项目管理风险评估(通用8篇)
篇1:项目管理风险评估
1前言
查找信息资产存在的漏洞,结合现有控制措施,分析这些威胁被利用的可能性和造成的影响,根据可能性和影响评估风险的大小,提出风险控制措施的过程。《国家信息化领导小组关于加强信息安全保障工作的意见》在9月被提上日程(简称27号文),提出了“信息安全风险评估是信息安全保障的重要基础性工作之一”。为了贯彻27号文的精神,进一步识别信息系统存在的风险,并对其进行控制,很多单位启动了风险评估项目。而风险评估项目又不同于一般的IT项目,有其自身的特点。
篇2:项目管理风险评估
2.1计划准备阶段
(1)制定项目章程。在信息安全风险评估项目中,应尽早确认并任命项目经理,最好在制定项目章程时就任命。项目经理的职责首先就在于应该参与制定项目章程,而该章程则具有授权的作用,即它能够使得经理能够运用组织资源来进行项目的实施。显而易见,项目经理是被授权的一方,必然不能成为授权项目运行有效的一方。授权项目启动的人一般而言能够提供实施项目所需要的资金等资源,他们能够参与章程的编制。
(2)确定风险评估范围。确定风险评估范围即要了解什么方面或者对象具有风险爆发的可能,例如公司的服务器数目、电脑操作系统的安全性和稳定性、应用的防火墙种类和数目等,甚至一些人为的因素也是重要的参考。
(3)明确风险评估成果。在信息安全风险评估项目中,应该在项目开始之前,与客户将项目提交的成果及要求确定下来。明确风险评估成果之后,在项目执行过程中,该目标也应该作为项目验收的标准。
(4)制定项目实施方案。项目实施方案是项目活动实施的具体流程,主要用来为项目实施提供技术指导。
(5)制定项目管理计划。如果想要计划实施过程一切顺利,或者说对定义等计划行动的过程需要记录的话,就会需要制定一个项目管理计划。项目管理计划需要通过不断更新来渐进明细。项目管理计划不能冗余,相反应该极其精炼,但是精炼并不意味着简单,相反项目管理计划应详细论述和解释完成这个项目所需要的一些条件。
(6)组建项目团队。一个优秀的项目团队是完成项目所必不可少的,是一种必须的人力资源。在项目开始时,一般而言,由项目经理来决定优秀团队的组成,并且在组建团队时应该注意谈判技巧。
(7)召开项目启动会。项目启动会代表着一个项目从此开始了正式的运作,是一个项目的启动阶段,在项目启动会上需要完成的任务包括分析评估完成项目所需要的方法和成本等问题。
(8)风险评估培训。风险评估培训是对项目团队成员及客户的项目参与者就风险评估方法、评估过程的相关细节性进行培训,以便项目能顺利实施。
2.2数据收集阶段
主要包括收集资料、现场技术评估、现场管理评估三项任务。
(1)收集资料。数据收集阶段最开始的步骤肯定是收集资料,简而言之,收集资料就是采取一切可行的方法,尽可能详细地获得和项目相关的一些信息,例如客户的行为习惯、客户业务相关的文档,甚至信息安全系统、信息化流程等信息都要尽量详细化。
(2)现场技术评估。现场技术评估就是通过漏洞扫描、问卷调查、现场访谈、主机配置审计、现场勘查等手段对评估对象进行评估。
(3)现场管理评估。现场管理评估是最后一个步骤,但是却非常重要,它不仅关系着此次项目运行成功与否,还关系到以后项目效率的改进,现场评估需要对项目进展的流程进行综合分析,找出不足之处,寻出与优秀的项目管理之间的差距,归纳总结,从而完善管理程序。
2.3数据分析阶段
收集数据阶段已经收集了很多的数据存量,想要发现数据的内在规律,从而发现有用的东西,就必须对数据进行详细分析,只有仔细分析数据,才能够发现项目的风险所在,从而确定风险的大小,找出其资产、弱点、风险。
2.4报告撰写阶段
对收集到的数据进行了详细分析,得到初步的结论以后,就到了报告撰写阶段,即在数据分析的基础上,制作一份报告,论述项目的风险问题。
(1)撰写风险评估报告。风险评估报告应该将风险分析的结果直观地、形象地表达出来,让管理层清楚地了解当前信息系统存在的风险。
(2)撰写整改报告。整改报告则是根据风险评估的结果,提出对风险进行管理与控制的过程。可分为安全加固建议、安全体系结构建议、安全管理建议三种。
2.5项目验收阶段
在完成了以上的步骤以后,理论上就可以对项目进行验收了,项目验收即对前期风险评估成果的检验,一般包括三项内容,即报告的评审、组织会议讨论验收事宜以及内部项目总结。
(1)报告评审报告评审就是对风险评估报告及整改报告进行评审。
(2)召开项目验收会即对项目的成果进行汇报。
篇3:项目管理风险评估
企业的信息能力是指企业在信息资源开发与利用方面的一种综合能力。在现代企业管理中,信息能力已经成为影响企业经济效益的关键因素之一。
本文通过调研分析企业信息化项目管理中存在的典型问题,提出了技术获取型项目管理的方法。该方法以风险评估为导向,通过定期对企业所有的信息资产进行风险评估,从中发现问题和机遇并提出项目建议,得到领导支持后实施信息化项目。这种方法是建立在对组织业务及现有系统充分了解的基础上,因此能得到企业真实的信息化需求,和组织本身的持续发展要求相一致。而根据企业资源的实际情况,从有经验的技术提供商那里获取技术,更可提高项目实施的速度与效率。
1 企业信息化进程中的项目管理
1.1 企业信息化进程中引入项目管理的背景
根据美国项目管理学会《项目管理知识体系指南2000版》的定义,项目管理是指将知识、技能、工具和技术应用于项目活动中,以满足项目需求的管理活动[1]。
项目管理在我国的起步较晚,各个行业的应用都还刚刚开始。现在,不少企业都实施了信息系统项目,但实际效果却不尽如人意。其中最重要的原因之一就是管理方面的问题。因为管理是影响项目全局的因素,而技术只影响局部。与项目目标和实现途径都可以明确定义的传统工程项目相比,信息系统项目在某些方面的复杂程度更高,以往的组织管理方式已很难适应。
信息技术领域的项目实施过程中,存在许多问题,比如:
· 企业管理者对信息技术了解不足,对实施什么样的信息化项目能给业务带来成功的机会毫无把握;
· 企业对信息系统的需求描述不清,常常是边做边想,因此信息系统的建设目标在项目开发期间被不断变更;
· 通过项目的实施,用户自身对信息系统的功能和使用信息系统带来益处的认识不断加深,对系统的期望不断提高,造成对项目实施最终效果不满意;
· 如何验证信息化项目的实施是否达到最初的目的,对项目的验收标准各相关方不易达成共识,给项目实施效果的确认带来困难。
1.2 适合在企业信息化进程中实施的项目管理方法
现在各种信息技术在企业内得到广泛应用,信息部门负责管理的系统也越来越复杂,从MIS到ERP、CIMS,在企业信息化的进程中实施的许多项目庞大复杂,各种风险发生的可能性大大增加。
成功的信息技术项目依赖于成功的项目管理及对项目管理方法的自觉运用。在参考了国内外相关资料的基础上,我们对信息技术项目管理的全过程进行了调研,并针对项目管理的要求,分析它们的个性和共性。经过不断摸索,我们提出了适合在企业信息化进程中实施的基于风险评估的技术获取型项目管理方法,并在具体实践中加以运用,满足了企业信息系统项目管理的一般需要。
所谓技术获取型项目,就是在项目实施的过程中,将其中的特定部分交给具有特殊技能优势的组织去完成,或者直接购买技术后加以运用。对这类项目的管理,我们称之为技术获取型项目管理。
在目前大部分企业的资源并不很充分的情况下,从外部获取所需技术,是最直接、有效的方法。实施技术获取型信息技术项目管理,可以合理利用现有资源,让企业把精力放在核心业务上,快速获取所需的技能和技术,加快了企业的信息化进程。
但是,当技术需要从外部获取时,因为无法直接控制项目,企业面临的风险可能同时加大。主要风险有:成本容易超出预算;可能把专业知识扩散到其他公司;失去对进一步开发的控制;泄露机密信息的可能性增大;可能丢失进度可视性和对进度的控制等。
因此,要使此类技术获取型项目取得成功,必须进行有效的管理。在充分了解潜在问题的基础上,与承包商保持良好的控制和沟通,合理配置资源,保证项目的质量和进度。合同签定和项目启动前,双方应就项目的工作范围达到明确的一致,包括项目需求、所有要完成的任务以及完成任务的基础条件等,否则项目实施时会有很多不清楚的地方,验收时出现由于项目范围理解不一致而带来的很多麻烦。
2 技术获取型信息技术项目管理
2.1 技术获取型信息技术项目管理模型
企业信息化是一个复杂的过程,如何利用有限的资源,选择合适的项目,满足企业发展要求是成功的关键。我们从平时解决问题的方法中可以看出,只有发现问题,才能找到使组织获益的机会。因此选择合适的切入点是成功的关键步骤之一。我们的方法是定期对所有的信息资产进行风险评估,从中发现问题和机遇并提出项目建议,得到领导支持后实施信息化项目。技术获取型信息技术项目管理模型如图1所示。
实施要点在于通过风险评估了解信息系统的现状,为技术实施策略的制定和信息化项目的选择奠定基础。整个风险评估过程以企业的信息化策略为核心,可分为准备、评估、实施和支持四个阶段。各个阶段是前后继承、紧密结合的,前一阶段的输出是后一阶段的输入,要想得到企业真实的信息化现状和需求,每个阶段成果的正确性和准确性都非常重要。风险评估过程中,几项关键活动基本上是顺序开展的:
IT策略 是风险评估的核心。围绕策略开展的活动存在于风险评估生命周期的各个阶段:一开始,组织需要确定信息目标、战略以及总体方针;风险评估之后,根据组织的需求,选择合适策略,制定计划处理风险,还需要编制全面而细致的风险评估文档;解决方案实施阶段,按照处理计划具体实施,各种程序性策略需要进一步完善,同时判断经过处理后的残余风险是否能被接受;而在运行阶段,将检验根据风险评估结果所做的策略是否有效,还应该根据风险处理计划进行测试、检查和调整,最终让其可以有效执行。策略不仅仅是信息化过程的指导核心,更需要在信息化过程中建立、实施和完善。
准备 这是新一轮风险评估生命周期的起点。在准备阶段,组织应该对当前业务和系统环境进行分析,发掘因为组织战略和使命的变化、业务变更、组织及人员变化、新技术引入、信息策略调整等情况引起的新的信息化需求,制定符合组织实际的信息化解决方案。同时制定和修改风险评估方法,准备进行新一轮的风险评估。
评估 评估阶段是组织全面了解自身信息化需求的关键,这一阶段中,组织需要借助技术和非技术手段评估已有的信息资产、自身存在的弱点、面临的内部和外部威胁、现有体系的有效性,最终生成详细而准确的评估报告,供需求分析所用。
通过评估,组织逐渐明确信息化需求,然后有目的地规划更为成熟的信息体系,并且选择合适的控制措施,制定全面的安全策略,提供技术和管理并重的安全解决方案。
实施 在实施阶段,在满足组织信息化策略的前提下,按照选择的控制措施,合理实施,处理风险。这时,如果需要开展各种信息化项目,就需要引入信息化项目管理,在实施过程中还应该做好质量控制和项目管理。评估阶段的成果直接成为项目管理启动阶段的输入。项目管理中应该包括详细的计划、卖方调研/评估、谈判、开发计划、设计、定制、测试、实施、运行和收尾过程,确保整个过程能够严格兑现方案计划并且不会引入新的风险。
支持 信息化解决方案一旦实施之后,已经建立起来的新的信息化体系就进入了操作和维护时期,这一阶段,组织通过不断的监督、检测、审查、纠正预防、更新和响应服务来保持体系的持续有效,一旦有重大变化,或者到了约定期限,就应该进入到下一个风险评估周期。
这种基于风险评估的信息化项目管理方法是对企业的信息化需求进行了充分地挖掘,所以得到的需求是建立在对组织业务及现有系统深刻了解的基础上,和组织本身的持续发展要求相一致,因此,成功的几率更大,其最大的特点是将管理思想和技术实现很好地融合到企业信息化的过程中,更具有可操作性。
2.2 风险评估在信息化项目管理中的推动作用
以风险评估为驱动的信息化项目管理,其核心就是立足于企业整体的信息安全管理体系,结合恰当的专业技术手段,通过审核现有的信息安全策略、程序及控制措施的效力,检验分析信息环境现状,最终对企业信息系统的状况有一个全面而充分的了解,选择对策改善已有的信息环境,满足企业业务要求的一个过程。从风险评估开始,就能够找准问题,有的放矢地开始信息化项目,起到事半功倍的效果。风险评估的成果为信息系统规划、管理、控制提供事实依据,是进行信息系统规划、实施与管理的基础。
为了使整个评估活动有序进行,需要事先确定风险评估方法,我们遵循BS7799信息安全管理国际标准的要求,制定了风险评估的流程(见图2)。在风险评估过程中,可以采用多种方法,包括基于知识的分析方法,基于模型的分析方法,定性分析方法和定量分析方法。无论何种方法,共同的目标都是找出企业信息资产面临的风险及其影响,以及与组织信息需求之间的差距。
通过风险评估发现的问题,可以采取以下四种方法来解决:
· 降低风险 组织不能接受的风险,需采用相应的措施和机制将其降低到可接受的范围。确定出需降低的风险,作为信息化项目需求的输入;
· 规避风险 对于容易避免的风险,采取更改操作流程等简单方法加以避免;
· 转移风险 对于一些发生概率低,但一旦发生会对组织产生重大影响的风险,在不能降低或避免时,且经被转移方同意时可采用风险转移的方法。如对于系统遭受自然灾害袭击的风险,可以采取向保险公司投保的方式进行转移;
· 接受风险 出于实际和经济方面的原因,在采取了降低风险和避免风险措施后还存在的剩余风险,或只要系统运行就必然存在并必须接受的风险,可以归在可接受风险的范围。
2.3技术获取型信息技术项目管理生命周期及其典型活动
通过风险评估,组织逐渐明确信息化需求,然后有目的地规划更为成熟的信息体系,并且选择合适的控制措施,合理实施,处理风险。在处理风险的过程中,可能需要实施信息化项目,引入信息化项目管理。风险评估阶段的成果可直接成为项目管理启动阶段的输入。
每个项目从开始到结束都要经历启动、计划、实施和收尾这四个阶段。但不同种类的项目其生命周期的表现并不相同。我们把技术获取型信息技术项目管理生命周期分为八个阶段:启动、计划、卖方调研、评估、谈判、实施、运行、收尾(见图3)。
技术获取型信息技术项目管理各个阶段实施的主要活动如表1所示。
在实施过程中还应该做好质量控制,确保实施过程能够严格兑现方案计划并且不会引入新的风险。
3 结束语
本文提出了一个以风险评估为导向,适合从外部获取技术的信息系统项目管理方法的总体框架,涉及项目管理、风险评估、企业信息化等多个知识领域,尝试对多方面知识的融会贯通。不同的企业在具体实施过程中也需要根据自身的特点,对相关具体活动进行裁减,通过实践,不断提高信息系统项目的成功率。
每个信息技术项目的开发环境及实施环境可能各不相同,但是,在项目管理中所要处理的关系却基本一致。我们以此和广大同仁探讨,使之能得以不断改进。
摘要:分析了在企业信息化进程中,如何有效地对IT项目进行管理。以项目管理学会PMI的项目管理理论和BS7799信息安全管理国际标准为基础,提出了一个以风险评估为导向,适合从外部获取技术的信息系统项目管理方法的总体框架。旨在通过对信息技术项目的各个阶段进行科学合理的管理,来提高项目的成功率,加快企业信息化进程。
关键词:项目管理,技术获取,风险评估,企业信息化
参考文献
[1]Project Management Institute:AGuide to the Project Management Bodyof Knowledge(PMBOK Guide 2000),2004.
[2]英国BS7799标准:ISO/IEC 27001:2005.
[3]凯西.施瓦尔贝.IT项目管理.王金玉,时彬,译.第二版.机械工业出版社,2004.
篇4:项目管理风险评估
关键字:风险导向审计;风险管理;风险管理审计
一、风险导向审计的相关概念及在工作中的初浅应用
笔者面对更多的审计任务为施工建设项目的审计,在实际工作中总结出了自己的一些审计思路与方法。随着企业规模的不断扩大和经营范围的不断拓宽,施工任务在逐年上升,这样被审项目就增加了。由于人力不足,每年不可能对所有的项目都进行审计。首先,将所有项目按业务板块分类,根据不同板块的行业特点、产业政策和单位在该板块的施工技术难度系数及管理经验,以板块为单位按重要性排序。其次,在每个板块中按照项目的投资性质和施工产值及利润空间大小进行排序,并结合企业所确定的战略规划,处于施工中前期的品牌项目、国家重点建设项目加大比重系数。最后,在重点系数排在前15位的项目中再按照项目经理的管理经验、能力、责任感及项目的人员配备并结合基层各方职工所反映的情况确定审计对象。
根据平时所掌握的一些情况,通过职业判断设计有针对性、技巧性的调查问卷,在进驻工作点开见面布置会时,按照职工花名册按业务性质随机抽取一部分职工以无记名形式填写调查问卷。后来为了缓解紧张情绪,获取职工个人邮箱名单后以邮件的形式发出,反馈的问卷真实性、全面性都有了很大提高,实践证明效果很好,为风险的确定及测评获得第一手证据提高了效率及准确度。
二、风险管理的概念及内部审计在风险管理中应发挥的作用及风险规避
IIA在其《内部审计实务标准》工作标准2100—工作性质中规定,内部审计活动评价并帮助改进组织的风险管理、控制和治理体系。具体而言,内部审计要监督、评价机构风险管理体系的有效性。内部审计师在开发和管理风险管理过程中所起的积极作用有别于在“风险归属”问题上起的作用。为了避免参与“风险归属”问题,内部审计师应该要求管理层证实其在确定、防范、监测风险及决定风险“归属”方面的责任。
总之,内部审计师可以促进风险管理过程的建立或使风险管理过程的建立成为可能,但是,不应该“拥有”已确认的风险或负责对这些风险的管理。
随着总公司的整体上市,对全系统的规范管理提出了更为严格的要求,机遇与挑战并存,企业的风险管理也将逐步提到议事日程上来,同时内部审计也面临风险审计的挑战。由于我们所在的企业为国有企业,在公司治理方面还存在很多没有解决的问题,这些都将加大对内部审计的风险。下面就现阶段国有企业风险审计的既有风险与本系统将面临的风险发表一下个人见解。
三、现阶段国有企业风险审计的既有风险与本系统所面临的风险
1.国有企业风险审计的既有风险。现阶段尽管国有企业的公司治理已经取得了一定的成绩,但我们必须清醒地看到,国有企业规范治理,特别是对经营者的有效制衡,还没有得到实质性的解决。(1)所有权“虚置”(2)国有股“一股独大”,对中小股东利益保护不足(3)内部人控制(4)监事会监督不力(5)公司接管市场的形成环境不理想(6)信息披露存在严重漏洞(7)经理人市场不健全(8)经营者的激励机制不足(9)经营者考核指标体系不健全。
2.基于以上国有企业的管理现状,市场化进程的加剧给企业的管理带来了机遇,同时也使企业更加的公开化、透明化,当然企业所面临的风险自然就增加了。像我们这样的大型国有企业经过上市后除了具有如上所说的既有风险外,其自身的一些个性特点在市场经济环境下所面临的风险更应该引起重视。
(1)由于施工企业自身所存在的地域广、人员多的特点,管理难度大,往往存在上面的制度执行不到位的现象,上面风声大、下面基层的雨点小,信息传递的结果不断弱化。这种信息化管理水平低下的后果就存在有令不行管理空缺的风险。
(2)从集团的角度即要遵循总公司一定的战略规划,从资源的整合、优化重组中要走总公司做大做强跨国大企业的路线,这样企业所面临的战略风险的弹性相对就小了。在市场经济中所遵循的竞争规则便是“弱肉强食”,使资源向“强者”中云集,实现资源的优化配置。所以有些集团在总公司的发展壮大过程中就有被“强食”的风险。
(3)从整个总公司系统的角度以纵向来看,即使要求实现扁平化管理,但现在至少还有四级管理,甚至有的地方还存在五级管理,尤其是四五级管理层认为大利益难以裨益于其自家的“小利益”,从而强调自己的小集团利益而不执行上层的指令,并且有些制度不具有强制约束力,从而“各自为政”,很难形成合力。这势必会出现管理执行的弱化,管理失控的风险。
(4)对风险理念的认识程度不足。由于历史的原因,在一些国有企业尤其是中央大型国有企业中长期形成的“瘦死的骆驼比马大”,再怎么着那也是国家的,不会让我们饿死。“春风”不渡“玉门关”,鞭长莫及,再大的风险有上层顶着呢。
(5)管理职责与权限不明晰,责任追究不到位。出了问题造成项目亏损资产流失后给点罚款、来个降职,转随其后换个地方或换个职位仍然大行其道或安然无事。
四、企业风险审计应注意的事项
1.制定审计计划时以被审计单位风险为导向
内部审计机构在制定长期审计规划、年度审计计划时,首先应该识别企业在长期、短期发展中面临的各种风险,包括主要、次要风险;经营风险;财务风险;法律风险等,在此基础上来实行未来审计的规划以及年度计划。
2.审计人员要从更高层次关注风险
内部审计在风险管理的过程中,要纵观全局,有的放矢。不仅要仔细审视企业经营过程中每个风险的节点,更要理清关键性的风险和风险的关键性环节,对风险的估计要有整体的把握,要考虑风险管理对组织的价值具有的前瞻性。
3.风险审计的直接服务对象是企业高级管理层和决策机构
作为市场经济最基本组织,现代企业都是风险自担的实体,风险管理水平将是关系企业成败的最重要的因素,尤其是我国企业今后要面对国内国外两个市场,竞争对手更多的是那些管理科学、机制相对健全的跨国公司,所以企业的风险管理事项一般都是企业最高管理层和决策层需要必须考虑的。
4.企业风险审计要与内审职责匹配
风险管理作为内部审计一个新的涉及领域,内部审计人员要想成为风险管理专家,不仅要懂得财务会计及相关法律法规,熟练地运用内部审计标准、程序和技术,还必须具备相应的风险管理素质和技能。在全球经济一体化,信息化技术飞速展的今天,内部审计人员除了要扎实专业技能外,更应丰富专业风险管理的知识和技能,精通现代管理信息技术和先进的管理技术手段。通过精湛娴熟的专业胜任能力来协助组织预防和减少的风险,改进管理和提高效率。
5.风险审计要求内部审计更多地发挥咨询职能
风险管理是一项事前性的预防工作,风险审计要真正发挥作用也必须走在前面,在监督、评价、咨询职能中,内部审计的咨询职能在风险审计中显得尤为重要。而要发挥好咨询功能,内部审计就需置身于风险管理之中,内部审计在风险管理中扮演的角色对组织机构整体成功至关重要。内部审计要作为风险管理过程的参与者、协调者、要真正融入到企业管理体系中,要真正置身于公司的治理和风险管理过程之中。
6.及时沟通至关重要
风险的不确定性,要求内部审计在风险管理过程中,加强沟通的力度,拓宽沟通的层面,丰富沟通的渠道,更新沟通的手段,加快沟通的进程。内部审计机构与被审计单位、组织管理层之间,应积极沟通彼此意见,充分体现参与式内部审计“以人为本”的理念。
8.分清组织可接受风险和个人可接受风险
内部审计在风险审计中必须关注一个问题是企业所能够接受的风险是否与职员个人风险喜好程度有明确的界限划分。对于那些风险偏好高的个人而言,当其可以控制的资产不是个人资产的时候,如果没有很有效的内部控制来约束,就很有可能其自身的风险投资行为导致企业的毁灭。如中航油巨亏陈久霖事件就是非常典型的,所以内审人员对此应该密切关注,对可疑或相关审计发现要及时向更高机构报告或者披露。
经过以上论理论与实际工作经验的论述得出三者之间的关系:
参考文献:
[1]中国内部审计协会编译《内部审计实务标准》(2001年修订本),中国时代经济出版社.
[2]尹维喆:《现代企业内部审计精要》,中信出版社.
[3]李金华:《审计理论研究》,中国时代经济出版社.
[4]李三喜:《内部审计规范精要与案例分析》,中国市场出版社.
[5]《审计文摘》2007年第八期、2008年第二期.
篇5:项目管理风险评估
项目是将被完成的、临时的性、有限的特殊任务。它是在一定时间内和资源限制下,满足一系列特定目标的多项相关工作的总称。
外在特征:
1.一次性内在属性:
2.多目标性与目标的1.独特性
明确性2.不可逆转性
3.整体性3.相互依赖性
4.生命周期4.矛盾冲突性
性
2.项目的分类
(1)竞争性项目:产品投资收益比较高、产品供求与价格由市场自发调节、竞争性比较强、垄断程度低、个别厂商的投资行为不对该产品的总供求产生明显影响
(2)非竞争性项目:基础性投资项目+公益性投资项目
基础性:具有自然垄断性、建设周期长、投资额大而收益低的基础设施建设项目(为什么对民间投资有竞争力?
公益性:不以盈利为目的,为实现一定的社会职能或满足社会的公共需要及人民福利而进行的项目(社区的参与对可持续发展的作用;农民工培训、子女就学等问题)
3.投资的分类
(1)政府投资项目(2)非政府投资项目
实施主体:企业 政府 社会
项目目的:盈利 公共
建设性质:新建 扩建 改建 迁建 恢复
实施地域;全球 全国 地区
4.公共项目的特点
1、投资项目的产出为非私有产品
2、投资项目有较大的外部效应
3、投资项目的目标与竞争性项目的目标不同
4、投资项目的成本与收益构成复杂
5.决策目标
1、满足国家战略发展的需要
2、满足社会可持续发展的需要
3、保证社会公平
4、关注弱势群体的发展
6.项目管理
(1)以项目为对象的系统管理方法
(2)通过一个临时性的、专门的柔性组织,对项目进行高效率的计划、组织、指导和控制,以实现项目全过程的动态管理和项目目标的综合协调与优化。
要素:
1、资源(人、材料、机械、资金、信息、技术)
2、需求和目标(基本要求)
3、组织(项目实施的核心实体)
4、环境(项目成功的重要保证)
项目管理主要内容:
1.范围管理2.时间管理
3.成本管理4.质量管理 5.采购管理6.人力资源管理 7.沟通管理8.风险管理 9.综合管理
国际项目管理组织:IPMA(1960)PMI(1969)
项目管理的阶段划分(过程):概念阶段,开发阶段,实施阶段,收尾阶段
7.项目范围管理(mbo)
Smart项目目标---specific具体的----measwrable可测量的----achievable可实现的--relevant相关的---traceable可跟踪的目标管理的优点:
这种方式是面向结果的,而不是面向过程的,它强调项目实施的结果,而不在意其具体过程,这样,项目组成员就可以在方法和手段上进行创新
这种方式使得项目组成员更加注重组织目标,并能明确了解各自的工作结果与组织目标之间的关系,明确项目组成员对项目目标实现的贡献大小。
目标管理的缺点:
并不是所有项目组成员的工作结果都是可以度量的而对项目组成员不恰当的评价则容易挫伤其积极性。
8.质量特性:
环保,经济,内在,外在,商业
全面质量管理:一个组织以质量为中心,以全员参与为基础,目的在于通过让顾客满意和本组织所有成员及社会收益而达到长期成功的一种质量管理模式全员性,全过程性,全要素性核心理念:
以客户满意为中心
质量不是靠检验获得的质量管理必须坚持“二全管理”
——全员管理+全过程管理
质量管理必须坚持戴明循环
C过程——克罗斯比过程(潘兴导弹)AQL概念+”零缺陷”
S过程——修哈特过程戴明环、6西格玛
9.质量管理原则
1、以顾客为关注焦点2.领导作用3.全员参与4.过程方法5.管理的系统方法6.持续 改进7.基于事实的决策方法8.与供方互利的关系
戴明PDCA
P——计划
D——执行
C——检查
A——处理
10.合格控制
工作职能:保证职能预防职能报告职能
控制类型:抽查全检 合格证检查抽样验收检查
实施:制定控制计划建立合格控制制度
数理统计方法:直方图法因果分析图法排列图(帕累托图)
11.项目融资定义:以项目公司为融资主体,以项目未来收益和资产为融资基础,由项目的参与各方分担风险的具有有限追索权的特定融资方式。
12.产权融资与债券融资
产权:企业无风险昂贵影响自有资金的投资收益率
债权:企业压力大融资成本低资产负债率
13.项目融资渠道
内部融资:资本公积金、公益金折旧、摊销费未分配利润和其他
外部融资:资本金融资(发行股票融资)发行债券融资(发行企业债和国债 发行外国债券)金融机构融资(国内金融机构国外金融机构)出口信贷融资(买方信贷、卖方信贷 政府混合信贷、福费廷)租赁融资
希望:
1、不希望影响公司的形象与信誉
不希望项目贷款出现在公司资产负债表中
不希望项目贷款对公司的各种财务指标产生影响
2、避免做无上限的抵押
项目融资的特征有限追索权风险分担债务屏蔽融资成本高关系复杂核心归还贷款的资金主要来自于项目本身
14.项目融资的必要性
经济建设需要基础设施建设
大规模的基础设施建设需要大额度资金
基础设施建设项目的高回报率可以吸引民间或国外资金
15.BOT(built_ operate _ transfer)建设-经营-移交
投资运作方式:
转让管理权低级民营化
转让资产权完全民营化
转让特许权“妥协性”的民营化
动机:充分利用私人在投资和运作中的效率,减轻自己的负担与资金不足的压力。
考虑:1)最重要的是商业机会(市场变化)2)政府的担保及相关许诺是否有效 3)谈判中的时间与价格
影响决策的因素:拟建项目规模融资难易程度控制权资金结构资金成本融资风险 决策方法 1)综合资金成本比较法 2)每股盈余分析法
融资风险的种类
(1)资金供应风险
(2)利率风险
(3)汇率风险
(4)现金性融资风险和收支性融资风险
16.财务分析的目标
1.盈利能力目标 2.偿债能力目标3.外汇平衡目标
17.人力资源的特点
人力资源具有能动性人力资本投资的高增值性时效性再生性社会性稀缺性人力资源的质量对数量的替代性较强
沟 通 的 六大要素:
1信 息 传 送 者2信 息3表 达 方 式4信 息 接 收 者5反 馈 6跟 进
18.项目采购的对象
工程项目货物服务
内容:
采购计划编制询价计划编制询价供方选择合同管理合同收尾
合同的基本类型:
固定总价合同、成本补偿合同和单价合同
固定总价合同:
(1)工程范围清楚明确
(2)工程量小、工期短
(3)工程结构、技术简单
(4)工程比较复杂但投标期相对宽裕
常用的招标方式
1.公开招标
2.邀请招标
3.谈判招标(议标)
4.国际招标
19.风险的三要素
风险要素的存在性
风险事件发生的不确定性
风险后果的不确定性
类型
导致风险的原因----------自然风险、社会政治风险、经济风险、技术风险、其他 影响的范围-----------局部风险、总体风险
风险是否可管理------------可管理的风险、不可管理的风险
风险可控程度------------不可避免的风险、可转移的风险、有利可图的投机风险 风险造成的后果-----------纯粹风险、投机风险(结果、可保)
风险可预测性-----------已知、可预测、不可预测
20.风险管理内容
1.项目风险识别识别技术审查文件资料—核对表信息收集技术流程图法因果分析图工作分解结构(WBS
2.项目风险评估方法 1.定性分析 2.定量分析(决策树分析法 概率分析法 矩阵图分析非肯定型分析法效用函数分析法)
3.项目风险规划方法 1.风险回避 2.风险降低 3.风险抵消 4.风险分离 5.风险分散 6.风险转移 7.风险自留
4.项目风险监控实施中随时跟踪反馈并处理
21.项目范围
为了交付具有所指特征和功能的产品所必须要做的工作。
项目的范围管理:用以保证项目包含且只包含所有需要完成的工作,以顺利完成项目所需要的所有过程,由启动、范围计划编制、范围定义、范围核实和范围变更控制构成项目范围说明书
(1)项目的合理性说明(2)项目目标(3)项目可交付成果
22.工作分解结构(WBS)要素:
1)工作过程或内容:表明了工作的性质或对工作的描述
2)任务的承担者:如果有多人承担该项任务,应该进一步对人员的分工和合作进行明确的职责分工
3)工作对象:与工作紧密相关的不仅仅是物质的,也可能是非物质的4)完成工作所需要的时间:时间的确定是为每一工作过程所需要时间做出估计,时间估计还应当尽一步确定出完成每项工作所需的时间点
5)完成工作所需的资源:为执行任务所需要的空间、材料、设备和设施、资金人员等 表现形式和比较
1)树形结构————层次分明、直观;但是不容易修改,也难于展示项目的全貌;超过5个层次的项目就不适宜用一张纸画完
2)气泡图表现形式-------可以任意修改、添加,箭头可以随意弯曲;但是不够直观、较难反映全貌
3)列表表现形式------反映项目全貌;但不够直观(适用于大项目)
23.项目进度管理与活动的关系
(1)强制性依赖关系
(2)可以灵活处理的关系
按已知的最好做法安排——软逻辑
为照顾活动的某些特殊性而对活动的安排——优先逻辑关系
(3)外部依赖关系
进度追回的方法
赶工与快速跟进:
赶工:以最低的增加成本进行最大限度的进度压缩
优点:缩短项目时间
缺点:增加项目总成本
快速跟进:
并行进行哪些顺序进行或者有轻微重叠的活动
优点:缩短项目时间
缺点:太早开始某些任务会增加风险导致返工,可能导致进度拖延
集中于关键路径
加快进度的具体方法
加强控制资源优化改变工艺或流程加强沟通加班外包
24.影响项目成本的因素
项目工期
耗用资源的数量和价格
项目质量
项目范围
基本参数
BCWS——计划工作量的预算费用
budgeted cost for work scheduled
计划工作量×预算定额
ACWP——已完成工作量的实际费用
actual cost for work performed
已完成工作量×实际单位成本
BCWP——已完成工作量的预算成本
budgeted cost for work performed
已完成工作量×预算定额缩小范围
四个评价指标
CV——费用偏差(cost variance)
BCWP-ACWP(执行效果)SV——进度偏差(schedule variance)
BCWP-BCWS(进度进展)
CPI——费用执行指标(cost performed index)
BCWP/ACWP(实际费用与预算费用)SPI——进度执行指标(schedule performed index)
篇6:信息安全风险评估项目流程
一、售前方案阶段
1.1、工作说明
技术部配合项目销售经理(以下简称销售)根据客户需求制定项目解决方案,客户认可后,销售与客户签订合同协议,同时向技术部派发项目工单(项目实施使用)1.2、输出文档
《XXX项目XXX解决方案》
输出文档(电子版、纸质版)交付销售助理保管,电子版抄送技术部助理。1.3、注意事项
销售需派发内部工单(售前技术支持) 输出文档均一式三份(下同)
二、派发项目工单
2.1、工作说明
销售谈下项目后向技术部派发项目工单,技术部成立项目小组,指定项目实施经理和实施人员。
三、项目启动会议
3.1、工作说明
销售和项目经理与甲方召开项目启动会议,确定各自接口负责人。
要求甲方按合同范围提供《资产表》,确定扫描评估范围、人工评估范围和渗透测试范围。
请甲方给所有资产赋值(双方确认资产赋值) 请甲方指定安全评估调查(访谈)人员 3.2、输出文档
《XXX项目启动会议记要》
客户提交《信息资产表》、《网络拓扑图》,由项目小组暂时保管,以供项目实施使用 3.3、注意事项
资产数量正负不超过15%;给资产编排序号,以方便事后检查。
给人工评估资产做标记,以方便事后检查。 资产值是评估报告的重要数据。 销售跟客户沟通,为项目小组提供信息资产表及拓扑图,以便项目小组分析制定项目计划使用。
四、项目前期准备
4.1、工作说明
准备项目实施PPT,人工评估原始文档(对象评估文档),扫描工具、渗透测试工具、保密协议和授权书
项目小组与销售根据项目内容和范围制定项目实施计划。4.2、输出文档
《XXX项目实施PPT》 《XXX项目人工访谈原始文档》 《XXX项目保密协议》 《XXX项目XXX授权书》 4.3、注意事项
如无资产表和拓扑图需到现场调查后再制定项目实施计划和工作进度安排。
项目实施小组与客户约定进场时间。
保密协议和授权书均需双方负责人签字并加盖公章。 保密协议需项目双方参与人员签字
五、驻场实施会议
5.1、工作说明
项目小组进场与甲方召开项目实施会议(项目实施PPT),确定评估对象和范围(主机、设备、应用、管理等)、实施周期(工作进度安排),双方各自提出自身要求,项目小组要求甲方提供办公场地、打印机、接入网络等项目必备环境。与甲方签订评估保密协议、授权书(漏洞扫描、人工评估、渗透测试等)。实施过程中需甲方人员陪同。
5.2、输出文档
《XXX项目驻场实施会议记要》 5.3、注意事项
如前期未准备资产表与拓扑图,在此阶段项目小组进行调查(视情况是否另收费)。
六、现场实施阶段
6.1、工作说明
按照工作计划和被评估对象安排实施进度。 主要工作内容 漏洞扫描(主机、应用、数据库等) 人工评估(主机、应用、数据库、设备等) 渗透测试(主机、应用等)
项目实施经理做好会议记要和日报,项目实施成员保留所有原始文档并妥善存档。
现场实施部分完成后,双方召开阶段性总结会议(如甲方有需求可对项目实施过程中发现的问题进行简要总结,输出简要总结报告)
6.2、输出文档
《XXX项目XXX人工评估过程文档》 《XXX项目XXX漏洞扫描过程文档》 《XXX项目XXX渗透测试过程文档》 《XXX项目工作日报》 《XXX项目会议记要》 6.3、注意事项
若遇到协调问题,双方负责人协调解决
实施过程中如出现计划外问题,以会议形式商讨解决 日报需项目双方负责人签字确认
七、静态评估阶段
7.1、工作说明
与甲方商定评估报告输出周期和报告内容
项目小组依据评估结果分工进行报告输出、整理汇总,准备项目总结PPT和整改建议(如客户要求则输出整体加固解决方案),完成后提交公司项目质量评审小组审核,审核通过后提交客户。经客户认可后输出纸质文档。
7.2、输出文档
《XXX项目XXX人工评估报告》 《XXX项目XXX漏洞扫描报告》 《XXX项目XXX渗透测试报告》 《XXX项目安全评估综合报告》
《XXX项目整改建议书(整体加固解决方案)》 《XXX项目总结》(PPT)7.3、注意事项
依据公司文档标准化体系输出文档(电子版输出PDF格式) 统计数据要求完整、准确无误; 解决方案与销售讨论后输出文档。
项目实施人员对每份输出文档签字,预留甲方接口人员签字位。
八、评估阶段验收
8.1、工作说明
项目实施经理和销售与甲方召开项目验收会议,讲解项目实施中发现的风险、隐患和威胁,与客户讨论解决方法(视项目情况而定),双方验收项目成果(输出的报告),对输出报告签字确认,并签订项目验收成果书。客户如有需求,则对评估中发现的风险、隐患进行加固实施。8.2、输出文档
《XXX项目验收成果书》 《XXX项目会议记要》
九、安全加固实施
9.1、工作说明
安全加固参考安全加固项目流程 9.2、输出文档
《XXX项目整体安全加固方案》 《XXX项目XXX安全加固方案》 《会议记要》 《工作日报》 9.3、注意事项
项目实施双方对加固过程文档(纸质)签字确认
十、安全加固验收
10.1、工作说明
针对已加固对象进行再次风险评估,输出评估结果报告。10.2、输出文档
《XXX项目安全加固验收报告》 10.3、注意事项
项目双方对验收成果签字确认
十一、项目总结会议
对本次风险评估、安全加固过程中遇到的问题进行总结,并对遗留问题进行建议。
篇7:项目管理风险评估
测试成绩:100.0分。恭喜您顺利通过考试!
单选题
1.下列关于风险管理与商业银行经营的关系,说法不正确的是()。√
A 承担和管理风险是商业银行的基本职能,也是商业银行业务不断创新发展的原动力
B 风险管理不能从根本上改变商业银行的经营模式,即从传统上片面追求扩大规模、增加利润的粗放经营模式,向风险与收益相匹配的精细化管理模式转变等
C 风险管理能够为商业银行风险定价提供依据,并有效管理金融资产和业务组合
D 健全的风险管理体系能够为商业银行创造价值
正确答案: B 2.全面风险管理模式体现了很多先进的风险管理理念和方法,下列选项没有体现的是()。√
A 全球的风险管理体系
B 全面的风险管理范围
C 全程的风险管理过程
D 完全的风险规避制度
正确答案: D 3.以下不属于市场风险的是()。√
A 利率风险
B 汇率风险
C 法律风险
D 商品风险
正确答案: C 4.《巴塞尔新资本协议》规定国际活跃银行的整体资本充足率不低于(),其中核心资本充足率不得低于()。√
A 8%;4%
B 10%;5%
C 4%;2% D 20%;10%
正确答案: A 5.资本收益率的计算公式为()。√
A RAROC=(EL-NI)/UL
B RAROC=(U-NI)/EL
C RAROC=(NI-EL)/UL
D RAROC=(EL-UL)/NI
正确答案: C 多选题
6.下述商业银行常见的风险管理策略中,属于风险转移的有()。√
A 为营业场所购买财产保险
B 对于不擅长承担风险的业务,银行对其配置有限的经济资本
C 银行对信用等级较低的客户提高贷款利率
D 将贷款资产证券化后出售
E 要求借款人提供第三方担保
正确答案: A D E 7.商业银行通常采用()的方式来应对和吸收预期损失。√
A 风险规避
B 风险补偿
C 风险对冲
D 冲减利润
E 提取损失准备金
正确答案: D E 8.商业银行积极、主动地承担和管理风险的益处主要有()。√
A 有助于金融产品的开发
B 降低现金流的波动性 C 有利于商业银行更加有效地配置资本
D 有利于商业银行改善资本结构
E 有助于获得更多收益
正确答案: A C D 9.关于全面风险管理模式的先进理念和方法,下列说法正确的有()。√
A 全员的风险管理文化
B 全面的风险管理范围
C 全新的风险管理方法
D 全程的风险管理过程
E 全球的风险管理体系
正确答案: A B C D E 10.下列关于风险分散化的论述正确的有()。√
A 如果资产之间的风险不存在相关性,那么分散化策略将不会有风险分散的效果
B 如果资产之间的相关性为-1,风险分散化效果较差
C 如果资产之间的相关性为+1,风险分散化效果较好
D 如果资产之间的相关性为正,那么风险分散化效果较好
E 如果资产之间的相关性为负,那么风险分散化效果较好
正确答案: A E 判断题
11.结算风险既可以针对个人,也可以针对企业。√
正确
错误
正确答案: 错误
12.市场风险相对于信用风险来说,具有数据优势和易于计量的特点,可供选择的金融产品种类丰富。√
正确
错误 正确答案: 正确
13.既存在于表内业务,又存在于表外业务,还存在于衍生产品交易中的风险是信用风险。√
正确
错误
正确答案: 正确
14.会计资本是经济资本和监管资本的媒介。√
正确
错误
正确答案: 错误
15.随机变量的方差描述了随机变量偏离其期望值的程度。√
正确
错误
篇8:项目管理风险评估
关键词:石化项目,HSE管理,危害识别,风险评估
1 危害及影响识别与评价
要做好工程项目HSE管理, 风险评价是关键, 首先项目经理应组织有经验的技术、施工、安全人员对本工程在施工中可能出现的危害进行识别, 找出危险源。危险源是指可能造成人员伤害、财产损失或环境破坏的根源。这些危害可能来自于使用的材料、设备、设施和过程, 也可能来自于日常的活动。一般来说, 风险识别与分析可分为4个阶段:1) 确定分析范围;2) 找出风险;3) 评估风险;4) 分析结果。
1.1 施工工序工作内容的确定
同样的工程, 由于施工地点、季节、环境、人员的不同, 虽然施工工序相近, 但每道工序的工作内容不尽相同, 甚至还有较大的差异, 例如冬季、夏季土建施工, 工序虽然相近, 但因季节气候影响, 具体工作内容却不大相同, 并应考虑到气候对施工人员的影响以及可能造成的伤害 (冬季冻伤、手脚不便, 夏季中暑等) , 要求考虑周全、详尽。
1.2 事故隐患的危害分析与风险评估
根据其施工过程及工艺就可进行安全风险评价, 并对确定或已识别的危害进行归纳和整理, 确认常见和潜在的危害因素, 并判别危害的可能性和严重性。此项工作应由工程技术人员、HSE监督管理人员、设备使用与管理人员等各方面专家共同讨论完成, 要以可能发生或者历史上曾经发生过的事故和事件为借鉴, 以GB/T13816-92《生产过程危险和有害因素分类与代码》为依据, 从以下几个方面进行危害分析 (图1) 。
2 采用合适准确的风险评估方法
现以在装置梯台坠落事故进行事故树分析:由于梯台质量不合格加上人员上梯台时精神不够集中, 可能发生梯台坠落事故, 事故发生模式可用事故树分析, 表达出事故逻辑关系, 以及事故发生的途径和措施。
T=X1 X2 X3+X1 X2 X4+X1 X2 X6+X1 X2 X7+X1 X2 X8+X1 X2 X9+X1 X2 X10IΦ (1) =IΦ (2) >IΦ (3) =IΦ (4) =IΦ (5) IΦ (6) =IΦ (7) =IΦ (8) =IΦ (9) =IΦ (10) (表1)
显然, 人员坠落事故的主要因素是人。其余十个基本事件的结构重要度相同, 应予以同样重视。
3 制定、演练应急反应计划
建立HSE管理体系就是体现了预防为主的思想, 虽然通过管理体系可防止事故的发生, 但并非建立了体系就一定不发生事故, 所以就必须制定应急反应计划。应急措施对应于每一种已识别出的风险, 包括具体步骤和各个步骤的具体说明。公司在300万吨/年重催工程中制定出多种应急措施, 并组织员工进行了应急演练, 取得了良好的效果。
项目施工过程中首先建立应当建立应急组织机构, 成立应急小组, 并对小组成员的职责与任务有明确的规定。例如在某石化公司300万吨/年重催项目与500万吨/年常减压工程项目中项目部应急小组组长职责:突发事件发生后负责现场应急处理, 组织报警并保护现场, 视险情情况采取妥当处理措施, 并对应急现场负责。应急小组组员职责:在险情发生后立即派人报警并执行应急程序, 尽可能控制险情带来的后果。并且项目部应当针对可能发生的危险制定相应的应急预案, 如1) 人身伤亡事故预案;2) 火灾事故应急预案;3) 交通安全事故预案;4) 设备工具被盗案件预案等等。
参考文献
[1]董国永主编.《石油风险评价概论》北京.石油工业出版社.2001
【项目管理风险评估】相关文章:
风险项目管理论文04-15
项目管理风险论文05-11
项目管理的风险05-16
项目风险评估机制04-11
项目管理风险论文提纲11-15
有效的项目管理评估06-01
工程项目管理法律风险06-15
项目风险管理分析05-24
项目风险管理论文04-15
项目管理要点风险管理03-27