徐志摩的《再别康桥》有一句话能够形象地描述风险的特征：“轻轻的我走了,正如我轻轻的来。”“风险”往往就是这样，在你根本就没有意识到的时候到来，在造成后果后又悄悄地离去。

风险一词的基本核心含义是“未来结果的不确定性或损失”，也有人进一步定义为“个人和群体在未来遇到伤害的可能性，以及对这种可能性的判断与认知”。如果采取适当的措施使破坏或损失不会出现，或者说智慧的认知、理性的判断，继而采取及时而有效的防范措施，那么风险可能带来机会，由此进一步延伸的意义不仅仅是规避了风险，还会带来比例不等的收益。有时风险越大，回报越高、机会越大。

在PMP中，《活用PMBOK指南》（第6版）将风险认为是会对项目目标产生正面或负面影响，也就是说，PMP认为风险不仅仅会造成损失，“项目风险管理旨在利用或强化正面风险（机会），规避或减轻负面风险（威胁）”，“组织应该有目的地以可控方式去冒项目风险，以便平衡风险和回报，并创造价值 ”。

9.1.1 关于风险的解释

主流学术界对风险的内涵没有统一的定义，由于对风险的理解和认识程度不同，或对风险研究的角度不同，不同的学者对风险概念有不同的解释，但可以归纳为以下几种代表性观点。

（1）风险是事件未来可能结果发生的不确定性。

（2）风险是损失发生的不确定性。

（3）风险是指可能发生损失的损害程度的大小。

（4）风险是指损失的大小和发生的可能性。

（5）风险是由风险构成要素相互作用的结果。

（6）利用对波动的标准统计测方法定义风险。

（7）利用不确定性的随机性特征来定义风险。

显然，PMP的观点与第一种观点更接近，把风险视为不确定性，说明风险产生的结果可能带来损失、获利或是无损失也无获利。

比如渔民出海打鱼，不喜欢狂风暴雨，因为有可能让他们丧命，但如果没有风，他们的船根本就无法开动，因为那时候都是风帆船，没有风就意味着出不去或者回不来。如果风险一词的由来是这样的话，那么风险确实代表着一种事件未来可能结果发生的不确定性。

虽然风险可能让我们的项目变得颗粒无收，但是一旦有利于项目，则可以大赚一笔。风险投资家们心中的风险正是这种风险，所以风险才会吸引他们投入巨大的资金。

对于项目管理者来说，在现实的情况中，风险更接近上面第二个至第五个观点。对我们来说，风险更多意味着失败的危险，代表着机会的那一面非常少，我们必须将风险扼杀在摇篮中。

9.1.2 常见的风险种类

目前，我国的信息化建设仍然属于“人治时代”，信息化的随意性很大。一方面组织缺乏对信息化进行整体规划、实施与控制的决策机制和责任担当框架，也没有形成信息化相关的制度；另一方面组织在信息化过程中涉及IT规划、实施、运行、检查的一系列IT流程，缺乏制度化与标准化的约束，缺乏部门之间及流程之间协调、沟通的机制，造成IT系统与业务需求的“逻辑错位”。

以上导致组织在信息化过程中存在很多风险，诸如技术标准不兼容的架构风险，信息化投资无法得到回报的绩效风险，开发的应用系统脆弱的风险或满足不了业务需要的风险等。因而建立较完善的IT治理机制来解决信息化面临的风险，已是摆在我们面前的任务。我所在的城市至少有三个大型制造型公司因为要上线SAP系统，导致影响整体业务，最终走向衰落的。很多小型的公司，想要通过上线ERP系统实现公司信息化的，几乎没有成功的例子。

很多公司不是没有认识到信息化的重要性，如果做到信息化，他们完全不知道该怎么做，简单地认为上了一套ERP系统就是信息化。我通过对公司大量的信息化失败案例和对信息化建设中深层次机制问题的研究，发现信息化也像公司管理，需要制度创新，在信息化过程中，“制度重于一切”的定律同样适用。

1. 公司操作困难，员工不配合

建设一个信息系统是容易的，但是让这个系统正常地运转起来并能实现业务价值，则是现实的难题。比如前面提到的大型制造型公司，购买SAP系统很简单，但是实施的时候就有很大的困难，没有储备专业的人员，全靠外包，一旦外包人员撤走了，就不会操作了。好不容易实施完成，在实际使用中各种问题，公司从上到下，各种反对的声音和各种不配合，最后直接影响核心业务，导致公司迅速走向下坡路。

2. 甲方未尽到“业主”责任

除了人治的问题，很多作为“业主”的甲方未尽到业主责任，甘当甩手掌柜。信息化项目不像其他基本建设项目，建设过程、建设物资看得见、摸得着，容易衡量评价，比较“硬”。而信息化项目软件在投资中占有很大比重，建设内容隐含在建设方案中，不易见、不易懂，不易衡量评价，比较“软”。如果甲方未认识到信息化项目的差异，甘当甩手掌柜，像委托工程项目一样“以包代管”“一包了之”，那么项目质量风险的概率肯定是比较大的，这是万万不能的。

3. 公司对未来规划不清晰

还有规划不清晰，走一步看一步的情况。随着信息化工作的推进，信息化项目的规范化、模块化水平越来越高，成熟度也越来越高。不可否认，每个公司都有自己的特点，一些个性化的信息化需求越来越多，这就要求信息化项目的乙方在模块化的基础上，需要结合用户的个性化需求，进行有针对性、个性化的开发，这样的适应性开发是所有项目都会遇到的问题，乙方一般都会自信满满地表示可以解决。

在个性化需求的开发过程中，有的公司有相关工作经验，对业务比较熟悉，开发起来比较容易；有的公司对行业一窍不通，真正开发起来困难重重，流程梳理不到位，需求把握不清晰，而是走一步看一步，导致开发进度大大延后，项目效果直接变成了“计算机化”，原来流程怎么走，信息化流程就怎么走，无非是从线下搬到了线上。

4. 观念技术不同步，推进过程失衡

观念技术不同步，推进过程失衡也是实际工作中常见的现象。信息化的核心，一是观念；二是技术。观念是技术的基础，某种程度上观念比技术更重要。在推进信息化的过程中，我们应该把握好思想观念与技术的节奏与资源平衡问题。比如在起步前在思想观念上多下功夫，只要大家认识到了项目的重要性、必要性，开发与应用就顺理成章了；如果只关注技术开发而忽略员工思想的适配，那么在开发过程中员工的配合程度和使用过程中的使用热情都会大打折扣，一个员工心里抵触、不乐意使用的信息系统不可能有好结果。

5. 重前期技术开发，轻后期管理

一个单位在信息化建设阶段的“吸睛”程度远远高于上马之后的阶段。项目上马的决策、推进过程的实施，轰轰烈烈、尽人皆知；而投入试运行后的管理与固化，则少有人问津：试运行中遇到的问题，没有专人盯改善，没人对结果负责；试运行问题层出不穷，解决起来比较麻烦，用起来也不顺手，慢慢的有人就把它扔掉了；“想用的就用、不想用就不用”的现象屡见不鲜，事实上就会形成“劣币驱逐良币”的现象，最后的结果就是系统被废弃；不能持续优化，试运行阶段的问题肯定不少，需要线上试运行与线下原流程同步，增加了一倍的工作量，工作效率明显降低，如果没有相关的管理制度来固化、来引导、来管理，靠员工自愿、自觉坚持下来是有难度的，需要强有力的管理措施来配套跟进。

在规划信息化的时候，IT项目经理不仅要关注IT技术，还要建立IT治理机制使公司达到信息化的目标。IT风险管理是进行IT治理最有效的手段之一。