論資訊系統專案的風險管理

【摘要】

2023年3月到2023年9月，我有幸擔任專案經理參與了xx銀行資訊資產監控管理平台專案建設。該專案是xx銀行「十一五」資訊化建設的重點專案，共投資人民幣500萬元，專案建設的目標是消除該銀行在資料中心機房、生產應用系統、網路通訊等運維監控上存在的資訊孤島，避免運維、網路等相關部門之間的管理煙囪，建設集機房、網路、系統一體的資訊化監控和管理平台。具體有四個方面的目標：

一是對級資料中心機房供配電、溫濕度等環境指標和硬體設施的實時監控；二是為核心生產系統伺服器的軟、硬體重要引數設定告警閥值並實時監控；三是實時監控通訊網路線路、裝置和流量情況；四是彙總從監控中獲取的資料，以事件驅動方式統一處理並集中管理。本文結合作者的專案實踐，以資訊資產監控管理平台專案為例，討論專案的風險管理，主要包括制風險管理的主要過程、風險的**及應對和風險分析及控制工具三方面內容。

【正文】

2023年3月，我作為專案經理參與了xx銀行資訊資產監控管理平台專案，該專案由xx銀行xx省分行發起並由我公司負責承建，是該銀行「十一五」資訊化建設的重要專案，也是該銀行資訊化基礎設施平台的重要組成部分。專案建設週期為一年半，從2023年3月開始，到2023年9月底驗收結束，專案總投資為500萬元（人民幣）。專案目標是採用開放式的系統架構和統一的技術路線，建設整合機房環境、網路通訊和系統運維為一體的集中監控和管理平台。

專案整體技術架構由四個主要部分組成：資料採集層、事件分析與處理層、系統展現層和統一許可權管理。該監控平台使用了2臺雙機熱備的ibm p55a小型機、2台主、備冷備的hp刀片伺服器和1臺工控機。

其中，資料採集層主要使用了ibm tivoli用於生產應用系統資料採集，ibm nectool用於網路裝置的syslog資訊採集，多點資料採集感測器用於資料中心機房環境資料採集；事件分析與處理層主要使用ibm omnibus和db2資料庫，上述應用分別部署在兩台ibm小型機的四個lpart上。系統展現層和統一許可權管理採用j2ee的架構，基於輕量級的tomcat平台分別部署在主、備兩台hp刀片伺服器上，工控機用於機房環境監控資料的分析、處理和展現，專案還使用了svn作為配置管理工具。

作為專案經理的我深知任何資訊系統專案都充滿著風險，但風險對於專案不僅僅意味著問題隱患，風險與機會往往並存。如何最小化風險對專案目標的負面影響，抓住風險帶來的機會，增加專案干係人的收益，作為專案經理我認為主要是把握風險管理的6個主要過程。

1、制訂風險計畫。工欲善其事必先利其器，根據戴明環的思想，乙個有效的風險計畫既是風險管理的開始環節又是關鍵環節，還是後續風險識別、風險分析和風險控制的基礎。在資訊資產監控平台專案中，由於得到了xx銀行分管科技工作的行領導高度重視，在專案啟動階段我盡早召集該銀行科技部負責人、系統運維組技術經理、網路組技術經理、資料中心運維負責人、專案監理和我承建方團隊成員，多次組織了風險管理計畫的討論會議，重點討論了在專案中應對風險的策略和指導思想、各專案干係人在風險管理中的角色和責任、不定期召開會議討論並分析專案面臨的風險等，會議討論並形成了《xx銀行資訊資產監控管理平台風險分析報告》，最終制定並通過了《xx銀行資訊資產監控管理平台風險管理計畫》。

2、風險識別。作為專案經理，我深知做好專案的風險識別工作是開展風險分析的基礎和前提。在資訊資產監控管理平台專案建設中，我和xx銀行負責生產系統、網路管理和機房運維的技術專家一起分別從專案的需求風險、技術風險、團隊風險、關鍵人員風險、預算風險和範圍風險共六個方面對專案存在的風險進行了梳理，通過聽取各領域專家的意見，同時吸取以前參與類似專案建設的經驗教訓，我的專案團隊找出了專案的風險列表。

3、風險的定性和定量分析。針對通過專家意見並結合自身經驗得到的專案風險列表，我組織專案團隊認真做了分析，並採用了不同的分析策略。對於有的風險採用定性的分析方法，例如對於專案需求蔓延的風險，我們重點分析了影響平台質量的核心需求，逐一排查了可能導致範圍蔓延的隱性需求；對於有的風險則採用定量分析的方法，例如對於技術方面的風險，我們充分借鑑和參考了以往的專案經驗，針對專案中可能需要採用新技術、新方法做了分析，根據20/80原則，我們得出結論新技術約佔比20%，但其可能導致專案失控的概率為80%。

4、制定風險的應對策略。作為專案經理，我和團隊成員一起針對可能出現的風險制定了詳細的應對策略。例如：

針對可能導致範圍蔓延的需求，我們多次協調xx銀行科技部負責人，首先完成核心需求即機房、網路和生產應用系統重要資料的採集、分析和處理功能，並盡早開始測試。對於資料的展現方式和報表的定製需求，我們則採用快速原型法和疊代模型方法根據要求逐步完善和細化。針對專案團隊關鍵人員還有其他專案開發任務的風險，我作為專案經理一方面和公司管理層強調本專案作為金融行業「十二五」標桿工程的重大意義，要求減少關鍵成員的其他專案壓力，另一方面我還注重對團隊年輕成員的培養，不定期在專案團隊內部組織技術交流，採用頭腦風暴方法提高團隊成員的整體素質，同時對重要模組開發任務上分配至少兩名資深系統分析師指導模組的開發。

5、風險的跟蹤與控制。根據以往的專案經驗，我根據已整理的風險清單，採取了每天專案組成員開展風險自查，重點控制專案進度；每週專案組內部組織風險排查會議，重點協調各專案開發小組之間的風險防範；每月召集各專案干係人和專案團隊小組負責人共同分析討論專案當前面臨的主要風險和未來可能的潛在風險，共同商議風險應對策略。例如，在每週專案組內部風險排查會議中，負責網路監控方面的專案組資深系統分析師黃博士提出需要增加兩名ccie用於對該銀行網路機構進行分析，以便更好的對該銀行網路資料資料採集、網路流量的分析處理及展示。

由於網路監控屬於該項目的三大主要功能之一，且該銀行的網路裝置維保和外部技術支援一直由一家第三方網路整合公司提供，該公司的網路技術人員也比較熟悉該銀行的網路架構和情況，經請示公司領導同意我通過與該第三方網路整合公司談判並簽訂合同，臨時借調了兩名ccie參與專案組研發，借調期限為2個月，該兩名工程師的加入加速了網路監控部分的建設速度，也保證了專案建設質量。

經過專案團隊全體成員的共同努力，xx銀行資訊資產監控管理平台專案於2023年6月試執行成功，執行狀況良好，收到了該銀行分管科技行領導的好評，也得到了該銀行科技部負責人和相關技術專家的好評，專案於2023年9月順利通過驗收。回顧該項目的風險管理工作，雖然沒有大的事故發生但仍存在一些問題，主要有兩個方面：一是風險識別與估計不到位，未能事先考慮專案團隊的人員組成，加強既懂網路又懂軟體開發人員的配備；二是風險應對措施有待細化，由於該銀行機房基礎設施執行年限較長，部分裝置因老化採集的資料值波動較大導致事件誤報的情況時有發生，應在專案啟動階段對該銀行的監控資源進行深入調研，並建議更換部分工作年限較長的機房基礎設施。

通過本專案的經驗總結，進一步豐富了本人的專案風險管理經驗。然後，在以後的專案風險管理中我還要加強學習，更好的協調專案工作中各方面的關係，為資訊化專案建設盡自己的綿薄之力。

論資訊系統專案的風險管理

論資訊系統專案的整體管理

論資訊系統專案的質量管理

論資訊系統大型專案的整體管理

論資訊系統專案的風險管理

論資訊系統專案的整體管理

論資訊系統專案的質量管理

論資訊系統大型專案的整體管理

相關推薦