“故圣人见微知著，睹始知终。”--汉·袁康《越绝书·越绝德序外传》

　　缩水的IT预算

　　金融风暴的余威仍在，经济衰退还在由金融行业向传统行业漫延，企业面临的经济形势和生存压力正前所未有的严峻。

　　几乎是一夜之间，各家企业忽然意识到，是时候压缩开支准备过冬了，甚至做好了“冬眠”的打算。在09年初各家企业的年度预算中，老板们有志一同的把目光瞄向了IT预算，一改往日的豪爽，开始“算计”着度日。

　　在年景丰裕时，连年上涨的IT支出是可以令老板脸上贴金的投资。IT投入啊，多么高精尖的领域，投入越多越显得老板高瞻远瞩远见卓识。而到了年景堪忧时，IT预算却一下子成了老板眼中急待瘦身的可压缩性支出。这个时候还往无底洞里砸钱？也太不懂得轻重缓急艰苦朴素了！

　　如此这般的“随行就市”,致使IT投资成为企业在危机环境下最早被削减、同时也是缩水幅度最大的一项开支，也给负责信息化建设的CIO们出了一道难题。

　　以往财大气粗的CIO们突然摇身一变，成了捉襟见肘的小媳妇，兜里没钱，活要照干！IT系统支撑着企业运营，一刻也耽误不得，硬件要维护，软件要升级，还有早就定好的IT规划摆在那里，若干个新系统排着队等待选型和实施，却突然遭遇预算缩水……唉，巧妇难为啊！

　　IT风险好好管

　　危机当前见仁见智，在IT系统已经全面融入企业运营的今天，盲目的削减合理的IT投入并非明智之举。越是严峻的经济形势，市场竞争越是激烈，企业生存越要依靠信息系统来增强运营效率，降低管理成本和生产成本，提高满足客户需求的能力，增强适应市场的能力，成为许多有远见的企业在经济寒冬里的选择。

　　但是，毕竟今时不同往日，危机之下，企业对风险的耐受性更差，抗风险能力也更低，对企业经营决策的正确性和时效性要求更高，哪怕只有一点点的偏颇和失当，都可能引起不可挽回的后果。

　　危机环境下的信息化建设，也因此而具有了一些新的、特定的、不容忽视的特点，尤其是那些大型的信息系统项目，因为投资规模大、功能复杂、用户众多，并且很多系统还涉及到了业务流程的重整和优化，建设和实施的难度和风险更高，对实施者的业务素质和风险管理水平提出了更高的要求。

　　信息系统建设要在当前的危机之下取得成功，必须加强项目的风险管理和控制。项目预算紧张、环境变化剧烈、业务流程不稳，都增加了项目实施过程中的风险系数，而确保项目成功的重要保障，就是尽量降低项目实施的风险，避免风险的发生，如履薄冰的企业已经承受不起任何一次IT投资失误的后果。

　　因此，高风险的经济环境下，如何加强信息系统项目，尤其是大型项目的风险管理，成为所有信息化工作者关注的共同话题。

　　稳扎稳打降风险

　　21世纪的商业环境，风险无处不在，没有任何一个项目的负责人敢说自己的项目不会遇到任何风险。千锤百炼的墨菲定律明确的告诉我们，只要有变坏的可能，无论可能性多么的小，总是会发生。

　　当然，墨菲的存在并不代表我们要对现实悲观失望，它的作用在于承认风险的存在，并且不会目空一切的轻视它们。对待风险，我们同样要学习李冰治水的经验：疏堵结合，因势利导。

　　对信息化建设的项目来说，风险管理的本质是见微知著-在风险成为危机之前，消灭其于萌芽当中；也是未雨绸缪--在风险发生之前，准备好应对之策。只有稳扎稳打的做好风险管理的每一步，才能使项目的风险可控，赢得从容应对风险的时间，把损失降到可以承受的范围之内。

　　第一步，提高认识

　　正确认识项目可能遇到的各种风险，是加强项目风险管理的基础，是制定风险应对预案的基础，是及时预警风险信号的基础。既然是基础，其重要性也就不言而喻，然而真正能够做到这一点的却并不多。

　　许多项目经理的风险管理计划完全是敷衍了事--既然有风险列表可以参考，那么随便选出三五个风险因素，然后照抄一下以往的应对措施，再随意琢磨出几个概率和强度，一份有模有样的风险管理计划就新鲜出炉了。至于如此一份“因繁就简”的风险管理计划，对防范和应对当前项目中可能遇到的风险到底有多大的用处，就可想而知了。

　　所以，只有当组织的所有成员都诚恳的意识到风险的破坏性和风险管理的迫切性，从思想上充分重视项目风险的识别、监控和应对，风险管理才可能发挥其应有的作用，成为促进信息化项目成功的重要保障。

　　第二步，有备无患

　　实施风险管理的第一步是风险识别。项目经理要在制定项目计划的同时，制定出风险管理计划，根据项目的特点，明确在项目进程中可能遇到的风险，并对不同的风险内容分别制定可行的应对策略。

　　风险的识别有很多种方法，信息化项目中最常用的是风险列表分析法。

　　具体的作法可以是，组织把以往项目中曾经发生过的风险整理到一起，并按照项目的类型、规模和特点进行分类，分别编制成适用于不同种类项目的风险列表，供项目组评估和分析当前项目所面临的风险时使用。

　　当然，这个列表不应该限制项目经理发现项目中新的风险，而只是让项目的风险识别有的放矢，让组织的历史经验得到重用。

　　信息化项目当中，不断积累起来的项目经验和组织过程资产，是保证新项目顺利执行的宝贵资产。无论是整理出来的风险识别列表，还是以往曾经采取的处理方法，或是各种不同方法的实施效果，对于新的项目来说都是极珍贵的参考资料，对整个项目的风险管理更是意义非凡。

　　第三步，精确度量

　　每种风险发生的概率和造成的损害各不相同。一个项目需要关注的东西很多，不可能对每一个风险都给予同等的注意，必然会对发生概率高、危害大的风险投入更多的关注。这样就带来了一个问题，如何才能确定某个风险发生的概率和强度？

　　关于风险发生的概率，可以通过历史数据的分析来获得。对历史项目中这类风险发生的频度进行统计，可以大致估算出这类风险发生的概率，当然，在评估具体项目中某个风险的概率时，也要考虑到该项目的特点，只有对具有可比性的项目数据进行统计，才会对风险的概率度量有所帮助。

　　风险的强度系数，主要依靠对假设的风险发生状态下，可能会给组织造成的直接损失和间接损失。对信息化项目来说，最常用的衡量损失的指标就是进度和质量，这是最直接的损失，当然还会有间接的比如满意度等方面的损失。

　　无论是概率系数还是强度系数，都是为了衡量某个风险的重要性服务的，并不要求绝对精确，只要能够找到项目中最可能发生的、危害程度最大的风险，并加以重点防范，以避免给项目造成重大损失。