项目风险管理的目标在于提高正面风险的概率和(或)影响,降低负面风险的概率和(或)影响,从而提高项目成功的可能性。
项目的独特性带来风险。风险三要素:风险事件、概率、影响。
单个项目风险是一旦发生,会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。
整体项目风险是不确定性对项目整体的影响,是相关方面临的项目结果正面和负面变异区间。它源于包括单个风险在内的所有不确定性。
通过加强项目韧性来应对突发性风险(“未知-未知”风险)。
注意整合式风险管理。
11.1 规划风险管理
规划风险管理是定义如何实施项目风险管理活动的过程。
11.1.1 输入
项目章程:项目章程记录了高层级的项目高层级的风险。
11.1.2 工具和技术
相关方分析:可通过相关方分析确定项目相关方的风险偏好。
会议:风险规划会议。
11.1.3 输出
风险管理计划:如何安排与实施风险管理活动。风险管理计划无风险。主要包括:
- 风险类别:通常借助风险分解结构 (RBS)来构建风险类别。RBS是潜在风险来源的层级展现,有助于项目团队考虑单个项目风险的全部可能来源,对识别风险或归类已识别风险特别有用。
- 相关方风险偏好:应在风险管理计划中记录项目关键相关方的风险偏好。
- 风险概率和影响定义:根据具体的项目环境,组织和关键相关方的风险偏好和临界值,来制定风险概率和影响定义。
- 概率和影响矩阵:组织可在项目开始前确定优先级排序规则,并将其纳入组织过程资产,或者也可为具体项目量身定制优先级排序规则。
11.2 识别风险
识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程。
应鼓励所有项目相关方参与单个项目风险的识别工作。项目团队的参与尤其重要,以便培养和保持他们对已识别单个项目风险、整体项目风险级别和相关风险应对措施的主人翁意识和责任感。
识别风险是一个迭代的过程。迭代的频率和每次迭代所需的参与程度因情况而异,应在风险管理计划中做出相应规定。
11.2.1 输入 理解为主
11.2.2 工具和技术
- 头脑风暴:采用自由或结构化的形式开展,在引导者的指引下产生各种创意。
- 核对单:列出过去曾出现且可能与当前项目相关的具体单个项目风险,但它不可能穷尽所有风险;核对单不能取代所需的风险识别工作;应该不时地审查核对单,增加新信息,删除或存档过时信息。
- 访谈:在信任和保密的环境下开展访谈,以获得真实可信、不带偏见的意见。
- 假设条件和制约因素分析:开展假设条件和制约因素分析,来探索假设条件和制约因素的有效性。
- SWOT 分析:对项目的优势、劣势、机会和威胁 (SWOT) 进行逐个检查。
- 提示清单:可作为框架用于协助项目团队形成想法。用风险分解结构底层的风险类别作为提示清单可以识别单个风险;识别整体项目风险PESTLE、TECOP、VUCA。
11.2.3 输出
- 风险登记册:记录已识别单个项目风险的详细信息。包括:已识别风险的清单、潜在风险责任人、潜在风险应对措施清单。
- 风险报告:提供关于整体项目风险的信息,以及关于已识别的单个项目风险的概述信息。
11.3 实施定性风险分析
评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。主要作用是重点关注高优先级的风险。
本过程会为每个风险识别出责任人,以便由他们负责规划风险应对措施,并确保应对措施的实施。
11.3.1 输入 理解为主
11.3.2 工具和技术
- 风险数据质量评估:评价单个项目风险的数据的准确性和可靠性。
- 风险概率和影响评估:概率评估考虑的是特定风险发生的可能性,影响评估考虑的是风险对一项或多项项目目标的潜在影响。低概率和影响的风险将被列入风险登记册中的观察清单,以供未来监控。
- 其他风险参数评估:如紧迫性、邻近性等。
- 风险分类:有助于把注意力和精力集中到风险敞口最大的领域,或针对一组相关的风险制定通用的风险应对措施。
- 概率和影响矩阵:便于把单个项目风险划分成不同的优先级组别。
- 层级图:两个以上的参数对风险进行分类,气泡图能显示三维数据。
- 会议:要逐一为单个项目风险分配风险责任人。以后,将由风险责任人负责规划风险应对措施和报告风险管理工作的进展情况。
11.3.3 输出
风险登记册更新:更新了概率、影响、责任人。
11.4 实施定量风险分析
量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划。
并非所有项目都需要实施定量风险分析。
定量分析最可能适用于大型或复杂的项目、具有战略重要性的项目、合同要求进行定量分析的项目,或主要相关方要求进行定量分析的项目。
11.4.1 输入
理解为主
11.4.2 工具和技术
- 访谈:当需要向专家征求信息时,访谈尤其适用。访谈者应该营造信任和保密的访谈环境,以鼓励被访者出诚实和无偏见的意见。
- 不确定性表现方式:反映单个项目风险和其他不确定性来源的定量风险分析模型。如果风险的发生与任何计划活动都没有关系,就最适合将其作为概率分支。
- 模拟:通常采用蒙特卡洛分析。
- 敏感性分析:确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响。敏感性分析的结果通常用龙卷风图来表示。
- 决策树分析:用决策树在若干备选行动方案中选择一个最佳方案。
- 影响图:不确定条件下决策制定的图形辅助工具。
11.4.3 输出
理解为主
11.5 规划风险应对
制定可选方案、选择应对策略并商定应对行动的过程。主要作用是,制定应对整体项目风险和单个项目风险的适当方法;还将分配资源,并根据需要将相关活动添加进项目文件和项目管理计划。
11.5.1 输入 理解为主
11.5.2 工具和技术
- 应急应对策略:仅在特定事件发生时才采用的应对措施。包括应急计划和弹回计划。
- 备选方案分析:进行简单比较,进而确定哪个应对方案最为适用。
- 成本收益分析:通过成本收益分析确定备选风险应对策略的成本有效性。
| 威胁应对策略 | |||
| 策 略 | 定义 | 举例 | 注意点 |
| 上 报 | 风险将在更高层面加以管理 | 上报(一旦上报,项目团队不再进一步监督) 相关人员必须愿意承担应对责任。 | |
| 规 避 | 消除威胁 | 延长进度、改变策略、缩小范围、澄清需求、获取信息、改善沟通、取得专有技能 | 适用于高优先级威胁 |
| 转 移 | 转移给第三方 | 保险、履约保函、担保、外包 | 需要支付风险转移费用。 转移风险是把风险管理责任简单地推给另一方, 而并非消除风险 |
| 减 轻 | 降低威胁发生的概率和(或)影响 | 更简单的流程、更多的测试、更可靠的卖方、原型开发、加入冗余部件 | 不利风险的概率和/或影响降低到可接受的临界值范围 |
| 接 受 | 承认威胁的存在,但不主动采取措施。 | 主动接受:建立应急储备; 被动接受:记录策略,定期复查 | 适用于低优先级威胁 |
| 机会应对策略 | |||
| 策 略 | 定义 | 举例 | 注意点 |
| 上 报 | 风险将在更高层面加 以管理 | 上报(一旦上报,项目团队不再进一步监督)相关人员必须愿意承担应对责任。 | |
| 开 拓 | 让机会 100%发生 | 把组织中最有能力的资源分配给项目来缩短完成时间; 采用全新或升级的技术来节约成本(牛 X 的人或技术) | 适用于高优先级机会 |
| 分 享 | 转移给第三方,使其享有机会所带来的部分收益。 | 建立合伙关系、合作团队、特殊公司、合资企业 | 必须为已分享的机会安排新的风险责任人(最有能力抓住机会的人) |
| 提 高 | 提高机会出现的概率 和(或)影响 | 为早日完成活动而增加资源(普通人) | |
| 接 受 | 承认机会的存在, 但不主动采取措施。 | 主动接受:建立应急储备; 被动接受:记录策略,无需任何其他行动,需要定期复查 | 适用于低优先级机会 |
11.5.3 输出
- 项目管理计划更新:提出变更,将相关活动添加进项目管理计划。
- 风险登记册更新:策略、具体行动、预警、应急计划、弹回计划、次生风险、残余风险。
11.6 实施风险应对
实施风险应对是执行商定的风险应对计划的过程。本过程的主要作用是,确保按计划执行商定的风险应对措施。
11.6.1 输入 理解为主
11.6.2 工具和技术
影响力:去鼓励指定的风险责任人采取所需的行动。
11.6.3 输出 理解为主
11.7 监督风险
在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。
11.7.1 输入 理解为主
11.7.2 工具和技术
- 技术绩效分析:把技术成果与取得技术成果的计划进行比较。实际结果偏离计划的程度可以代表威胁或机会的潜在影响。
- 储备分析:在项目的任一时点比较剩余应急储备与剩余风险量,从而确定剩余储备是否仍然合理。
- 风险审计:评估风险管理过程的有效性。项目经理负责确保按项目风险管理计划所规定的频率开展风险审计。
- 会议:风险审查会。识别新风险,重新评估当前风险,关闭已过时风险。
11.7.3 输出
风险登记册更新:记录在监督风险过程中产生的关于单个项目风险的信息。