11.0 项目风险管理包含的过程
项目风险管理的目标在于提高项目积极事件的概率和影响,降低项目消极事件的概率和影响
11.1 规划风险管理:定义如何实施项目风险管理活动的过程
11.2 识别风险:判断哪些风险会影响项目记录其特征的过程
11.3 实施定性风险分析:评估概率和影响、风险排序
11.4 实施定量风险分析:就已识别风险对项目整体目标的影响进行定量分析的过程
11.5 规划风险应对:针对项目目标、制定提高机会、降低威胁的方案和措施的过程
11.6 实施风险应对:执行商定的风险应对计划的过程
11.7 监督风险:跟踪已识别的风险、监测残余风险,识别新风险和评估风险过程有效性的过程
项目风险管理的核心概念
项目风险管理旨在利用或强化正面风险(机会),规避或减轻负面风险(威胁)
每个项目都在两个层面上存在风险:每个项目都有会影响项目达成目标的单个风险,以及由单个项目风险和不确定性的其他来源联合导致的整体项目风险
单个项目风险:一旦发生,会对一个或多个项目目标产生正面或负面影响的不确定事件和条件
整体项目风险:不确定性对项目的整体影响,是相关方面临的相关成果正面和负面变异区间
风险临界值反映了组织与项目相关方的风险偏好程度,是项目目标的可接受的变异程度;应该明确规定风险临界值,并传达给项目团队,同时反应在项目的风险影响级别定义中
项目风险管理的发展趋势和新兴实践
非事件类风险
变异性风险:已规划事件,活动或决策的某些关键方面存在的不确定性,就导致变异性风险
模糊性风险:对未来可能发生什么,存在不确定性
项目任性;整合式风险管理
裁剪时需要考虑的因素
项目规划
项目复杂性
项目重要性
开发方法
在敏捷和适应性环境中需要考虑的因素
越是变化的环境就存在越多的不确定性和风险;要应对快速变化,就需要采用适应型方法管理项目,即:通过跨职能项目团队和经常审查增量式工作产品,来加快知识分享,确保对风险的认知和管理
在选择对每个迭代期的工作内容时,应该考虑风险,在每个迭代时期应该识别、分析和管理风险;应该根据对当前风险敞口的理解的加深,定期更新需求文件,并随项目进展重新排列工作优先级;
风险管理概述
风险是一种不确定的事件或条件,一旦发生,会对至少一个项目目标造成影响,如范围、进度、成本和质量
风险起因、风险,风险条件的区别和联系(项目需要申请环境许可证,外部参与者非常的不可控,办证机构延误许可证的颁发)
风险的三(四)要素:事件,概率,影响,(原因)
三类风险
| 已知-已知风险 | 1,完全识别,并能够制定出具体应对措施的风险2,其成本基本计入项目活动中,属于成本基准的一部分,包含在预算中 |
| 已知-未知风险 | 1,事件”已知“,后面的“未知”表示风险的影响和发生概率是不确定的2,用应急计划应对,其成本要列入项目的应急储备中,应急储备是项目成本基准的一部分,包含在预算中 |
| 未知-未知风险 | 1,三要素全部wei'zhi2,发生的话只能用权变措施应对3,其成本用管理储备,管理储备不列入项目的成本基准,但可纳入总预算也可以不纳入总预算,有管理层决定 |
风险观点
风险源于项目的不确定性(不确定性源于独特性);风险可以是威胁也可以是机会
已发生的消极项目风险被视为问题;对风险的态度要尽可能的明确表达,应该开诚布公的就风险及其应对项目沟通,不要遮掩
不同人对风险有不同的态度(效用函数);影响风险态度的因素:风险偏好、风险承受力、风险临界值
弄清楚组织的风险态度,有利于制定风险管理计划;积极和消极风险通常被称为机会和威胁
11.1 规划风险管理
定义:描述如何实施项目的风险管理活动的过程
作用1:确保风险管理的程度,项目的风险大小和重要程度匹配
作用2:为风险管理活动本身安排资源和时间,为评估风险奠定一个共同认可的基础
发生时间:仅开展一次或仅在项目的预定义点开展
规划风险管理过程在项目构思阶段就应开始,并在项目规划阶段的早期完成规划风险管理
输入:
1,项目章程
2,项目管理计划
--所有组件
3,项目文件
--相关方登记册
4,事业环境因素
5,组织过程资产
工具与技术:
1,专家判断
2,数据分析
--相关方分析
3,会议
输出:
1,分线管理计划
描述将如何安排与实施项目风险管理活动;
包括:风险管理战略;方法论;角色与职责;预算;时间安排;风险类别(RBS);相关方风险偏好;风险概率和影响的定义,概率影响矩阵;报告格式;根据(频率和何时跟踪)
不包括某项目的具体风险的应对;风险登记册不是风险管理计划的组成部分
风险分解结构 risk breakdown strature RBS
RBS是按风险类别和子类别来排列已识别的项目风险的一种层级结构,用来显示潜在风险的所属领域和产生原因
11.2 识别风险
定义:识别风险是识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程
作用:1,记录单个及整体风险;2,汇聚信息来应对已识别的风险
发生时间:在整个项目期间开展
鼓励所有项目相关方参与单个项目风险的识别工作;应该采用统一的风险描述格式,来描述和记录单个项目风险
可以在识别风险过程中为单个项目风险指定风险责任人,待实施定性风险分析过程确认;识别风险是一个迭代的过程,项目过程中反复进行识别风险
输入:
1,项目管理计划
--需求管理计划
--进度管理计划
--成本管理计划
--质量管理计划
--风险管理计划
--范围/进度/成本基准
2,项目文件
--假设日志、成本估算
--持续时间估算
--问题日志
--经验教训登记册
--需求文件、资源需求
--相关方登记册
3,协议
4,采购文档
5,事业环境因素
6,组织过程资产
工具与技术:
1,专家判断
2,数据收集
--头脑风暴
面对面,有点快,缺点可能不客观
--德尔菲
背对背,专家匿名,优点客观,缺点是轮数多,满
吸收专家参与预测和判断,充分利用专家的经验和学识;采用匿名或背靠背的方式,能使每一位专家独立自由地做出自己的判断
预测过程几轮反馈,是专家的意见逐渐趋同,最后一轮结果最有效;德尔菲法的这些特点使它成为一种最为有效的判断预测法
--核对单
组织可能基于自己已完成的项目来编制核对单,或者可能采用特定行业的通用风险核对单;简单易用,但它不可能穷尽所有风险
--访谈
有经验的专家参与,有助于收集风险
3,数据分析
--根本原因分析
--假设条件/制约因素分析
开展假设条件和制约因素分析,来探索假设条件和制约因素的有效性,确定其中哪些会引发项目风险;从假设条件的不准确,不稳定,不一致或不完整,可以识别出威胁
通过清楚或放松会影响项目或过程执行的制约因素,可以创造出机会
--SWOT分析
两点作用:
更全面地考虑风险;
考虑优势抵挡威胁,机会抵挡劣势的程度
--文件分析
对项目文档(包括各种计划,假设条件,以往的项目档案和其他信息)进行结构化审查;项目计划的质量以及项目需求和假设条件的匹配程度,都可能使项目的风险指示器
4,人际关系与团队技能
-引导
5,提示清单
关于可能引发单个项目风险以及可作为整体项目风险来源的分线类别的预设清单;可作为框架用于协助项目团队形成想法
可用于风险分解结构底层的分线类别作为提式清单,来识别大呢项目风险
某些常见的战略框架更适用于识别整体项目风险的来源:
PESTLE(政治,经济,社会,技术,法律,环境)
TECOP(技术,商业,环境,运营,政治)
VUCA(易变性,不确定性,复杂性,模糊性)
6,会议
输出:
1,风险登记册
风险登记册属于项目文件;编制始于风险识别过程,然后供其他风险管理过程和项目管理过程使用;不断完善
识别风险过程结束后,风险登记册包含:
已识别风险清单
潜在风险责任人如果已在识别风险过程中识别出潜在的风险责任人,就要把该责任人记录到风险登记册中,随后将由定性风险分析过程进行确认
潜在应对措施清单(已知-已知风险)
2,风险报告
相当于对风险登记册的分析报告;提供关于整体项目风险的信息,以及关于已识别的单个项目风险的概述信息
风险报告的编制是一项渐进式的工作;
风险报告的内容可能包括(但不限于)
整体项目风险的来源:说明哪些是整体项目风险敞口的最重要驱动因素
关于已识别单个项目风险的概述信息,包括已识别的威胁与机会的数量,风险的风险类别中的分布情况,测量指标和发展趋势等
3,项目文件更新
--假设日志
--问题日志
--经验教训登记册
11.3 实施定性风险分析
定义:评估单个项目风险发生概率和影响,对风险进行有限排序
作用:重点关注高优先级的风险
发生时间:在整个项目期间开展
为后续风险管理活动提供基础;这种评估具有主观性,因此需要认清和管理本过程关键参与者对风险所持的态度
找出并纠正偏见就是引导着的一项重要工作;本过程会为每个风险识别出责任人,以便由他们负责规划风险应对措施,并确保应对措施的实施
在敏捷开发环境中,实施定性风险分析过程通常要在每次迭代开始前进行实施定性风险分析
输入:
1,项目管理计划
--风险管理计划
2,项目文件
--假设日志
--风险登记册
--相关方登记册
3,事业环境因素
4,组织过程资产
工具与技术:
1,专家判断
2,数据收集
--访谈
3,数据分析
--风险数据质量评估
评估风险数据对风险管理的有用程度的一种技术
评估:人们对风险的理解程度+风险数据是否准确可信
低质量的风险数据,可能使定性分析失败
--风险概率和影响评估
风险概率报告旨在调查每个具体风险发生的可能性
风险影响评估旨在调查风险对项目目标(如进度,成本,质量或性能)的潜在影响
潜在影响,可能好,也可能坏;风险:积极风险(机会)/消极风险(威胁);通过访谈或会议,评估每个风险的概率级别及其对每个目标的影响
--其他风险参数评估
| 概念 | 解释 | 说明 |
| 紧迫性 | 为有效应对而必须采取应对措施的时间段 | 时间短紧迫性高 |
| 邻近性 | 风险在多长时间后会影响一项或多项项目目标 | 时间短邻近性高 |
| 潜伏期 | 从风险发生到影响显现之间可能的时间段 | 时间段潜伏期短 |
| 可管理性 | 风险责任人(或责任组织)管理风险发生或影响的容易程度 | 容易管理,可管理性就高 |
| 可控性 | 风险责任人(或责任组织)能够控制风险后果的程度 | 后果很容易控制可控性高 |
| 可监测性 | 对风险发生或即将发生进行监测的容易程度 | 风险容易监测,可监控性高 |
| 连通性 | 风险与其他单个项目风险存在关联的程度大小 | 风险与多个其他风险存在关联,连通性高 |
| 战略影响力 | 风险对组织战略目标潜在的正面或负面影响 | 风险对战略目标有重大影响,战略影响力就大 |
| 密切度 | 风险被一名或多名相关方认为要紧的程度 | 被认为很要紧的风险,密切都就高 |
4,人机关系与团队技能
--引导
5,风险分类
多种分类维度:RBS(风险来源);WBS(受影响的项目工作);项目阶段;共同的根本原因
目的:有助于把注意力和精力集中到风险敞口最大的领域;针对一组相关的风险制定通用的风险应对措施
6,数据表现
--概率和影响矩阵
--层级型
如果使用了两个以上的参数对风险进行分类,则使用其他图形,如气泡图(X轴代表可监测性,Y轴代表邻近性,影响值则以气泡大小表示)
7,会议
要开展定期风险分析,项目团队可能要召开专门会议(通常称为风险研讨会),对已识别单个项目风险进行讨论
会议的目标包括审查已识别的风险,评估概率和影响(及其他可能的风险参数),对风险进行评估和优先级排序
在实施定性分析过程中,要逐一为单个项目风险分配风险责任人,以后,将由封风险责任人负责规划风险以应对措施和报告风险管理工作的进展情况
会议可从审查和确认拟使用的概率和影响量表开始;在会议讨论中,也可能识别出其他风险,应该记录这些风险,供后续分析;配备一名熟练的引导着能够提高会议的有效性
输出:
1,项目文件更新
--假设日志
定性分析可能会更新假设条件
--问题日志
记录发现的新问题或当前问题的变化
--风险登记册
每个风险的概率影响评估;风险评级和分值;制定风险责任人;风险紧迫性信息或风险类别;低概率风险的观察清单;进一步需要分析的风险清单
--风险报告
记录最重要的单个项目风险(通常为概率和影响最高的风险),所有已识别风险的优先级列表以及简要的结论
11.4 实施定量分析
定义:就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析
作用:量化整体项目风险敞口,提供额外的定量风险信息,支持风险应对计划
发生时间:并非每个项目必须,如果使用,会在整个项目期间持续开展
需要专门的软件,专业知识,额外的时间和成本;也可以在规划风险应对过程之后开展,以分析已规划的应对措施对降低整体项目风险敞口的有效性。
实施定量分析
输入:
1,项目管理计划
--风险管理计划
--范围基准
--进度基准
--成本基准
2,项目文件
--假设日志
--估算依据
--成本估算
--成本预测
--持续时间估算
--里程碑清单
--资源需求
--风险登记册
--风险报告
--进度预测
3,事业环境因素
4,组织过程资产
工具与计划:
1,专家判断
2,数据收集
--访谈
3,人际关系与团队技能
--引导
4,不确定性表现形式
要开展定量风险分析,就需要建立能反映单个项目风险和其他不确定性来源的定量风险分析模型,并为之提供输入;所需的信息取决于所用的概率分布类型
最长用的有三角分布,正太分布,对数正态分布,贝塔分布,均匀分布或离散分布;单个项目风险可以用概率分布图表示,或者,也可以作为概率分支包括在定量分析模型中
如果风险之间存在相关性,例如在某个共同原因或逻辑依赖关系,那么应该在模型中考虑这种相关性
5,数据分析
--模拟
使用模型,计算项目个细节方面得不确定性对项目得影响,以评估他们对项目目标的潜在影响;反复模拟通过采用蒙特卡洛技术
通过多次计算,每次随机选择输入值(如成本估算,持续时间估算或概率分支发生频率)。这些运输的输出构成了项目可能结果(如项目结束日期,项目完成成本)的区间
可得出一个概率分布直方图,或表示获得等于或小于特定数值的结果的累计概率分布曲线
--敏感性分析
敏感性分析确定哪些单个项目风险对项目具有最大潜在影响;它在项目结果变异与定量风险分析模型中的要素变异之间建立关系
把所有不确定因素都固定在基准值,再来考察每个因素的变化会对目标产生多大程度的影响;龙卷风图
--决策树分析
在决策树中,用不同的分支代表不同的决策或事件,即项目备选路径,路径有好有坏
预期货币价值(Expect Monetary value EMV)分析是当某些情况在未来可能发生,也可能不发生时,计算平均结果的一种统计方法(即不确定性下的分析)
机会的EMV通常表示为正值,而威胁的EMV则表示为负值,EMV是建立在风险中立的假设之上的,即不避险,也不冒险; 把每个可能结果的数值与其发生的概率相乘,再把所有乘积相加,就可以计算出项目的EMV;在决策树分析中,通过计算每条分支的预期货币价值,就可以选出最优路径
--影像图
影像图是不确定条件下决策制定的图形辅助工具;它将一个项目或项目中的一种情景表现为一系列实体,结果和影响,以及他们之间的关系和相互影响
如果因为存在单个项目风险或其他不确定性来源而使影像图中的某些要素不确定,就在影像图中以区间或概率分布的形式表示这些要素,然后借助模拟技术来分析哪些要素对重要结果具有最大的影响 <—————— 项目估算<————————风险条件——————> 项目活动————————>可交付物
输出:
1,项目文件更新
--风险报告
更新风险报告,反应定量风险分析的结果:
对整个风险项目敞口的评估结果;项目成功的可能性;项目固有的变异性
项目详细概率分析的结果;单个项目风险优先级清单;定量风险分析结果的趋势;风险应对建议
11.5 规划风险应对
定义:为处理整体项目风险敞口,以及应对单个项目风险,定可选方案,选择应对策略,商定应对行动
作用:制定策略,分配资源,更新计划
发生时间:在整个项目期间开展
需要制定很多个方案,选择一个最优的;最小化单个威胁,最大化单个机会,并降低整体项目风险敞口
风险敞口在指某个项目,项目集或项目组合中,针对任一特定对象,而适时作出的对所有风险的潜在影响的综合评估规划风险应对
输入:
1,项目管理计划
--资源管理计划
--风险管理计划
--成本基准
2,项目文件
--经验教训登记册
--项目进度计划
--项目团队派工单
--资源日历
--风险登记册
--风险报告
--相关方登记册
3,事业环境因素
4,组织过程资产
工具与技术:
1,专家判断
2,数据收集
--访谈
3,人际关系与团队技能
--引导
4,威胁应对策略
a,上报Escalate
适合场景:项目团队或项目发起人认为某威胁不在项目范围内;提议的应对措施超出了项目经理的权限
被上报的风险将在项目集层面,项目组合层面或组织的其他部门加以管理,而不再项目层面;对于被上报的威胁,组织中的相关人员必须愿意承担应对责任
b,规避avoid
采取行动,消除威胁;适用于发生概率较高,且具有严重负面影响的高优先级威胁;保护项目,免受威胁
具体例子:消除威胁的原因,延长进度计划,改变项目策略,缩小范围;早期风险规避:澄清需求,改善沟通过,取得专有技能
c,转移transference
将风险的影响和责任一起转移给第三方;推给第三方责任,而非消除;通常总是会向风险承担着支付费用;方法:保险,外包(签订协议)等;具体例子:协议类型
d,减轻mitigate
项目团队采取行动降低风险发生的概率或影响;
措施:采用不太复杂的流程,进行更多的测试,选用可靠的供应商,开发原型,加入冗余部件等;
降低概率或风险,不等于消除风险
e,接受aaccept
什么都不做,或准备应急储备来应对风险;通常适用于低于优先级,无法减轻或避免风险概率及影响时
主动接受:准备应急储备(时间/资源/资金)
被动接受:什么都不做
5,机会应对策略
| 名称 | 特点 | 情景 |
| 上报escalate | 被上报的机会将在项目集层面,项目组合层或组织层加以管理,而不是在项目层面 | 如果在项目团队或项目发起人认为某机会不在项目范围内,或提议的应对措施超出了项目经理的权限就应该取用上报策略 |
| 开拓exploit | 确保机会得以实现(100%) | 把组织中最有能力的资源分派给项目,来缩短完成时间或节约成本 |
| 分享share | 把应对机会的部分或全部责任分配给最能为项目利益抓住该机会的第三方 | 建立风险共担的合作关系和团队 |
| 提高enhance | 提高机会的发生概率和/或积极影响 | 为尽早完成活动而增加资源 |
| 接受accept | 指当机会发生时乐意利用,但不主动追求机会 | N/A |
6,应急应对策略
针对某些特定事件,专门设计一些应对措施;在某些预定条件发生时才能实施的应对计划;确信风险的发生会有充分的预警信号,就应该制定应急应对策略
对触发应急策略的事件惊醒定义和跟踪;应急计划/弹回计划
7,整体项目风险应对策略
| 名称 | 特点 | 情景 |
| 规避 | 整体项目风险有严重的负面影响,并已超出商定的项目风险临界值,就可以采用规避策略 | 例如:取消项目范围中的高风险工作;或者取消项目,这是最极端的风险规避措施,仅适用于威胁的整体级别在当前和未来都不可接受 |
| 开拓 | 整体项目风险有显著的正面影响,并超出商定的项目风险临界值 | 增加高收益工作,修改项目风临界值,以便将机会包含在内 |
| 转移/分享 | 整体项目风险级别很高,组织无法有效加以应对 | 建立买方和卖方分享整体项目风险的协作式业务结构,成立合资企业或特殊目的公司,或对项目关键工作包进行分包 |
| 减轻/提高 | 涉及变更整体项目风险的级别,以优化实现项目目标的可能性 | 重新规划项目,改变项目范围和边界,调整项目有限级等 |
| 接受 | 无法针对整体项目风险采取主动的应对策略 | 接受策略又分为主动或被动方式 |
8,数据分析
--备选方案分析
--成本效益分析
9,决策
--多标准决策分析
输出:
1,变更请求
2,项目管理计划更新
--进度管理计划
--成本管理计划
--质量管理计划
--资源管理计划
--采购管理计划
--范围/进度/成本基准
3,项目文件更新
--假设日志
--成本预测
--经验教训登记册
--项目进度计划
--项目团队派工单
--风险登记册
商业的应对策略;实施上述的应对策略所需的具体行动;风险发生的触发器,征兆和预兆信号;实施上述应对策略所需的预算和进度活动
应急计划,以及启动应急计划的触发器
弹回计划,以便于风险发生并且主要应对措施无效时使用
在采取预定措施应对措施后任然存在的残余风险,以及已近有意接受的风险;实施风险应对措施直接导致的次生风险
弹回计划 (fullback plan):风险发生,应急计划没用,需要再次制定新的解决方案计划
残余风险(residual risk ):在采取风险措施之后依然存在的风险
次生风险(secondary risk):由于实施某风险应对措施而直接产生的风险
下限或临界值(threshold):一旦越过这一下险,就应该采取某种行动,如编写并提交例外报告
触发因素(triggers):风险业已发生或着即将发生的标示,触发因素可在风险识别中发现,并可在风险监控过程中进行监视,触发因素有时称为(风险症状)或者(警告信号)
--风险报告
记录针对当前整体项目风险敞口和高优先级的经销商的应对措施,以及实施这些措施之后的预期变化
11.6 实施风险应对
定义:执行商定的风险应对计划的过程
作用:确保计划执行商定的风险应对措施,来管理整体项目风险敞口,以最小化当个项目威胁,最大化单个项目机会
发生时间:本过程需要在整个项目期间开展
项目风险管理的一个常见问题是:只记录分析,不付诸行动进行应对;风险应对责任人努力实施商定的因对策略,风险才能得以管理风险实施应对
输入:
1,项目管理计划
--风险管理计划
2,项目文件
--经验教训登记册
--风险登记册
--风险报告
3,组织过程资产
工具与计划:
1,专家判断 、
2,人际关系与团队技能
--影响力
3,项目管理信息系统
输入:
1,变更请求
2,项目文件更新
--问题日志
--经验教训登记册 、
--项目团队派工单
、 --风险登记册
--风险报告
11.7 监督风险
定义:在整个项目生民周期内监督商定的风险应对计划的实施,跟踪已识别的风险,识别和分析新风险,评估风险管理有效性
作用:使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息
发生时间:本过程需要在整个项目期间开展
监督风险
输入:
1,项目管理计划
--风险管理计划
、 2,项目文件
、 --问题日志
--经验教训登记册
--风险登记册
--风险报告
3,工作绩效数据
4,工作绩效报告 、
工具与技术:
1,数据分析
--技术绩效分析
技术成果与管理计划比较
实质上也是一种偏差分析,将现阶段的取得的成果与计划要求的成果进行偏差比较
技术绩效测量指标:重量、处理时间、缺陷数量和存储容量等
实际结果偏离计划的程度可以代表威胁或机会的潜在影响
储备分析
储备分析是指在项目的任何时点比较应急储备与剩余风险量,从而确定剩余储备是否任然合理
不同过程的储备分析比较
估算活动持续时间;成本估算; 制定预算;控制成本; 监督风险
2,审计
有效性:检查并记录风险应对措施在处理已识别风险及其根源方面的有效性,以及风险管理过曾的有效性
项目审查会,风险审查会
在实施审计前,应明确风险审计的程序和目标
3,会议
状态审查会————要经常开
风险管理要在审查会中作为一个议题
越经常开展风险管理,风险管理就会变得越容易
经常讨论风险,可以使人们识别风险和机会
输出:
1,工作绩效信息
2,变更请求
纠正措施+预防措施
纠正措施=应急计划+权变措施
通过变更处理当前整体项目风险级别或单个项目风险
权变措施是为了应对哪些已经出现的、先前有未曾识别的风险,而采取的未经计划的应对措施
权变措施定期归档,融入项目管理计划,后继项目中变为已知风险
| 风险——> | 已知-已知风险——> | 制定/执行应对措施——> | 无效——>弹回计划 |
| 已知-未知风险——> | 制定/执行应急计划——> | ||
| 未知-未知风险——> | 已发生——————> | 制定/执行权变措施 | |
| 未发生——————> | 更新风险登记册/分析(定性/定量)/规划应对/执行应对/监控 |
3,项目文件计划更新
--任何组件
4,项目文件更新
--假设日志
--问题日志
--经验教训登记册
--风险登记册
风险审计和定期风险审查的结果
项目风险和风险应对的实际结果
--风险报告
反映重要单个项目风险的当前状态,整体项目风险的当前级别
也可收录风险审计给出的关于风险管理过程有效性的结论
5,组织过程资产更新