第十一章：项目风险管理 - （11.2 识别风险）

       识别风险是识别单个项目风险以及整体项目风险的来源，并记录风险特征的过程。本过程的主要作用是，记录现有的单个项目风险，以及整体项目风险的来源；同时，汇集相关信息，以便项目团队能够恰当应对已识别的风险。本过程需要在整个项目期间开展。过程图如下所示：

       识别风险时，要同时考虑单个项目风险，以及整体项目风险的来源。风险识别活动的参与者可能包括：项目经理、项目团队成员、项目风险专家（若已指定）、客户、项目团队外部的主题专家、最终用户、其他项目经理、运营经理、相关方和组织内的风险管理专家。虽然这些人员通常是风险识别活动的关键参与者，但是还应鼓励所有项目相关方参与单个项目风险的识别工作。项目团队的参与尤其重要，以便培养和保持他们对已识别单个项目风险、整体项目风险级别和相关风险应对措施的主人翁意识和责任感。

       应该采用统一的风险描述格式，来描述和记录单个项目风险，以确保每一项风险都被清楚、明确地理解，从而为有效的分析和风险应对措施制定提供支持。可以在识别风险过程中为单个项目风险指定风险责任人，待实施定性风险分析过程确认。也可以识别和记录初步的风险应对措施，待规划风险应对过程审查和确认。

       在整个项目生命周期中，单个项目风险可能随项目进展而不断出现，整体项目风险的级别也会发生变化。因此，识别风险是一个迭代的过程。迭代的频率和每次迭代所需的参与程度因情况而异，应在风险管理计划中做出相应规定。

输入：

1、项目管理计划

项目管理计划组件包括（但不限于）：

       需求管理计划。需求管理计划可能指出了特别有风险的项目目标。

       进度管理计划。进度管理计划可能列出了受不确定性或模糊性影响的一些领域。

       成本管理计划。成本管理计划可能列出了受不确定性或模糊性影响的一些领域。

       质量管理计划。质量管理计划可能列出了受不确定性或模糊性影响的一些领域，或者关键假设可能引发风险的一些领域。

       资源管理计划。资源管理计划可能列出了受不确定性或模糊性影响的一些领域，或者关键假设可能引发风险的一些领域。

       风险管理计划。风险管理计划规定了风险管理的角色和职责，说明了如何将风险管理活动纳入预算和进度计划，并描述了风险类别（可用风险分解结构表述）。

       范围基准。范围基准包括可交付成果及其验收标准，其中有些可能引发风险；还包括工作分解结构，可用作安排风险识别工作的框架。

       进度基准。可以查看进度基准，找出存在不确定性或模糊性的里程碑日期和可交付成果交付日期，或者可能引发风险的关键假设条件。

       成本基准。可以查看成本基准，找出存在不确定性或模糊性的成本估算或资金需求，或者关键假设可能引发风险的方面。

2、项目文件

可作为本过程输入的项目文件包括（但不限于）：

       假设日志。假设日志所记录的假设条件和制约因素可能引发单个项目风险，还可能影响整体项目风险的级别。

       成本估算。成本估算是对项目成本的定量评估，理想情况下用区间表示，区间的大小预示着风险程度。对成本估算文件进行结构化审查，可能显示当前估算不足，从而引发项目风险。

       持续时间估算。持续时间估算是对项目持续时间的定量评估，理想情况下用区间表示，区间的大小预示着风险程度。对持续时间估算文件进行结构化审查，可能显示当前估算不足，从而引发项目风险。

       问题日志。问题日志所记录的问题可能引发单个项目风险，还可能影响整体项目风险的级别。

       经验教训登记册。可以查看与项目早期所识别的风险相关的经验教训，以确定类似风险是否可能在项目的剩余时间再次出现。

       需求文件。需求文件列明了项目需求，使团队能够确定哪些需求存在风险。

       资源需求。资源需求是对项目所需资源的定量评估，理想情况下用区间表示，区间的大小预示着风险程度。对资源需求文件进行结构化审查，可能显示当前估算不足，从而引发项目风险。

       相关方登记册。相关方登记册规定了哪些个人或小组可能参与项目的风险识别工作，还会详细说明哪些个人适合扮演风险责任人角色。

3、协议

       如果需要从外部采购项目资源，协议所规定的里程碑日期、合同类型、验收标准和奖罚条款等，都可能造成威胁或创造机会。

4、采购文档

       如果需要从外部采购项目资源，就应该审查初始采购文档，因为从组织外部采购商品和服务可能提高或降低整体项目风险，并可能引发更多的单个项目风险。随着采购文档在项目期间的不断更新，还应该审查最新的文档，例如，卖方绩效报告、核准的变更请求和与检查相关的信息。

5、事业环境因素

6、组织过程资产

工具与技术：

1、专家判断

       应考虑了解类似项目或业务领域的个人或小组的专业意见。项目经理应该选择相关专家，邀请他们根据以往经验和专业知识来考虑单个项目风险的方方面面，以及整体项目风险的各种来源。项目经理应该注意专家可能持有的偏见。

2、数据收集

适用于本过程的数据收集技术包括（但不限于）：

       头脑风暴。头脑风暴（见 4.1.2.2 节）的目标是获取一份全面的单个项目风险和整体项目风险来源的清单。通常由项目团队开展头脑风暴，同时邀请团队以外的多学科专家参与。可以采用自由或结构化的形式开展头脑风暴，在引导者的指引下产生各种创意。可以用风险类别（如风险分解结构）作为识别风险的框架。因为头脑风暴生成的创意并不成型，所以应该特别注意对头脑风暴识别的风险进行清晰描述。

       核对单。核对单是包括需要考虑的项目、行动或要点的清单。它常被用作提醒。基于从类似项 目和其他信息来源积累的历史信息和知识来编制核对单。编制核对单，列出过去曾出现且可能与当前项目相关的具体单个项目风险，这是吸取已完成的类似项目的经验教训的有效方式。组织可能基于自己已完成的项目来编制核对单，或者可能采用特定行业的通用风险核对单。虽然核对单简单易用，但它不可能穷尽所有风险。所以，必须确保不要用核对单来取代所需的风险识别工作；同时，项目团队也应该注意考察未在核对单中列出的事项。此外，还应该不时地审查核对单，增加新信息，删除或存档过时信息。

       访谈。可以通过对资深项目参与者、相关方和主题专家的访谈，来识别单个项目风险以及整体项目风险的来源。应该在信任和保密的环境下开展访谈（见 5.2.2.2 节），以获得真实可信、不带偏见的意见。

3、数据分析

适用于本过程的数据分析技术包括（但不限于）：

       根本原因分析。根本原因分析（见 8.2.2.2 节）常用于发现导致问题的深层原因并制定预防措施。可以用问题陈述（如项目可能延误或超支）作为出发点，来探讨哪些威胁可能导致该问题，从而识别出相应的威胁。也可以用收益陈述（如提前交付或低于预算）作为出发点，来探讨哪些机会可能有利于实现该效益，从而识别出相应的机会。

       假设条件和制约因素分析。每个项目及其项目管理计划的构思和开发都基于一系列的假设条件，并受一系列制约因素的限制。这些假设条件和制约因素往往都已纳入范围基准和项目估算。开展假设条件和制约因素分析，来探索假设条件和制约因素的有效性，确定其中哪些会引发项目风险。从假设条件的不准确、不稳定、不一致或不完整，可以识别出威胁，通过清除或放松会影响项目或过程执行的制约因素，可以创造出机会。

       SWOT 分析。这是对项目的优势、劣势、机会和威胁 (SWOT) 进行逐个检查。在识别风险时，它会将内部产生的风险包含在内，从而拓宽识别风险的范围。首先，关注项目、组织或一般业务领域，识别出组织的优势和劣势；然后，找出组织优势可能为项目带来的机会，组织劣势可能造成的威胁。还可以分析组织优势能在多大程度上克服威胁，组织劣势是否会妨碍机会的产生。

       文件分析。见 5.2.2.3 节。通过对项目文件的结构化审查，可以识别出一些风险。可供审查的文件包括（但不限于）计划、假设条件、制约因素、以往项目档案、合同、协议和技术文件。项目文件中的不确定性或模糊性，以及同一文件内部或不同文件之间的不一致，都可能是项目风险的指示信号。

4、人际关系与团队技能

       适用于本过程的人际关系与团队技能包括（但不限于）引导（见 4.1.2.3 节）。引导能提高用于识别单个项目风险和整体项目风险来源的许多技术的有效性。熟练的引导者可以帮助参会者专注于风险识别任务、准确遵循与技术相关的方法，有助于确保风险描述清晰、找到并克服偏见，以及解决任何可能出现的分歧。

5、提示清单

       提示清单是关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单。在采用风险识别技术时，提示清单可作为框架用于协助项目团队形成想法。可以用风险分解结构底层的风险类别作为提示清单，来识别单个项目风险。某些常见的战略框架更适用于识别整体项目风险的来源，如 PESTLE（政治、经济、社会、技术、法律、环境）、TECOP（技术、环境、商业、运营、政治），或 VUCA（易变性、不确定性、复杂性、模糊性）。

6、会议

       为了开展风险识别工作，项目团队可能要召开专门的会议（通常称为风险研讨会）。在大多数风险研讨会中，都会开展某种形式的头脑风暴（见 4.1.2.2 节）。根据风险管理计划中对开展风险管理过程的要求，还有可能采用其他风险识别技术。配备一名经验丰富的引导者将会提高会议的有效性；确保适当的人员参加风险研讨会也至关重要。对于较大型项目，可能需要邀请项目发起人、主题专家、卖方、客户代表，或其他项目相关方参加会议；而对于较小型项目，可能仅限部分项目团队成员参加。

输出：

1、风险登记册

       风险登记册记录已识别单个项目风险的详细信息。随着实施定性风险分析、规划风险应对、实施风险应对和监督风险等过程的开展，这些过程的结果也要记进风险登记册。取决于具体的项目变量（如规模和复杂性），风险登记册可能包含有限或广泛的风险信息。

       当完成识别风险过程时，风险登记册的内容可能包括（但不限于）：

       已识别风险的清单。在风险登记册中，每项单个项目风险都被赋予一个独特的标识号。要以所需的详细程度对已识别风险进行描述，确保明确理解。可以使用结构化的风险描述，来把风险本身与风险原因及风险影响区分开来。

       潜在风险责任人。如果已在识别风险过程中识别出潜在的风险责任人，就要把该责任人记录到风险登记册中。随后将由实施定性风险分析过程进行确认。

       潜在风险应对措施清单。如果已在识别风险过程中识别出某种潜在的风险应对措施，就要把它记录到风险登记册中。随后将由规划风险应对过程进行确认。

       根据风险管理计划规定的风险登记册格式，可能还要记录关于每项已识别风险的其他数据，包括：简短的风险名称、风险类别、当前风险状态、一项或多项原因、一项或多项对目标的影响、风险触发条件（显示风险即将发生的事件或条件）、受影响的 WBS 组件，以及时间信息（风险何时识别、可能何时发生、何时可能不再相关，以及采取行动的最后期限）。

2、风险报告

       风险报告提供关于整体项目风险的信息，以及关于已识别的单个项目风险的概述信息。在项目风险管理过程中，风险报告的编制是一项渐进式的工作。随着实施定性风险分析、实施定量风险分析、规划风险应对、实施风险应对和监督风险过程的完成，这些过程的结果也需要记录在风险登记册中。在完成识别风险过程时，风险报告的内容可能包括（但不限于）：

       a、整体项目风险的来源。说明哪些是整体项目风险敞口的最重要驱动因素。

       b、关于已识别单个项目风险的概述信息。例如，已识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势。

3、项目文件更新

可在本过程更新的项目文件包括（但不限于）：

       假设日志。在识别风险过程中，可能做出新的假设，识别出新的制约因素，或者现有的假设条件或制约因素可能被重新审查和修改。应该更新假设日志，记录这些新信息。

       问题日志。应该更新问题日志，记录发现的新问题或当前问题的变化。

       经验教训登记册。为了改善后期阶段或其他项目的绩效，而更新经验教训登记册，记录关于行之有效的风险识别技术的信息。