项目风险管理
项目风险管理的目标在于提高正面风险的概率和(或)影响,降低负面风险的概率和(或)影响,从而提高项目成功的可能性
- 单个项目风险。是一旦发生,会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。
- 整体项目风险。是不确定性对项目整体的影响,是相关方面临的项目结果正面和负面变异区间。它源于包括单个风险在内的所有不确定性。
项目风险管理旨在利用或强化正面风险(机会),规避或减轻负面风险(威胁)。
-
非事件类风险
- 变异性风险.已规划事件、活动或决策的某些关键方面存在不确定性,就导致变异性风险。例如,生产率可能高于或低于目标值,测试发现的错误数量可能多于或少于预期,或施工阶段可能出现反常的天气情况
- 模糊性风险.对未来可能发生什么,存在不确定性。例如,不太了解需求或技术解决方案的要素、法规框架的未来发展,
-
项目韧性。可以通过加强项目韧性来应对突发性风险
-
整合式风险管理
-
裁剪时考虑的因素
- 项目规模
- 项目复杂性
- 项目重要性
- 开发方法
关键词:
-
蒙特卡洛分析,应对变异风险.即用概率分布表示变异的可能区间,然后采取行动去缩小可能结果的区间。
-
风险分解结构 (RBS)
- 技术风险
- 管理风险
- 商业风险
- 外部风险
-
SWOT 分析:是对项目的优势、劣势、机会和威胁 (SWOT) 进行逐个检查
-
完工尚需估算 (ETC)
-
完工估算 (EAC)
-
完工预算(BAC)
-
完工尚需绩效指数(TCP)
规划风险管理(仅开展一次或仅在项目的预定义点开展)
定义如何实施项目风险管理活动的过程。
作用:确保风险管理的水平、方法和可见度与项目风险程度,以及项目对组织和其他相关方的重要程度相匹配。统一风险认识
规划风险管理(输入)
- 项目章程
- 项目管理计划
- 项目文件
- 事业环境因素
- 组织过程资产
规划风险管理(工具和技术)
- 专家判断
- 数据分析
- 会议
规划风险管理(输出)
- 风险管理计划,描述如何安排与实施风险管理活动。
- 风险管理战略。 描述用于管理本项目的风险的一般方法。
- 方法论。 确定用于开展本项目的风险管理的具体方法、工具及数据来源。
- 角色与职责。 确定每项风险管理活动的领导者、支持者和团队成员,并明确他们的职责。
- 资金。 确定开展项目风险管理活动所需的资金,并制定应急储备和管理储备的使用方案。
- 时间安排。 确定在项目生命周期中实施项目风险管理过程的时间和频率,确定风险管理活动并将其纳入项目进度计划。
- 风险类别。 确定对单个项目风险进行分类的方式。通常借助风险分解结构 (RBS)来构建风险类别。风险分解结构是潜在风险来源的层级展现(示例见图 11-4)。风险分解结构有助于项目团队考虑单个项目风险的全部可能来源,对识别风险或归类已识别风险特别有用。
- 相关方风险偏好.应在风险管理计划中记录项目关键相关方的风险偏好,形成风险临界值。
- 风险概率和影响定义。根据具体的项目环境,组织和关键相关方的风险偏好和临界值,来制定风险概率和影响定义。
- 概率和影响矩阵.组织可在项目开始前确定优先级排序规则.在常见的概率和影响矩阵中,会同时列出机会和威胁;以正面影响定义机会,以负面影响定义威胁。如果使用数值,就可以把两个数值相乘,得出每个风险的概率 - 影响分值,
- 报告格式
- 跟踪
识别风险(整个项目期间)
识别单个项目风险,以及整体项目风险的来源,并记录风险特征的过程。
作用:记录现有的单个项目风险,以及整体项目风险的来源;同时,汇集相关信息,以便项目团队能够恰当应对已识别的风险。
识别风险(输入)
- 项目管理计划
- 需求管理计划
- 进度管理计划
- 成本管理计划
- 质量管理计划
- 资源管理计划
- 风险管理计划
- 范围基准
- 进度基准
- 成本基准
- 项目文件
- 假设日志
- 成本估算
- 持续时间估算
- 问题日志
- 经验教训登记册
- 需求文件
- 资源文件
- 相关方登记册
- 协议
- 采购文档
- 事业环境因素
- 组织过程资产
识别风险(工具和技术)
- 专家判断
- 数据收集
- 头脑风暴
- 核对单.核对单是包括需要考虑的项目、行动或要点的清单。
- 访谈
- 数据分析
- 根本原因分析
- 假设条件和制约因素分析。
- SWOT 分析:是对项目的优势、劣势、机会和威胁 (SWOT) 进行逐个检查
- 文件分析
- 人际关系和团队技能
- 提示清单.提示清单是关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单。
- 会议
识别风险(输出)
- 风险登记册
- 已识别风险的清单
- 潜在风险责任人
- 潜在风险应对措施清单
- 风险报告
- 项目文件更新
- 假设日志
- 问题日志
- 经验教训登记册
实施定性风险分析(在整个项目期间开展)
通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。风险排序
作用:重点关注高优先级的风险
本过程会为每个风险识别出责任人,以便由他们负责规划风险应对措施,并确保应对措施的实施。
实施定性风险分析(输入)
- 项目管理计划
- 项目文件
- 假设日志
- 风险登记册
- 相关方登记册
- 事业环境因素
- 组织过程资产
实施定性风险分析(工具和技术)
- 专家判断
- 数据收集
- 数据分析
- 风险数据质量评估
- 风险数据是开展定性风险分析的基础。风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性。
- 风险概率和影响评估,风险概率评估考虑的是特定风险发生的可能性,而风险影响评估考虑的是风险对一项或多项项目目标的潜在影响,如进度、成本、质量或绩效
- 其他风险参数评估
- 紧迫性。 为有效应对风险而必须采取应对措施的时间段。时间短就说明紧迫性高。
- 邻近性。 风险在多长时间后会影响一项或多项项目目标。时间短就说明邻近性高。
- 潜伏期。 从风险发生到影响显现之间可能的时间段。时间短就说明潜伏期短。
- 可管理性。 风险责任人(或责任组织)管理风险发生或影响的容易程度。如果容易管理,可管理性就高。
- 可控性。 风险责任人(或责任组织)能够控制风险后果的程度。如果后果很容易控制,可控性就高。
- 可监测性。 对风险发生或即将发生进行监测的容易程度。如果风险发生很容易监测,可监测性就高。
- 连通性。 风险与其他单个项目风险存在关联的程度大小。如果风险与多个其他风险存在关联,连通性就高。
- 战略影响力。 风险对组织战略目标潜在的正面或负面影响。如果风险对战略目标有重大影响,战略影响力就大。
- 密切度。 风险被一名或多名相关方认为要紧的程度。被认为很要紧的风险,密切度就高。
- 风险数据质量评估
- 人际关系与团队技能
- 风险分类
- 数据表现
- 概率和影响矩阵. 概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。对风险进行优先级排序
- 层级图.如果使用了两个以上的参数对风险进行分类,那就不能使用概率和影响矩阵,而需要使用其他图形。例如,气泡图能显示三维数据。图 11-10 是气泡图的示例,其中, X轴代表可监测性, Y轴代表邻近性,影响值则以气泡大小表示。
- 会议
实施定性风险分析(输出)
- 项目文件更新
- 假设日志
- 问题日志
- 风险登记册
- 风险报告
实施风险定量分析(非每个项目必需,在整个项目期间持续开展)
就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析的过程。详细分析风险
作用:量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划。
实施风险定量分析(输入)
- 项目管理计划
- 范围基准
- 进度基准
- 成本基准
- 项目文件
- 假设日志
- 估算依据
- 成本估算
- 成本预测
- 持续时间估算
- 里程碑清单
- 资源需求
- 风险登记册
- 风险报告
- 进度预测
- 事业环境因素
- 组织过程资产
实施风险定量分析(工具和技术)
- 专家判断
- 数据收集
- 人际关系与团队技能
- 不确定性表现方式,即风险、概率和影响的统计表现形式
- 数据分析
- 模拟.使用模型来模拟单个项目风险和其他不确定性来源的综合影响,以评估它们对项目目标的潜在影响。
- 敏感性分析.确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响。敏感性分析的结果通常用龙卷风图来表示。
- 决策树分析.用决策树在若干备选行动方案中选择一个最佳方案。通过计算每条分支的预期货币价值,就可以选出最优的路径。
- 影像图.影响图是不确定条件下决策制定的图形辅助工具。
实施风险定量分析(输出)
- 项目文件更新
- 对整体项目风险敞口的评估结果。 整体项目风险有两种主要的测量方式:
- 项目成功的可能性。基于已识别的单个项目风险和其他不确定性来源,项目实现其主要目标(例如,既定的结束日期或中间里程碑、既定的成本目标)的概率。
- 项目固有的变异性。在开展定量分析之时,可能的项目结果的分布区间。
- 项目详细概率分析的结果。列出定量风险分析的重要输出,如 S 曲线、龙卷风图和关键性指标,以及对它们的叙述性解释。定量风险分析的详细结果可能包括:
- 所需的应急储备,以达到实现目标的特定置信水平;
- 对项目关键路径有最大影响的单个项目风险或其他不确定性来源的清单;
- 整体项目风险的主要驱动因素,即:对项目结果的不确定性有最大影响的因素。
- 单个项目风险优先级清单。 根据敏感性分析的结果,列出对项目造成最大威胁或产生最大机会的单个项目风险。
- 定量风险分析结果的趋势。 随着在项目生命周期的不同时间重复开展定量风险分析,风险的发展趋势可能逐渐清晰。发展趋势会影响对风险应对措施的规划。
- 风险应对建议。 风险报告可能根据定量风险分析的结果,针对整体项目风险敞口或关键单个项目风险提出应对建议。这些建议将成为规划风险应对过程的输入。
- 对整体项目风险敞口的评估结果。 整体项目风险有两种主要的测量方式:
规划风险应对(整个项目期间)
为处理整体项目风险敞口,以及应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程.制定应对方案
作用:制定应对整体项目风险和单个项目风险的适当方法;本过程还将分配资源,并根据需要将相关活动添加进项目文件和项目管理计划
指定的风险责任人就应该编制计划.如果选定的策略并不完全有效,或者发生了已接受的风险,就需要制定应急计划(或弹回计划)。
规划风险应对(输入)
- 项目管理计划
- 资源管理计划
- 风险管理计划
- 成本基准
- 项目文件
- 经验教训登记册
- 项目进度计划
- 项目团队派工单
- 资源日历
- 风险登记册,包含了已识别并排序的、需要应对的单个项目风险的详细信息。风险登记册列出了每项风险的指定风险责任人, 例如,针对高优先级的威胁或机会,可能需要采取优先措施和积极主动的应对策略;而针对低优先级的威胁和机会,可能只需要把它们列入风险登记册的观察清单部分,或者只需要为之增加应急储备,而不必采取主动的管理措施。
- 风险报告
- 相关方登记册,相关方登记册列出了风险应对的潜在责任人。
- 事业环境因素
- 组织过程资产
规划风险应对(工具和技术)
- 专家判断
- 数据收集
- 人际关系与团队技能,熟练的引导者可以帮助风险责任人理解风险、识别并比较备选的风险应对策略、选择适当的应对策略,以及找到并克服偏见。
- 威胁应对策略
- 上报。如果项目团队或项目发起人认为某威胁不在项目范围内,或提议的应对措施超出了项目经理的权限,就应该采用上报策略,被上报的风险将在项目集层面、项目组合层面或组织的其他相关部门加以管理,而不在项目层面。威胁一旦上报,就不再由项目团队做进一步监督,组织中的相关人员必须愿意承担应对责任
- 规避.指项目团队采取行动来消除威胁,或保护项目免受威胁的影响 。它可能适用于发生概率较高,且具有严重负面影响的高优先级威胁。将发生的概率降低到0
- 转移.转移涉及到将应对威胁的责任转移给第三方,让第三方管理风险并承担威胁发生的影响。采用转移策略,通常需要向承担威胁的一方支付风险转移费用。比如保险
- 减轻.风险减轻是指采取措施来降低威胁发生的概率和(或)影响。提前采取减轻措施通常比威胁出现后尝试进行弥补更加有效。包括采用较简单的流程,进行更多次测试,或者选用更可靠的卖方。还可能涉及原型开发
- 接受.风险接受是指承认威胁的存在,但不主动采取措施。此策略可用于低优先级威胁,也可用于无法以任何其他方式加以经济有效地应对的威胁。接受策略又分为主动或被动方式。最常见的主动接受策略是建立应急储备,包括预留时间、资金或资源以应对出现的威胁;被动接受策略则不会主动采取行动,而只是定期对威胁进行审查,确保其并未发生重大改变。
- 机会应对策略
- 上报
- 开拓.如果组织想确保把握住高优先级的机会,就可以选择开拓策略。此策略将特定机会的出现概率提高到 100%,确保其肯定出现,从而获得与其相关的收益。发生的概率提升到100%
- 分享.分享涉及到将应对机会的责任转移给第三方,使其享有机会所带来的部分收益。必须仔细为已分享的机会安排新的风险责任人,通常需要向承担机会应对责任的一方支付风险费用
- 提高.提高策略用于提高机会出现的概率和(或)影响
- 接受
- 应急应对策略.可以针对单个项目风险,也可以针对整体项目风险,对于风险很大且有明显预警信号的威胁或机会,可以指定应急应对策略。
- 整体项目风险应对策略
- 规避
- 开拓
- 转移或分享
- 减轻或提高
- 接受
- 数据分析
- 备选方案分析
- 成本收益分析
- 决策
规划风险应对(输出)
- 变更请求
- 项目管理计划更新
- 进度管理计划
- 成本管理计划
- 质量管理计划
- 资源管理计划
- 采购管理计划
- 范围基准
- 进度基准
- 成本基准
- 项目文件更新
- 假设日志
- 成本预测
- 经验教训登记册
- 项目进度计划,可以把用于执行已商定的风险应对策略的活动添加到项目进度计划中。
- 项目团队派工单,一旦确定应对策略,应为每项与风险应对计划相关的措施分配必要的资源,包括用于执行商定的措施的具有适当资质和经验的人员(通常在项目团队中)、合理的资金和时间,以及必要的技术手段。
- 风险登记册
- 风险报告,更新风险报告,记录针对当前整体项目风险敞口和高优先级风险的经商定的应对措施,以及实施这些措施之后的预期变化。
实施风险应对(整个项目期间展开)
执行商定的风险应对计划的过程。实施方案
作用:确保按计划执行商定的风险应对措施,来管理整体项目风险敞口、最小化单个项目威胁,以及最大化单个项目机会。
实施风险应对(输入)
- 项目文件
- 经验教训登记册
- 风险登记册,记录了风险应对措施
- 风险报告
- 组织过程资产
实施风险应对(工具和技术)
- 专家判断
- 人际关系与团队技能
- 项目信息管理系统,项目管理信息系统可能包括进度、资源和成本软件,用于确保把商定的风险应对计划及其相关活动,连同其他项目活动,一并纳入整个项目。
实施风险应对(输出)
- 变更请求
- 项目文件更新
- 问题日志,已识别的问题会被记录到问题日志中
- 经验教训登记册
- 项目团队派工单
- 风险登记册
- 风险报告
监督风险(整个项目期间)
在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。
作用:使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。
监督风险(输入)
- 项目管理计划
- 项目文件
- 问题日志
- 经验教训登记册
- 风险登记册,风险登记册的主要内容包括;已识别单个项目风险、风险责任人、商定的风险应对策略,以及具体的应对措施。它可能还会提供其他详细信息,包括用于评估应对计划有效性的控制措施、风险的症状和预警信号、残余及次生风险,以及低优先级风险观察清单。
- 风险报告
- 工作绩效数据,工作绩效数据包含关于项目状态的信息,例如,已实施的风险应对措施、已发生的
风险、仍活跃及已关闭的风险 - 工作绩效报告,工作绩效报告是通过分析绩效测量结果而得到的,能够提供关于项目工作绩效的信
息,包括偏差分析结果、挣值数据和预测数据。在监督与绩效相关的风险时,需要使用这些信息
监督风险(工具和技术)
- 数据分析
- 技术绩效分析
- 储备分析
- 审计
- 会议
监督风险(输出)
- 工作绩效信息
- 变更请求
- 项目管理计划更新
- 项目文件更新
- 假设日志
- 问题日志
- 经验教训登记册
- 风险登记册
- 风险报告
- 组织过程资产更新
补充
- 风险四要素:事件、原因、后果、可能性,风险管理即围绕这四个风险的事件找到最合适的切入点
- 风险敞口:有可能性和后果联合决定,如这两者是可量化的,则他们的乘积就是风险敞口,风险敞口越大,风险越严重。
- 已知 - 已知风险通常直接计入项目的直接成本
- 已知 - 未知风险,已经识别出风险,但后果及其发生的可能性还不清楚的风险,计入项目的应急储备(一般按项目的10% 计算)
- 未知风险,过去从未遇到过的、完全未知的风险,计入项目的管理储备
- 项目章程记录整体项目风险情况
- 风险登记册记录单个项目风险情况
- 次生风险,应对某个风险而带来的另一个风险
- 残余风险,采取风险应对措施后任然存在的风险,是没有主动应对或应对后所剩余的风险。
风险态度、偏好、承受力、临界值
- 风险态度,指个人或组织认为自己应该冒多大的风险。
- 风险偏好,为了实现目标,个人和组织原因冒多大的风险
- 风险承受力,指个人或组织能够承受的最高风险程度。
- 风险临界值,指个人或组织能够承受的风险程度。是必须采取措施的起点。
风险登记册
- 风险登记册
- 风险编号
- 风险名称
- 风险描述
- 风险责任人
- 风险应对措施
- 风险触发因素
应急计划、弹回计划、权变措施
- 应急计划,事先定制的风险应急计划,在风险发生或出现某种规定情况时采用,是风险的主应急计划
- 弹回计划,是为风险订制的备用应急计划,以便在主应急计划不起作用时启用。
- 权变措施,针对已经发生的威胁而经济采取的、原来未计划过的应急措施, 属于纠偏,也要先经过实施整体变更控制过程的综合评估和审批