IT基础设施项目的风险评估与管理

1、IT基础设施项目的风险评估与管理 引  言机构或企业通过投资建设IT项目、运用信息技术、建立信息系统来提高工作绩效，实现业务目标。而IT基础设施项目是为IT关键设备和装置能安全、稳定和可靠运行而建设配置的基础工程。如：信息中心（数据中心）就是通常意义上提供一个物理空间与环境为计算机设备、服务器设备、存储设备、网络设备、通讯设备等IT关键设备实现对数据信息的集中处理、存储、传输、交换、管理的场所。信息中心（数据中心）的工程建设也就是一种典型的IT基础设施项目。IT基础设施项目由于其特点与特征所导致着诸多方面的不确定性，按照现代项目管理的理论，即存在着风险的因素，这不仅对IT基础设施项目

2、的范围、质量、进度、费用等基本目标的实现产生影响，而且，也对机构或企业的IT项目的整体目标的实现造成影响。为此，进行对IT基础设施项目的风险评估与管理是一项重要的也是基本的工作。1    IT基础设施项目IT基础设施在不同的文献中，所表征的范围有所不同。在本文中，IT基础设施是特指为IT关键设备提供物理空间与环境的信息中心（数据中心）场地环境以及相关的基础设施系统。主要涉及信息中心（数据中心）场地的选址、场地规划、装饰装修、电源配电、暖通空调、应急照明、防雷接地、火灾消防、安全防范、环境监控、信息安全等。IT基础设施项目是涉及多种技术系统的综合工程。 IT基础设施

3、项目有着以下几个方面的特点与特征：依赖性：IT基础设施是为机构或企业中的IT关键设备以及IT项目运用提供保障的基础。IT基础设施项目的需求依赖于IT关键设备的要求和IT项目的运用要求。复杂性：IT基础设施项目涉及建筑、结构、装饰、暖通、电气、电子、信息等多种专业技术系统，系统的作用与功能相对独立，但应用与管理又相互关联。系统的构建较为复杂。连续性：对于机构或企业的业务连续性管理要求，需要IT基础设施为IT关键设备运营管理和数据信息安全，提供可靠的、可用的、连续的（24×7）保障环境。阶段性：IT基础设施项目作为一种工程形式，其建设将划分为前期规划、中期设计、后期施工以及建设后的运行维

4、护等阶段。各阶段的项目涉及单位（项目甲方、设计单位、施工单位、监理单位、使用单位）的职责分工和责任承担，各不相同。资产性：对于机构或企业而言，IT项目作为资产的一种特殊的形式被直接赋予了价值并成为需要保护的对象，显然，IT基础设施项目也包含在其中。基于以上的这些特点与特征，预示着IT基础设施项目存在着诸多的不确定因素，将会对IT基础设施项目产生相应的影响。2    IT基础设施项目的风险 根据PMI PMBOK的定义：“项目风险是一种不确定的事件或状况，一旦发生，会对至少一个项目目标如时间、费用、范围或质量目标产生积极或者消极影响。风险的起因可能是一种或多种，风险

5、一旦发生，会产生一项或多项的影响。” 而“风险管理包括项目风险管理规划、风险识别、分析、应对和监控的过程。项目风险管理的目标在于增加积极事件的概率和影响，降低项目消极事件的概率和影响。”本文只从项目的消极事件的概率和影响（即不利于项目）的方面来讨论项目风险及风险管理。在IT基础设施项目的实践中，原本各方的主观愿望都是基于：项目是在稳定和谐的内外环境中、由正常健全的项目涉及单位、各方拥有丰富充沛的项目（人，财、物）资源、采用理想可靠的技术系统，进行项目的建设。但实际并非如此，在项目的进程中，会出现各种不以主观愿望为“准则”的不确定的事件或状况。对于IT基础设施项目不确定的事件或状况，即风险因素是

6、由其项目的特点与特征所表征的，项目的风险也是由会发生的消极事件的概率和影响以及影响的严重程度所决定的。因此，首先需要对项目风险进行梳理、进行规划；再对风险识别、分析、评估；然后对制定应对措施并进行风险监控。通过项目的风险管理使风险程度最小化，采取措施使之能在可接受的费用范围之内。以利确保IT项目的运营与目标的实现。笔者认为：由于项目的特点与特征所表征的侧重面不同，IT基础设施项目的风险可以从项目整体层面和项目的专业技术层面（这两大层面）来规划、识别、分析项目风险，并以此制定相应的应对措施和监控手段。2.1 项目整体层面的风险项目整体层面的风险是基于项目的IT基础设施项目中，“阶段性”的特点与特

7、征，考虑各阶段（前期规划、中期设计、后期施工以及运行维护）以及各项目涉及单位（项目甲方、设计单位、施工单位、监理单位、使用单位）以及项目内外环境所会产生的“不确定的事件或状况”对项目的整体影响。项目的整体层面涉及IT基础设施项目的范围、质量、进度、费用等的基本目标，而此目标的实现，是受项目的内外环境、项目的涉及单位、项目的各阶段过程、项目的各项资源、项目的技术系统，以及信息、沟通、协调、管理等诸多因素的影响。在标准的项目管理教材或书籍中，项目风险的分类通常是按政治风险、法律风险、自然风险、经济风险、社会风险等大类别分类的。在实际特定的IT基础设施项目中，涉及项目整体风险可以按照符合IT基础设施

8、项目特点与特征的一些关键因素类别来进行项目的整体风险分类。可以是以项目各阶段过程中，项目涉及单位以及各方的职责分工和责任承担为主线来进行项目风险的梳理。见表1。从表1中可以看出，在这里的IT基础设施项目的整体风险分类中，某一个风险项的“一种不确定的事件或状况”，一旦发生，将会涉及至少两个项目涉及单位，这说明了项目整体风险中影响作用的对称性和关联性。例如：合同风险中，若甲方要进行设计的合同变更，由于是与设计方的设计合同相对应的，由此会直接涉及到设计方的合同变更。又如：财务风险中，甲方的项目费用的支付能力是与施工方的项目费用的垫资能力相关联的，甲方支付得越多，施工方可垫资的越少。再如：质量风险中，

9、施工方施工质量没有达到设计要求或施工验收标准的规定要求，则甲方就没有得到质量达到设计要求或验收标准的成果，使用方就不能确保IT关键设备的运行。这正表明了项目整体风险的一些特征。2.2 项目技术层面的风险项目技术层面的风险是基于IT基础设施项目中，“依赖性”、“复杂性”、“连续性”、“资产性”的特点与特征，涉及考虑IT关键设备的要求和IT项目的运用要求；多种专业技术系统的融合设计；高可靠性高可用性的连续运营保障；以及作为资产的信息安全和价值保护等等。以专业技术为主导，涉及技术层面会产生“不确定的事件或状况”对项目的技术层面的影响。虽然，在项目整体层面的风险中，也涉及到技术风险，但这是以涉及单位的

10、各方技术职责分工和责任承担以及相互之间的技术协调为主线的，并没有涉及具体的技术细节。专业技术系统是IT基础设施项目中，综合地反映了规范标准、系统结构、功能应用、产品特性、材料工艺以及管理要求等诸多方面的因素，也是IT基础设施项目具体建设要求的体现与实现。对于IT基础设施是为IT关键设备提供物理空间与环境的信息中心（数据中心）场地环境以及相关的基础设施系统这一“框定”。在信息中心（数据中心）中，从专业技术的层面对前期规划、中期设计、后期施工以及运行维护各个阶段来梳理容易产生“一种不确定的事件或状况”，这里更多地从技术细节的角度考虑IT基础设施项目的风险。见表2。3  

11、0;  风险识别评估及应对管理风险管理规划涉及到项目的整个过程、也关系到项目的各方，主要是通过对项目的剖析，提炼项目的特点与特征，并组织相关的资源，策划项目风险管理活动。在对项目风险进行规划梳理后，需要对风险进行识别、分析、评估，以便制定出应对措施，进行风险管理与监控。风险识别是要确定风险事件及其来源，由于风险的不确定性，风险识别在实际的IT基础设施项目中是通过经验的积累、文献的记载进行一种预测和假设。风险评估是把识别的风险进行风险量化，确定风险发生可能性的概率以及风险发生可能造成损失的影响程度。而风险应对是针对风险评估的结果，制定相应的应对措施（避免、减轻、转移、控制等措施）去处理

12、风险，使风险影响程度最小化，并使之在可接受的范围之内。随之进行项目的风险监控管理，追踪已识别的风险，监测残余风险、识别新风险、确保风险计划的执行、并评估其降低风险有效性的过程。对IT基础设施项目风险的量化评估，主要是采用定性的分析方式，通常发生概率可按“高”、“中”、“低”三级定性评估，也可按“极大”、“大”、“中”、“低”、“极低”或1-10等多级定性评估。同样，影响程度也可按“大”、“中”、“小”三级定性评估或多级定性评估。而相应的应对措施是要根据项目可采用的技术措施的可能性，对风险进行“避免”、“减轻”、“转移”的处理，或采取管理措施对风险进行“控制”的处理。其中：  “避免”

13、风险指改变项目计划，以排除风险或条件，或者保护项目目标，使其不受影响。“减轻”风险指设法把不利的风险事件的概率或后果降低至一个可接受的临界值。提前采取行动减少风险发生的概率或者减少其对项目所造成的影响。  “转移”风险指设法将风险的后果连同应对的责任转移到第三方身上。“控制”风险指采用人为的措施途径设法“避免”风险、“减轻”风险或“转移”风险。由于受篇幅的限制，本文只将IT基础设施项目中，项目技术层面的风险（部分内容）作风险识别评估，并作出相与的应对措施。其中，风险发生概率是按“高”、“中”、“低”三级定性评估的，影响程度是按“大”、“中”、“小”三级定性评估。风险的处理方式是按技术措施的“避免”、“减轻”、“转移”以及管理措施的“控制”来响应的。见表3。4    结  论    项目的风险管理是现代项目管理的重要内容之一。特定的项目要在充分剖析其项目特点与特征的基础上，对项目进行风险识别、分析、评估，以便制定应对措施和监控手段，进行项目的