15.1 管理基础
15.1.1 项目风险概述
项目风险是一种不确定的事件或条件,一旦发生,会对项目目标产生某种正面或负面的影响。项目风险既包括对项目目标的威胁,也包括促进项目目标的机会。
风险源于所有项目之中的不确定因素。项目在不同阶段会有不同的风险。风险会随着项目的进展而变化,不确定性也会随着项目进展而逐渐减少。最大的不确定性存在于项目的早期。
15.1.2 风险的属性
1)随机性:风险事件的发生及其后果都具有偶然性
2)相对性:风险总是相对活动主体而言的。同样的风险对于不同的主体有不同的影响。人们对于风险事件都有一定的承受能力,但是这种能力因活动、人和时间而异
对于项目风险,影响人们的风险承受能力的因素主要包括:
- 收益的大小:收益越大,人们愿意承担的风险也就越大
- 投入的大小:投入越多,人们对成功所抱的希望也越大,愿意冒的风险也越小
- 项目活动主体的地位和拥有的资源:个人或组织拥有的资源越多,其风险承受能力也越大
3)可变性:风险性质的变化、风险后果的变化、出现新风险
15.1.3 风险的分类
1)按风险后果划分
- 纯粹风险:不能带来机会、无获得利益可能的风险(没有人从中获得好处)。例:失火
- 投机风险:既可能带来计划、获得利益,又隐含威胁、造成损失的风险。例:买房
【纯粹风险和投机风险在一定条件下可以相互转化。必须避免投机风险转化为纯粹风险。风险不是零和游戏。很多情况下,涉及风险的各个方面都要蒙受损失,无一幸免】
2)按风险来源划分:自然风险、人为风险(行为、经济、技术、政策、组织)
3)按风险是否可管理划分:可管理风险(可预测并可控制的)、不可管理风险【随风险不确定性减少及管理水平提高,有些不可管理可以变为可管理风险】
4)按风险影响范围划分:局部风险、整体风险
5)按风险后果承担者划分:项目业主风险、政府风险、承包商风险、投资方风险、设计单位风险、监理单位风险、供应商风险、担保方风险和保险公司风险
6)按风险可预测性划分:
- 已知风险:经常发生的,而且其后果亦可预见的风险
- 可预测风险:根据经验,可以预见其发生,但不可预见其后果的风险
- 不可预测风险:有可能发生,但其发送的可能性即使最有经验的人也不能预见的风险,未知风险或未识别的风险
15.1.4 风险成本及其负担
风险事件造成的损失或减少的收益以及为防止发生风险采取预防措施而支付的费用,都构成了风险成本。风险成本包括有形成本、无形成本以及预防与控制风险的成本。
1)有形成本
- 直接损失
- 简介损失
2)无形成本:1.风险损失减少了机会 2.风险阻碍了生产率的提高 3.风险造成资源分配不当
3)预防与控制风险的成本
15.1.5 管理新实践
项目风险管理的关注面正在扩大,其发展趋势和新兴实践主要包括:
| 非实践类风险分类 | 变异类风险 | 已规划事件、活动或决策的某项关键方面存在不确定性,就导致变异性风险 可通过蒙特克罗分析加以处理 |
| 非实践类风险分类 | 模糊性风险 | 对未来可能发生什么,存在不确定性。知识不足可能影响项目达成目标的能力 可通过外部专家或标杆或增量开发、原型法或模拟来处理 |
| 项目韧性 | 有一种风险只有在发生后才能被发现,这种风险称为突发性风险。 可以通过加强项目韧性来应对这种风险。可以通过预留储备、强有力的变更管理、授权团队、留意预警信号、征求干系人意见等 |
|
| 整合式风险管理 | 应该在适当的层面上承担和管理风险。利用组织级的风险管理方法,来确保所有层面的风险管理工作的一致性和连贯性,这样就能使项目集合项目组合的结构具有风险控制的效率,有利于在给定的风险忍受程度下创造最大的整体价值 | |
15.2 项目风险管理过程
15.2.1 过程概述
| 过程 | 过程定义 | 主要作用 |
|---|---|---|
| 1.规划风险管理 | 定义如何实施项目风险管理活动的过程 | 确保风险管理的水平、方法和可见度与项目风险程度相匹配,与对组织和其他干系人的重要程度相匹配 【仅开展一次或仅在项目的预定义点开展】 |
| 2.识别风险 | 识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程 | ①记录现有的单个项目风险,以及整体项目风险的来源 ②汇总相关信息,以便项目团队能够恰当地应对已识别的风险 【整个项目期间开展】 |
| 3.实施定性风险分析 | 通过评估单个项目风险发生的概率和影响及其他特征,对风险进行优先级排序,从而为后续分析或行为提供基础的过程 | 重点关注高优先级的风险 【整个项目期间开展】 |
| 4.实施定量分析分析 | 就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程 | ①量化整体项目风险最大可能性 ②提供额外的定量风险信息,以支持风险应对规划 【整个项目期间开展】 |
| 5.规划风险应对 | 为了应对项目风险,而制定可选方案、选择应对策略并商定应对行动的过程 | ①制定应对整体项目风险和单个项目风险的适当方法 ②分配资源,并根据需要将相关活动添加进项目文件和项目管理计划中 【整个项目期间开展】 |
| 6.实施风险应对 | 执行商定的风险应对计划的过程 | ①确保按计划执行商定的风险应对措施 ②管理整体项目风险入口、最小化单个项目风险,以及最大化单个项目机会 【整个项目期间开展】 |
| 7.监督风险 | 在整个项目期间,监督风险应对计划的实施,并跟踪己识别风险、识别和分析新风险,以及评估风险管理有效性的过程 | 保障项目决策是在整体项目风险和单个项目风险当前信息的基础上进行 【整个项目期间开展】 |
15.2.2 裁剪考虑因素(略)
15.2.3 敏捷与适应方法(略)
15.3 规划风险管理
本过程的主要作用是,确保风险管理的水平、方法和可见度与项目风险程度相匹配,与对组织和其他干系人的重要程度相匹配。
规划风险管理过程在项目立项阶段就应开始,并在项目早期完成。在项目生命周期的后期,可能有必要重新开展本过程。
15.3.1 输入
1.项目章程
2.项目管理计划
3.项目文件
4.事业环境因素
5.组织过程资产
15.3.2 工具与技术
1.专家判断
2.数据分析(干系人分析法)
3.会议
15.3.3 输出
1.风险管理计划内容
- 风险管理策略
- 方法论
- 角色与职责
- 资金
- 时间安排
- 风险类别:借助风险分解结构(RBS)来构建风险类别
- 干系人风险偏好:应该针对每个项目目标,把干系人的风险偏好表述成可测量的风险临界值
- 风险概率和影响
- 概率和影响矩阵
- 报告格式
- 跟踪
15.4 识别风险
识别风险时,要同时考虑单个项目风险以及整体项目风险的来源
风险识别活动的参与者可能包括:项目经理、项目团队成员、项目风险专家(若已指定)、客户、项目团队外部的主题专家、最终用户、其他项目经理、运营经理、干系人和组织内的风险管理专家。应鼓励所有项目干系人参与项目风险的识别工作
在整个项目生命周期中,单个项目风险可能随项目进展而不断变化,整体项目风险的级别也会发生变化。因此,识别风险是一个迭代的过程
15.4.1 输入
1.项目管理计划
2.项目文件
3.采购文档
4.协议
5.事业环境因素
6.组织过程资产
15.4.2 工具与技术
1.专家判断
2.数据收集(头脑风暴,核对单,访谈)
3.数据分析(根本原因分析,假设条件和制约因素分析、SWOT分析、文件分析)
文件分析:通过对项目文件的结构化审查, 可以识别出一些风险
4.人际关系与团队技能
5.提示清单:是关于可能引发项目风险来源的风险类别的预设清单。可以用风险分解结构底层的风险类别作为提示清单,来识别单个项目风险
6.会议
15.4.3 输出
1.风险登记册
内容主要包括:
- 已识别风险的清单
- 潜在风险责任人:在识别风险过程中识别出潜在的风险责任人,随后将由实施定性风险分析过程进行确认
- 潜在风险应对措施清单:在识别风险过程中识别出某种潜在的风险应对措施,随后将由规划风险应对过程进行确认
2.风险报告
内容主要包括:
- 整体项目风险的来源:说明哪些是整体项目风险的最重要因素
- 关于已识别单个项目风险的概述信息:例如,已识别的威胁与机会的数量、风险在识别类别中的分布情况、测量指标和发展趋势
3.项目文件
15.5 实施定性风险分析
本过程的主要作用是重点关注高优先级的风险
本过程会为每个风险识别出责任人,以便由他们负责规划风险应对措施,并确保应对措施的实施。如果需要开展实施定量风险分析过程,那么实施定性风险分析也能为其奠定基础。
在整个项目生命周期中要定义开展实施定性风险分析过程。在敏捷或适应型开发环境中,实施定性风险分析过程通常要在每个迭代开始前进行
15.5.1 输入
1.项目管理计划
2.项目文件
3.事业环境因素
4.组织过程资产
15.5.2 工具与技术
1.专家判断
2.数据收集:访谈
3.数据分析
- 风险数据质量评估:风险数据是开展定性风险分析的基础。风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性。可以开展问卷调查, 了解项目干系人对数据质量各方面的评价,包括数据的完整性、客观性、相关性和及时性
- 风险概率和影响评估:风险评率评估考虑的是特定风险发生的可能性;风险影响评估考虑的是风险对一项或多些项目目标的潜在影响,如进度、成本、质量或绩效
- 其他风险参数评估:紧迫性、临近性、潜伏期、可管理性、可控性、可监测性、连通性、战略影响力、密切度等。考虑这些特征有助于进行更稳健的风险优先级排序
4.人际关系与团队技能
5.风险分类
6.数据表现
- 概率和影响矩阵:把每个风险发生的概率和该风险一旦发生对项目目标的影响映射起来的表格
- 层级图:如果使用了两个以上的参数对风险进行分类,那就不能使用概率和影响矩阵。而需要使用其他图形。其中,X轴代表可监测性,Y轴代表临近性,影响值则以气泡大小表示
7.会议
15.5.3 输出
1.项目文件
- 假设日志
- 问题日志
- 风险登记册:更新内容可能包括:每项单个项目风险的概率和影响评估、优先级别或风险分值、指定风险责任人、风险紧迫性信息或风险类别,以及低优先级风险的观察清单和需要进一步分析的风险
- 风险报告
15.6 实施定量风险分析
并非所有项目都需要实施定量风险分析。
定量分析适用于大型或复杂的项目,具有战略重要性的项目,合同要求进行定量分析的项目和主要干系人要求进行定量分析的项目。
定量风险分析也可以在规划风险应对过程之后开展,以分析已规划的应对措施对降低整体项目风险最大可能的有效性。
15.6.1 输入
1.项目管理计划
2.项目文件
3.事业环境因素
4.组织过程资产
15.6.2 工具与技术
1.专家判断
2.数据收集:访谈
3.人际关系与团队技能:引导
4.不确定性表现方式:概率分布(三角分布、正态分布、对数正态分布、贝塔分布、均匀分布、离散分布)
5.数据分析:模拟、敏感性分析(龙卷风图)、决策树分析、影响图(S曲线图和龙卷风图)
并非所有项目都需要实施定量风险分析。
定量分析适用于大型或复杂的项目,具有战略重要性的项目,合同要求进行定量分析的项目和主要干系人要求进行定量分析的项目。
定量风险分析也可以在规划风险应对过程之后开展,以分析已规划的应对措施对降低整体项目风险最大可能的有效性。
15.6.1 输入
1.项目管理计划
2.项目文件
3.事业环境因素
4.组织过程资产
15.6.2 工具与技术
1.专家判断
2.数据收集:访谈
3.人际关系与团队技能:引导
4.不确定性表现方式:概率分布(三角分布、正态分布、对数正态分布、贝塔分布、均匀分布、离散分布)
5.数据分析:模拟、敏感性分析(龙卷风图)、决策树分析、影响图(S曲线图和龙卷风图)
EMV = 获利概率 * (+金额) + 亏损概率 * (-金额) + 0 * (既不亏损也不获利概率)
15.6.3 输出
1.项目文件
风险报告内容:
- 对整体项目风险最大可能性的评估结果
- 项目详细概率分析的结果
- 单个项目风险优先级清单
- 定量风险分析结果的趋势
- 风险应对建议
15.7 规划风险应对
风险应对方案应该与风险的重要性相匹配,并且能够经济有效地应对挑战,同时在当前项目背景下显示可行,获得全体干系人的同意,并由一名负责人具体负责。
如果选定的策略并不完全有效,或者发生了已接受的风险,就需要制订应急计划。同时,也需要识别次生风险。次生风险是实施风险应对措施直接导致的风险。
15.7.1 输入
1.项目管理计划
2.项目文件
3.事业环境因素
4.组织过程资产
15.7.2 工具与技术
1.专家判断
2.数据收集:访谈
3.人际关系与团队技能:引导
4.威胁应对策略
- 上报
- 规避:措施包括消除威胁的原因改变计划、延长进度、改变策略、缩小范围、澄清需求、获取信息、改善沟通或取得专有技能来加以规避(从国外买设备转为买国产设备)
- 转移:将应对威胁的责任转移给第三方,通常需要支付风险转移费用。包括购买保险、使用履约保函、使用担保书、使用保证书等,或通过签订协议,把具体的风险转移给第三方
- 减轻:降低风险概率或降低影响
- 接受:承认威胁的存在,但不主动采取措施,适用于低优先级威胁(主动接受:建立应急储备 被动接受:记录策略,无须行动,需要定期复查一下)
5.机会应对策略
- 上报
- 开拓:适用于高优先级机会,此策略将特定机会的出现概率提高到100%
- 分享:将应对机会的责任转移给第三方,使其享有机会所带来的部分收益
- 提高:提高机会出现的概率和/或影响。机会提高措施包括:为早日完成活动而增加资源(普通人)
- 接受
6.应急应对策略:可设计一些仅在特定事件发生时才采用的应对措施。定义并跟踪应急应对策略的触发条件。
7.整体项目风险应对策略
- 规避:适用于整体项目风险有严重负面影响的,并已超出商定的项目风险临界值。采取集中行动,弱化不确定性对项目整体的负面影响,并将项目拉回到临界值以内。
- 开拓:适用于整体项目风险有显著正面影响的
- 转移或分享:适用于整体项目风险的级别很高,组织无法有效加以应对
- 减轻或提高
- 接受
8.数据分析(备选方案分析,成本效益分析)
9.决策:多标准决策分析
15.7.3 输出
1.变更请求
2.项目管理计划
3.项目文件
-
假设日志
-
成本预测
-
经验教训登记册
-
项目进度计划
-
项目团队派工单
-
风险等级册
- 商定的应对策略
- 实施所选应对策略所需要的具体行动
- 风险发生的触发条件、征兆和预警信号
- 实施所选应对策略所需要的预算和进度活动
- 应急计划及启动该计划所需的风险触发条件
- 回退计划
- 采取预定应对措施之后仍存在的参与风险,以及被有意接受的风险
- 由实施风险应对措施而直接导致的次生风险
-
风险报告:更新异记录针对当前整体项目风险敞口和高优先级风险的经商定的应对措施,以及实施这些措施之后的预期变化
15.8 实施风险应对
只有风险责任人以必要的努力去实施商定的应对措施,项目的整体风险入口和单个威胁及机会才能得到主动管理
15.8.1 输入
1.项目管理计划
2.项目文件
3.组织过程资产
15.8.2 工具与技术
1.专家判断
2.人际关系与团队技能:影响力
3.项目管理信息系统
15.8.3 输出
1.变更请求
2.项目文件
15.9 监督风险
监督风险过程采用项目执行期间生成的绩效信息,以确定:
- 实施的风险应对是否有效
- 整体项目风险级别是否已改变
- 已识别单个项目风险的状态是否已改变
- 是否出现新的单个项目风险
- 风险管理方法是否依然适用
- 项目假设条件是否仍然成立
- 风险管理政策和程序是否已得到遵守
- 成本或进度应急储备是否需要修改
- 项目策略是否仍然有效等
15.9.1 输入
1.项目管理计划
2.项目文件
- 问题日志
- 经验教训登记册
- 风险登记册
- 风险报告
3.工作绩效数据
4.工作绩效报告
15.9.2 工具与技术
1.数据分析
-
技术绩效分析:把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较
-
储备分析:在项目的任一时点比较剩余应急储备与剩余风险量,从而确定剩余储备是否仍然合理
2.审计
3.会议
15.9.3 输出
1.工作绩效信息
2.变更请求
3.项目管理计划
4.项目文件
5.组织过程资产
