7.项目风险管理
项目风险管理
- 7.1 规划风险管理
-
- 7.1.1 输入
- 7.1.2 工具
- 7.1.3 输出
- 7.2 识别风险
-
- 7.2.1 输入
- 7.2.2 工具
- 7.2.3 输出
- 7.3 实施定性风险分析
-
- 7.3.1 输入
- 7.3.2 工具
- 7.3.3 输出
- 7.4 实施定量风险分析
-
- 7.4.1 输入
- 7.4.2 工具
- 7.4.3 输出
- 7.5 规划风险应对
-
- 7.5.1 输入
- 7.5.2 工具
- 7.5.3 输出
- 7.6 实施风险应对
-
- 7.6.1 输入
- 7.6.2 工具
- 7.6.3 输出
- 7.7 控制风险
-
- 7.7.1 输入
- 7.7.2 工具
- 7.7.3 输出
项目风险管理旨在识别和管理未被其他项目管理过程所管理的风险。
它的有效性直接关乎项目成功与否。
1、项目风险的两个层面:
- 单个项目风险:一旦发生,会对一或多个项目目标产生正面 / 负面影响的不确定事件或条件。
- 整体项目风险:不确定性对项目整体的影响,是相关方面临的项目结果正面和负面变异区间。源于包括单个风险在内的所有不确定性。
项目风险管理旨在利用或强化正面风险(机会),规避或减轻负面风险(威胁)。最大化实现整体项目目标的概率,把项目风险敞口保持在可接受的范围内。
2、一些名词
- 风险四要素:时间、原因、后果、可能性
- 风险敞口=可能性×后果(量化) 敞口越大,风险越严重
- 风险偏好:为实现目标,个人/组织愿意冒多大的风险
- 风险临界值:个人/组织能承受的风险程度,且不需要采取应对措施
- 风险承受力:个人/组织能承受的最高风险程度
- 风险态度:个人/组织认为自己应该冒多大的风险
通常,临界值 < 偏好 < 承受力
3、事件风险类别
- 已知-已知风险: 已识别并分析过的风险
→ 列入直接成本(制定项目预算时) - 已知-未知风险: 已识别但不清楚其发生的可能性/ 后果
→ 列入应急储备 - 未知-未知风险:从未遇过,完全未知,也称突发风险
→ 列入管理储备
4、非事件类风险:
- 变异性风险:已规划事件、活动或决策的某些关键方面存在不确定性导致的风险。(通过蒙特卡洛分析处理,用概率分布表示变异可能区间,然后采取行动缩小可能结果的区间)
- 模糊性风险:对未来可能发生什么,存在不确定性。(处理时需要先定义认知/理解上的不足,然后尽量缩小差距;也可用增量开发、原型搭建或模拟等方式来处理)
5、项目韧性:可通过提高项目韧性来对应突发性风险
6、整合式风险管理:在适当的层面上承担和管理风险。在较高层面识别出的某些风险,授权给项目团队去管理(上向下);在较低层面识别出的某些风险,上交给较高层面去管理(下向上),协调管理,确保所有层面的风险管理工作的一致性和连贯性。
7.1 规划风险管理
定义:定义如何实施项目风险管理活动的过程。(仅开展一次)
作用:确保风险管理的水平、方法和可见度与项目风险程度、项目对组织和其他相关方的重要程度相匹配。
7.1.1 输入
1、项目章程:记录高层级的项目描述和边界、高层级的需求和风险
2、项目管理计划
3、项目文件:
- 相关方登记册:包含相关方详细信息,记录其在项目中的角色、对项目风险的态度,可用于确定项目风险管理的角色和职责,为项目设定风险临界值。
4、事业环境因素:组织或关键相关方设定的整体风险临界值
5、组织过程资产:组织的风险政策、风险类别、风险概念和术语的通用定义、风险描述格式、风险管理计划、登记册和报告的模板、决策所需的职权级别、经验教训知识库(包含以往类似项目的信息)
7.1.2 工具
1、专家判断
2、数据分析
相关方分析:确定项目相关方的风险偏好
3、会议
可以在开工会议,也可在专门的规划会议来编制风险管理计划。
参与者:项目经理、指定项目团队成员、关键相关方、特定的外部人员等
7.1.3 输出
1、风险管理计划,包括内容:
-
风险管理战略:管理本项目的风险的一般方法。
-
方法论:确定风险管理的具体方法、工具及数据来源
-
角色与职责:确定每项风险管理活动的参与者和职责(参与者:包括领导者、支持者和团队成员)
-
资金:确定风险管理活动所需的资金,制定应急储备和管理储备的使用方案。
-
时间安排:确定本过程的时间、频率,确定本过程下的活动并纳入进度计划
-
风险类别:确定对单个项目风险进行分类的方式。通常借助风险分解结构 (RBS)来构建风险类别。
-
相关方风险偏好:记录关键相关方的风险偏好
-
风险概率和影响定义:根据具体的项目环境、组织和关键相关方的风险偏好和临界值来制定
-
概率和影响矩阵:由执行组织完成,可在项目开始前就确定优先级排序规则,将其纳入组织过程资产;也可为具体项目量身定制。
矩阵中通常会同时列出机会和威胁,两个阈值:概率和影响可以相乘来表示每个风险的概率 - 影响分值从而确定优先级。 -
报告格式:确定将如何记录、分析和沟通本过程的结果(描述本过程各种输出的内容和格式)
-
跟踪:确定如何记录风险活动、如何审计风险
7.2 识别风险
定义:识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程。
作用:记录现有的单记录现有的单个项目风险,以及整体项目风险的来源;汇集相关信息,以便于恰当应对已识别的风险。
识别风险时,要同时考虑单个项目风险,以及整体项目风险的来源。应采用统一的风险描述格式来描述和记录。
识别风险是一个迭代的过程。
7.2.1 输入
1、项目管理计划:
- 需求管理计划:指出特别有风险的项目目标
- 进度 / 成本管理计划:列出受不确定性或模糊性影响的领域
- 质量 / 资源管理计划:列出受不确定性或模糊性影响的领域,或关键假设可能引发风险的领域
- 风险管理计划:规定了风险管理的角色和职责、说明如何将风险管理活动纳入预算和进度计划、描述了风险类别(RBS表述)
- 范围基准:包括可交付成果及其验收标准,其中有些可能引发风险;还包括括工作分解结构,可用作安排风险识别工作的框架。
- 进度基准:找出存在不确定性/模糊性的里程碑日期和可交付成果交付日期,或者可能引发风险的关键假设条件
- 成本基准:找出存在不确定性或模糊性的成本估算或资金需
求,或者关键假设可能引发风险的方面
2、 项目文件
- 成本估算:对项目成本的定量评估,区间大小预示风险程度
- 持续时间估算:对项目持续时间的定量评估,区间大小预示着风险程度
- 假设日志:假设条件和制约因素可能引发单个项目风险 / 影响整体
- 问题日志:记录的问题可能引发单个项目风险 / 影响整体项目风险
- 经验教训登记册:查看与项目早期所识别的风险相关的经验教训
- 需求文件:列明项目需求,利于确定哪些需求存在风险
- 资源需求:是对项目所需资源的定量评估,用区间表示,区间大小预示着风险程度
- 相关方登记册:规定哪些小组或个人可能参与风险识别工、哪些适合担任风险责任人
3、协议:若需要外部采购资源,协议的所规定的里程碑日期、验收标准等都可能造成风险
4、采购文档:若需要外部采购资源,需审查初始采购文档,因为采购可能提高降低整体项目风险或引发单个项目风险;也要审查最新的文档
5、事业环境因素、组织过程资产
7.2.2 工具
1、专家判断
2、数据收集
- 头脑风暴:获取一份全面的单个项目风险和整体项目风险来源的清单
- 核对单:包括需要考虑的项目、行动或要点的清单。
里面列出过去曾出现且可能与当前项目相关的具体单个项目风险,常被用作提醒,需要经常性的更新。 - 访谈:识别风险来源
3、数据分析
-
根本原因分析:常用于发现导致问题的深层原因并制定预防措
施。 -
假设条件和制约因素分析:探索假设条件和制约因素的有效性,确定其中哪些会引发项目风险。
▶ 假设条件不准确→识别风险,清除调整制约因素→创造机会 -
SWOT分析:对项目的优势、劣势、机会和威胁 (SWOT) 进行逐个检查。▶ 识别出组织的优势和劣势 → 找出组织优势可能带来的机会、劣势可能造成的威胁 → 分析组织优势能在多大程度上克服威胁,组织劣势是否会妨碍机会的产生。
-
文件分析:通过对项目文件的结构化审查,识别出一些风险
4、人际关系与团队技能:引导
5、提示清单:关于可能引发单个项目风险和可作为整体项目风险来源的风险类别的预设清单。
某些常见的战略框架更适用于识别整体项目风险的来源。
如 PESTLE(政治/经济/社会/技术/法律/环境)、TECOP(技术/环境/商业/运营/政治)、 VUCA(易变性/不确定性/复杂性/模糊性)
6、会议:风险研讨会。对于大型项目,可能需要邀请项目发起人、
主题专家、卖方、客户代表,或其他项目相关方参加会议。
7.2.3 输出
1、风险登记册,内容包括:
- 已识别风险的清单
- 潜在风险责任人(未来由实施定性风险分析过程进行确认)
- 潜在风险应对措施清单(未来由规划风险应对过程进行确认)
2、风险报告,内容包括:
- 整体项目风险的来源:说明哪些是整体项目风险敞口的最重要驱动因素
- 已识别单个项目风险的概述信息
3、项目文件更新
- 假设日志:可能识别出新的制约因素、审查或修改现有的假设条件或制约因素
- 问题日志
- 经验教训登记册:记录有效的风险识别技术信息
7.3 实施定性风险分析
定义:通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。(迭代开展)
作用:重点关注高优先级的风险。(为每个风险识别出责任人,为定量风险分析奠定基础)
优先级评估依据:项目风险的发生概率、风险发生时对项目目标的相应影响、其他因素
风险感知会导致评估已识别风险时出现偏见,引导者应注意找出偏见并加以纠正。
7.3.1 输入
1、项目管理计划
特别注意风险管理的角色和职责、预算和进度活动安排、风险类别(RBS)、概率和影响定义、概率和影响矩阵、相关方的风险临界值
2、项目文件
- 假设日志:用于识别、管理和监督可能影响项目的关键假设条件和制约因素
- 风险登记册:记录待评估的、已识别的单个项目风险的详细信息。
- 相关方登记册:记录可能被指定为风险责任人的相关方信息
3、事业环境因素、组织过程资产
7.3.2 工具
1、专家判断
2、数据收集:
- 访谈:结构化或半结构化的访谈,注意引导、纠正偏见
3、数据分析
- 风险数据质量评估:评价关于单个项目风险的数据的准确性和可靠性。
- 风险概率和影响评估:考虑特定风险发生的可能性、风险对一项或多项项目目标的潜在影响。要对每个已识别的单个项目风险进行概率和影响评估。可采用访谈或会议的形式,应记录相应的说明性细节。
- 其他风险参数评估:分析时可能需要结合其他风险特征,
紧迫性、邻近性(风险在多长时间后会影响一项或多项项目目标)、
潜伏期、可管理性、可控性、可监测性、
连通性(与其他单个项目风险关联的程度大小)、战略影响力、
密切度(风险被相关方认为要紧的程度)
4、人际关系与团队技能:引导
5、风险分类
可依据风险来源(如RBS风险分解结构)、受影响的项目领域(如WBS工作分解结构),以及其他实用类别(如项目阶段、项目预算、角色和职责)来分类。应该在风险管理计划中规定可用于项目的风险分类方法。
6、数据表现
- 概率和影响矩阵:把风险发生的概率和对项目目标的影响映射起来的表格,,便于对风险进行优先级排序。
- 层级图:使用两个以上的参数对风险进行分类。如气泡图。
气泡图:显示三维数据,用x 轴值、y 轴值和气泡大小表示风险的三个参数。比如X轴代表可监测性,Y轴代表邻近性,以气泡大小表示影响值。
7、会议:风险研讨会
7.3.3 输出
1、项目文件更新
- 假设日志:更新假设条件、制约因素
- 问题日志:记录发现的新问题或当前问题的变化
- 风险登记册:记录本过程生成的新信息
- 风险报告:记录最重要的单个项目风险、all已识别风险的优先级列表、简要结论
7.4 实施定量风险分析
定义:是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。(选择性开展本过程)
作用:量化整体项目风险敞口、提供额外的定量风险信息,以支持风险应对规划。
过程中,要使用被定性风险分析过程评估为对项目目标存在重大潜在影响的单个项目风险的信息。
本过程输出会作为规划风险应对过程的输入。
7.4.1 输入
1、项目管理计划
- 风险管理计划 :确定项目是否需要定量风险分析
- 范围 / 进度 / 成本基准
2、项目文件(10)
- 假设日志:可能引发项目风险的假设条件
- 估算依据
- 成本估算
- 成本预测:包括项目的完工尚需估算 ETC、完工估算 EAC、完工预算BAC和完工尚需绩效指数TCP。把这些预测指标与定量成本风险分析的结果进行比较,以确定与实现这些指标相关的置信水平。
- 持续时间估算
- 里程碑清单:项目的重大事件决定着进度目标。
- 资源需求
- 风险登记册
- 风险报告
- 进度预测
3、事业环境因素、组织过程资产
7.4.2 工具
1、专家判断
2、数据收集:访谈
3、人际关系与团队技能:引导
4、 不确定性表现方式:建立能反映单个项目风险和其他不确定性来源的定量风险分析模型。
单个项目风险可以用概率分布图表示
如果风险的发生与任何计划活动都没有关系,就最适合将其作为概率分支。
5、数据分析
- 模拟:使用模型来模拟单个项目风险和其他不确定性来源的综合影响,以评估它们对项目目标的潜在影响。
通常采用蒙特卡洛分析。
分析成本风险时 → 项目成本估算作为输入
分析进度风险时 → 进度网络图、持续时间估算作为输入
综合定量成本-进度风险分析时 → 同时使用以上两种输入
输出定量风险分析模型。
典型的输出包括:表示模拟得到特定结果的次数的直方图、表示获得等于或小于特定数值的结果的累积概率分布曲线(S 曲线)
- 敏感性分析:在项目结果变异与定量风险分析模型中的要素变异之间建立联系,有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响。
结果通常用龙卷风图表示。
标出定量风险分析模型中的每项要素 和 它能影响的项目结果之间的关联系数。每个要素按关联强度降序排列,形成典型的龙卷风形状。
- 决策树分析:用决策树在若干备选行动方案中选择一个最佳方案。
决策树中,用不同的分支代表不同的决策或事件,即项目的备选路径。分支的终点表示沿特定路径发展的最后结果(正面或负面)。具体见图。
- 影响图:不确定条件下决策制定的图形辅助工具。
在影响图中以区间或概率分布的形式表示不确定的要素,借助模拟技术(如蒙特卡洛分析)来分析哪些要素对重要结果具有最大影响。可得出类似于其他定量风险分析的结果。
※项目EMV值计算方法: 把每个可能结果的数值与其发生的概率相乘,再把所有乘积相加。
7.4.3 输出
1、项目文件更新:更新风险报告,内容包括
- 对整体项目风险敞口的评估结果
- 项目详细概率分析的结果
- 单个项目风险优先级清单
- 定量风险分析结果的趋势
- 风险应对建议
7.5 规划风险应对
定义:为处理整体项目风险敞口、应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程。
作用:制定应对整体项目风险和单个项目风险的适当方法;分配资源,根据需要将相关活动添加进项目文件和项目管理计划。
▶ 一旦完成对风险的识别、分析和排序,指定的风险责任人就应该编制
计划。有效和适当的风险应对可以最小化单个威胁,最大化单个机会,并降低整体项目风险敞口;
▶风险应对方需要由一名责任人具体负责。
▶ 要为实施商定的风险应对策略,包括主要策略和备用策略(若必要),制定具体的应对行动。如果应对策略并不完全有效,或者发生了已接受的风险,就需要制定应急计划(或弹回计划)
应急计划:接受项目风险的一种做法,事先计划好当接受的风险发生时,应该采取的具体步骤。
弹回计划:备用应对计划,在主应对计划不起作用的情况下使用。如果应对策略并不完全有效,或者发生了已接受的风险,就需要制定应急计划(或弹回计划)
权变措施:针对已发生的风险而紧急采取的、原来未计划的应对措施
权变措施针对未知风险,通过分配管理储备进行应对。
※ 纠正措施包括应急计划和权变措施。
弹回计划、应急计划都可以针对威胁或机会;权变措施只能针对威胁。
次生风险:实施风险应对措施而直接导致的风险。
7.5.1 输入
1、项目管理计划
- 资源管理计划:确定如何协调风险应对的资源和其他资源。
- 风险管理计划:提供风险管理角色和职责、风险临界值
- 成本基准:包含拟用于风险应对的应急资金的信息
2、项目文件(7)
- 经验教训登记册:参考早期的风险应对的经验教训
- 项目进度计划:确定如何规划风险应对活动和其他项目活动
- 项目团队派工单:提供可用于风险应对的人力资源
- 资源日历:确定潜在资源何时可用于风险应对
- 风险登记册:包含已识别并排序的、需要应对的单个项目风险
的详细信息,列出了各风险的风险责任人 - 风险报告:包含项目整体风险敞口的当前级别、单个项目风险的分布情况,可能影响风险应对策略的选择。
- 相关方登记册:列出了风险应对的潜在责任人。
3、事业环境因素、组织过程资产
7.5.2 工具
1、专家判断
2、数据收集:访谈
3、人际关系与团队技能:引导
4、威胁应对策略(5种备选策略)
- 上报:威胁不在项目范围内,或提议的应对措施超出项目经理的权限(项目经理应通知相关人员,相关人员必须承担应对责任)
- 规避:指项目团队采取行动来消除威胁,或保护项目免受威胁的影响。(适用于概率较高,具有严重负面影响的高优先级威胁。)
- 转移: 将应对威胁的责任转移给第三方,让第三方管理风险并承担威胁发生的影响。通常需要签订协议、支付费用,如保险。
- 减轻: 采取措施来降低威胁发生的概率和(或)影响。提前采取减轻措施通常比事后弥补更有效。
- 接受:承认威胁的存在,但不主动采取措施。
接受分为主动和被动。主动接受策略:建立应急储备;被动接受策略:不主动行动,只定期对威胁进行审查,确保其并未发生重大改变。
5、机会应对策略
- 上报
- 开拓:将特定机会的出现概率提高到 100%,从而获得相关收益。
开拓措施可能包括:分配更好资源 / 用更先进技术 → 节约项目成本、缩短完工时间; - 分享
- 提高:提高机会出现的概率和(或)影响
- 接受
6、应急应对策略:设计一些仅在特定事件发生时才采用的应对措施。采
用此技术制定的风险应对计划,通常称为应急计划或弹回计划。
7、整体项目风险应对策略
- 规避
- 开拓
- 转移或分享
- 减轻或提高
- 接受
8、数据分析
- 备选方案分析:简单比较备选风险应对方案的特征和要求,确定最适用的一个。
- 成本效益分析:确定备选风险应对策略的成本有效性
9、决策:多标准决策分析
借助决策矩阵,提供建立关键决策标准、评估备选方案并加以评级,以及选择首选方案的系统分析方法。
7.5.3 输出
1、变更请求:可能就成本基准、进度基准,项目管理计划的其他组件提出
变更请求。应通过实施整体变更控制过程对此进行审查和处理。
2、项目管理计划更新
- 进度 / 成本 / 质量 / 资源 / 采购管理计划
- 范围 / 进度 / 成本基准
3、项目文件更新(7)
- 假设日志
- 成本预测
- 经验教训登记册
- 项目进度计划
- 项目团队派工单:为相关措施分配资源(负责人员)
- 风险登记册:记录选择的风险应对措施。包括应对策略、实施策略需要的具体行动、策略所需预算和进度活动、应急计划及其触发条件、弹回计划、采取措施后的残余风险和次生风险
- 风险报告:记录应对措施、实施措施后的预期变化
7.6 实施风险应对
定义:执行商定的风险应对计划的过程。
作用:确保按计划执行商定的风险应对措施,管理整体项目风险敞口、最小化单个项目威胁,以及最大化单个项目机会。
※ 实施风险应对措施可减轻风险影响;使用应急储备是应对中的主动接受,而非减轻
7.6.1 输入
1、项目管理计划:风险管理计划
2、项目文件
- 经验教训登记册
- 风险登记册:记录单个风险的应对措施和责任人
- 风险报告:记录对对当前风险敞口的评估及其应对策略、重要的单个项目风险及其应对计划
3、组织过程资产
7.6.2 工具
1、专家判断
2、人际关系与团队技能
3、项目管理信息系统 (PMIS)
7.6.3 输出
1、变更请求
2、项目文件更新:
- 问题日志
- 经验教训登记册
- 项目团队派工单
- 风险登记册
- 风险报告
7.7 控制风险
定义:在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。
作用:使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。
监督风险过程采用项目执行期间生成的绩效信息
7.7.1 输入
1、项目管理计划:风险管理计划
2、项目文件
- 问题日志:检查未决问题是否已更新
- 经验教训登记册
- 风险登记册
- 风险报告
- 工作绩效数据:包含关于项目状态的信息,如已实施措施、已发生的风险、已关闭风险等。
- 工作绩效报告:提供关于项目工作绩效的信息,包括偏差分析结果、挣值数据和预测数据。(分析绩效测量结果得来)
7.7.2 工具
1、数据分析
- 技术绩效分析:比较项目执行期间取得的技术成果与对应计划进行比较。
- 储备分析:在项目的任一时点比较剩余应急储备与剩余风险量,从而确定剩余储备是否仍然合理。(可用燃尽图显示应急储备的消耗情况)
2、审计:风险审计是一种审计类型,可用于评估风险管理过程的有效性。
实施审计前,应明确定义风险审计的程序和目标。
3、会议:风险审查会。
7.7.3 输出
1、工作绩效信息
2、变更请求
3、项目管理计划更新
4、项目文件更新
- 假设日志
- 问题日志
- 经验教训登记册
- 风险登记册
- 风险报告
5、组织过程资产更新:更新风险管理计划、风险登记册和风险报告的模板、风险分解结构