识别风险——实施定性风险分析——实施定量风险分析——规划风险应对——实施风险应对——监督风险
一、项目风险管理核心概念
项目风险:
- 不确定的事件或条件,一旦发生,就会对一个或多个项目目标造成积极或消极的影响。风险的三要素:风险事件、概率、影响。积极和消极风险通常被称为机会和威胁。
两个层面的风险:
- 单个项目风险:会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。
- 整体项目风险:不确定性对项目整体的影响,是相关方面临的项目结果正面和负面变异区间。
- 整体项目风险大于项目中单个风险之和,整体风险源于包括单个风险在内的所有不确定性。
三种性质的项目风险:
- 已知-已知风险:已识别并分析过的风险,可对这些风险规划应对措施。(计入时间/成本)
- 已知-未知风险:已识别,但又无法主动管理的风险,要分配一定的应急储备。(应急储备)
- 未知-未知风险:无法进行主动管理,因此需要分配一定的管理储备。(管理储备)
影响风险态度的因素:
- 风险偏好:为了预期的回报,一个实体愿意承受不确定性的程度。(愿不愿意承受)
- 风险承受力:组织或个人能承受的风险程度、数量或容量。(能不能承受)
- 风险临界值:反映了组织与项目相关方的风险偏好程度,是项目目标的可接收的编译程度。(要不要管理)
- 较为合适且正确的做法是如下排列:风险承受力>风险偏好>风险临界值
风险态度:
- 个人或组织认为自己应该冒多大的风险。如果实际所冒风险未超出应该冒的风险,就觉得很舒服。个人和团体的风险态度影响其应对风险的方式。
二、项目风险管理的发展趋势和新兴实践
非事件类风险
- 传统关注:事件类风险——可能发生或可能不发生的不确定性未来事件的风险。
- 发展趋势:非事件类风险——变异性风险、模糊性风险。
| 变异性风险 | 模糊性风险 |
---|
定义 | 已规划事件、活动或决策的某些关键方面存在不确定性,就导致变异性风险 | 对 | 举例 | 刷100平方米需要8小时,实际可能6小时、7小时、8小时、9小时 | 不太了解需求或技术解决方案,不太了解项目内在的系统负责性 | 处理策略 | 蒙特卡洛模拟 | 外部专家意见、标杆对照、迭代、增量、模拟、原型等 |
项目韧性:
- 确实存在只有在发生后才能被发现的突发性风险,需要通过加强项目韧性来应对。
应对思路:
- 留出储备
- 灵活的变更管理机制
- 足够授权、值得信赖的团队
- 关注早期风险信号
- 沟通相关方,明确面对突发可采取的策略的范围
整合式风险管理:
- 在较高层面识别出的某些风险,将被授权给项目团队去管理。
- 在较低层面识别出的某些风险,又可能上交给较高层面去管理。
- 采用协调式企业级风险管理方法,来确保所有层面的风险管理工作的一致性和连贯性。
在敏捷和适应性环境中需要考虑的因素
- 要应对快速变化,就需要采取适应性方法管理项目
- 通过跨职能项目团队和经常审查增量式工作产品来加快知识风享,确保对风险的认知和管理
- 在选择每个迭代期的工作内容时,应该考虑风险。在每个迭代期间应该识别、分析和管理风险。
- 应该根据对当前风险敞口的理解的加深,定期更新需求文件,并随项目进展重新排列工作优先级。
三、项目风险管理过程之一规划风险管理(规划过程组)
规划风险管理:
- 定义如何实施项目风险管理活动的过程。
- 本过程的作用:确保风险管理的水平、方法和可见度与项目风险程度,及项目对组织和其他相关方的重要程度相匹配。
1.输入:项目章程和项目文件
项目章程:
相关方登记册:
- 包含项目相关方的详细信息,并概述其在项目中的角色和对项目风险的态度。可用于确定项目风险管理的角色和职责,以及为项目设定风险临界值。
2.工具与技术:数据分析
相关方分析:
3.输出:风险管理计划
风险管理计划:
- 描述如何安排与实施风险管理活动。(风险管理计划无风险)
管理计划的内容:
- 风险管理战略、方法论、资金、时间安排
- 角色与职责:确定每项风险管理活动的领导者、支持者和团队成员,并明确他们的职责。
- 风险类别:确定对单个项目风险进行分类的方法,通常借助风险分解结构(RBS)来构建风险类别。
- 风险分解结构:潜在风险来源的层级展现。有助于项目团队考虑单个项目风险的全部可能来源,对识别风险或归类已识别风险特别有用。
- 相关方风险偏好:针对每个项目目标,把相关方的风险便好表述成可测量的风险临界值。
- 风险概率和影响定义:根据项目环境、组织和关键相关方的风险偏好和临界值,来制定风险概率和影响定义。项目可能自行制定具体定义,或者用组织提供的通用定义作为出发点。
- 概率和影响矩阵:把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表各,通常由组织来设定概率和影响的各种组合,并据此设定高、中、低风险级别。
- 报告格式、跟踪
四、项目风险管理过程之二识别风险
识别风险:
- 识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程。
本过程的作用:
- 记录现有的单个项目风险,以及整体项目风险的来源
- 汇集相关的信息,以便项目团队能够恰当应对已识别的风险
- 应鼓励所有项目相关方参与单个项目风险的识别工作。
- 项目团队的参与尤其重要,以便培养和保持对风险管理的主人翁意识和责任
- 识别风险的过程中为单个项目风险指定风险负责人,待实施定性风险分析过程确认
- 识别和记录初步的风险应对措施,待规划风险应对过程审查和确认
加粗样式 - 识别风险是一个迭代的过程,迭代的频率和每次迭代所需的参与程度应在风险管理计划中做出规定
1.识别风险——工具与技术
数据收集:
数据分析:
人际关系与团队技能:
- 引导:提高用于识别单个项目风险和整体项目风险来源的许多技术的有效性。
提示清单:
- 可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单。
- 可以用风险分解结构**(RBS)底层的风险类别**作为提示清单。
- 识别单个项目风险的框架:提示清单
- 识别整体项目风险的框架:政治、经济、社会、技术、法律、环境、易变性、不确定性、复杂性、模糊性
2.识别风险——输出
风险登记册:
风险报告:
- 提供关于整体项目风险的来源、已识别的单个项目风险的概述信息。编制需要渐进式。
五、项目风险管理过程之三实施定性风险分析(规划过程组)
实施定性风险分析:
- 通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。
本过程的作用:
- 重点关注高优先级的风险。
- 确认风险责任人。
- 整个项目生命周期中要定期开展实施定性风险分析过程。
- 敏捷开发,实施定性风险分析过程通常要在每次迭代开始前进行。
- 本过程完成后,可进入实施定量风险分析或直接进入规划风险应对过程。
1.工具与技术
数据分析:
- 风险数据质量评估:旨在评价关于单个项目风险的数据的准确性和可靠性。 问卷调查,计算数据的完整性、客观性、相关性和及时性等方面的加权平均数,作为数据质量的总体分数
- 风险概率和影响评估:特定风险发生的可能性,对已识别的每个风险都要进行概率和影响评估。访谈或会议形式评估。低概率和影响的风险将被列入风险登记册中的观察清单,以供未来监控。
- 其他风险参数评估:紧迫性、潜伏期、战略影响力、密切度等。更稳健的风险优先级排序。
风险分类:
数据表现:
- 概率和影响矩阵:把单个项目风险划分成不同的优先级组别。
- 采用风险管理计划中规定的风险概率和影响定义,逐一对单个项目风险的发生概率及其对一项或多项项目目标的影响进行评估。再基于所得到的概率和影响的组合,使用概率影响矩阵,来分配风险的优先级别。
- 层级图:使用了两个以上的参数对风险进行分类,则不能使用概率和影响矩阵,而需要使用其他图形。如气泡图。
六、项目风险管理过程之四实施定量风险分析(规划过程组)
实施定量风险分析:
- 就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。
本过程的作用:
- 量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划。
并非所有项目都需要实施定量风险分析,最可能适用的情况如下:
1.工具与技术
数据收集:
不确定性表现方式:
- 活动的持续时间、成本或资源需求是不确定的,就可以在模型中用概率分布来表示其数值的可能区间。
数据分析:
- 模拟:采用蒙特卡洛分析。
- 输入:成本估算、进度网络图、持续时间估算
- 输出:次数多直方图、累计概率分布、S曲线
关键性分析:
- 对项目进度进行蒙特卡洛模拟时,计算风险模型中的每个活动出现在关键路径上的次数和频率。出现频率高的那些活动,要重点关注,并规划风险应对措施。
敏感性分析:
- 有助于确定哪些风险对项目具有最大的潜在影响。有助于了解项目结果变异与定量风险分析模型中的要素变异之间存在怎样的联系。
- 把所有其他不确定因素固定在基准值,考察每个因素的变化会对目标产生多大程度的影响。
- 龙卷风图:用于比较很不明确的变量与相对稳定的变量之间的相对重要性和相对影响)
决策树分析:
- 用决策树在若干备选行动方案中选择一个最佳方案。不同的分支代表不同的决策或事件。
- 决策树分析中,通过计算每条分支的预期货币价值,就可以选出最优的路径。
- 机会的EMV通常表示为正值,威胁的EMV则表示为负值。
- EVM是建立在风险中立的假设之上的,既不避险,也不冒险。
影响图:
- 不确定条件下决策制定的图形辅助工具。是对变量与结果之间的因果关系、事件时间顺序及其他关系的图形表示。
2.输出
项目文件更新:
- 更新风险报告,反应定量风险分析的结果
- 对整体项目风险敞口的评估结果
- 项目详细概率分析的结果
- 单个项目风险优先级的清单
- 定量风险优先级清单
- 风险应对建议
七、项目风险管理过程之五规划风险应对(规划过程组)
规划风险应对:
- 为处理整体项目风险敞口,以及应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程。
本过程的作用:
1.工具与技术
威胁应对策略:
测量类别 | 定义 | 举例 | 注意点 |
---|
上报 | 上报的风险在项目集层面、项目组合层面,不在项目层面 | 上报给其目标会受该威胁影响的那个层级 | 对于被上报的威胁,组织中的相关人员必须愿意承担应对责任 | 规避 | 消除威胁,保护项目免受威胁的影响 | 延长进度、改变策略、缩小范围、澄清需求、获取信息、改善沟通、取得专有技能 | 发生概率高,具有严重负面影响的高优先级威胁 | 转移 | 责任转移给第三方,让第三方管理风险并承担威胁发生的影响 | 保险、使用履约保函、担保、保证书、外包 | 支持风险转移费用,转移风险是把风险管理责任简单地推给另一方,而并非消除风险 | 减轻 | 采取措施降低威胁发生的概率和影响 | 采用较简单的流程、进行更多测试、选用更可靠的卖方、原型开发、加入冗余部件 | 把不利风险的概率和影响降低到可接受的临界值范围内 | 接受 | 承认威胁的存在,但不主动采取措施 | 主动接受:建立应急储备;被动接受:记录策略,无需任何其他行动,需要定期复查 | 低优先级威胁,或无法以任何方式加以经济有效地应对的威胁 |
机会应对策略:
策略类别 | 定义 | 举例 | 注意点 |
---|
上报 | 被上报的机会将在项目集层面、项目组合层面,而不在项目层面 | 上报给会受机会影响的层级 | 被上报的机会,必须愿意承担应对责任 | 开拓 | 把握高优先级的机会,可以选择开拓策略(将发生概率提高到100%) | 最有能力资源分配给项目来缩短完成时间,采用全新或升级的技术来节约成本 | 适用于高优先级机会 | 分享 | 将应对机会的责任转移给第三方,使其享有机会所带来的部分收益 | 建立合伙关系、合作团队、特殊公司、合资企业 | 为已分享的机会安排新的风险责任人 | 提高 | 提高机会出现的概率和影响 | 为早日完成活动而增加资源 |
| 接受 | 承认机会的存在,但不主动采取措施 | 主动接受:建立应急储备,被动接受:记录策略,无需任何行动,需要定期复查 | 低优先级机会,或无法以任何方式加以经济有效地应对的机会 |
应急应对策略:
- 仅在特定事件发生时才采用的应对措施。
- 确信风险的发生会有充分的预警信号,就应该制定应急应对策略
- 采用技术制定的风险应对计划称为应急计划或弹回计划,包括已识别的、用于启动计划的触发事件。
次生风险:
- 实施风险应对措施的直接结果。由于应对一个风险而产生的另一个风险。
残余风险:
- 执行风险应对计划后仍然残留的风险,通常是可接受的。
整体项目风险应对策略:
策略类别 | 定义 | 举例 | 注意点 |
---|
规避 | 采取集中行动,弱化不确定性对项目整体的负面影响,并将项目拉回到临界值以内 | 取消项目中高风险工作,取消项目(最极端) | 严重负面影响的,并已超出商定的项目风险临界值 | 开拓 | 采取集中行动,去获得不确定性对整体项目的正面影响 | 项目范围中增加高收益的工作,与关键相关方协商修改项目风险临界值 | 适用于整体项目风险有显著正面影响的,并已超出商定的项目风险临界值 | 转移或分享 | 第三方代表对组织进行风险管理:负面风险:转移策略,支付费用。正面风险:多方分享,获得利益 | 建立协作式业务结构、成立合资企业或特殊目的公司、分包关键工作 | 适用于整体项目的风险级别很高,组织无法有效加以应对 | 减轻或提高 | 变更整体项目的风险级别,以优化实现项目目标的可能性 | 重新规划项目,改变项目范围和边界、调整项目优先级、改变资源配置、调整交付时间 | 减轻策略:适用于负面的整体风险,提高策略:适用于正面的整体风险 | 接受 | 不主动采取措施,继续按当前的定义推动项目进展 | 主动接受:建立整体应急储备,被动接受:记录策略,无需任何其他行动,需要定期复查 | 适用于无法针对整体项目风险采取主动的应对策略 |
数据分析:
- 备选方案分析
- 成本效益分析:单个项目风险的影响进行货币量化,就可以通过成本收益分析来确定备选风险应对策略的成本有效性。
- 策略的有效性=应对的成果/应对花费的成本
2.输出——项目文件更新
风险登记册:
- 商定应对策略,实施应对策略所需的具体行动
- 风险发生的触发条件、征兆和预警信号
- 实施所选应对策略所需的预算和进度活动
- 应急计划、弹回计划、残余风险、次生风险
风险报告:
- 针对当前整体项目风险敞口和高优先级风险的经商定的应对措施
- 实施措施后的预期变化
八、项目风险管理过程之六实施风险应对(执行过程组)
实施风险应对:
本过程的作用:
- 确保按计划执行商定的风险应对措施,来管理整体项目风险敞口、最小化单个项目威胁、最大化单个项目机会。
- 风险责任人以必要的努力去实施商定的应对措施,项目的整体风险敞口和单个威胁及机会才能得到主动管理。
1.工具与技术
人际关系与团队技能:
- 影响力:项目团队以外人员去执行,或竞争性需求的人员去执行。项目经理需施展影响力,去鼓励指定的风险责任人采取所需的行动。
九、项目风险管理之七监督风险(监控过程组)
监督风险:
- 监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。
1.输入:风险登记册
风险登记册中包括:
- 已识别的单个项目风险、风险责任人、商定的风险应对策略、具体的应对措施、用于评估应对计划有效性的控制措施、风险征兆和预警信号、残余风险和次生风险、低优先级风险观察清单
2.工具与技术:数据分析
技术绩效分析:
- 把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较。
- 要求定义关于技术绩效的客观的、量化的测量指标
- 实际结果偏离计划的程度可以代表威胁或机会的潜在影响
储备分析:
- 在项目的任一时间点比较剩余应急储备与剩余风险量,从而确定剩余储备是否仍热合理。可以用各种图形来显示应急储备的消耗情况。
风险审计:
- 用于评估风险管理过程的有效性。
- 可开展的地方:日常项目审查会、风险审查会、专门的风险审计会
会议:
- 风险审查会。
- 定期安排风险审查,来检查和记录风险应对这处理整体项目风险和已识别单个项目风险方面的有效性。
- 识别出新的单个项目的风险(包括次生风险),重新评估当前风险,关闭已过时风险,讨论风险发生所引发的问题,以及总结可用于当前项目后续阶段或未来蕾丝项目的经验教训。
- 风险审查可以是定期项目状态会议中的一项议程,或者专门的风险审查会。
3.输出:项目文件更新
风险登记册:
- 添加新风险、更新已过时风险或发生风险、更新风险
应对措施。
九、风险答题技巧
风险 | 潜在应对 | 概率 影响 风险值 | 量化、策略 | 应对计划、实施应对 |
---|
| 潜在负责人 | 优先性、紧迫性 |
| 应急应对计划 |
|
| 风险责任人 |
| 弹回计划 |
|
|
|
| 此生风险和残余风险 |
|