軟件項目風險分析與研究

索紅軍

摘 要：從軟件設計開發組織、軟件項目委托投資組織以及軟件最后真正的使用組織三者的關系入手，分別針對這三者是否為同一組織及各組織對軟件的不同觀點、不同責任、不同收益等方面，提出不同軟件項目由于三者關系不同而存在的不同風險。同時結合一般工程項目的風險量化方法，修正得到針對軟件項目的風險量化方法，并就軟件項目中的風險提出保留風險、降低風險、轉移風險和避免風險等控制對策。

關鍵詞：軟件項目；風險分析；信息安全

DOIDOI：10.11907/rjdk.171409

中圖分類號：TP319

文獻標識碼：A 文章編號文章編號：1672-7800（2017）008-0128-04

0 引言

任何團體、組織或個人在實現其目標的活動中，都會遇到各種不確定性事件，這些事件發生的概率及其影響程度是無法事先預知的，將對實現目標的活動產生一定的負面影響，從而影響目標實現的程度。這種在一定環境下和一定限期內客觀存在的、負面影響目標實現的各種不確定性事件就是風險[1]。簡言之，風險是指在一個特定的時間內和一定的環境條件下，人們所期望的目標與實際結果之間的差異程度。

在軟件項目中，從立項開始到項目完成，每一個環節都存在影響項目完成的不確定負面因素，這些負面因素就是軟件項目中的風險，其可能引起軟件項目開發成本增加、軟件項目開發周期加長、軟件項目質量降低、軟件項目完成后收益降低等，極端情況下會導致整個軟件項目的報廢，甚至為此付出額外的代價。因此，在軟件項目整個階段，都必須進行與風險有關的活動，包括風險識別、風險分析、風險應對、風險控制等。

目前，軟件項目管理領域的許多文獻都提到了有關風險識別、風險分析、風險控制等，這些都是針對軟件項目整個階段中可能出現的風險而言的，包括軟件可行性分析階段、軟件需求獲取與分析階段、軟件設計階段、軟件運行與維護階段的風險等，涉及技術、管理、社會政策及地域環境等多方面。少有文獻從軟件開發者與軟件開發投資委托方及軟件最終使用者的關系方面探討軟件項目的風險。

1 風險識別

風險識別是指找出影響項目目標順利實現的主要風險因素，并識別出這些風險究竟有哪些基本特征、可能會影響到項目的哪些方面。項目風險識別是一項貫穿于項目實施全過程的項目風險管理工作。它不是一次性行為，而是有規律地貫穿于整個項目中。嚴格來講，風險僅僅指遭受創傷和損失的可能性，但對于項目而言，風險識別還牽涉機會選擇（積極成本）和不利因素威脅（消極結果）。

項目風險識別的第一個目標是確定可能會遇到哪些風險，只有確定了風險才能夠進一步分析這些風險的性質和后果。項目風險識別的第二個目標是識別風險的主要來源，只有識別了風險來源，才容易把握項目風險發展變化規律，也才能夠度量項目風險的可能性與后果的大小，從而對項目風險進行控制。相關資料表明，風險識別首先要分析出軟件項目中的風險因素，然后將風險分類，確定風險識別的輸入，利用頭腦風暴會議、德爾菲法、情景分析法、風險率、檢查表等識別出風險[2]。本文將軟件開發方和投資委托方以及軟件應用方三者結合起來，也即將軟件研發組織、軟件投資委托組織以及最終軟件使用組織三者結合，以它們之間的關系來識別和分析軟件項目中可能存在的風險。

1.1 軟件開發方、投資委托方和應用方為同一組織或個人

對于軟件開發方、投資委托方和軟件應用方為同一組織或個人的軟件（即自己開發軟件給自己用），其風險主要表現為由于軟件文檔資料缺失、算法缺陷等導致的軟件升級困難。具體而言，此類軟件一般存在以下風險：

（1）算法有誤導致結果錯誤。筆者在第一次執行海南銥星任務時，所使用的軟件沒有判斷出火箭的關機點，導致結果錯誤，經事后分析，原因是上級給定的算法存在缺陷。同類型的風險還有別人提供的信息錯誤、各種條件存在矛盾等，此類風險一般事前較難預測到，具有很強的潛伏性。

（2）軟件開發人員變動導致軟件維護升級困難。這類自己開發給自己使用的軟件，會存在很多不規范現象，若發生人員流動，將加大軟件后期維護和升級難度。一般情況下，軟件設計開發人員都不愿編制整理軟件開發和使用相關文檔資料，存在無任何資料或資料不全、不夠詳細，軟件的算法、代碼可能存在瑕疵等問題，只有原開發人員清楚如何避免瑕疵，原開發人員應用該軟件沒有問題，而別人使用該軟件時可能存在一些問題。當原開發人員離開后，他人對軟件修改升級時困難重重，其經濟成本、時間成本大大增加。這就是此類軟件存在的一個風險。同類型的風險還可能是軟件文檔資料丟失、部分人員技術信息封鎖隱藏、人力資源調度不合理等。

1.2 軟件投資委托方為應用方中的極少部分組織或個人

將這類軟件歸結為設計開發方為一個組織，投資委托和軟件的使用方為同一組織，但投資委托方只是軟件使用群體中的極少一部分。應用這類軟件的用戶量一般特別大。進行軟件開發時，沒有途徑或不合適或因控制成本需要等原因，在需求獲取時沒有征求到大量用戶的需求，最終可能在軟件需求方面不能盡如人意，存在很大的風險。比如，各大學的教務管理軟件，全校教師學生都是該軟件的用戶，然而當設計開發該軟件，給開發公司提供專屬需求[3]時，只能是學校的極少數人員，而且這些人員可能都是管理部門的，對用戶（一線教師和學生）的真正需求理解不可能完全正確，甚至出現偏差。當軟件投入使用后，經常會出現大多數人對軟件需求（功能、性能、約束等）不滿意的情況。這類風險在軟件需求獲取與分析時就產生了，嚴重程度比較高。同類型的風險也可能存在于管理的專政、溝通的缺失、成本的不合理壓縮等情況。

1.3 軟件開發方、投資委托方為同一組織或個人

這類軟件的設計開發人員和投資委托人員為同一組織或個人，但用戶是另外的組織或人員，即一些組織或個人自己開發設計軟件，完成后的軟件交由他人使用。比如，一些軟件公司自己調研設計開發軟件后，將軟件以商業的形式發布出去，供其他人員使用。這類軟件在開發之前并不清楚用戶的具體需求，因此存在的風險主要體現在沒法真正掌握用戶對軟件的期望、軟件的性價比等。比如，現在很多軟件類公司開發的手機APP軟件，開發完成后推向市場，能否得到用戶的青睞，在開發初期是預測，只有開發完成投放市場后，才能真正清楚軟件到底怎么樣。若這時發現軟件不被市場所鐘愛，沒有用戶數量，已經晚了，前期的投資可能得不到應有的回報。因此，對于這樣的商業類軟件，能否真正產生商業價值，存在很大的風險，而這個風險，最終體現在軟件設計開發投資委托方對未知用戶的需求期望預測和開發成本之間的關系，可能會涉及競爭對手、社會環境、政治政策、人力資源等多種因素。endprint

1.4 軟件開發方、投資委托方和應用方均為不同組織或個人

軟件的開發方、投資委托方和應用方均為不同組織或個人，這類軟件目前比較多，從各方是否能夠提前預知等方面，又可以將其劃分為下列幾類：

（1）某些機構以商業目的委托軟件公司開發軟件。某些組織機構自身不做軟件研發，但有可能從商業角度考慮涉足軟件研發。這類軟件有開發方、投資方和用戶3方面，其實際上是將上文討論情況下的開發方和委托方分解成兩個不同的組織，原來的風險也相應分解到兩個組織，但畢竟又不同于上文討論的情況，最終風險可能更多地集中在投資委托方。這類軟件的投資委托方并不真正涉足軟件的具體設計開發過程，只是一個中間投資方，既要獲取到市場用戶的真正需求，又要與開發方準確地溝通，對于投資和收益都可能存在與實際的偏差，最終導致投資委托方成為風險的主要承擔者，而且有可能風險比上文討論的情況更為嚴重，因為這種情況下軟件開發方風險較小，因而其工作態度、責任心等不一定會達到上文討論的情況。

（2）某些組織機構下派的軟件。在現實中，存在一些上級向下級分派軟件的情況，特別是一些政府機關及事業單位之間，或者企業的管理部門向企業分派下發軟件等。這類軟件開發方、投資委托方及用戶不是同一組織或個人，軟件的真正用戶一般是被動地使用軟件。對于這類軟件，由于開發方與真正的用戶幾乎沒有聯系，對軟件的需求是依據投資委托方提供的，其結果是用戶會對軟件不滿，在軟件的售后維護經費方面可能存在很大差異。風險主要表現在軟件需求與用戶需要的差異、用戶對軟件的接受程度等。

（3）軟件服務外包。由于技術、工具、人力資源等差異，軟件開發方經常會將部分軟件外包出去以節省成本、提高進度等。另外，有些非軟件開發為主的組織，其硬件產品中需要的軟件，也經常需要外包出去。對于外包的軟件，風險主要表現在外包部分與自主完成部分（包含硬件）的配合銜接程度及外包部分的功能、性能等。一般情況下，外包的這部分軟件不是主體，經常得不到足夠的重視，當產品交付用戶后再發現外包部分軟件有問題時，將會產生各種問題，比如糾紛、修改成本等。同時，由于對外包軟件內部不熟悉，當對軟件作很小修改時也可能花費很大的成本。

2 風險分析與估算

將風險識別出來后，必須分析估算風險發生的概率以及風險一旦發生所帶來的損失等，因此需考慮如何應對風險。風險分析是指在風險識別的基礎上，分析風險事件一旦發生所造成的損失及風險事件發生的概率，真正的損失是這兩項的乘積[4]。風險分析主要是在項目現有信息的基礎上，分析這兩個方面，盡可能準確地將這兩個方面量化出來，以得到風險的具體量化值R。任何項目其風險量化值R都可用式（1）表示。

R=f（p，c）（1）

式（1）中，p表示風險發生的概率，c表示一旦該風險事件發生將造成的損失，R表示最終的風險值。將所有風險的值R確定后，就可對各風險進行優先級排序和監控處理。

對于軟件項目，由于軟件的研發組織、軟件的投資委托組織以及最終軟件的使用組織三者之間的關系不同，式（1）有必要作適當修正。

R=f（p，c）+k*x（2）

式（2）中，前部分含義和式（1）中相同，后邊增加了兩項。x表示軟件研發組織、軟件投資委托組織以及最終軟件使用組織三者之間的關系不同時的參數，k為系數。

根據經驗及理論計算，結合各方面對軟件需求、市場、技術、環境等的熟悉程度，x的取值可參考如下：①5～10：三方為同一組織或個人；②8～15：軟件委托方為應用方中的極少部分組織或個人；③8～20：軟件開發方、委托方為同一組織或個人；④3～25：軟件開發方、委托方和應用方均為不同組織或個人。

一個取值范圍內具體應該取何值，應根據以往經驗、參考同類型項目、頭腦風暴等確定。至于系數k的值，結合軟件的規模、開發人員的技術力量等，一般可取1～3。

3 風險控制與對策

當對風險具體量化后，就可以根據R的值進行排序，根據風險的重要程度進行適當的控制，制定相應的對策。在軟件項目中，風險控制與對策主要從風險應對和風險監控兩方面考慮。

風險識別和風險分析的目的是讓決策者能夠在問題發生之前深思熟慮，準備好最佳應對措施。一般而言，項目的風險應該由參與項目的所有各方共同承擔。避免風險的最好方法是放棄項目，一定要判斷是否值得承擔這么多風險來取得項目收益。人們常說，風險越大收益就越大，到底項目是放棄還是繼續，可能要根據項目決策者的性格、能力、外部環境等多種因素確定。另外在風險承擔上，讓最有能力控制風險的一方負責承擔風險是最明智的分配，當然也應該盡量把風險分配給那些受風險影響最小的項目參與者。

對于已經確認的風險，通常可以采取以下措施：保留風險、降低風險、轉移風險和避免風險。軟件項目中的某些風險是無論如何也不可避免的，要實施項目就得保留風險，或者說采取其它風險應對方案的成本超過風險發生所造成的損失，這時就可以保留風險。保留風險是指這類風險一旦發生，項目團隊或相關組織必須承擔風險產生的后果，接受風險。降低風險是指把不利風險事件的概率或后果降低到一個可以接受的水平，實際上也是在風險發生之前通過一些技術措施、管理措施或者經濟措施等降低風險發生的可能性或者減少風險可能造成的損失。轉移風險是指為了避免承擔風險造成的損失而有意識地將風險導致的損失或有關結果轉嫁出去的方法。避免風險是指對可能發生的風險盡可能地回避，采取主動放棄或者拒絕使用導致風險的方案等，例如新技術有可能產生風險，放棄采用新技術就可以避免風險。但避免風險有可能產生其它風險，而且避免風險也可能導致機遇的丟失等情況出現。

4 風險評價與管理

在項目的全生命周期內對項目風險進行連續辨識和分析，可以為有效地控制風險提供依據。風險評價通常也分為兩個步驟：一是風險辨識；二是風險分析。項目前評價和項目中評價都包含有風險評價。在項目前評價中，風險評價是指項目執行以前，對項目環境風險的預測和評價，包括政治風險、經濟風險、自然風險、技術風險等，是項目可行性研究的一個組成部分。本文主要探討項目中評價階段的風險評價問題，因為在項目實施過程中，項目管理者需要隨時掌握當前項目所面臨的風險狀況，指出項目進行不正常的風險信號，必要時預先采取糾正措施。endprint

項目風險管理是為了更好地達到項目的目標，識別、分配、應對項目生命周期內風險的科學與藝術，是一種綜合性的管理活動。由美國項目管理協會（PMI）開發的項目管理知識體系PMBOK2000指出，項目風險管理的內容包括項目風險管理計劃、風險識別、定性風險分析、定量風險分析、風險應對計劃和風險監督與控制[5]。項目風險管理是一個動態的工作過程，在此過程中，項目風險的各項作業是相互交叉和重疊開展的。項目風險識別是項目風險管理的重要環節，若不能準確識別項目面臨的所有潛在風險，就會失去處理這些風險的最佳時機。

項目風險管理是在項目進行的全過程中，對于影響項目的進程、效率、效益、目標等一系列不確定因素的管理，包括對外部環境因素與內部因素的管理，也包括對主觀因素與客觀因素、理性因素與感性因素的管理。

5 結語

軟件的設計與開發是一個非常復雜的過程，一個軟件從立項開始到項目完成，其中包含了大量不確定因素。這些不確定因素對軟件項目成本預算、工期預測、收益率、軟件質量等影響非常大，而且這些因素的影響大部分是負面的，形成軟件項目風險。為了高效地完成軟件項目，必須提前對軟件項目中的風險進行預測分析，預測分析項目在實施過程中可能會有哪些風險，每一個風險一旦發生導致的損失以及每一個風險發生的概率。最后根據風險的損失和概率等因素，決定風險優先級、風險應對措施等。同時，為了總結經驗，為后續軟件項目降低成本，提高收益，對軟件項目的風險也應該進行必要的評價和管理。本文從多方面對軟件項目的風險進行了分析研究，但也只是籠統分析，并沒有針對某一個具體的軟件項目進行分析。不同的軟件項目，其包含的風險不盡相同，針對某一個具體軟件項目的風險分析與研究，有待在后續具體的工程實踐過程中進一步深入。

參考文獻：

[1] 閆彥，劉軍，于淑娟.企業管理[M].北京：清華大學出版社，2010：41-45.

[2] 朱少民，韓瑩.軟件項目管理[M].北京：人民郵電出版社，2013：174-179.

[3] 齊治昌，譚慶平，寧洪.軟件工程[M].北京：高等教育出版社，2013：68-69.

[4] 劉鳳華，任秀枝.軟件項目管理[M].北京：中國鐵道出版社，2014：180-184.

[5] [美]項目管理協會.項目管理知識體系指南[M].第5版.盧有杰，王勇，譯.北京：電子工業出版社，2009：309-318.endprint