第18章 项目风险管理

18.1 风险概述 risk
18.1.1 风险的定义
风险的定义有广义、狭义之分。 狭义的风险定义为 损失的不确定性，而 广义的风险定义为 带来损失的可能性，也指 可能获利的机会。狭义的风险表现为负面的影响，而广义的风险是一个中性词，表示在损失、获益之间的任意一种可能。本书采用广义的风险概念：风险是一种不确定的事件或条件，一旦发生，就会产生 积极或消极的影响。在企业管理中我们所说的风险通常是指由于激烈竞争的环境以及技术条件的改变，企业经营管理面临的不确定性。

18.1.2 风险的分类

按照性质划分（纯粹【只有损失】、投机）

（1）纯粹风险
纯粹风险是指只有损失可能性而无获利可能性的风险。
（2）投机风险
投机风险是相对于纯粹风险而言的，是指既有损失的可能又有获利机会的风险。

按照产生原因（自然、社会、政治、经济、技术）

（1）自然风险
如地震、风灾、水灾、火灾以及各种瘟疫等自然现象。
（2）社会风险
如盗窃、抢劫、玩忽职守及故意破坏等行为将可能对他人财产造成损失或人身造成伤害。
（3）政治风险
如因进口国发生战争、内乱而中止货物进口，因进口国实施进口或外汇管制等。
（4）经济风险
经济风险是指在生产和销售等经营活动中由于受各种市场供求关系、经济贸易条件等因素变化的影响或经营者决策失误，对前景预期出现偏差等导致经营失败的风险。比如企业生产规模的增减、价格的涨落和经营的盈亏等。
（5）技术风险
伴随着科学技术的发展、生产方式的改变而产生的威胁人们生产与生活的风险。如核辐射、空气污染和噪音。
（22年上广东，18年上案例）

18.1.3 风险的性质（客观、偶然、相对、社会、不确定）

（1）客观性
风险是一种不以人的意志为转移，独立于人的意识之外的客观存在。
（2）偶然性
由于信息的不对称，未来风险事件发生与否难以预测。
（3）相对性
风险性质会因时空各种因素变化而有所变化。
（4）社会性
风险的后果与人类社会的相关性决定了风险的社会性，具有很大的社会影响力。
（5）不确定性
发生时间的不确定性。从总体上看，有些风险是必然要发生的，但何时发生却是不确定性的。例如，生命风险中，死亡是必然发生的，这是人生的必然现象，但是具体到某一个人何时死亡，在其健康时却是不能确定的。

18.2 项目风险管理

项目风险管理6个过程（规识性量应控）

项目风险管理包括规划风险管理、识别风险、实施风险分析、规划风险应对和控制风险等各个过程。项目风险管理的目标在于提高项目中积极事件的概率和影响，降低项目中消极事件的概率和影响。20年下已考
（1）规划风险管理
它是定义如何实施项目风险管理活动的过程。
（2）识别风险
它是判断哪些风险可能影响项目并记录其特征的过程。
（3）实施定性风险分析
它是评估并综合分析风险的发生概率和影响，对风险进行优先排序，从而为后续分析或行动提供基础的过程。
（4）实施定量风险分析
它是就已识别风险对项目整体目标的影响进行定量分析的过程。
（5）规划风险应对
它是针对项目目标，制定提高机会、降低威胁的方案和措施的过程。
（6）控制风险
它是在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险，以及评估风险过程有效性的过程。

组织和干系人的 风险态度 影响因素（3类：风险 偏好、承受力、临界值）

组织和干系人的风险态度受多种因素影响，这些因素大体可分为以下三类。
（1）风险偏好
为了预期的回报，一个实体愿意承受不确定性的程度。
（2）风险承受力
组织或个人能承受的风险程度、数量或容量。
（3）风险临界值
干系人特别关注的特定的不确定性程度或影响程度。低于风险临界值，组织会接受风险；高于风险临界值，组织将不能承受风险。

18.3 规划风险管理
规划风险管理是定义如何实施项目风险管理活动的过程。本过程的主要作用是确保风险管理的程度、类型和可见度与风险及项目对组织的重要性相匹配。

18.3.1 规划风险管理的输入
（1）项目管理计划
（2）项目章程
（3）干系人登记册
（4）事业环境因素
（5）组织过程资产

18.3.2 规划风险管理的工具与技术
（1）分析技术
（2）专家判断
（3）会议

18.3.3 规划风险管理的输出
风险管理计划是项目管理计划的组成部分，描述将如何安排与实施风险管理活动。风险管理计划包括以下内容。

风险管理计划包括（10个）

1）方法论
确定项目风险管理将使用的方法、工具及数据来源。
2）角色与职责
确定风险管理计划中每个活动的责任者和支持者，以及风险管理团队的成员，并明确其职责。
3）预算
根据分配的资源估算所需资金，并将其纳入成本基准，制定应急储备和管理储备的使用方案。
4）时间安排
确定在项目生命周期中实施风险管理过程的时间和频率，制定进度应急储备的使用方案，确定风险管理活动并纳入项目进度计划中。
5）风险类别
规定对潜在风险成因的分类方法。有多种方法可以使用，常用的方法一般是基于项目目标的分类方法。风险分解结构（Risk Breakdown Structure, RBS）有助于项目团队在识别风险的过程中发现有可能引起风险的多种原因，不同的RBS适用于不同类型的项目。组织可使用预先准备好的分类框架，可以是简易的分类清单或结构化的风险分解结构。RBS是按风险类别排列的一种层级结构。
6）风险概率和影响的定义
为了确保风险分析的质量和可信度，项目经理需要对项目环境中特定的风险概率和影响的不同层次进行定义。在规划风险管理过程中，应根据具体项目的需要，裁剪通用的风险概率和影响定义，供后续过程使用。
7）概率和影响矩阵
概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。根据风险可能对项目目标产生的影响，对风险进行优先排序。进行排序的典型方法是使用查询表或概率和影响矩阵。通常由组织来设定概率和影响的各种组合，并据此设定高、中、低风险级别。
8）修订的干系人承受力
可在规划风险管理过程中对干系人的承受力进行修订，以适应具体项目的情况。
9）报告格式
规定将如何记录、分析和沟通风险管理过程的结果，规定风险登记册及其他风险报告的内容和格式。
10）跟踪
规定将如何记录风险活动，促进当前项目的开展，以及将如何审计风险管理过程。

18.4 识别风险
识别风险（Identity Risks）是判断哪些风险可能影响项目并记录其特征的过程。本过程的主要作用是把识别出的风险记录在案，并为项目团队预测未来事件积累知识和技能。
风险识别是一项反复过程。随着项目生命周期的推进，新风险可能会不断出现。风险识别贯穿项目始终。（19年下案例）
项目经理应鼓励全体项目人员参与潜在风险的识别工作。（全员、全过程）

风险识别的原则
（1）由粗及细，由细及粗。
（2）严格界定风险内涵并考虑风险因素之间的相关性。
（3）先怀疑，后排除。
（4）排除与确认并重。对于肯定不能排除但又不能肯定予以确认的风险按确认考虑。
（5）必要时，可作实验论证。

风险事故：指造成死亡、疾病、伤害、损坏或者其他损失的意外情况。风险事故是酿成事故和损失的直接原因和条件。
风险因素：指引起或增加风险事故发生的机会或扩大损失幅度的原因和条件。构成风险因素的条件越多，发生损失的可能性就越大，损失就会越严重。

18.4.1 识别风险的输入
（1）风险管理计划
（2）成本管理计划
（3）进度管理计划
（4）质量管理计划
（5）人力资源管理计划
（6）范围基准
（7）活动成本估算
（8）活动持续时间估算
（9）干系人登记册
（10）项目文件
（11）采购文件
（12）事业环境因素
（13）组织过程资产

18.4.2 识别风险 的工具与技术

1、文档审查
对项目文档(包括各种计划、假设条件、以往的项目文档、协议和其他信息)进行结构化审查。项目计划的质量，以及这些计划与项目需求和假设之间的匹配程度，都可能是项目的风险指示器。

2、信息收集技术
1）头脑风暴
头脑风暴的目的是获得一份综合的项目风险清单。通常由项目团队开展头脑风暴，团队以外的多学科专家也经常参与其中。在主持人的引导下，参加者提出各种关于项目风险的主意。头脑风暴可采用畅所欲言的传统自由模式，也可采用结构化的集体访谈方式。可用风险类别(如风险分解结构中的)作为基础框架，然后依风险类别进行识别和分类，并进一步阐明风险的定义。
2）德尔菲技术
德尔菲技术是组织专家达成一致意见的一种方法。项目风险专家匿名参与其中。组织者使用调查问卷就重要的项目风险征询意见，然后对专家的答卷进行归纳，并把结果反馈给专家做进一步评论。这个过程反复几轮后，就可能达成一致意见。德尔菲技术有助于减轻数据的偏倚，防止任何个人对结果产生不恰当的影响。
3）访谈
4）根本原因分析

3、核对单分析
可以根据以往类似项目和其他来源的历史信息与知识编制风险识别核对单。也可用风险分解结构的底层作为风险核对单。核对单简单易用但无法穷尽所有事项。在使用中，项目经理应该注意不要用核对单取代必要的风险识别努力，团队应该注意考察未在核对单中列出的事项，对核对单要随时调整，以便增减相关条目。在项目收尾过程中，应对核对单进行审查，并根据新的经验教训改进核对单，供未来项目使用。

4、假设分析
每个项目及其计划都是基于一套假想、设想或假设而构建的。假设分析是检验假设条件在项目中的有效性，并识别因其中的不准确、不稳定、不一致或不完整而导致的项目风险。

5、图解技术
风险图解技术可包括：
（1）因果图，又称石川图或鱼骨图，用于识别风险的起因。
（2）系统或过程流程图，显示系统各要素之间的相互联系及因果传导机制。
（3）影响图，用图形方式表示变量与结果之间的因果关系、事件时间顺序及其他关系。

6、SWOT分析
这种技术从项目的每个优势（Strength)、劣势（Weakness)、机会（Opportunity）、威胁（Threat）出发，对项目进行考察，把产生于内部的风险都包括在内，从而更全面地考虑风险。首先，从项目、组织或一般业务范围的角度识别组织的优势和劣势。然后，通过SWOT分析再识别出由组织优势带来的各种项目机会，以及由组织劣势引发的各种威胁。这一分析也可用于考察组织优势能够抵消威胁的程度，以及机会可以克服劣势的程度。

7、专家判断
拥有类似项目或业务领域经验的专家，可以直接识别风险。项目经理应该选择相关专家，邀请他们根据以往经验和专业知识客观地指出可能的风险。

18.4.3 识别风险的输出
风险登记册，最初的风险登记册包括如下信息。
1）已识别风险清单
2）潜在应对措施清单

22年上案例：
问题3（4分）请将下面(1)~(4)的答案填写在答题纸的对应栏内。
风险登记册的编制始于（1）过程，在项目实施过程中供（2）过程和项目管理过程使用。最初的风险登记册包括如下信息：（3）和（4）。
(1)识别风险 (2)其他风险管理 (3)已识别的风险清单 (4) 潜在应对措施清单

18.5 实施定性风险分析
实施定性风险分析是评估并综合分析风险的概率和影响，对风险进行优先排序，从而为后续分析或行动提供基础的过程。本过程的主要作用是，使项目经理能够降低项目的不确定性级别，并重点关注高优先级的风险。
实施定性风险分析根据风险发生的概率或可能性、风险发生后对项目目标的相应影响及其他因素（如应对时间要求，与项目成本、进度、范围和质量等制约因素相关的组织风险承受力），来评估已识别风险的优先级。
实施定性风险分析通常可以快速且经济有效地为制订风险应对措施建立优先级，可以为实施定量风险分析（如果需要的话）奠定基础。

18.5.1 实施定性风险分析的输入
（1）风险管理计划
（2）范围基准
（3）风险登记册
（4）事业环境因素
（5）组织过程资产

18.5.2 实施 定性 风险分析的工具与技术

1、风险概率和影响评估
风险概率评估旨在调查每个具体风险发生的可能性。风险影响评估旨在调查风险对项目目标(如进度、成本、质量或性能)的潜在影响，既包括威胁所造成的消极影响，也包括机会所产生的积极影响。项目经理应该对已识别的每个风险都要进行概率和影响评估，可以选择熟悉相应风险类别的人员，以访谈或会议的形式进行风险评估。在进行项目风险评估时,应该包括项目团队成员和项目外部经验丰富的人员。通过访谈或会议方式评估每个风险的概率级别及其对每个目标的影响，还应记录相应的说明性细节。例如,确定风险级别所依据的假设条件。根据风险管理计划中的定义，对风险概率和影响进行评级，具有低概率和影响的风险,将列入风险登记册中的观察清单，供将来监测。

2、概率和影响矩阵
根据风险发生的概率及发生后对目标的影响程度，对每个风险进行评级。组织应该规定怎样的概率和影响组合是高风险、中等风险和低风险。在黑白矩阵里，用不同的灰度表示不同的风险级别。深灰色(数值最大)区域代表高风险，中度灰色(数值最小)区域代表低风险，而浅灰色(数值介于最大和最小之间)区域代表中等风险。通常，在项目开始之前，组织就要制定风险评级规则，并将其纳入组织过程资产。在规划风险管理过程中，应该根据具体项目的实际，对风险评级规则进行裁剪。

风险值 = 风险发生的概率 * 风险发生后的后果

3、风险数据质量评估
风险数据质量评估是评估风险数据对风险管理的有用程度的一种技术，用来考察人们对风险的理解程度，以及考察风险数据的准确性、质量、可靠性和完整性。风险数据的质量，直接影响定性分析的结果。

4、风险分类
可以按照风险来源(如使用风险分解结构)、受影响的项目工作(如使用工作分解结构)或其他有效分类标准(如项目阶段)对项目风险进行分类，以确定受不确定性影响最大的项目区域。也可以根据风险共同的根本原因进行分类，利用风险分类计数有助于为制定有效的风险应对措施而确定工作包、活动、项目阶段，甚至项目中的角色。

5、风险紧迫性评估
综合考虑风险的紧迫性及从概率和影响矩阵中得到的风险等级，从而得到最终的风险严重性级别。

6、专家判断
为了确定风险在矩阵中的位置，组织需要使用专家判断来评估每个风险的概率和影响。专家通常是那些具有新近类似项目经验的人。专家判断经常可通过风险研讨会或访谈来获取。应该注意消除某个专家的偏见。

18.5.3 实施定性 风险分析的输出

（1）风险登记册

① 每个风险的概率和影响评估
  ② 风险评级和分值
  ③ 风险紧迫性或风险分类
  ④ 低概率风险的观察清单
  ⑤ 需要进一步分析的风险

（2）假设条件日志

随着定性风险评估产生出新信息，假设条件可能发生变化。需要根据这些新信息来调整假设条件日志。假设条件可包含在项目范围说明书中，也可记录在独立的假设条件日志中。

18.6 实施定量风险分析
实施定量风险分析是就已识别风险对项目整体目标的影响进行定量分析的过程。 本过程的主要作用是，产生量化风险信息，来支持决策制定，降低项目的不确定性。
实施定量风险分析的对象是在定性风险分析过程中被确定为对项目的竞争性需求存在重大潜在影响的风险。实施定量风险分析过程就是分析这些风险对项目目标的影响，主要用来评估所有风险对项目的总体影响。在进行定量分析时，也可以对单个风险分配优先级数值。
实施定量风险分析一般在实施定性风险分析过程之后开展，在没有足够的数据建立模型的时候，定量风险分析可能无法实施。

18.6.1 实施定量风险分析的输入
风险管理计划
成本管理计划
进度管理计划
风险登记册
事业环境因素
组织过程资产

18.6.2 实施 定量 风险分析的工具与技术

1、数据收集和展示技术

① 访谈
访谈技术利用经验和历史数据，对风险概率及其对项目目标的影响进行量化分析。
② 概率分布
在建模和模拟中广泛使用的连续概率分布，代表着数值的不确定性，如进度活动的持续时间和项目组成部分成本的不确定性。不连续分布用于表示不确定性事件，如测试结果或决策树的某种可能情景等。广为使用的两种连续概率分布：贝塔分布、三角分布。这些分布的形状与量化风险分析中得出的典型数值相符。如果在具体的最高值和最低值之间，没有哪个数值的可能性比其他数值更高，就可以使用均匀分布，如在早期的概念设计阶段。

2、定量风险分析和建模技术

常用的技术有面向事件和面向项目的分析方法，包括：

① 敏感性分析（确定 最大的 潜在影响），龙卷风图

敏感性分析有助于确定哪些风险对项目具有最大的潜在影响。它有助于理解项目目标的变化与各种不确定因素的变化之间存在怎样的关联。把所有其他不确定因素固定在基准值上，考察每个因素的变化会对目标产生多大程度的影响。敏感性分析的典型表现，形式是龙卷风图(如图18-11所示)，用于比较很不确定的变量与相对稳定的变量之间的相对重要性和相对影响。对于那些定量分析显示可能收益大于消极影响的特定风险，龙卷风图也有助于分析冒险情景。龙卷风图是在敏感性分析中用来比较不同变量的相对重要性的一种特殊形式的条形图。在龙卷风图中，Y轴代表处于基准值的各种不确定因素，X轴代表不确定因素与所研究的输出之间的相关性。图中每种不确定因素各有一根水平条形，从基准值开始向两边延伸。这些条形按延伸长度递减垂直排列。

② 预期货币价值分析（EMV），在决策树分析中使用

预期货币价值(Expected Monetary Value ，EMV)分析是当某些情况在未来可能发生或不发生时，计算平均结果的一种统计方法(不确定性下的分析)。
机会的EMV 通常表示为正值，而威胁的EMV则表示为负值。
EMV是建立在风险中立的假设之上的，既不避险，也不冒险。

把每个可能结果的数值与其发生的概率相乘，再把所有乘积相加，就可以计算出项目的EMV。

这种技术经常在决策树分析中使用（如图 18-12 所示)。

③ 建模和模拟（蒙特卡洛技术）

项目模拟旨在使用一个模型，计算项目各细节方面的不确定性对项目目标的潜在影响。模拟通常采用蒙特卡洛技术。在模拟中，要利用项目模型进行多次(反复)计算。每次计算时，都从这些变量的概率分布中随机抽取数值(如成本估算或活动持续时间)作为输入。通过多次计算，得出一个概率分布直方图(如总成本或完成日期)。
对于成本风险分析，需要使用成本估算进行模拟。
对于进度风险分析，需要使用进度网络图和持续时间估算进行模拟。
图 18-13 是用三元模型和风险区间得出的成本风险模拟结果，它表明了实现各个特定成本目标的可能性。对其他项目目标也能画出类似曲线。

蒙特卡罗方法又称统计模拟法、随机抽样技术，是一种随机模拟方法，以概率和统计理论方法为基础的一种计算方法，是使用随机数（或更常见的伪随机数）来解决很多计算问题的方法。将所求解的问题同一定的概率模型相联系，用电子计算机实现统计模拟或抽样，以获得问题的近似解。为象征性地表明这一方法的概率统计特征，故借用赌城蒙特卡罗命名。

3、专家判断

专家判断（最好来自具有近期相关经验的专家）用于识别风险对成本和进度的潜在影响,估算概率及定义各种分析工具所需的输入,如概率分布。专家判断还可在数据解释中发挥作用。专家应该能够识别各种分析工具的劣势与优势。根据组织的能力和文化，专家可以决定某个特定工具应该或不应该在何时使用。

18.6.3 实施定量 风险分析的输出

项目文件更新

项目文件要随着定量风险分析产生的信息而更新。例如，风险登记册更新包括：
（1）项目的概率分析
（2）实现成本和时间目标的概率
（3）量化风险优先级清单
（4）定量风险分析结果的趋势

18.7 规划风险应对
规划风险应对是针对项目目标，制订提高机会、降低威胁的方案和措施的过程。本过程也叫“制订风险应对措施，或者叫制订风险应对计划”，其主要作用是，根据风险的 优先级 来制定应对措施，并把风险应对所需的 资源 和 活动 加进项目的预算、进度计划和项目管理计划中。
当风险出现时，不同的人会持有不同的态度，如：1、厌恶型（否定）2、促进型（积极）3、中间型（中间）

18.7.1 规划风险应对的输入
（1）风险管理计划
（2）风险登记册

18.7.2 规划风险应对 的工具与技术

消极风险或威胁 的应对策略

① 规避

如延长进度、改变策略或缩小范围等。最极端的规避策略是关闭整个项目。在项目早期出现的某些风险，可以通过澄清需求、获取信息、改善沟通或取得专有技能来加以规避。

② 转移

风险转移采用的工具：包括（但不限于）保险、履约保函、担保书和保证书等。可以利用合同或协议把某些具体风险转移给另一方。
例如，如果买方具备卖方所不具备的某种能力，为谨慎起见，可通过合同规定把部分工作及其风险再转移给买方。在许多情况下，成本补偿合同可把成本风险转移给买方，而总价合同可把风险转移给卖方。

③ 减轻

减轻措施的例子包括采用不太复杂的流程，进行更多的测试，或者选用更可靠的供应商。
它可能需要开发原型，以降低从实验台模型放大到实际工艺或产品过程中的风险。如果无法降低风险概率，也许可以从决定风险严重性的关联点入手，针对风险影响来采取减轻措施。例如，在一个系统中加入冗余部件，可以减轻主部件故障所造成的影响。

④ 接受

风险接受是指项目团队决定接受风险的存在，该策略可以是被动或主动的。
被动接受策略：不采取任何措施，只需要记录本策略，而无需任何其他行动，待风险发生时再由项目团队处理。不过，需要定期复查，以确保威胁没有太大的变化。
主动接受的策略：要在风险发生前制定应急计划。最常见的主动接受策略是建立应急储备，安排一定的时间、资金或资源来应对风险。

积极风险或机会 的应对策略

① 开拓

如果组织想要确保机会得以实现，就可对具有积极影响的风险采取本策略。本策略旨在消除与某个特定积极风险相关的不确定性，确保机会肯定出现。直接开拓包括把组织中 最有能力的资源 分配给项目来缩短完成时间，或者采用全新或改进的技术来节约成本，缩短实现项目目标的持续时间。

② 提高

本策略旨在提高机会的发生概率和积极影响。识别那些会影响积极风险发生的关键因素，并使这些因素最大化，以提高机会发生的概率。提高机会的例子包括为尽早完成活动而 增加资源。

③ 分享

分享积极风险是指把应对机会的部分或全部责任分配给最能为项目利益抓住该机会的第三方。分享的例子包括建立风险共担的合作关系和团队，以及为特殊目的成立公司或联营体，以便充分利用机会，使各方都从中受益。

④ 接受

接受机会是指当机会发生时乐于利用，但不主动追求机会。

3、应急应对策略
可以针对某些特定事件，专门设计一些应对措施。对于有些风险，项目团队可以制定应急应对策略，即只有在某些预定条件发生时才能实施的应对计划。如果确信风险的发生会有充分的预警信号，就应该制定应急应对策略。应该对触发应急策略的事件进行定义和跟踪，例如，未实现阶段性里程碑，或者获得供应商更高程度的重视。采用这一技术制定的风险应对方案，通常称为应急计划 或 弹回计划，其中包括已识别的、用于启动计划的触发事件。
弹回计划是针对一个风险所制定的备用应对计划，以便在主应对计划不起作用的情况下使用。

4、专家判断
由具有相关知识者为每个具体的、已定义的风险的应对措施做出专家判断。专家判断可以来自具有特定教育、知识、技能、经验或培训背景的任何小组或个人。

18.7.3 规划风险应对的输出
1、项目管理计划更新
2、项目文件更新
在规划风险应对过程中,应该根据需要更新若干项目文件。例如,选择和商定的风险应对措施应该列入风险登记册。风险登记册的详细程度应与风险的优先级和将要采取的应对措施相适应。通常,应该详细说明高风险和中风险,而把低优先级的风险列入观察清单，以便定期监测。
风险登记册的更新应该包括(但不限于)：
（1）风险责任人及其职责；（2）商定的应对策略；（3）实施所选应对策略所需要的具体行动；（4）风险发生的触发条件、征兆和预警信号；（5）实施所选应对策略所需要的预算和进度活动；（6）应急计划及启动应急计划的触发因素；（7）弹回计划，以便在风险发生并且主要应对措施无效时使用；（8）在采取预定应对措施之后仍然存在的残余风险，以及已经有意接受的风险；（9）实施风险应对措施直接导致的次生风险；（10）根据项目的定量风险分析及组织的风险临界值，计算出来的应急储备。

18.8 控制风险
控制风险是在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险，以及评估风险过程有效性的过程。本过程的主要作用是，在整个项目生命周期中提高应对风险的效率，不断优化风险应对措施。

18.8.1 控制风险的输入

（1）项目管理计划
（2）风险登记册
（3）工作绩效数据
   ① 可交付成果的状态   ② 进度进展情况   ③ 已经发生的成本
（4）工作绩效报告
工作绩效报告是从绩效测量值中提取信息并进行分析的结果，提供关于项目工作绩效的信息，包括偏差分析结果、挣值数据和预测数据等。这些数据有助于控制与绩效有关的风险。

18.8.2 控制风险的工具与技术

（1）风险再评估
在控制风险中，经常需要识别新风险，对现有风险进行再评估，以及删去已过时的风险。应该定期进行项目风险再评估。反复进行再评估的次数和详细程度，应该根据相对于项目目标的项目进展情况而定。
（2）风险审计
风险审计是检查并记录风险应对措施在处理已识别风险及其根源方面的有效性，以及风险管理过程的有效性。
（3）偏差和趋势分析
很多控制过程都会借助偏差分析来比较计划结果与实际结果。为了控制风险,应该利用绩效信息对项目执行的趋势进行审查。可使用挣值分析,以及项目偏差与趋势分析的其他方法,对项目总体绩效进行监控。这些分析的结果可以揭示项目在完成时可能偏离成本和进度目标的程度。与基准计划的偏差可能表明威胁或机会的潜在影响。
（4）技术绩效测量
技术绩效测量是把项目执行期间所取得的技术成果与计划取得的技术成果进行比较。
（5）储备分析
在项目实施过程中，可能发生一些对预算或进度应急储备有积极或消极影响的风险。储备分析是指在项目的任何时间点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理。
（6）会议
项目风险管理应该是定期状态审查会中的一项议程。该议程所占用的会议时间长短取决于已识别的风险及其优先级和应对难度。越经常开展风险管理，风险管理就会变得越容易。经常讨论风险，可以促使人们识别风险和机会。

18.8.3 控制风险的输出（变更请求—>推荐的纠正措施—>权变措施）

（1）工作绩效信息

（2）变更请求
有时，实施应急计划或权变措施会导致变更请求。变更请求要提交给实施整体变更控制过程审批。变更请求也可包括推荐的纠正措施和预防措施。
1）推荐的纠正措施
为了使项目工作绩效重新符合项目管理计划而开展的活动，包括应急计划和权变措施。后者是针对以往未曾识别或被动接受的、目前正在发生的风险而采取的、未经事先计划的应对措施。
2）推荐的预防措施
为确保未来的项目工作绩效符合项目管理计划而开展的活动。

（3）项目管理计划更新
（4）项目文件更新
（5）组织过程资产更新