| 过程 | 定义 | 作用 | 时间 | 输入 | 工技 | 输出 |
|---|---|---|---|---|---|---|
| 规划风险管理 | 定义如何实施项目风险管理活动的过程 | 确保风险管理的水平、方法和可见度与项目风险程度,以及项目对组织和其他相关方的重要程度相匹配 | 单次 | 项目章程、项目管理计划、项目文件、事业环境因素、组织过程资产 | 专家判断、会议、数据分析(相关方分析) | 风险管理计划 |
| 识别风险 | 识别单个项目风险,以及整体项目风险的来源,并记录风险特征的过程 | 记录现有的单个项目风险,以及整体项目风险的来源;汇集相关信息,以便项目团队能够恰当应对已识别风险 | alltime | 项目管理计划(风险管计划、需求管计划、进度管计划、成本理计划、质量管理计划、资源管理计划、范围&成本&进度基准)、项目文件(经教登记册、假设日志、问题日志、需求文件、持续时间估算、成本估算、资源需求、相关方登记册)、协议、采购文档、事业环境因素、组织过程资产 | 专家判断、会议、数据收集(头脑风暴、访谈、核对单)、数据分析(SWOT、文件分析、根本原因分析、假设条件和制约因素分析)、人际关系与团队技能(引导)、提示清单 | 风险登记册、风险报告、项目文件更新(经教登记册、假设日志、问题日志) |
| 实施定性风险分析 | 通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先排序,从而为后续分析或行动提供基础的过程 | 重点关注高优先级的风险 | alltime | 项目管理计划(风险管理计划)、项目文件(假设日志、风险登记册、相关方登记册)、事业环境因素、组织过程资产 | 专家判断、会议、数据收集(访谈)、数据分析(风险概率与影响分析、风险数据质量评估、其他风险参数评估)、数据表现(概率和影响矩阵、层级型)、风险分类、人际关系与团队技能(引导) | 项目文件更新(假设日志、问题日志、风险登记册、相关方登记册) |
| 实施定量风险分析 | 就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程 | 量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划 | alltime | 项目管理计划(风险管理计划、范围&成本&进度基准)、项目文件(假设日志、里程碑清单、持续时间估算、进度预测、成本估算、估算依据、成本预测、资源需求、风险登记册、风险报告)、事业环境因素、组织过程资产 | 专家判断、数据收集(访谈)、数据分析(模拟、敏感性分析、决策树分析、影响图)、人际关系与团队技能(引导)、不确定性表现方式 | 项目文件更新(风险报告) |
| 规划风险应对 | 为处理整体项目风险敞口,以及应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程 | 制定应对整体项目风险和单个项目风险的适当方法;分配资源,并根据需要将相关活动添加进项目文件和项目管理计划。 | alltime | 项目管理计划(风险管、资源管计划、成本基准)、项目文件(经教登记册、项目进度计划、项目团队派工单、资源日历、风险报告、风险登记册、相关方登记册)、事业环境因素、组织过程资产 | 专家判断、数据收集(访谈)、数据分析(备选方案、成本效益分析)、决策(多标准分析)、人际关系与团队技能(引导)、威胁应对策略、机会应对策略、应急应对策略、整体项目风险应对策略 | 变更请求、项目管理计划更新(进管、成管、质管、资源管、采购管、范围 |
| 实施风险应对 | 执行商定的风险应对计划的过程 | 确保按计划执行商定的风险应对措施,来管理整体项目风险敞口,以及最小化单个项目威胁,最大化单个项目机会 | alltime | 项目管理计划(风险管理计划)、项目文件(经教登记册、风险报告、风险登记册)、组织过程资产 | 专家判断、人际关系与团队技能(影响力)、项目管理信息系统 | 变更请求、项目文件更新(经教登记册、问题日志、项目团队派工单、风险报告、风险登记册) |
| 监督风险 | 在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程 | 使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息 | alltime | 项目管理计划(风险管计划)、项目文件(经教登记册、问题日志、风险报告、风险登记册)、工作绩效数据、工作绩效报告 | 会议、数据分析(储备分析、技术绩效分析)、审计 | 工作绩效信息、变更请求、项目管理计划更新、项目文件更新(经教登记册、假设日志、问题日志、风险报告、风险登记册)、组织过程资产更新 |
一、概念
项目是独特的一次性事业,必然存在风险。任何一个项目的管理者都必须面对风险。必须积极主动地开展项目风险管理,而不只是消极被动地去应付已发生的风险
1.1 风险定义
- 风险是一旦发生,会对项目目标产生积极或消极影响的不确定事件
- 风险总是与不确定性联系在一起的,既可能发生,也可能不发生。
- 风险总是与目标联系在一起的。
如果发生,会对项目范围、时间、成本和质量的至少一个方面,有积极或消极影响。
如果某个事件万一发生,对项目范围、时间、成本和质量的任何一个方面都不会有任何影响,就不是项目风险。
变异性风险:已规划的事件某些关键方面存在不确定性(恶化),适用蒙特卡洛模拟
模糊性风险:对未来可能发生什么,存在不确定性(经验方面)
1.2 风险的要素
风险的四要素
- 事件
- 原因
- 后果
- 发生概率
风险的三要素
- 风险事件
- 事件发生概率
- 得失量
1.2.1 风险条件、风险起因、风险事件和风险触发器辨析
- 风险条件:有可能引发项目风险的各种环境因素。如不成熟的项目管理实践、缺乏综合管理系统、多项目并行实施,依赖不可控外部参与者等。
- 风险起因:任何可能引发风险的因素,如需求、假设条件、制约因素或某种状况。
- 风险事件:即风险。如:许可证颁发可能被延误。
- 风险触发器:表明风险已经发生或即将发生的迹象。也叫风险触发因素、风险征兆、预警信号、风险指示器。
单单从上述概念,我们很难区分四者,但PMP考试中却经常会给你一个情景,问你这是风险条件、风险起因、风险事件还是风险触发器。经过自己仔细思辨,四者区别总结如下:
- 风险条件通常是指一种环境;而风险起因、风险事件和风险触发因素通常指一个具体的事件
- 风险起因、风险触发器与风险事件:
风险起因和风险触发器都不会直接对项目目标产生影响,二者通过引发的风险事件对项目目标产生影响
- 风险起因与风险事件:风险起因是导致风险事件发生的原因,如项目需要申请环境许可证(风险原因)会导致许可证颁发可能被延误(风险事件)。
- 风险触发器与风险事件:风险触发器通常是风险识别过程中发现,并需要在风险监控过程中监视的突发事件。如果监控到风险触发器,表明风险事件已经或即将发生,需要马上准备风险应对措施。如我们监控到供应商那里刮台风(触发器)了,这意味着供货将延迟(风险),我们需要准备应对风险了。
- 风险起因与风险触发器:存在风险原因不意味着风险一定发生;但只要监控到风险触发器则表明风险已经发生或者即将发生。 -
1.3 风险类别
风险分解结构在定性分析中制定
- 按专业分类:技术风险、组织风险、管理风险、财务风险
- 按内外分类:内部风险、外部风险
按与经营者的关系分类:经营风险、纯风险。
前者是与经营活动密切相关的风险,发生的概率和后果与经营者的水平和努力程度有密切关系,通常不能买保险;
后者则是意外事件,通常可以买保险按已知程度分类:已知风险、未知风险。
- 已知风险又可按照造成的影响分为已知已知风险和已知未知风险
| Tables | Are |
|---|---|
| 已知风险 | 能够识别和分析的风险。即风险的三要素(风险事件、事件发生概率和得失量)都知道 |
| 已知-未知风险 | 事先能够识别该风险(已知)。但是不知道风险发生的概率或影响(未知)。应对此类风险的资金来源是应急储备。 |
| ·未知一未知风险 | 事先无法识别的风险(第一个未知),当然更无法知道发生的概率和影响(第二个未知)。应对此类风险的资金来源是管理储备 |
1.4 风险态度、风险偏好、风险承受力
风险态度( Risk Attitude)是个人或组织喜欢或不喜欢风险的一种主观感受。风险态度取决于多种因素,包括风险偏好( RiskAppetite)、 风险承受力(Risk Tolerance)和风险临界值(Risk Threshold)
- 风险态度(主观认为应该冒多大的险)。个人或组织认为自己应该冒多大的风险。如果实际所冒风险未超出应该冒的风险,就觉得很舒服
- 风险偏好(想冒多大的险)。为了实现目标(获得利益),个人或组织想要冒多大的风险。
高风险偏好者愿意为获得大利益而冒大风险,低风险偏好者不愿意为了获得利益而冒看似很小的风险 - 风险承受力(破产值)。个人或组织能够承受多大的风险。如果实际风险水平超出风险承受力,个人或组织就很可能破产
通常,个人或组织想要冒的风险( 风险偏好)应该小于风险承受力 - 风险临界值(控制值)。个人或组织能够承受的风险程度,而不需要采取应对措施
- 干系人特别关注的特定的不确定性程度或影响程度。低于风险临界值,组织会接受风险;高于风险临界值,组织将不能承受风险
1.5 风险在不同生命周期的变化
项目生命周期的不同阶段,项目所面临的风险有所不同。
- 在项目生命周期的早期,项目的不确定性比较大,风险的种类比较多,风险发生的可能性比较大,但是风险发生所造成的后果则比较轻。
- 在项目生命周期的晚期则相反,风险的种类少,风险发生的可能性小(不确定性小),但万一发生,造成的后果会比较严重
1.6 风险管理的依据
风险管理不可能凭空进行,需要依据:
- 组织过程资产(历史资料,包括过去的经验教训)。过去类似项目的风险管理和风险发生情况,对策划本项目的风险管理和预测本项目的风险很有帮助。
- 相关的风险管理知识。包括风险管理的程序、要求和概率知识等。
- 项目的背景和性质。有助于针对本项目的背景和性质,来鉴别和分析风险。不同类型的项目,风险差别很大。
- 项目干系人的相关知识与技能。风险识别与分析都需要众多项目干系人的参与,他们的相关知识和技能对项目风险管理非常重要。
- 项目干系人的风险态度、 风险偏好、 风险临界值和风险承受力。了解这些,有勋于制定风险应对计划。
- 项目章程。项目经理的权力是否足够,项目目标是否现实可行,项目在执行组织中的优先程度等,都会在一定程度上决定项目风险的大小
1.7 注意
- 做题注意,是 风险事件发生了,但不见得就对项目有影响。此时应该准备应对计划,并且有必要再次进行团队分析来审核应对计划,使得符合真实情况
- 规划风险应对过程中,需要关注次生风险(即便识别出新的次生风险,先把当前的应对规划做完)和风险储备分析
- 规避与减轻的应对策略的区别,在于是否100%处理了某个风险
- 管理储备的计算并不是以已知风险预算的比例来的
- 最大的风险、最有可能的风险是项目目标的完成
- 只要项目还没完成,风险的识别和分析都应该继续
二、 涉及过程
- 规划风险管理
对将来要进行的风险管理活动做出安排,包括如何识别风险、如何进行风险分析、如何制定风险应对策略、如何监控风险以及如何实施风险应对计划等 - 识别风险
运用各种方法,调动众多项目干系人的力量,弄清楚项目面临的各种风险及其初步特征,并记录在风险登记册中
- 风险登记册:已识别的风险清单、潜在的风险责任,潜在分享的应对策略
- 风险报告:整体项目风险的来源、关于已识别单个分享的概述信息
- 风险定性分析
对项目风险及有关条件进行主观定性分析,以评估它们发生的可能性及发生后对项目产生的影响程度,并据此对这些风险排序,决定哪些风险需要进一步定量分析, 哪些风险可直接进行风险应对规划,哪些只需要列入观察清单
- 每个单个风险的概率影响评估、优先级别和风险评估分值、指定的风险责任人、风险紧迫性信息和分限类别
- 风险报告:记录更重要的单个项目风险、所有已识别分先的优先级列表和整体结论
- 风险定量分析
对那些被定性分析确定为严重且可量化的风险,采用客观的方法来量化它们发生的概率及后果,计算它们对项目目标的影响
- 风险报告:对整体项目敞口的苹果结果、单个风险优先级清单、项目详细概率分析结果、风险应对策略
- 规划风险应对
根据定性与定量分析的结果,考虑项目干系人的风险态度、 风险偏好、 风险承受力和风险临界值,制定相关措施,来增加机会、减少威胁
- 风险登记册:记录选择和商定的应对措施
- 风险报告:记录针对整体风险敞口和高优先级风险的应对措施及预期变化
- 实施风险应对
- 风险登记册:记录对单个项目风险应对措施的变更请求
- 风险报告:记录对整体项目风险应对措施的变更请求
- 监督风险
在项目的整个生命周期内,追踪已识别的风险,监测残余风险,识别新风险,执行风险管理计划和风险应对计划,并且评价风险管理工作的有效性
- 风险登记册:记录在监控过程中关于单个项目风险的信息,更新、新增扥
- 风险报告:更新重要单个风险的状态和整体项目风险的级别
2.1 规划风险管理
规划风险管理过程旨在与主要项目干系人一起编制风险管理计划,对未来的风险管理工作做出安排。 项目风险管理应该做到什么程度,不仅取决于项目的复杂程度及规模大小,而且取决于主要干系人的需要
- 风险管理计划应该包括的主要内容:
- 方法论。将用什么方法管理风险
- 角色和职责安排。将设立什么风险管理的岗位,各岗位的权责和能力要求
- 预算和时间安排。将花多少钱和时间做风险管理(需要加到预算和进度计划中) ,将如何确定和调整项目的应急储备
- 风险类别
- 风险概率和影响的定义。将用什么方法表示风险发生的可能性及后果,如数字量表(0.1、 0.2、 0.3……)、相对量表(几乎不发生、很不可能、不可能、可能、可能性很高、几乎肯定发生)。可能性高低如何分级,后果严重程度如何分级
- 概率和影响矩阵。在综合风险可能性和后果的基础上,用于对风险分级的表格,也叫风险级别矩阵。例如,把风险分成严重、中等、轻微三个级别
- 相关方风险偏好。针对本项目,干系人能够承受多大的风险。干系人的风险承受力在不同的项目上会有所不同
- 报告格式。将来要编制的风险管理报告的格式、内容和报送时间等
- 风险追踪。将如何记录和审查风险管理工作,将如何追踪风险情况
2.2 识别风险
最初的风险识别是在启动阶段,高层级的风险被记录在项目章程中;对风险进行全面的识别是在规划过程中
识别风险过程旨在识别和记录项目风险,编制初步的风险登记册。
- 识别风险,通常要基于风险管理计划中的方法和程序,邀请尽可能多的主要干系人参与
- 风险识别是一个反复进行的过程,风险识别实际上贯穿于项目生命周期的始终
【风险管理_风险登记册】
- 在初步的风险登记册中应该包括
- 风险编号。每个风险都有独一无二的编号
- 风险名称。每个风险都有独特的名称
- 风险描述。尽可能详细的风险描述
- 应对措施。这些应对措施是根据直觉得出的,还要在规划风险应对过程中分析和确认
风险应对措施的识别和制定,不仅仅是在规划风险应对环节,识别风险中也有初步的指定,潜在应对措施
- 风险报告展示的是对风险整体信息的来源和对项目目前情况的风险概述,包括风险的总体数量、机会的数量、威胁的数量等。
2.3 风险定性分析
定性风险分析是对风险发生的概率和影响的主观分析。
即便使用一些数字,只要是主观的分析,仍然是定性分析。所以,从严格意义上讲,不能以是否用到数字来判断是定量还是定性分析。
- 定性风险分析的目的是
- 确定项目的整体风险级别。如果整体风险很高,可能导致项目的提前终止
- 为每个风险识别出责任人,以便后期的规划分享应对措施
- 以主观的方式评价已识别风险的发生概率和后果
- 得到基于定性分析结果的风险排序
- 风险进行归类,指出高风险的项目领域
- 确定各风险的紧急程度。可能需要根据紧急程度,修改风险排序
很快就要发生并需紧急处理的风险,即便后果不十分严重,也可能要排在比较靠前的位置 - 确定哪些风险需要进一步定量分析,哪些风险可直接进入规划风险应对过程,哪些风险可直接列入观察清单
- 将项目风险与其他项目的总体风险进行比较
2.4 风险定量分析
- 对定性分析中的重大风险的概率和后果进行量化分析;
- 对整体项目风险进行分析,评估对项目目标的影响
相对于定性分析,这是一种客观的分析,通常针对比较严重(依据定性分析的结果)且可以量化的风险。 譬如,虽然定性分析中也涉及到数字,高风险被定义为5,但是这是一种主观上的自定义,定量分析中是要客观的分析,具体的量化为实际上会损失多少钱
- 仅更新“风险报告”,定量分析的结果主要包括:
- 对风险敞口的评估内容
- 项目的详细概率分析,项目进度和成本的概率分布情况
通常是蒙特卡洛模拟的所得到的概率分布图。 - 实现进度和成本目标的概率
- 定量风险分析结果的发展趋势
2.5 规划风险应对
本过程旨在根据定性和定量分析的结果,指定风险责任人,制定风险应对策略和措施。应对措施,既包括预防措施,也包括风险发生后的应急措施
规划风险应对过程中,还需要:
1. 关注次生风险(即便识别出新的次生风险,先把当前的应对规划做完) 。
2. 风险储备分析 。
3. 在规划风险应对过程做完后,通常都要回头调整项目管理计划和项目文件,因为原先对风险的考虑很可能不合理 。
- 规划风险应对过程的结果,需要写入风险登记册,导致风险登记册的更新。需要写入的主要内容包括:
- 风险应对策略及具体的应对措施
- 采取风险应对措施所需要的时间和成本
- 风险责任人。谁将负责监控某个具体的风险,并实施风险应对措施。
- 风险触发因素。也叫风险警告信号或风险症状。出现某种因素、信号或症状时,就预示某个风险即将发生,或显示某个风险正在发生或已经发生。
- 针对严重风险的应急预案
- 针对严重风险的弹回计划。备用的应急计划,以便在主应急计划不起作用时采用。
- 次生风险。应对某个风险而带来的另外一个风险,是直接的经济损失和绩效评分影响
- 残余风险。采取风险应对措施后仍然存在的风险,是没有主动应对的、同时是组织可以接受的风险
- 应急计划是事先制定的风险应急计划,以便在风险发生或出现某种规定情况时采用,是风险的主应急计划。
- 弹回计划是为风险制定的备用应急计划,以便在主应急计划(通常的应急计划)不起作用时启用。
- 权变措施是针对已经发生的坏风险(威胁)而紧急采取的、原来未计划过的应急措施。采取权变措施,属于纠偏,也要通过实施整体变更控制过程的综合评审
2.5.1 威胁应对策略
规避和减轻策略通常用于高影响的严重风险。规避可以消除风险,减轻可以减低风险发生的概率或造成的影响。转移和接受适用于低影响的不太严重的风险。
| - | 场景 | 实例 | 注意 | 关键词 |
|---|---|---|---|---|
| 上报 | 如果项目团队或项目发起人认为某威胁不在项目范围内,或提议的应对措施超出了项目经理的权限,被上报的风险将在项目集层面、项目组合层面或组织的其他相关部门加以管理,而不在项目层面 | 项目经理发现某个与收益相关的威胁 | 威胁一旦上报,就不再由项目团队做进一步监督,但是仍在风险登记册中记录 | 超出团队可管理性 |
| 规避 | 将威胁彻底消除 | 一个WBS工作包会给组织带来500w的损失,那么就直接去掉这个工作包 | 规避措施可能包括消除威胁的原因、延长进度计划、改变项目策略,或缩小范围。有些风险可以通过澄清需求、获取信息、改善沟通或取得专有技能来加以规避。 | |
| 转移 | 将应对威胁的责任转移给第三方 | 买汽车时的保险 | 一般会产生合同、保险、履约保函、担保书、保证书 | 应对财务风险 |
| 减轻 | 来降低威胁发生的概率和(或)影响 | 在一个系统中加入冗余部件,可以减轻原始部件故障所造成的影响。 | 不会完全消除风险 | 原型试验,更多测试,稳定供应商,简单的流程、工序 |
| 接受 | 主动接受策略是建立应急储备,包括预留时间、资金或资源以应对出现的威胁; 被动接受策略则不会主动采取行动,而只是定期对威胁进行审查,确保其并未发生重大改变 |
涉及“应急计划”或者“应急储备” | 建立应急储备,包括预留时间、资金或资源以应对出现的威胁;置之不理 |
2.5.2 机会应对策略
| - | 场景 | 注意 | 关键词 |
|---|---|---|---|
| 上报 | |||
| 开拓 | 将特定机会的出现概率提高到 100%,确保其肯定出现,从而获得与其相关的收益。 | 开拓措施可能包括:把组织中最有能力的资源分配给项目来缩短完工时间,或采用全新技术或技术升级来节约项目成本并缩短项目持续时间 | |
| 分享 | 到将应对机会的责任转移给第三方,使其享有机会所带来的部分收益 | 采用风险分享策略,通常需要向承担机会应对责任的一方支付风险费用。 | 分享措施包括建立合伙关系、合作团队、特殊公司或合资企业来分享机会 |
| 提高 | 提高策略用于提高机会出现的概率和(或)影响 | 机会提高措施包括为早日完成活动而增加资源 | |
| 接受 | 主动接受和被动接受 |
2.5.3 应急应对策略
应急应对策略是一种特定情况下所使用的应对策略。
对于某些风险,如果项目团队相信其发生会有充分的预警信号,那么就应该制定仅在某些预定条件出现时才执行的应对计划。应该定义并跟踪应急应对策略的触发条件,例如,未实现中间的里程碑,或获得卖方更高程度的重视
2.5.4 整体项目风险应对策略
- 规避 和 开拓
- 转移或分享
- 减轻或提高
- 接受
2.6 实施风险应对
实施风险应对是执行商定的风险应对计划的过程。本过程的主要作用是,确保按计划执行商定的风险应对措施,来管理整体项目风险敞口、最小化单个项目威胁,以及最大化单个项目机会。本过程需要在整个项目期间开展
2.6 监督风险
控制风险过程旨在追踪已识别风险,监测残余风险,识别新风险,实施风险应对计划,并评估风险管理工作的有效性
- 控制风险过程的主要工作包括:
- 注意风险触发因素。是否出现了某种风险预警信号 7
- 追踪已识别的风险。这些风险的情况发生变化了吗 7
- 实施风险应对措施。严格执行风险应对计划。
- 监测残余风险,注意次生风险, 识别新风险。
- 评估风险管理过程及风险应对计划的有效性。
- 与项目干系人沟通项目风险情况。必要时提出变更请求(包括纠正措施与预防措施建议),以便制定新的应对措施。
- 收集风险资料,更新风险登记册、 项目管理计划与组织过程资产。
5.6.1 技术绩效分析
用于分析偏离原计划的项目是否需要纠正行为,也就是启动应急计划.
用来针对项目的技术绩效(范围和质量绩效)。如果基于目前的技术绩效, 预测未来某个时点应该实现的某个功能将无法实现或者可能不符合质量要求,就存在范围或质量方面的风险
三、 输入输出
项目风险管理各过程的输入与输出之间的关系可以概括为如图 3.8.3.1 所示(未考虑事业环境因素、 组织过程资产和除风险登记册更新外的文件更新)
【图 3.8.3.1 】
- 规划风险管理:在项目章程的指导下,参考项目管理计划中已有的分项管理计划和项日基准,编制风险管理计划。
规划风险管理过程需要众多干系人的参与, 故需要干系人登记册 - 识别风险:
- 要识别对项目范围、进度、成本和质量目标有影响的风险,故需范围基准及进度、成本、 质量管理计划
- 在估算活动持续时间和估算活动成本时,需要针对每个活动识别风险,故需要活动持续时间估算和活动成本估算。
- 需要识别因人力资源问题造成的项目风险,故需人力资源管理计划
- 采购文件有助于识别将来合同中的风险
- 需要众多干系人参与,故需要干系人登记册
- 项目文件中的技术细节,有助于风险识别。
- 识别的结果,应记录在风险登记册中
- 风险定性分析:
- 在风险管理计划的指导下,对前一个过程得到的风险登记册中的风险进行定性分析。
- 范围基准中有关于项目复杂性、 假设条件、 制约因素的信息,有助于开展定性分析;范围基准中的 WBS 组件,便于针对这些组件开展定性分析
- 风险定量分析:
- 在风险管理计划的指导下,对前一个过程得到的风险登记册中的、需要量化分析的风险进行定量分析
- 由于可量化的风险大多是进度和成本方面的,所以还要依据进度管理计划和成本管理计划
- 规划风险应对:
- 在风险管理计划的指导下,根据定性和定量分析的结果(记录在风险登记册中),制定风险应对策略和措施
- 控制风险:
- 把体现在工作绩效数据中的风险实际情况与项目管理计划、 风险登记册中对风险的预计,进行比较,发现、记录并分析偏差,形成工作绩效信息,提出变更请求
四 工具技术
4.1 规划风险管理
- 【分析技术】可以利用各种分析技术分析项目背景,项目总体风险情况, 项目干系人的风险态度、偏好、临界值和承受力。
- 【会议】可以邀请主要干系人,召开风险管理规划会议,讨论项目的风险管理应该做到什么程度。
- 【专家判断】
4.2 识别风险
【审查】
通过对项目章程、项目合同、项目计划等文档的审查,能够识别出一些风险【信息收集技术】
包括头脑风暴、 德尔菲技术、 访谈和根本原因分析在内的各种信息收集技术,是识别风险时常用的技术【检查单】
根据过去项目的风险情况,建立风险检查单,用来检查在过去项目上存在的风险是否在本项目上也存在【假设和约束】
通过分析假设和约束条件中可能存在的问题,识别与假设约束条件有关的风险。【提示列表】
记录着按领域分类的大多数风险,有主意激发对风险来源的思考【图形技术】
各种图形技术,如因果图(鱼刺图)、 流程图、系统图、影响图,可以直观地展示各种因素之间的关系,有利于识别风险【 SWOT 】
了解项目内部的优势和劣势,项目外部的机会和威胁,从而更全面地识别项目风险【专家判断】
4.3 风险定性分析
【专家判断】
【风险数据质量评估】
首先要通过“风险数据质量评估”确认基础资料的质量。只有质量比较好的资料,才能用于后面的分析。
定性风险分析是主观的分析,本来就不是很可靠,如果所依据的基础资料再不可靠,定性分析的结果就没有意义【风险概率和影响评估】
运用定性方法评价风险发生的概率和影响,通常是把概率或影响分成低、中、高三档或更多档次;或者,在一定的数值范围内(如在大于 0 小于 1的范围内)主观打分【概率和影响矩阵】
在概率和影响评估的基础上,就可以把概率与影响综合起来或者相乘(如果是数字量表),来确定风险的严重性。对于相乘的结果,还可以根据乘积在“概率和影响矩阵”中的位置,把风险分成不同的级别,如严重风险、中等风险、轻微风险
【风险管理_概率影响矩阵】
【风险紧迫性评估】
那些很快就要发生,很快就要应对的风险,在风险清单中很可能要排在比较靠前的位置【风险分类】
在定性分析中,需要进行“风险分类”,以便发现高风险的项目领域
【风险管理_气泡图】
4.4 风险定量分析
【专家判断】
【数据收集与展示技术】
- 访谈是一种常用的数据收集技术。可以分别访谈一些专家,请他们给出关于项目工期、成本或其他方面的意见,再对他们的意见进行完全客观的汇总与分析
- 概率分布图是常用的数据展示技术。用于展示各活动的可能工期或成本的分布情况,以便作为后续定量分析的基础
【敏感性分析(不需使用概率分布图)】
- 用来确定某一变量的单位变化对项目的影响程度,也就是敏感性
- 固定其他变量并不断调整指定变量,以确定对结果的影响,主要用来分析在其它因素单个较高不确定性因素和其它相对稳定因素之间的相对重要程度
- 使用龙卷风图或斜线图
- 图中,X轴表示各因素对结果的影响的取值范围。Y轴表示各不确定性因素的名称,它们对结果的影响值和它们本身的取值。
对每一个不确定的决定因素,该图都包含了一个横杆和两组数字(分别在横杆的左边和右边)。
每组数字对应着该因素对结果的影响值(上面的数字,负数用括号括住了)和该因素本身的值(下面的数字,花括号内)
【风险管理_敏感性分析】
【预期货币价值分析(不需使用概率分布图)】
- 在考虑各种可能发生的情况的基础上,计算加权平均值,以便在两种或两种以上方案中做出选择。通常借助决策树来实现,所以又叫决策树分析
- 一般机会是正值,威胁是负值,同时乘以对应的概率并相加,得到的结果为预期货币价值
蒙特卡洛模拟(需要使用概率分布图)
用各项活动的多种可能工期(用概率分布图表示)为基础,对各种活动的可能工期进行随机组合,得出项目可能工期(从短到长)的累积概率分布图。
4.5 规划风险应对
【消极风险或威胁应对策略】
- 规避。
通过消灭原因来消除风险,如取消高风险的工作;
或者,把项目与某个风险隔离开来,如抢在雨季到来之前完成项目,使项目不受雨季的影响。
采取规避策略,通常要改变项目计划 - 减轻。设法降低风险发生的概率或(和)后果
- 转移。用一定的代价,把应对风险的责任与风险的后果,转移给第三方。通常,需要签署风险转移合同。
- 接受。
不主动管理风险。对于可承受的风险或无法用其他策略的风险,可以使用接受策略。
接受又分成两种:一种是被动接受,即不采取任何行动,顺其自然,风险发生后再说;另一种是主动接受,即预留应急储备,以便风险发生后使用
- 规避。
【积极风险或机会应对策略】
- 开拓
确保某个机会的出现 - 分享
- 提高
提高某个机会发生的概率或后果 - 接受
- 开拓
【应急风险应对】
应急应对策略是针对某些特殊事件的应急预案,其中包括启动预案的条件。通常是针对比较严重的威胁,而且这种威胁在发生前或发生时会有明显的征兆。一旦有了预案中规定的征兆,就需要启动应急预案【专家判断】
4.7 监督风险
【风险再评估】
在项目执行和监控过程中,需要定期或不定期对风险进行再评估【风险审计】
一种独立的结构化的审查,用来总结风险管理方面的经验教训,以便改进以后的风险管理工作【偏差和趋势分析】
基于对项目实际已发生的进度偏差和成本偏差的分析结果,来预测未来的进度绩效和成本绩效,分析未来的进度和成本风险【技术绩效测量】
用来针对项目的技术绩效(范围和质量绩效)。如果基于目前的技术绩效, 预测未来某个时点应该实现的某个功能将无法实现或者可能不符合质量要求,就存在范围或质量方面的风险【储备分析】
定期或不定期地对项目应急储备是否仍然合理进行分析。
如果不合理,就要提出调整建议( 变更请求)。
如果原先预计的某些风险实际并未发生,或者后果没有设想的严重,就需要调减应急储备,修改项目进度基准或成本基准。【会议】