项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程。项目风险管理的目标在于提高正面风险的概率和(或)影响,降低负面风险的概率和(或)影响,从而提高项目成功的可能性。
项目风险管理的过程包括:规划风险管理、识别风险、风险定性分析、风险定量分析、规划风险应对、实施风险应对和监督风险。
项目风险管理过程同时兼顾这两个层面的风险。它们的定义如下:
◆ 单个项目风险是一旦发生,会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。
◆ 整体项目风险是不确定性对项目整体的影响,是相关方面临的项目结果正面和负面变异区间。它源于包括单个风险在内的所有不确定性。
整体项目风险也有正面或负面之分。管理整体项目风险旨在通过削弱负面变异的驱动因素,加强正面变异的驱动因素,以及最大化实现整体项目目标的概率,把项目风险敞口保持在可接受的范围之内。
◆ 非事件类风险。大多数项目只关注作为可能发生或不发生的不确定性未来事件的风险。非事件类风险有两种主要类型:
■ 变异性风险。已规划事件、活动或决策的某些关键方面存在不确定性,就导致变异性风险。例如,生产率可能高于或低于目标值,测试发现的错误数量可能多于或少于预期,或施工阶段可能出现反常的天气情况。
■ 模糊性风险。对未来可能发生什么,存在不确定性。知识不足可能影响项目达成目标的能力,例如,不太了解需求或技术解决方案的要素、法规框架的未来发展,或项目内在的系统复杂性。
变异性风险可通过蒙特卡洛分析加以处理。管理模糊性风险,则需要先定义认知或理解不足之处,进而通过获取外部专家意见或以最佳实践为标杆来填补差距。也可以采用增量开发、原型搭建或模拟等方法来处理模糊性风险。
11.1 规划风险管理
规划风险管理是定义如何实施项目风险管理活动的过程。本过程的主要作用是,确保风险管理的水平、方法和可见度与项目风险程度,以及项目对组织和其他相关方的重要程度相匹配。本过程仅开展一次或仅在项目的预定义点开展。
规划风险管理过程在项目构思阶段就应开始,并在项目早期完成。
11.1.3 规划风险管理:输出
11.1.3.1 风险管理计划
风险管理计划是项目管理计划的组成部分,描述如何安排与实施风险管理活动。风险管理计划可包括以下部分或全部内容:
◆ 风险管理战略。描述用于管理本项目的风险的一般方法;
◆ 方法论。确定用于开展本项目的风险管理的具体方法、工具及数据来源;
◆ 角色与职责。确定每项风险管理活动的领导者、支持者和团队成员,并明确他们的职责;
◆ 资金。确定开展项目风险管理活动所需的资金,并制定应急储备和管理储备的使用方案;
◆ 时间安排。确定在项目生命周期中实施项目风险管理过程的时间和频率,确定风险管理活动并将其纳入项目进度计划;
◆ 风险类别。确定对单个项目风险进行分类的方式。通常借助风险分解结构 (RBS)来构建风险类别。风险分解结构是潜在风险来源的层级展现。风险分解结构有助于项目团队考虑单个项目风险的全部可能来源,对识别风险或归类已识别风险特别有用。组织可能有适用于所有项目的通用风险分解结构,也可能针对不同类型项目使用几种不同的风险分解结构框架,或者允许项目量身定制专用的风险分解结构。如果未使用风险分解结构,组织则可能采用某种常见的风险分类框架,既可以是简单的类别清单,也可以是基于项目目标的某种类别结构。
◆ 相关方风险偏好。在风险管理计划中记录项目关键相关方的风险偏好。他们的风险偏好会影响规划风险管理过程的细节。
◆ 风险概率和影响定义。根据具体的项目环境,组织和关键相关方的风险偏好和临界值,来制定风险概率和影响定义。风险概率和影响定义如下所示:
◆ 概率和影响矩阵。组织可在项目开始前确定优先级排序规则,并将其纳入组织过程资产,或者也可为具体项目量身定制优先级排序规则。概率和影响矩阵如下所示:
◆ 报告格式。
◆ 跟踪。
11.2识别风险
识别风险是识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程。本过程的主要作用是,记录现有的单个项目风险,以及整体项目风险的来源;同时,汇集相关信息,以便项目团队能够恰当应对已识别的风险。本过程需要在整个项目期间开展。
识别风险时,要同时考虑单个项目风险,以及整体项目风险的来源。风险识别活动的参与者可能包括:项目经理、项目团队成员、项目风险专家(若已指定)、客户、项目团队外部的主题专家、最终用户、其他项目经理、运营经理、相关方和组织内的风险管理专家。项目团队的参与尤其重要,以便培养和保持他们对已识别单个项目风险、整体项目风险级别和相关风险应对措施的主人翁意识和责任感。
可以在识别风险过程中为单个项目风险指定风险责任人,待实施定性风险分析过程确认。也可以识别和记录初步的风险应对措施,待规划风险应对过程审查和确认。
11.2.2 识别风险:工具与技术
11.2.2.2 数据收集
◆ 头脑风暴。头脑风暴的目标是获取一份全面的单个项目风险和整体项目风险来源的清单。通常由项目团队开展头脑风暴,同时邀请团队以外的多学科专家参与。
◆ 核对单。核对单是包括需要考虑的项目、行动或要点的清单。它常被用作提醒。基于从类似项目和其他信息来源积累的历史信息和知识来编制核对单。
11.2.2.3 数据分析
◆ 假设条件和制约因素分析。开展假设条件和制约因素分析,来探索假设条件和制约因素的有效性,确定其中哪些会引发项目风险。从假设条件的不准确、不稳定、不一致或不完整,可以识别出威胁,通过清除或放松会影响项目或过程执行的制约因素,可以创造出机会。
※ ◆ SWOT 分析。这是对项目的优势、劣势、机会和威胁 (SWOT) 进行逐个检查。在识别风险时,它会将内部产生的风险包含在内,从而拓宽识别风险的范围。首先,关注项目、组织或一般业务领域,识别出组织的优势和劣势;然后,找出组织优势可能为项目带来的机会,组织劣势可能造成的威胁。还可以分析组织优势能在多大程度上克服威胁,组织劣势是否会妨碍机会的产生。
11.2.3 识别风险:输出
11.2.3.1 风险登记册
风险登记册记录已识别单个项目风险的详细信息。其内容包括:
◆ 已识别风险的清单;
◆ 潜在风险责任人;
◆ 潜在风险应对措施清单。
11.2.3.2 风险报告
风险报告提供关于整体项目风险的信息,以及关于已识别的单个项目风险的概述信息。
◆ 整体项目风险的来源。说明哪些是整体项目风险敞口的最重要驱动因素。
◆ 关于已识别单个项目风险的概述信息。例如,已识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势。
11.3 实施定性风险分析
实施定性风险分析是通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。本过程的主要作用是重点关注高优先级的风险。本过程需要在整个项目期间开展。
实施定性风险分析,使用项目风险的发生概率、风险发生时对项目目标的相应影响以及其他因素,来评估已识别单个项目风险的优先级。
实施定性风险分析能为规划风险应对过程确定单个项目风险的相对优先级。本过程会为每个风险识别出责任人,以便由他们负责规划风险应对措施,并确保应对措施的实施。如果需要开展实施定量风险分析过程,那么实施定性风险分析也能为其奠定基础。
11.3.2 实施定性风险分析:工具与技术
11.3.2.3 数据分析
◆ 风险数据质量评估。风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性;
◆ 风险概率和影响评估。风险概率评估考虑的是特定风险发生的可能性,而风险影响评估考虑的是风险对一项或多项项目目标的潜在影响。低概率和影响的风险将被列入风险登记册中的观察清单,以供未来监控。
11.3.2.5 风险分类
应该在风险管理计划中规定可用于项目的风险分类方法。
11.3.2.6 数据表现
◆ 概率和影响矩阵。概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。此矩阵对概率和影响进行组合,以便于把单个项目风险划分成不同的优先级组别。组织可针对每个项目目标(如成本、时间和范围)制定单独的概率和影响矩阵,并用它们来评估风险针对每个目标的优先级别。
◆ 层级图。如果使用了两个以上的参数对风险进行分类,那就不能使用概率和影响矩阵,而需要使用其他图形。例如,气泡图能显示三维数据。在气泡图中,把每个风险都绘制成一个气泡,并用x 轴值、y 轴值和气泡大小来表示风险的三个参数。图 11-10 是气泡图的示例,其中,X轴代表可监测性,Y轴代表邻近性,影响值则以气泡大小表示。
11.3.2.7 会议
风险研讨会。会议的目标包括审查已识别的风险、评估概率和影响(及其他可能的风险参数)、对风险进行分类和优先级排序,并逐一为单个项目风险分配风险责任人。
11.3.3 实施定性风险分析:输出
11.3.3.1 项目文件更新
◆ 更新的风险登记册。用实施定性风险分析过程生成的新信息,去更新风险登记册。
11.4 实施定量风险分析
实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。本过程的主要作用是,量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划。本过程并非每个项目必需,但如果采用,它会在整个项目期间持续开展。
并非所有项目都需要实施定量风险分析。能否开展稳健的分析取决于是否有关于单个项目风险和其他不确定性来源的高质量数据,以及与范围、进度和成本相关的扎实项目基准。项目风险管理计划会规定是否需要使用定量风险分析,定量分析最可能适用于大型或复杂的项目、具有战略重要性的项目、合同要求进行定量分析的项目,或主要相关方要求进行定量分析的项目。定量风险分析就成为评估整体项目风险的唯一可靠的方法。
在实施定量风险分析过程中,要使用被定性风险分析过程评估为对项目目标存在重大潜在影响的单个项目风险的信息。
定量风险分析也可以在规划风险应对过程之后开展,以分析已规划的应对措施对降低整体项目风险敞口的有效性。
11.4.2 实施定量风险分析:工具与技术
11.4.2.4 不确定性表现方式
如果活动的持续时间、成本或资源需求是不确定的,就可以在模型中用概率分布来表示其数值的可能区间。概率分布可能有多种形式,最常用的有三角分布、正态分布、对数正态分布、贝塔分布、均匀分布或离散分布。
11.4.2.5 数据分析
◆ 模拟。在定量风险分析中,使用模型来模拟单个项目风险和其他不确定性来源的综合影响,以评估它们对项目目标的潜在影响。
※ ■ 蒙特卡洛分析
■ 关键性分析。以确定风险模型的哪些活动对项目关键路径的影响最大。
※ ◆ 敏感性分析。敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响。敏感性分析的结果通常用龙卷风图来表示,按关联强度降序排列,形成典型的龙卷风形状。
※ ◆ 决策树分析。用决策树在若干备选行动方案中选择一个最佳方案。在决策树中,用不同的分支代表不同的决策或事件,即项目的备选路径。每个决策或事件都有相关的成本和单个项目风险(包括威胁和机会)。在决策树分析中,通过计算每条分支的预期货币价值,就可以选出最优的路径。
◆ 影响图。影响图是不确定条件下决策制定的图形辅助工具。它将一个项目或项目中的一种情境表现为一系列实体、结果和影响,以及它们之间的关系和相互影响。
11.4.3 实施定量风险分析:输出
11.4.3.1 项目文件更新
更新风险报告,反映定量风险分析的结果,通常包括:
◆ 对整体项目风险敞口的评估结果;
◆ 详细项目概率分析的结果;
◆ 单个项目风险优先级清单;
◆ 定量风险分析结果的趋势;
◆ 风险应对建议。
11.5 规划风险应对
规划风险应对是为处理整体项目风险敞口,以及应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程。本过程的主要作用是,制定应对整体项目风险和单个项目风险的适当方法;本过程还将分配资源,并根据需要将相关活动添加进项目文件和项目管理计划。本过程需要在整个项目期间开展。
11.5.1 规划风险应对:输入
11.5.1.1 项目管理计划
◆ 风险管理计划。本过程会用到其中的风险管理角色和职责,以及风险临界值。
11.5.2 规划风险应对:工具和技术
※ 11.5.2.4 威胁应对策略
◆ 上报。 如果项目团队或项目发起人认为某威胁不在项目范围内,或提议的应对措施超出了项目经理的权限,就应该采用上报策略。 对于被上报的威胁,组织中的相关人员必须愿意承担应对责任,这一点非常重要。 威胁通常要上报给其目标会受该威胁影响的那个层级。威胁一旦上报,就不再由项目团队做进一步监督,虽然仍可出现在风险登记册中供参考。
◆ 规避。 风险规避是指项目团队采取行动来消除威胁,或保护项目免受威胁的影响。规避措施可能包括消除威胁的原因、延长进度计划、改变项目策略,或缩小范围。有些风险可以通过澄清需求、获取信息、改善沟通或取得专有技能来加以规避。
◆ 转移。 转移涉及到将应对威胁的责任转移给第三方,让第三方管理风险并承担威胁发生的影响。包括(但不限于)购买保险、使用履约保函、使用担保书、使用保证书等。也可以通过签订协议,把具体风险的归属和责任转移给第三方。
◆ 减轻。 风险减轻是指采取措施来降低威胁发生的概率和(或)影响。减轻措施包括采用较简单的流程,进行更多次测试,或者选用更可靠的卖方。加入冗余部件,可以减轻原始部件故障所造成的影响。
◆ 接受。 风险接受是指承认威胁的存在,但不主动采取措施。接受策略又分为主动或被动方式。最常见的主动接受策略是建立应急储备;被动接受策略则不会主动采取行动,而只是定期对威胁进行审查,确保其并未发生重大改变。
※ 11.5.2.5 机会应对策略
◆ 上报。
◆ 开拓。 如果组织想确保把握住高优先级的机会,就可以选择开拓策略。此策略将特定机会的出现概率提高到 100%,确保其肯定出现,从而获得与其相关的收益。开拓措施可能包括:把组织中最有能力的资源分配给项目来缩短完工时间,或采用全新技术或技术升级来节约项目成本并缩短项目持续时间。
◆ 分享。 分享涉及到将应对机会的责任转移给第三方,使其享有机会所带来的部分收益。 分享措施包括建立合伙关系、合作团队、特殊公司或合资企业来分享机会。
◆ 提高。 提高策略用于提高机会出现的概率和(或)影响。提前采取提高措施通常比机会出现后尝试改善收益更加有效。 机会提高措施包括为早日完成活动而增加资源。
◆ 接受。 接受机会是指承认机会的存在,但不主动采取措施。接受策略又分为主动或被动方式。最常见的主动接受策略是建立应急储备,包括预留时间、资金或资源,以便在机会出现时加以利用;被动接受策略则不会主动采取行动,而只是定期对机会进行审查,确保其并未发生重大改变。
11.5.2.6 应急应对策略
可以设计一些仅在特定事件发生时才采用的应对措施。 对于某些风险,如果项目团队相信其发生会有充分的预警信号,那么就应该制定仅在某些预定条件出现时才执行的应对计划。
11.5.2.8 数据分析
◆ 备选方案分析。 对备选风险应对方案的特征和要求进行简单比较,进而确定哪个应对方案最为适用。
◆ 成本收益分析。 如果能够把单个项目风险的影响进行货币量化,那么就可以通过成本收益分析来确定备选风险应对策略的成本有效性。把应对策略将导致的风险影响级别变更除以策略的实施成本,所得到的比率,就代表了应对策略的成本有效性。比率越高,有效性就越高。
11.5.3 规划风险应对:输出
11.5.3.3 项目文件更新
◆ 风险登记册。需要更新风险登记册,记录选择和商定的风险应对措施。风险登记册的更新可能包括(但不限于):
■ 商定的应对策略;
■ 实施所选应对策略所需要的具体行动;
■ 风险发生的触发条件、征兆和预警信号;
■ 实施所选应对策略所需要的预算和进度活动;
■ 应急计划,以及启动该计划所需的风险触发条件;
■ 弹回计划,供风险发生且主要应对措施不足以应对时使用;
■ 在采取预定应对措施之后仍然存在的残余风险,以及被有意接受的风险;
■ 由实施风险应对措施而直接导致的次生风险。
11.6 实施风险应对
实施风险应对是执行商定的风险应对计划的过程。本过程的主要作用是,确保按计划执行商定的风险应对措施,来管理整体项目风险敞口、最小化单个项目威胁,以及最大化单个项目机会。本过程需要在整个项目期间开展。
11.7 监督风险
监督风险是在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。本过程的主要作用是,使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。本过程需要在整个项目期间开展。
11.7.2 监督风险:工具与技术
11.7.2.2 审计
风险审计是一种审计类型,可用于评估风险管理过程的有效性。项目经理负责确保按项目风险管理计划所规定的频率开展风险审计。风险审计可以在日常项目审查会上开展,可以在风险审查会上开展,团队也可以召开专门的风险审计会。
文章评论