137（4）更新風險登記冊將新的風險識別和應(yīng)對情況，原有風險的變動情況納入風險登記冊中；（5）更新風險數(shù)據(jù)庫對于典型的風險事件可以形