1 项目风险管理概述
项目风险管理的目标在于提高正面风险的概率和(或)影响,降低负面风险的概率和(或)影响,从而提高项目成功的可能性。
核心概念
项目是独特的一次性工作,所以必然存在风险。项目经理必须积极主动的开
展项目风险管理,事先认真研究可能发生的风险,分析其可能性和后果,并制定
和执行相应的应对策略和措施。
项目风险管理旨在识别和管理未被其他项目管理过程所管理的风险,这些风
险有可能导致项目偏离计划,无法达成既定的目标。
项目中的大多数风险都可以预测和管理,通过合理的管理,会极大的降低项
目的失败风险、提升项目的成功机会。
风险既包括威胁,也包括机会。
风险总是与不确定性联系在一起,既可能发生,也可能不发生,有
积极或消极影响。
如果一件事发生却不会影响项目,则只是一个不确定事件。
每个项目都在两个层面上存在风险:
◆ 单个项目风险:一旦发生,会对一个或多个项目目标产生影响的不确定
事件或条件。
管理单个项目风险旨在利用或强化正面风险(机会),规避或减轻
负面风险(威胁)。
◆ 整体项目风险:不确定性对项目整体的影响,是相关方面临的项目结果
正面和负面变异区间,它源于包括单个风险在内的所有不确定性。
管理整体项目风险旨在通过削弱负面变异的驱动因素,加强正面变
异的驱动因素,以及最大化实现整体项目目标的概率,把项目风险敞口
保持在可接受的范围之内。
在进行项目设计时,只有整体项目风险处于合理程度的项目,才应该被正式
启动。如果整体项目风险太大,则项目将很难成功。
整体项目的风险大小,取决于事业环境因素和组织过程资产。
在项目规划期间,应当通过调整项目策略对风险做初步处理。随着项目进展,
保持监督和管理风险,确保项目处于正轨。
风险临界值反映了组织与项目相关方的风险偏好程度,是项目目标可接受的
变异程度,所以应当明确并规定风险临界值。
发展趋势和新型实践
◆ 项目韧性
◆ 整合式风险管理
◆ 非事件类风险:变异性风险、模糊性风险
裁剪时考虑的因素
◆ 项目规模
◆ 项目复杂性
◆ 项目重要性
◆ 开发方法
在敏捷/适应型环境中的考虑因素
越是变化的环境就存在越多的不确定性和风险,要应对快速变化,就需要采
用适应型项目管理方法。因此应当根据当前风险敞口的加深理解,定期更新需求
文件,并随项目进展重新排列工作优先级。
风险要素
风险会涉及事件、原因、后果和概率,后果与概率联合决定了风险敞口(Risk
Exposure)。风险敞口越大,风险越严重。
风险态度、偏好、承受力和临界值
◆ 风险态度:自认为应该承受的风险程度。
◆ 风险偏好:愿意承受的风险程度。
◆ 风险承受力:能够承受的最高风险程度。
◆ 风险临界值:能够承受且不需要采取措施的最高风险程度。
风险临界值是必须采取措施的起点,通常风险临界值最低,风险偏
好居中,风险承受力则在最高位。
风险类别
风险类别用于确定对单个项目风险进行分类的方式,通常借助风险分解结构
(RBS)来构建风险类别。
风险分解结构是潜在风险来源的层级展现,有助于项目团队考虑单个项目风
险的全部可能来源,对识别风险或归类已识别风险特别有用。
◆ 按专业分类:技术风险、组织风险、管理风险、财务风险。
◆ 按内外分类:内部风险、外部风险。
◆ 按与经营者的关系分类:经营风险、纯风险(自然风险)。
◆ 按已知程度分类:
◆ 已知已知风险:是已经识别并分析过的风险,不仅知道风险类别,
还知道其发生概率和后果,通常根据其风险敞口计入项目直接成本。
◆ 已知未知风险:属于已经识别出的风险,但不清楚其发生概率和后
果,通常由应急储备来应对。
◆ 未知风险:又称未知未知风险,是从未遇到过、完全未知的风险,
因此也称作突发风险,只有在实际发生后才能识别、分析的风险。
未知风险通常无法预防,只能通过提高项目的韧性来减轻发生的后果,其方
法主要包括:
◆ 留有足够的管理储备
◆ 采用灵活的管理过程
◆ 赋予团队灵活应变的权力和能力
◆ 在项目范围中留出应变余地等
在编制项目预算时,将已知已知风险可能造成的损失列入直接成本,将已知
未知风险可能造成的损失列入应急储备,将未知未知风险可能造成的损失列入管
理储备。
2 规划风险管理
规划风险管理是定义实施项目风险管理活动的过程。本过程的主要作用是,
确保风险管理的水平、方法和可见度与项目风险程度,以及项目对组织和其他相
关方的重要程度相匹配。
本过程旨在对将来的风险管理工作做出安排。
规划风险管理过程在项目构思阶段就应开始,并在项目早期完成。随着项目
的进展,风险管理也应当进行必要的调整。
各主要项目相关方都要参与风险管理计划的编制工作,分析相关方的风险态
度、偏好、临界值、承受力,以及项目失败的风险敞口。
4W1H
3 识别风险
识别风险是识别单个项目风险以及整体项目风险的来源,并记录风险特征的
过程。本过程的主要作用是,记录现有的单个风险,以及整体项目风险的来源;
汇集相关信息,以便项目团队能恰当应对已识别的风险。
本过程旨在运用各种方法,调动相关方的力量,识别整体项目风险的来源和
单个项目风险。
识别风险时,要同时考虑单个项目风险和整体项目风险的来源:
◆ 识别整体项目风险的来源应在项目启动阶段开展,在规划和执行阶段需
要注意其变化情况。整体项目风险的情况应写入风险报告。
◆ 识别单个项目风险应在规划阶段开展,也需要在其他阶段开展。单个项
目风险的情况应写入风险登记册,而单个项目风险的概述情况应写入风
险报告。
应该尽可能用各种方法去识别风险,并邀请众多相关方参与风险识别,以尽
可能多的识别出项目风险。
识别出的风险,应采用统一的描述格式记录在风险登记册中,确保每一项风
险都被清楚、明确的理解,从而为有效的风险分析和风险应对措施制定提供支持。
风险登记册仅供项目团队内部使用,风险报告则报送给主要相关方。
在识别风险中初步的为每个风险指定风险责任人,并在后续过程中加以明确。
识别风险是一个迭代的过程,其迭代频率和参与程度都可能不尽相同,需要
在风险管理计划中明确规定。
识别风险是一个需要反复开展的过程,贯穿项目生命周期。
编制风险报告和风险登记册
4W1H
假设条件和制约因素分析
通过分析来探索假设条件和制约因素的有效性,从而确定其中哪些会引发项
目风险。
从假设条件的不准确、不稳定、不一致或不完整,可以识别出威胁。通过清
除或放松影响项目或过程执行的制约因素,可以创造出机会。
提示清单
提示清单是关于可能引发单个项目风险以及可作为整体项目风险来源的风
险类别的预设清单。
SWOT 分析
对项目的优势、劣势、机会和威胁(SWOT)进行逐个检查,识别出组织的
优势和劣势,并找出其中的机会和威胁,还可以分析组织的优势能在多大程度上
克服威胁、组织的劣势是否会妨碍机会的产生。
4 实施定性风险分析
实施定性风险分析是通过评估单个项目风险发生的概率和影响以及其他特
征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。本过程的
主要作用是,重点关注高优先级的风险。
本过程对所有已识别的单个项目风险进行主观定性分析,评估其概率、后果
等情况,并据此进行风险排序。
依据分析结果,分别决定需要定量分析的风险、可以直接进行应对规划的风
险以及仅需要观察的风险。
风险定性分析的目的包括:
◆ 以主观方式评价已识别风险
◆ 基于定性分析结果的风险排序
◆ 指定风险责任人
◆ 风险归类
◆ 了解风险发展趋势
定性分析的结果都要记入风险登记册,并在风险报告中进行概述。
实施定性风险分析,使用项目风险的发生概率、风险发生时对项目目标的相
应影响以及其他因素,来评估已识别单个项目风险的优先级。由于这种评估基于
参评人员的主观意见,所以为了减少并纠正偏见,需要由引导者来引导本过程的
开展。
本过程还将为每个风险正式指定风险责任人,由他们负责规划风险应对措施,
并确保实施应对计划。
在识别风险过程中预选风险责任人,在实施定性风险分析中正式指
定风险责任人。
在项目正式启动前,需要对整体项目风险做定性分析,以决定项目能否启动;
在规划和执行阶段,需要重新对整体项目风险做定性分析,以决定项目是否需要
变更或提前终止。
更新风险报告和风险登记册
4W1H
风险分类
项目风险可依据风险来源、受影响的项目领域、以及其他实用类别来分类,
确定哪些项目领域最容易被不稳定性影响。风险还可以根据共同的根本原因进行
分类。
对风险进行分类,有助于将注意力和精力集中到风险敞口最大的领域,或针
对一组相关的风险制定通用的风险应对措施,从而有利于更有效的开展风险应对。
无论采用何种分类方式,都应在风险管理计划中规定风险分类方法。
风险数据质量评估
风险数据质量评估旨在评价单个项目风险数据的准确性和可靠性。
风险概率和影响评估
风险概率评估考虑的是特定风险发生的可能性。
风险影响评估考虑的是风险对一个或多个项目目标的潜在影响。
其他风险参数评估
◆ 紧迫性:为有效应对风险而必须采取应对措施的时间段。
◆ 临近性:风险在多长时间后会开始影响项目目标。
◆ 潜伏期:从风险发生到产生影响之间的时间段。
◆ 可管理性:风险责任人管理风险发生或影响的难易程度。
◆ 可控性:风险责任人能够控制风险后果的程度。
◆ 可监测性:对风险发生或即将发生进行监测的难易程度。
◆ 联通性:风险与其他单个项目风险存在关联的程度。
◆ 战略影响力:风险对组织战略目标潜在的影响。
◆ 密切度:风险被相关方关注的程度。
概率和影响矩阵
概率和影响矩阵是把每个风险发生的概率和发生后造成的影响关联在一起
的表格。对概率和影响进行组合,以便于把单个项目风险划分成不同的优先级组
别。
基于风险的概率和影响,可以对风险进行优先级排序,以便未来进一步分析。
层级图
如果在风险分类时,使用了两个以上的参数,就不能使用概率和影响矩阵,
而需要使用其他图形。
气泡图是一种层级图。在气泡图中,将每个风险都描绘为一个气泡,并使用
X 轴、Y 轴和气泡大小来表示风险的三个参数。
5 实施定量风险分析
实施定量风险分析就是对已识别的单个项目风险和不确定性的其他来源对
整体项目目标的影响进行定量分析的过程。本过程的主要作用是,量化整体项目
风险敞口,并提供额外的定量风险信息,以支持风险应对规划。
本过程对定性分析确认为严重且可量化的单个项目风险做客观的定量分析,
据此对整体项目风险进行定量分析,并确定应急储备。
对所有项目以及已识别的全部单个项目风险,都要进行定性分析,
但不是都要进行定量分析,应当依据风险管理计划的规定,来确定是否
需要进行本过程。
定量风险分析通常需要运用专门的风险分析软件,以编制和解释风险模式的
专业知识,还需要额外的时间和成本投入。
定量风险分析也可以在规划风险应对过程之后开展,以便分析已规划的应对
措施对降低整体项目风险敞口的有效性。
定量分析最可能适用于大型项目、复杂项目或具有战略性的项目等。定量分
析的结果要写入风险报告。
实施定性风险分析过程的落脚点是单个项目风险,实施定量风险分
析的落脚点是整体项目风险。
更新风险报告和风险登记册
4W1H
不确定性表现方式
要开展定量风险分析,就需要建立能反映单个项目风险和其他不确定性来源
的定量风险分析模型。如果活动的持续时间、成本或资源需求是不确定的,就在
模型中用概率分布来表示其数值的可能区间。
单个项目风险可以用概率分布图表示,其他不确定性来源可以用概率分支来
表示,以便描述贯穿项目的其他路径。
影响图
影响图是不确定条件下决策制定的图形辅助工具,它将一个项目或项目中的
一种情境表现为一系列实体、结果和影响,以及它们之间的关系和相互影响。
如果因为存在单个项目风险或其他不确定性来源而使影响图中的某些要素
不确定,就在影响图中以区间或概率分布的形式表示这些要素,借助模拟技术(如
蒙特卡洛分析)来分析哪些要素对重要结果具有最大的影响。
影响图分析可以得出类似于其他定量风险分析的结果。
模拟/蒙特卡洛分析
在定量风险分析中,使用模型来模拟单个项目风险和其他不确定性来源的综
合影响,以评估它们对项目的潜在影响,通常采用蒙特卡洛分析。
在定量进度风险分析中,还可以执行关键性分析,以确定风险模型的哪些活
动对项目关键路径的影响最大。通过关键性分析,项目团队能够重点针对具有最
大潜在影响的活动,来规划风险应对措施。
蒙特卡洛模拟
借助计算机数千次迭代运行定量风险分析模型,每次运行时都要随机选择输
入值,这些运行的输出构成了项目可能的结果范围。
敏感性分析
敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果
具有最大的潜在影响。
在敏感性分析中,把所有其他不确定因素都固定在基准值,再来考察每个因
素的变化会对目标产生多大程度的影响,因此可用于比较很不确定的变量与相对
稳定的变量之间的相对重要性和相对影响。
龙卷风图
敏感性分析的结果通常用龙卷风图来表示,在图中标出定量风险模型中的每
项要素与其可能影响的项目结果之间的关联系数,每个要素按关联强度降序排列,
形成典型的龙卷风图。
决策树分析
决策树显示了在环境中包含不确定因素时,怎样在不同资本策略之间制定决
策。在决策树中,用不同的分支代表不同的决策或事件,即项目的备选路径。每
个决策或事件都有相关的成本和单个项目风险。决策树分支的终点表示沿特定路
径发展的最后结果。
在决策树分析中,通过计算每条分支的预期货币价值,就可以选出最优路径。
6 规划风险应对
规划风险应对是为处理整体项目风险敞口,以及应对单个项目风险,而制定
可选方案、选择应对策略并商定应对行动的过程。本过程的主要作用是,制定应
对整体项目风险和单个项目风险的适当方法;对资源进行分配,并根据需要将相
关活动添加进项目文件和项目管理计划。
本过程旨在根据定性与定量分析的结果,结合项目相关方的风险态度、偏好、
承受力和临界值,制定整体项目风险的应对策略和措施以及单个项目风险的应对
策略和措施(含预防措施)。
通常情况下,规划风险应对过程会需要重新开展其他风险管理过程,也需要
识别和分析因为实施应对措施而引起的次生风险。
有效和适当的风险应对可以最小化单个威胁、最大化单个机会,并降低整体
项目风险敞口。
一旦完成对风险的识别、分析和排序,指定的风险责任人就应该针对所负责
的单个项目风险编制应对计划,项目经理也需要思考如何针对整体项目风险的当
前级别做出适当应对。
风险应对方案由责任人具体负责,应对方案应当与风险的重要性相匹配,以
便能经济有效的应对风险、能在当前环境下切实可行、能获得全体相关方的同意。
在选择风险应对方案时,应当为每个风险选择最可能有效的策略或策略组合,
并从中选择最优方案。可以用结构化的策略技术、数学模型或实际方案分析为基
础,进行稳健的分析和选择。
制订风险应对策略时,要包括主要策略、备用策略和弹回计划(应急计划),
还要识别次生风险。
更新风险报告和风险登记册
应该定期或不定期对风险应对策略和措施进行审查和更新,以确保
其有效性。
在实际工作中,威胁、机会和整体项目风险的应对策略并不能截然
分开,往往是交叉在一起的。
4W1H
风险应对类型
◆ 主要策略:应对风险发生的主要措施。
◆ 备用策略:当应对风险的主要策略无法执行时,需要使用的备用应对措
施。
◆ 弹回计划:虽然实施了风险应对措施,但却没有产生应有的效果时,需
要使用的其他应对措施。
◆ 次生风险:实施风险应对计划而直接导致的风险。
◆ 权变措施:针对已经发生的威胁而采取的紧急行动、未按照原计划执行
的应急措施。由于情况紧急,需要事后补交评估和审批。
单个风险威胁应对策略
威胁是指可以产生对项目消极影响的风险,其主要的应对策略包括:
◆ 上报:上报给管理层。
◆ 规避/回避:排除风险起源、延长进度、减少范围、改变策略或取消整个
项目,以完全消除威胁。
◆ 减轻:降低风险概率及后果。
◆ 转移:转给第三方,如购买保险、外包工作。
◆ 接受:不主动管理风险,准备动用应急储备。
单个风险机会应对策略
机会是指可以产生对项目积极影响的风险,其主要的应对策略包括:
◆ 上报:上报给管理层。
◆ 开拓:消除积极风险的不确定性,确保机会一定会出现。
◆ 分享:充分利用机会,使各方从中收益。
◆ 提高:提高机会发生的概率或影响。
◆ 接受:静待机会发生以便利用。
整体风险应对策略
◆ 规避/回避:排除风险起源、延长进度、减少范围、改变策略或取消整个
项目,以完全消除威胁。
◆ 开拓:消除风险的不确定性,确保机会一定会出现。
◆ 转移或分享:向第三方转移/分享风险,以共同应对或受益。
◆ 减轻或提高:降低消极风险的概率及后果,提高积极风险发生的概率及
影响。
◆ 接受:静待风险发生,(使用应急储备)被动接受风险。
对于整个项目的应急储备,如果没有任何可靠的依据,就按项目总
成本的 10%计算。
当风险超出项目经理的控制范围或权限范围时,必须上报。
应急应对策略
应急应对策略是设计用来仅在特定事件发生时才使用的应对措施。
对于某些风险,如果项目团队相信其发生时有充分的预警信号,那么就应该
制定仅在这些预警信号出现时才执行的应对计划,应该定义并跟踪应急应对策略
的触发条件。
采用这种方式制定的风险应对计划,通常称为应急计划或弹回计划,其中包
括已识别的、用于启动计划的触发条件。
7 实施风险应对
实施风险应对是执行商定的风险应对计划的过程。本过程的主要作用是,确
保按计划执行商定的风险应对措施,来管理整体项目风险敞口、最小化单个项目
威胁、最大化单个项目机会。
本过程是根据风险管理计划,由风险责任人负责执行风险登记册中单个风险
的应对策略和措施,由项目经理执行风险报告中整体项目风险的应对策略和措施,
并将风险应对情况写入风险登记册和风险报告。
适当关注实施风险应对过程,能够确保已商定的风险应对措施得到实际执行。
只有风险责任人以必要的努力去实施商定的应对措施,项目的整体风险敞口和单
个威胁与机会才能得到主动管理。
单个项目风险责任人必须根据规划风险应对过程的结果,组织所需资源,去
实施应对策略和措施,以提高机会、减轻威胁,并将结果写入风险登记册。
项目经理必须根据规划风险应对过程的结果,组织所需资源,采取已商定的
应对策略和措施,去处理整体项目风险。并将结果写入风险报告。
4W1H
8 监督风险
监督风险是在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别
的风险、识别和分析新风险,以及评估风险管理有效性的过程。本过程的主要作
用是,使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。
本过程监督整体项目风险和单个项目风险的应对策略和应对措施的实施情
况、监测残余风险、识别和分析新风险、评价风险管理的有效性,并据此提出变
更请求。
本过程主要内容包括:
◆ 注意风险触发因素
◆ 追踪已识别的单个项目风险
◆ 监测残余风险和次生风险
◆ 识别和分析新风险
◆ 监督整体项目风险的应对情况
◆ 开展风险审计,评估风险管理工作的有效性
◆ 与项目相关方沟通项目风险情况
◆ 必要时提出变更请求,重新制定应对措施或策略
◆ 收集风险资料,更新风险登记册、风险报告和组织过程资产
为了确保项目团队和关键相关方了解当前的风险敞口级别,应该通过监督风
险过程对项目工作进行持续监督,来发现新出现的、正在变化的或已过时的单个
项目风险。
监督风险过程采用项目执行期间生成的绩效信息,可用于确定:
◆ 实施的风险应对是否有效?
◆ 整体项目风险级别是否变化?
◆ 已识别的单个项目风险的状态是否变化?
◆ 是否出现新的单个项目风险?
◆ 风险管理方法是否仍然适用?
◆ 项目假设条件是否仍然成立?
◆ 是否遵守了风险管理政策和程序?
◆ 成本或进度的应急储备是否需要修改?
◆ 项目策略是否仍然有效?
根据风险管理计划,由风险责任人依照风险登记册去监督所负责的单个项目
风险以及风险应对策略和应对措施的实施情况,由项目经理依照风险报告监督整
体项目风险的应对策略和应对措施的实施情况。
专门开展的新风险识别工作,属于识别风险过程。附带开展识别新
风险的工作,则属于监督风险过程。
监督风险过程中所产生的信息需要写入风险登记册和风险报告。
风险登记册和风险报告的内容都要通过各个风险管理过程来不断
更新和逐渐完善。
项目风险管理中后六个过程的最主要输入都是风险管理计划,以及
前一个过程的风险登记册和风险报告,最主要的输出则是更新的风险登
记册和风险报告。
因为存在两个层面的风险——整体项目风险和单个项目风险——
所以每个风险管理过程都可以在两个层面上进行管理。
4W1H
技术绩效分析
技术绩效分析是把项目执行期间所取得的技术成果与取得相关技术成果的
计划进行比较。它要求定义关于技术绩效的客观的、量化的测量指标,以便据此
比较实际结果与计划要求。实际结果偏离计划的程度可以代表威胁或机会的潜在
影响。
技术绩效测量指标可能包括重量、处理时间、缺陷数量、储存容量等。
风险审查会与风险审计
风险审查会是会议的一种,用于定期检查和记录风险应对在处理整体项目风
险和已识别单个项目风险方面的有效性。
在风险审查中,还可以识别出新的单个项目风险(包括已商定应对措施所引
发的次生风险),重新评估当前风险,关闭已过时风险,讨论风险发生所引发的
问题,以及总结可用于当前项目后续阶段或未来类似项目的经验教训。
根据风险管理计划的规定,风险审查可以是定期项目状态会中的一
项议程,或者也可以召开专门的风险审查会。
风险审计是一种审计类型,可用于评估风险管理过程的有效性。项目经理负
责确保按项目风险管理计划所规定的频率开展风险审计。
风险审计可以在日常项目审查会上开展,可以在风险审查会上开展,团队也
可以召开专门的风险审计会。
在实施审计前,应明确定义风险审计的程序和目标。