信息管理系统开发中的风险研究毕业论文(编辑修改稿)

信息管理系统开发中的风险研究毕业论文(编辑修改稿)内容摘要：

、软件心理学、可靠性等来设法避免风险或转移风险。 风险监控的目的是：监视风险的状况，确定风险是已经发生、仍然存在还是已经消失；检查风险的对策是否有效，监控机制是否在运行；不断识别新的风险并制定对策； 收集可用于将来进行风险分析的信息。 无论 IT 项目进展的情况如何，都必须将风险管理的计划和行动结果整理汇总进行分析，形成风险管理报告。 采取书面或口头、不定期的或阶段性的等多种方式，为项目的实施、控制、管理、决策提供信息基础。 风险监控依据包括风险管理计划、实际发生了的风险时间和随时进行的风险识别结果，主要内容包括： 1) 风险管理计划； 2) 风险应对计划； 3) 项目沟通。 工作成果和多种项目报告可以表述项目进展和项目风险。 一般用 8 于监督和控制项目风险的文档有：事件记录、行动规程、风险预报等； 4) 附加的风险识别和分析。 随着项目的进展，在对项目进行评估和报告时，可能会发现以前未曾识别的潜在风险事件。 应对这些风险继续执行风险识别、估计、量化和制订应对计划； 5) 项目评审。 风险评审者检测和记录风险应对计划的有效性，以及风险主体的有效性，以防止、转移或缓和风险的发生。 风险控制的步骤如下： 1) 与在职的项目成员协商，确定人员流动的原因（如工作条件差、收入低、市场竞争等）； 2) 在项目开始前，把环节这些原因（避开风险）的工作列入已拟订的控制计划中； 3) 当项目启动时，做好人员流动会出现的准备，采取一些办法已确保人员一旦离开时仍能继续（削弱风险）； 4) 建立项目组，使所有项目成员能即时了解有关项目活动的信息； 5) 制定文档标准，并建立一种机制以保证文档能及时产生； 6) 对所有工作组织细致的评审，以使更多的人能够按计划保持对风险因素相关信息的收集工作进度，完成自己的工作； 7) 对每一个关键的技术人员，要培养后备人员； 8) 在项目里程碑处进行事件跟踪和主要风险因素跟踪，以进行风险的再评估。 虽然这些步骤会给项目带来额外的支出，并占用许多有效的项目计划工作量，但实践证明，所有付出都是值得的。 研究方法和手段 本部分的主要 通过查阅书籍以及相关论文收集资料， 并结合了研究的后期在软件公司的实地实习经验与调研。 小结 风险管理是有关理解可能导致项目失败的内部或外部的项目影响因素。 一旦建立了项目计划，就应该进行风险分析。 最初的风险分析结果是一个风险计划，该计划应该定期复查并相应调整。 风险管理的主要目的是识别和处理项目变动的不常见的原因。 这可以通过一个正式的过程来完成，在此过程中，风险因素进行系统的识别、评估和提供。 在软件领域， SEI 对风险的定义更适当：“风险是遭受损失的可能性”。 在软件开发项目中，损失指的是对项目的负面影响，可能是最终产品的质量下降、成本增加、完成时间的推迟，或者是项目彻底的失败。 风险是不确定性或者缺乏对 一些列可能性的完整认识。 9 卡内基梅隆大学的软件工程学院开发了一种基于 ShewhartDeming 周期的软件风险模型。 该模型提供了关于风险活动、当前风险和形成风险对项目内部或外部的信息和反馈。 图 151 基于 ShewhartDeming 周期的软件风险模型 总的来说 有效的风险管理可以帮助 MIS 管理者抓住工作重点，将主要精力集中于重大风险防范，提高信息系统的成功率。 MIS 风险管理可以分为风险评估、风险控制两个阶段。 风险确定 检查表 决策驱动因素分析 风险评估 分解 性能模型，成本模型 风险分析 网络分析，决策分析 质量因素分析 风险暴露 风险优先次序确定 风险调整 复合风险降低 风险管理 购买信息，风险降低 风险管理计划 风险避免，风险转移 风险元素计划， 计划 集成 原型，模拟 风险解析 基准，分析 风险控制 人员安排 里程碑跟踪，风险重新评估 风险监督 前 10 项跟踪，纠正性操作 图 152 Boehm 项目风险模型 10 2 信息管理系统开发中的风险因素分析 风险因素是指引起或增加风险事故发生的机会或扩大损失幅度的原因和条件。 构成风险因素的条件越多，发生损失的可能性就越大，损失就会越严重。 风险因素是风险事故发生的潜在原因，是造成损失的内在的或间接的原因。 根据影响损 失产生的可能性和程度，风险因素可分为有形风险因素和无形风险因素： 1. 有形风险因素 ， 是指导致损失发生的物质方面的因素。 比如财产所在的地域、建筑结构和用途等。 对于信息管理系统开发而言，有形的风险因素主要表现为开发信息系统所用的、存在于一定的物理环境中的一些设备可能受到各种人为或自然灾害的破坏，必然要承担一定的风险。 2. 无形风险因素。 文化、习俗和生活态度等一类非物资形态的因素也会影响损失发生的可能性和受损的程度。 无形风险因素包括道德风险因素和行为风险因素两种。 道德风险因素是指人们以不诚实、或不良企图、或欺诈行为故意促使风险事故发生，或扩大已发生的风险事故所造成的损失的因素。 行为风险因素是指由于人 们行为上的粗心大意和漠不关心，易于引发风险事故发生的机会和扩大损失程度的因素。 风险因素分析方法与原则 风险因素分析方法 我们知道，对于风险分析所作的工作大多局限于任务风险分析当中。 这些方法对于考虑项目风险领域的分析方法也有一定意义，风险分析方法可分为定性和定量两种，定量的风险分析方法是在定性的基础上而实现的。 下面，我们对这两类风险分析方法作简要的论述。 1. 定性风险分析的目的是 界定风险源， 利用已识别风险的发生概率、风险发生对项目目标的相应影响，以及其他因素，例如时间框架和项目费用、进度 、范围和质量等制约条件的承受度，对已识别风险的优先级别进行评价，并初步判明风险的严重程度，以给出系统风险的综合印象。 下面介绍一种定性分析的具体方法。 该方法 使用定性语言将风险的发生概率及其后果描述为极高、高、中、低、极低 5级。 其中风险概率描述某一风险事件发生的可能性，风险后果 描述某一风险事件如果发生将对项目目标产生的影响。 风险的这两个维度适用于描述具体的风险事件，可以帮助我们甄别出那些需要强有力地加以控制与管理的风险，但不适用于描述项目整体。 通过建立 概率 —— 后果风险评价矩阵 可以直观的看到各种可能存在的风险发生 的概率与后果。 11 1) 风险后果评价表，如表 : 图 2111 风险后果评价表 上图描述了各种风险导致的后果严重程度评价。 2) 概率 —— 后果矩阵，如下 图 ： 后果（ I） 极高 风险值 =概率 (P)后果 (I) 高 中 低 极低 极低 低 中 高 极高 概率（ P） 图 2112 概率 —— 后果矩阵 从图表中可以直观的看出，图中阴影部分的面积即为某项风险的风险值。 （其中概率从 0～ 1） 2. 定量风险分析是在定性分析的逻辑基础上，给出各个风险源的风险量化指标及其发生概率，再通过一定的方法合成，得到系统风险的量化值。 它是基于定性风险分析基础上的数学处理过程。 现发展较为成熟的方法有 PRA(概率风险评估 ),DPRA(动态风险概率评估 )及仿真通用软件 VERT(风险评审技术 )等。 PRA 和 DPRA 都是在 FTA 分析基础上的量化，在可靠性及运行系统风险分析领域内应用广泛。 稍作改造，我们便可将其运用到项目风险分析领域。 其分析步骤如下： 1) 识别项目研制过程中的困难环节，找出风险源； 2) 对各风险源考察其在项目研制中的地位，及相互逻辑关系，给出项目的风险源树； 3) 标识各风险源后果大小，及风险概率； 4) 对风险源通过逻辑及数学方法进行组合，最后得到系统风险的度量。 如果是用 DPRA 进 12 行评估，则尚须考虑它们在时间上的关系。 另一种被广泛运用于风险评估的方法是 VERT。 VERT 是国外在八十年代初期发展的一通用仿真软件，它对项目研制构造过程网络，将各种复杂的逻辑关系抽象为时间、费用、性能的三元组的变化。 网络模型面向决策，统筹处理时间、费用 、性能等风险关键性参数，有效地解决多目标最优化问题，具有较大的实用价值。 它的原理是通过丰富的节点逻辑功能，控制一定的时间流、费用流和性能流流向相应的活动。 每次仿真运行，通过蒙特卡洛模拟，这些参数流在网络中按概率随机流向不同的部分，经历不同的活动而产生不同的变化，最后至某一终止状态。 用户多次仿真后，通过节点收集到的各参数了解系统情况以辅助决策。 如果 网络结构合理，逻辑关系及数学关系正确，且数据准确，我们可以较好地模拟实际系统研制时间、费用及性能的分布，从而知道系统研制的风险。 风险因素分析 原则 在风险分析时，应该遵循一些分析原则。 下面是进行风险分析的几个一般性原则： 1) 风险分析是软件设计的一部分，就像 需求 分析是传统软件设计实践的部分一样； 2) 风险分析是正式的、严谨的、定量化的； 3) 风险分析的目的是为了支持决策，应当把风险分析作为系统软件设计和研制过程的一部分，而不应该过迟而无法做出主要的改变和资金的压力强迫在安全性和可靠性上妥协，而这 种妥协不能接受的情况下，作为一种反省进行； 4) 风险分析可以按各种等级的详细程度、彻底程度和精密程度来进行； 5) 风险分析详细、彻底、精确程度与分析项目的重要性和环境潜在的破坏程度大小相一致； 6) 在一个项目的早期概念阶段，能够而且应该实施近似的风险分析，随着设计的逐渐开展，风险分析的精度和详细程度也随之提高。 信息系统开发重点风险因素分析 信息管理系统开发中 重点风险因素 可分为 产品规模风险 因素 、需求风险 因素 、相关性风险 因素 、技术风险 因素 、管理风险 因素 、安全风险 因素等。 1. 产品规模风险 因素： 项目的风险是与产品的规模成正比的。 与软件规模相关的常见风险因素有： (1)估算产品规模的方法 (包括：代码行，文件数，功能点等 )， (2)产品规模估算的信任度， (3)产品规模与以前产品规模平均值的偏差， (4)产品的用户数， (5)复用的软件有多少， (6)产品的需求变更多少等。 一般规律，产品规模越大，以上的问题就越突出，尤其是估算产品规模的方法，复用软件的多少，需求变化。 2. 需求风险因素： 13 很多项目在确定需求时都面临着一些不确定性。 当在项目早期容忍了这些不确定性，并且在项目进展过程当中得不到解决，这些问题就会对项目的成功造成很大威胁。 如果不控制与需求相关的风险因素，那么就很有可能产生错误的产品或者拙劣地建造预期的产品。 每一种情况对产品来讲都可能致命的。 与客户相关的风险因素有： (1)对产品缺少清晰的认识， (2)对产品需求缺少认同， (3)在做需求中客户参与不够， (4)没有优先需求，(5)由于不确定的需要导致新的市场， (6)不断变化需求， (7)缺少有效的需求变化管理过程， (8)对需求的变化缺少相关分 析等。 3. 相关性风险 因素 ： 许多风险都是因为项目的外部环境或因素的相关性产生的。 经常我们在控制外部的相关性上做的不够，因此缓解策略应该包括可能性计划，以便从第二资源或协同工作资源中取得必要的组成部分，并且觉察潜在的问题。 与外部环境相关的因素有： (1)客户供应条目或信息， (2)交互成员或交互团体依赖性， (3)内部或外部转包商的关系， (4)经验丰富人员的可得性， (5)项目的复用性。 4. 技术风险 因素： 软件技术的飞速发展和经验丰富员工的缺乏，意味着项目团队可能会因为技巧的原因影响项目的成功。 在早期，识别风险从而采取合适。