第十一章 项目风险管理

11.1 规划风险管理

11.2 识别风险

11.3 实施定性风险分析

11.4 实施定量风险分析

11.5 规划风险应对

11.6 实施风险应对

11.7监督风险

风险是：0<发生概率<1的事(未来可能发生或可能不发生的事件)->风险登记册

问题是：发生概率=1(一定发生)的事->问题日志

风险分为正面机会和负面威胁；

风险有两个属性：(发生的)概率和(造成的)影响;

风险值=概率*影响 (威胁的影响是负数、机会的影响是正数)

风险管理的目的:就是提高正面的机会、降低负面的威胁;

•风险敞口：未加保护的风险值，不采取防范措施而可能导致的损失值

•风险临界值：可接受的、不必采取防范措施而可能导致的损失值;

反映了组织与项目相关方的风险偏好程度、是项目目标的可接受的变异程度;

应该明确规定风险临界，并传达给项目团队，同时反映在项目的风险影响级别定义中；

•风险承受力：能接受的风险最大值

Ex：如果项目成本超支5%必须采取相应措施、超支15%终止项目

5%是风险临界值、15%是风险承受能力

•单个风险和整体风险

单个风险：一旦发生会对一个或多个项目目标产生正面或负面影响的不确定事件；

整体风险：有时不是所有单个风险的和，而是乘积、甚至是指数；

整体项目风险是已经识别出来的所有单个项目风险，和未识别出来的全部其他不确定性来源；

大多数风险可以预测和管理、未知-未知风险不能进行主动管理（需要分配管理储备）

被接受的风险也无需主动管理（可分配应急储备或不采取任何措施）

•事件类风险：事件发生或不发生所带来的影响

•非事件类风险分为:

·变异类风险

事情的某些因素会产生变化，从而导致的影响

变异类风险采用模拟技术应对，确定变化区间

·模糊型风险

对事物完全不了解、超出认知范围的风险

模糊型风险采用标杆对照、增量开发、原型法来应对(一点点做)

•项目韧性:项目遭遇风险冲击后、恢复原状的能力

•提高韧性的方法有（应对突发性风险，未知-未知）

预留充足的储备；

过程灵活（增加项目韧性）；

授权明确；

关注早期信号；

11.1 规划风险管理（规划过程组）

•定义

定义如何实施项目风险管理活动的过程

•作用

确保风险管理水平/方法/可见度

匹配项目风险程度及项目对组织和其他相关方的重要性

• 输入

1.项目章程⭐️

包含高层级风险、范围和需求

2.项目管理计划

3.项目文件(相关方登记册)

包含项目相关方的详细信息,并概述其在项目中的角色和对项目风险的态度；

可用于确定项目风险管理的角色和职责,以及为项目设定风险临界值；

4.事业环境因素

5.组织过程资产

• 工具与技术

1.专家判断

2.数据分析

相关方分析：确定项目相关方的风险偏好

3.会议

在如何管理风险上,达成共识

• 输出

1.风险管理计划⭐️

描述如何管理风险；

•内容包括（下面有详细解释）

·战略、方法论；

·角色和职责：每项风险管理活动的领导者、支持者、团队成员；

·资金；

·时间安排；

·相关方的风险偏好、临界值；

·风险类别；

·风险概率和影响定义；

·概率和影响矩阵；

•风险类别通常借助风险分解结构(RBS)来表现

风险类别：

1.技术风险

Ex：范围定义、需求定义、技术…

2.管理风险

Ex：资源调配的不确定性、沟通、项目管理…

3.商业风险

恶性：合同、采购、供应商…

4.外部风险

Ex：法律、汇率、环境、竞争…

•风险概率和影响定义

没有具体的风险，只有对风险等级的解释；

依据具体的项目环境、组织和相关方的风险偏好和临界值、来判定风险概率和影响定义；

•概率和影响矩阵

把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格；

根据风险可能对项目目标产生的影响，对风险进行优先排序；

❗️风险管理计划中没有

具体的风险描述和风险应对措施；

11.2 识别风险（规划过程组）

•定义

识别单个&整体项目风险来源，并记录风险特征；

•作用

记录现有风险来源；

汇集相关信息，恰当应对已识别风险；

• 输入

1.项目管理计划

2.项目文件

3.协议(条款中包含风险)

4.采购文档

5.事业环境因素

6.组织过程资产

• 工具与技术

1.专家判断

2.数据收集

·头脑风暴：可识别无法遇见的新风险；

·核对单：常被用作提醒。基于从类似项目和其他信息来源积累的历史信息和知识来编制核对单；

核对单是吸取已完成的类似项目的经验教训的有效方式，可以列出以前出现且可能与新项目有关的具体单个项目风险；

Ex：正在实施的新项目与上一个项目非常相似、可用核对单技术快速识别项目的具体风险；

❗️以下四个过程都要用到核对单：制定项目管理计划、管理质量、控制质量、识别风险

·访谈

3.数据分析

•根本原因分析

识别导致问题的深层次原因并制定预防措施

•假设条件和制约因素(记录在假设日志中)

检验假设条件和制约因素在项目中的有效性；

并识别因其中的不确定、不稳定、不一致或不完整而导致的项目风险；

•SWOT分析⭐️

优势、劣势、机会、威胁

SWOT分析从内部外部、积极消极两个维度综合分析项目的优势、劣势、机会、威胁

找出组织优势能为项目带来的机会，组织劣势可能造成的威胁

•文件分析

4.人际关系与团队技能

引导

5.提示清单⭐️

提供思路、从这些方向识别风险；

定义：关于可能引发风险的来源预设清单（风险类别）

作用：可作为框架用于协助项目团队形成想法

来源：可用风险分解结构底层的风险类别作为提示清单，识别单个项目风险

❗️常见的战略框架：

PESTLE(政治、经济、社会、技术、法律、环境)

TECOP(技术、环境、商业、运营、政治)

VUCA(易变性、不确定性、复杂性、模糊性)

6.会议

• 输出

1.风险登记册⭐️

定义：记录已识别单个风险的详细信息

更新：随着其他风险管理过程的实施

内容：

已识别风险的清单：对已识别风险进行描述（风险清单及描述）；

(潜在)风险责任人；

(潜在)风险应对措施清单；

•风险可能应对结果也要记进风险登记册，取决于具体的项目变量(如规模和复杂性)

•可能包含有限或广泛的风险信息；

2.风险报告⭐️

·整体项目风险来源

·单个项目风险概述

❗️风险报告在识别风险过程中首次创建，之后会一直更新

3.项目文件更新

·假设日志

·问题日志

·经验教训登记册

11.3 实施定性风险分析（规划过程组）

•定义

评估单个项目风险发生的概率和影响以及其特征，排序风险；

•作用

重点关注高优先级风险；

• 输入

1.项目管理计划

风险管理计划

2.项目文件

假设日志

风险登记册

相关方登记册

3.事业环境因素

4.组织过程资产

• 工具与技术

1.专家判断

2.数据收集

访谈

3.数据分析

•风险数据质量评估

评估风险数据的准确性和可靠性；

确定风险评估是否有效，是否需要重新收集数据；

•风险概率和影响评估⭐️

风险概率评估：调查每个具体风险发生的可能性；

风险影响评估：调查风险对目标潜在影响（积极或消极）；

•其他风险参数评估

4.人际关系与团队技能

引导

5.风险分类

·风险分类的常用标准

工作分解结构WBS：可以明确每个WBS要素会受到哪些风险的影响

风险的根本原因：有助于制定有效的风险应对措施

项目阶段：明确项目不同阶段面临的风险情况

6.数据表现⭐️

•概率和影响矩阵（标准化的风险级别矩阵）

一般由执行组织来设定概率和影响的各种组合、根据组织的偏好来设定风险级别；

为风险优先级排序提供客观标准

重复开展定性分析时，也需要评估风险的发展趋势；

•层级图（气泡图）

使用了三个参数对风险进行分类(能显示三维数据);

可监测性、临近性、气泡大小(风险大小);

对于可监测性低、临近性低、风险值低的小气泡可以接受;

7.会议

风险研讨会

• 输出

1.项目文件更新

•假设日志

•问题日志

•风险登记册

•风险报告1.0

整体项目风险的来源；

简要概论；

所有风险优先级列表；

最重要单个项目风险；

单个项目风险的概述；

11.4 实施定量风险分析（规划过程组）

•定义

就已识别的风险和其他不确定性对整体目标影响进行定量分析过程；

•作用

量化整体项目风险敞口，并提供额外的定量风险信息，以支持风险应对规划；

• 输入

1.项目管理计划

·风险管理计划

·范围基准

·进度基准

·成本基准

2.项目文件

3.事业环境因素

4.组织过程资产

• 工具与技术

1.专家判断

2.数据收集

•访谈

3.人际关系与团队技能

•引导

4.不确定性表现方式

选择不确定性对展现模型

·三角分布

·贝塔分布

·均匀分布（掷骰子）

不确定性表现方式：

•概率分支：

风险的发生与任何计划活动都没有关系；

与活动无关的风险以及其他不确定性来源，都可以用概率分支表示；

5.数据分析

•模拟：模拟风险对目标的准确影响，通常采用蒙特卡洛技术（处理变异性风险）

项目成本的S曲线图中会表示项目成本的不确定性区间、实现特定成本目标的概率；

可能的最小成本与最大成本的区间、以及每一个特定成本值相关的概率；

•敏感性分析（龙卷风图）

敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响；

确定哪些风险对项目的影响最大；

按绝对值大小排列、重点关注绝对值数值最大的风险；

·必须针对某个具体变量来做分析，可以是单个项目风险、易变的项目活动或、具体的不明确性来源，而不能直接针对项目整体风险；

·敏感性分析是最常用的单因素分析，把其他因素固定在一个基准值，分析某因素变化对进度影响最大，从而重点管理；

•决策树分析

用来计算各种备选方案的预期货币价值；

在若干个行动方案中选择一个最佳方案

不同分支代表不同方案，计算各分支预期货币价值（EMV），选最大的

❗️预期货币价值=分支概率×(分支收入-分支成本)

•影响图

风险与风险之间，风险和结果之间的相互影响关系；

影响图可以建立与风险有关的情景，找出不确定性的各种因素，以便进一步使用模拟或敏感性分析来量化这些因素的影响；

• 输出

1.项目文件更新

•风险报告2.0

更新风险报告，反应定量分析风险的结果

•对整体项目风险敞口的评估结果

•项目详细概率分析的结果

•单个项目风险优先级清单：列出对项目造成最大威胁或产生最大机会的单个项目风险

•定量分析分析结果的趋势

•风险应对建议：针对整体项目风险敞口或关键单个项目风险提出应对建议

11.5 规划风险应对（规划过程组）

•定义

为处理整体项目风险敞口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程

•作用

制定应对整体项目风险和单个项目风险的适当方法

风险应对措施：

应该与风险的重要性相匹配；

需要所有相关方同意；

由一名责任人具体负责；

•分配资源，并根据需要将相关活动添加进项目文件和项目管理计划

•风险应对方案应该：与风险的重要性相匹配、能获得全体相关方的同意、并由一名责任人具体负责

•次生风险是：实施风险应对措施而直接导致的风险

•应急计划(弹回计划)：

• 输入

1.项目管理计划

•资源管理计划

•风险管理计划

•成本基准

2.项目文件

•经验教训登记册

•项目进度计划

•项目团队派工单

•资源日历

•风险登记册

•风险报告

•相关方登记册

3.事业环境因素

4.组织过程资产

• 工具与技术

1.专家判断

2.数据收集

•访谈

3.人际关系与团队技能

•引导

4.威胁应对策略

❗️先判断是威胁还是机会

上报：超出项目经理范围

规避：（提供足够的资源是规避）

减轻：采取措施来降低威胁发生的概率或影响（提供资源是减轻）

Ex：采用简单的流程、进行更多次测试、选用更可靠的卖方

转移：将应对威胁的责任转移给第三方

Ex：通过签订协议(采购协议)

接受：用于低优先级威胁

接受策略又分为主动或被动、主动接受策略是建立应急储备、包括预留时间、资金或资源；

❗️接受策略可同时用于威胁、机会、整体项目风险的应对

5.机会应对策略

上报：项目团队或项目发起人认为某机会不在项目范围内、或提议的应对措施超出了

项目经理的权限；

开拓：组织中最有能力的资源分配给项目来缩短完工时间

Ex：分配最有能力的资源、采用全新或改进的技术

关键字：确保，100%

提高：为早日完成活动而增加资源

分享：将应对机会的责任转移给第三方、让那些最有能力为项目抓住机会的人担任新的风险责任人；

Ex：客户有市场营销方面的培训需求、但这方面不是你公司专长..(分享)…

接受：不主动追求

主动接受：建立应急储备（包括预留时间、资金、资源）以应对出现的风险

被动接受：不会主动采取行动而只是定期对整体项目风险的级别进行审查，确保未发生重大改变

6.应急应对策略-应急计划

定义：为某些特定事件提前准备的应对计划

俗称：B计划

使用条件：特定事件（触发器trigger）发生时

是否在项目计划内：是

是否需要变更：不需要

风险触发条件（也称为风险警告信号、风险症状）：

根据不同情况，可表示

风险即将发生

风险正在发生

风险已经发生

•应急应对策略-弹回计划

定义：以防应急计划无效而事先准备的计划

俗称：兜底计划

使用条件：应急计划无效时

是否在项目计划内：是

是否需要变更：通常需要

•应急应对策略-权变措施

定义：临时决定的措施

俗称：随机应变

使用条件：所有计划都无效时，或发生了事先完全没预料到的事情

是否在项目计划内：否

是否需要变更：需要

残余风险（二次风险）：采取风险应对措施后仍然存在的风险

7.整体项目风险应对策略

8.数据分析

·备选方案分析：在不同的应对方案中，选择最优

·成本效益风险：应对措施的成本，是否大于风险发生的损失

9.决策

•多标准决策分析

确定所有风险的应对措施

选择的标准有：成本、改进结果、应对计划导致的次等风险等

有助于对多种风险应对策略进行优先级排序

• 输出

1.变更请求

2.项目管理计划更新

·进度管理计划

·成本管理计划

·资源管理计划

·采购管理计划

·范围基准

·进度基准

·成本基准

3.项目文件更新

·假设日志

·成本预测

·经验教训登记册

·项目进度计划

·项目团队派工单

·风险登记册

·风险报告3.0

11.6 实施风险应对（执行过程组）

按计划应对每条风险

•定义

执行规划好的风险应对计划

•作用

确保按计划执行商定的风险应对措施，来管理整体项目风险敞口

最小化单个项目威胁，以及最大化单个项目机会

• 输入

1.项目管理计划

风险管理计划

2.项目文件

·经验教训登记册

·风险登记册

·风险报告⭐️:包括对当前整体项目风险敞口的评估，以及商定的风险应对策略，重要的单个项目风险及其应对计划

3.组织过程资产

• 工具与技术

1.专家判断

2.人际关系与团队技能

影响力

3.项目管理信息系统

• 输出

1.变更请求

2.项目文件更新

问题日志

经验教训登记册

项目团队派工单

•风险登记册：更新风险的当前状态，应对计划是否有效等信息

•风险报告：风险敞口是否变化，项目整体风险的动态评估

11.7监督风险（监控过程组）

•定义

监督风险应对计划实施、跟踪已识别风险、识别新风险、评估风险管理有效性

•作用

项目决策都基于整体项目风险敞口和单个项目风险的当前信息

应持续监督风险的下列情况：

·实施的风险应对是否有效

·整体项目风险级别是否已改变

·已识别单个项目风险的状态是否已改变

·是否出现新的单个项目风险

·风险管理方法是否依然适用

·项目假设条件是否依然成立

·风险管理政策和程序是否已得到遵守

·成本或进度应急储备是否需要修改

·项目政策是否依然有效

随着项目的进行

风险会逐渐（⬇️）

不确定性会逐渐（⬇️）

变更成本会逐渐（⬆️）

相关方影响力会逐渐（⬇️）

• 输入

1.项目管理计划

2.项目文件

·问题日志

·经验教训登记册

·风险登记册

·风险报告

3.工作绩效数据

包括已发生的风险、已关闭的风险、已实施的风险应急措施 等信息

4.工作绩效报告

• 工具与技术

1.数据分析

·技术绩效分析：比较技术成果和计划、判断是否存在新的风险（蜂鸟计划）

·储备分析：分析剩余储备量是否足够

2.审计（风险审计）

·评估风险管理的有效性

·识别有效环节、剔除无效过程

·开展审计的频率在风险管理计划中规定

3.会议

• 输出

1.工作绩效信息

·比较风险的实际发生情况和预计发生情况，得出应对措施有效率、失效率等信息

2.变更请求

·预防措施（绩效为偏）

·纠正措施（绩效已偏）

·缺陷补救，更新（产品有缺陷）

3.项目管理计划更新

4.项目文件更新

·假设日志

·问题日志

·经验教训登记册

·风险登记册

·风险报告

5.组织过程资产