PMP项目管理 | 项目风险管理

温馨提示：本文篇幅略长，干货较多，建议收藏后慢慢消化~整理不易，欢迎点赞分享支持

核心概念

项目风险是不确定的事情或状况，一旦发生就会对项目目标（如时间、成本、范围等）产生正面或负面的影响
项目风险是由项目的不确定性引起的
项目风险是将来的事情
已发生的风险被称为问题（Issue）
风险并不是总是消极的，而有些消极风险必须接受

描述风险的三个因素

风险事件Event
风险发生的概率Probability
风险发生后造成的影响Impact，Amount at stake
用风险的期望值（也叫风险敞口）来衡量风险的严重程度
Expected Value(Risk Exposure)=Probability * Impact

风险分类

已知风险：已经识别并分析过的风险

可以采取风险规划应对措施
已知但无法主动管理，则分配应急储备

未知风险：无法进行主动管理

分配管理储备

组织和相关方的态度

影响组织风险态度的三个主要因素

风险偏好
风险承受力/容忍度
风险临界值

风险态度要开诚布公地交流
相关方和组织的风险态度决定了风险应对措施的选择

风险偏好

风险偏好指的是为了预期回报，一个实体愿意承担不确定性的程度，愿意的程度，有多愿意？
根据风险效用理论，有三种风险偏好

风险逃避者 Risk Avoider
风险中立者 Risk Neutral
风险热衷者 Risk Lover

风险管理包含

子过程分解

一、规划风险管理

定义

定义如何实施项目风险管理活动的过程

理解

识别、定性、定量、规划应对、实施应付、监督所用的流程、工具技术、文档模板
识别风险的分类、定性的依据、应对的整体策略等

会议（风险规划会，第一个会议）

项目团队举行风险规划会来制定风险管理计划。
参会者可包括项目经理、选定的项目团队成员和相关方、组织中负责管理风险规划和应对活动的任何人员，以及需要参加的其他人员

作用

确保风险管理的水平、方法和可见度与项目风险程度，以及项目对组织和其他相关方的重要程度相匹配

发生时机

仅开展一次或仅在项目的预定义点开展
项目开始前和项目团队切换时是典型的开展时点

参与方

项目经理主导、项目管理团队和主题专家参与
PMO、质量部、内控部可能对本过程提供支持

输入、工具与技术和输出

11.1规划风险管理.png

二、识别风险

定义

识别单个项目风险以及整体项目风险的来源，并记录风险特征的过程

理解

指出可能的风险事项
指出潜在的影响
指出潜在的应对方案

SWOT分析

是对项目的优势、劣势、机会和威胁（SWOT）进行逐个检查
在识别风险时，它会将内部产生的风险包含在内，从而扩宽识别风险的范围

风险登记册（第一次出现）

风险登记册记录已识别单个项目风险的详细信息
随着实施定性风险分析、规划风险应对、实施风险应对和监督风险等过程的开展，这些过程的结果也要记录进风险登记册
取决于具体的项目质量（如规模和复杂性），风险登记册可能包含有限或广泛的风险信息
1. 已识别风险的情况
1. 潜在的责任人
1. 潜在的风险应对措施清单

提示清单

提示清单是关于可能引发单个项目风险以及可作为整体项目风险类别的预设清单

可作为框架用于协助项目团队形成想法
可以用风险分解结构底层的风险类别作为提示清单，来识别单个项目风险
某些常见的战略框架更适用于识别整体项目风险的来源
PESTLE（政治、经济、社会、技术、法律、环境）
TECOP（技术、环境、商业、运营、政治）
VUCA（易变性、不确定性、复杂性、模糊性）

风险报告

风险报告提供关于整体项目中风险的信息，以及关于已识别的单个项目风险的概述信息。在项目风险管理过程中，风险报告的编制是一项渐进式的工作。随着实施定性风险分析、实施定量风险分析、规划风险应对、实施风险应对和监督风险过程的完成，这些过程的结果也需要在风险登记册中，内容可能包括：

整体项目风险的来源。说明哪些是整体项目风险敞口的最重要驱动因素。
关于已识别单个项目风险的概述信息。例如，已识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势
根据风险管理计划中规定的报告要求，风险报告中可能还包含其他信息

作用

记录单个的项目风险以及整体项目的风险来源
汇集相关信息，以便项目团队能够恰当应对已识别的风险

发生时机

在整个项目期间开展
只要项目还在进行，就要不断去发现新的风险事项

参与方

项目经理主导，团队成员、主题专家主要完成实质性工作
PMO、风控、内审部门可能为本过程提供知识库

输入、工具与技术和输出

11.2识别风险.png

三、实施定性风险分析

定义

通过评估单个项目风险发生的概率和影响以及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程

理解

对所有风险，主观评定重要性和影响
风险感知会导致评估已识别风险时出现偏见，所以应该注意找出偏见并加以纠正
敏捷里对单个任务的风险评估直接作用于对活动的持续时间估算上

数据评估-风险概率和影响评估

风险概率评估考虑的是特定风险发生的可能性，而风险影响评估考虑的是风险对一项或多项项目目标的潜在影响，如进度、成本、质量或绩效。风险评估可以采用访谈或会议的形式

会议（风险研讨会，第二次会议）

召开专门的风险研讨会，对已识别单个项目风险进行讨论，逐一为单个项目风险分配风险责任人
配备一名熟练的引导者能提高会议的有效性
以后由风险责任人规划应对措施和报告风险管理工作的进展情况

风险登记册（第一次更新）

根据实施定性风险分析的结果，对其进行更新：

每项单个项目风险的概率和影响评估
优先级别或风险分值
制定风险责任人
风险紧迫性或风险类别
低优先级风险的观察清单
需要进一步分析的风险

作用

重点关注高优先级的风险

发生时机

在整个项目期间开展

参与方

项目经理主导，团队成员、主题专家主要完成实质性工作
PMO、风控、内审部门可能为本过程提供知识库

输入、工具与技术和输出

11.3实施定性风险分析.png

四、实施定量风险分析

定义

就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程

理解

有些风险不需要开展定量分析
一般选取对竞争性目标（如进度、成本）有重大影响的风险开展定量评估

实施定量风险分析（重要概念）

就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程
量化整体项目风险敞口，并提供额外的定量风险信息，以支持风险应对规划（非本过程必须）一般仅针对高优先级风险
能够开展稳健的分析取决于高质量数据和扎实的项目基准，定量风险分析适用于：

大型或复杂项目
具有战略重要性的项目
合同要求进行定量分析的项目
主要相关方要求进行定量分析的项目

评估所有单个风险对结果的综合影响，定量分析就成为评估整体项目风险的唯一可靠办法

数据分析-敏感性分析（龙卷风图）

敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响，使用风险最大潜在影响的的降序排列
它在项目结果变异与定量风险分析模型中的要素变异之间建立联系
敏感性分析的结果通常用龙卷风图来表示
显示定量风险分析模型中的每项要素与其能影响的项目结果之间的关联系数，这些要素可能包括单个项目风险、易变的项目活动，或具体的不明确性来源

数据分析-决策树分析

用决策树在若干备选行动方案中选择一个最佳方案
在决策树中，用不同的分支代表不同的决策或事件，即项目的备选路径。每个决策或事件都有相关的成本和单个项目风险（包括威胁和机会）
决策树分支的终点表示沿特定路径发展的最后结果，可以是负面或正面的结果

作用

量化整体项目风险敞口，并提供额外的定量风险信息，以支持风险应对规划

发生时机

并非每个项目必需
如果采用，会在整个项目期间持续开展

参与方

项目经理主导，团队成员、主题专家主要完成实质性工作
PMO、风控、内审部门可能为本过程提供知识库

输入、工具与技术和输出

11.4实施定量风险分析.png

五、规划风险应对

定义

为处理整体项目风险敞口，以及单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程

理解

确定每个风险的应对策略，并指定具体的行动措施
有些措施会立即引发WBS、进度计划等的调整
对于做出的调整，给出对应资源分配

规划风险应对（重要概念）

为处理整体项目风险敞口，以及单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程
制定对整体项目风险和单个项目风险的适当方法，本过程还将分配资源，并根据需要将相关活动添加进项目文件和项目管理计划
有效和适当的风险应对可以最小化单个威胁，最大化单个机会，并降低整体项目风险敞口
风险应对方案应与风险重要性相匹配，能经济有效的应对挑战，在当前项目背景下现实可行，能获得全体相关方同意，并由一名责任人具体负责

规划风险应对术语

有若干种风险应对策略可供使用，应该为每个风险选择最可能有效的策略或策略组合
应急应对策略

弹回计划（fallback plan）。规划一组备用的行动和任务，以便在主计划因问题、风险或其他原因而需要被废弃时采用
应急计划：如果项目团队相信其发生会有充分的预警信号，那么就应该制定仅在某些预订条件出现时才执行的应对计划
应对计划：还应该对次生风险（secondary risk）——由应对策略导致的风险进行审查

消极风险或威胁的应对策略

上报

威胁不在项目范围内，或提议的应对措施超出了项目经理的权限，就应该采用上报策略
在项目集层面、项目组合层面或组织的其他相关部门加以管理，组织中的相关人员必须愿意承担应对责任，这一点非常重要
一旦上报，就不再由项目团队做进一步监督，虽然仍可出现在风险登记册中参考

规避

指项目团队采取行动来消除威胁，或保护项目免受威胁影响，他可能适用于发生概率较高，且具有严重负面影响的高优先级威胁
彻底消除威胁，将它的发生概率降低到零
规避措施可能包括消除威胁的原因、延长进度计划、改变项目策略或缩小范围。有些风险可以通过澄清需求、获取信息、改善沟通或取得专有技能来加以规避

转移

转移不会改变风险发生的概率，转移涉及到将应对威胁的责任转移给第三方，让第三方管理风险并承担威胁发生的影响
采用转移策略，通常需要向承担威胁的一方支付风险转移费用
风险转移可能需要通过一系列行动才得以实现，包括但不限于：购买保险、使用担保书、使用履约保函、使用保证书、签订协议等

减轻

风险减轻是指采取措施来降低威胁发生的概率或影响
提前采取减轻措施通常比威胁出现后尝试进行弥补更加有效
例子：采用复杂性较低的流程进行更多的测试

接受

指承认威胁的存在，但不主动采取措施
可用于低优先级威胁，也可用于无法以任何其他方式加以经济有效地应对的威胁
该策略可以是被动或主动的
主动接受策略是建立应急储备，包括预留时间、资金或资源以应对出现的威胁
被动接受策略则不会主动采取行动，而只是定期对威胁进行审查，确保其并未发生重大改变

积极风险或威胁的应对策略

上报

威胁不在项目范围内，或提议的应对措施超出了项目经理的权限，就应该采用上报策略
在项目集层面、项目组合层面或组织的其他相关部门加以管理，组织中的相关人员必须愿意承担应对责任，这一点非常重要
一旦上报，就不再由项目团队做进一步监督，虽然仍可出现在风险登记册中参考

开拓

如果组织想确保把握住高优先级的机会，就可以选择开拓策略
将特定机会的出现概率提高的100%，确保其肯定出现，从而获得与其相关的收益
开拓措施可能包括：把组织中最有能力的资源分配给项目来缩短完工时间；采用全新技术或技术升级来解约项目成本并缩短项目持续时间

将应对机会的责任转移给第三方，使其享有机会所带来的的部分收益
必须仔细为已分享的机会安排新的风险责任人，让那些最有能力为项目抓住机会的人承担
通常需要向承担机会应对责任的乙方支付风险费用
分享措施包括但不限于：建立合伙关系、合作团队、特殊公司或合资企业来分享机会

提高

旨在提高机会的发生概率或积极影响
通过关注其原因，可以提高机会出现的概率；如果无法提高概率，也许可以针对决定其潜在收益规模的因素来提高机会发生的影响
提高机会的例子包括尽早完成活动而增加资源

接受

指承认机会的存在，但不主动采取措施
可用于低优先级威胁，也可用于无法以任何其他方式加以经济有效的应对的威胁
该测录可以是主动或被动的
主动接受策略是建立应急储备，包括预留时间、资金或资源以应对出现的机会
被动接受策略则不会主动采取行动，而只是定期对机会进行审查，确保其并未发生重大改变

风险应对策略举例：

从项目中删除工作包或活动——规避
尽早分派团队成员经常去供应商的生产场地去了解他们所交产品的问题——减轻
把工作包完成的日期定在当有经验的资源能够被利用的时候——开拓
尽早与供应商谈判以确保物美价廉——提高
把工作包外包出去以获得机会——分享
通知管理层，当你不采取阻止风险发生的行动时费用可能会上涨——接受
从项目中去除有麻烦的资源——规避
为经验有限的团队成员提供额外的培训——减轻
把难以完成的工作外包给更有经验的公司——转移
要求客户来处理部分工作——转移
为具有设计风险的设备制作原型——减轻

风险登记册更新（第二次更新）

风险登记册的更新包括：

商定的应对策略
实施所选应对策略所需要的具体行动
风险发生的出发条件、征兆和预警信号
实施所选应对策略所需要的预算和进度活动
应急计划，以及启动该计划所需的风险触发条件
弹回计划，供风险发生且主要应对措施不足以应对时使用
在采取预定应对措施之后仍然存在的残余风险，以及被有意接受的风险
由实施风险应对措施而直接导致的次生风险

作用

制定对整体项目风险和单个项目风险的适当方法，本过程还将分配资源，并根据需要将相关活动添加进项目文件和项目管理计划

发生时机

在整个项目期间开展

参与方

项目经理主导，团队成员、主题专家主要完成实质性工作
PMO、风控、内审部门可能为本过程提供知识库

输入、工具与技术和输出

11.5规划风险应对.png

六、实施风险应对

定义

执行商定的风险应对计划的过程

理解

对于既定的风险应对措施的实施，通过本过程加以细致管控
促进既定的风险应对措施达到预期效果

人际关系与团队技能-影响力

在矩阵环境中，项目经理对团队成员通常没有或仅有很小的命令职权，所以他们适时影响相关方的能力，对保证项目成果非常关键。影响力主要体现在如下各方面：

说服他人
清晰表达观点和立场
积极且有效的倾听
了解并综合考虑各种观点
收集相关信息，在维护相互信任的关系下，解决问题并达成一致意见

作用

确保按计划执行商定的风险应对措施，来管理整体项目风险敞口、最小化单个项目威胁，以及最大化单个项目机会

发生时机

在整个项目期间开展

参与方

项目经理主导，项目团队开展实质性工作

输入、工具与技术和输出

11.6实施风险应对.png

七、监督风险

定义

在整个项目期间，监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性的过程

理解

确认既定的风险应对计划是否实施
跟进风险登记册上的风险是否发生
确认是否有风险登记册以外的未知事件发生

技术绩效分析

开展技术绩效分析，把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较。它要求定义关于技术绩效的客观的、量化的测量指标

储备分析

储备分析是指在项目的任一时点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理。可以用各种图形（如燃尽图）来显示应急储备的消耗情况

会议（风险审查会，第三个会议）

应该定期安排风险审查，来检查和记录风险应对在处理整体项目风险和已识别单个项目方面的有效性。风险审查会包括：

识别出新的单个项目风险（包括已商定应对措施所引发的次生风险）
重新评估当前风险
关闭已过时风险
讨论风险发生所引发的问题
总结可用于当前项目后续阶段或未来类似项目的经验教训

作用

使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息

发生时机

在整个项目期间开展

参与方

项目经理主导，项目管理团队和主题专家参与完成工作
PMO、风控、内审部门可能为本过程参与意见

输入、工具与技术和输出

11.7监督风险.png

总结

关于风险的会议

在规划风险管理的过程中会召开风险规划会（第一个关于风险的会议），制定出风险管理计划，
在实施定性风险分析过程中会召开风险研讨会（第二个关于风险的会议），指定正式的风险责任人，排定风险的优先级，让风险责任人针对高优先的风险进行风险应对措施
在监督风险过程中会召开风险审查会（第三个关于风险的会议），识别新风险，关闭老风险，重新评估当前风险

关于风险登记册的更新

识别风险（产出）

已识别风险清单
潜在应对措施

实施风险定性分析（更新）

评估概率和影响
风险评级和分值
风险紧迫性或风险分类，
低概率的观察清单或需进一步分析的风险

实施风险定量分析（更新）

风险概率分析
实现成本和进度目标的概率
量化风险优先级清单
定量风险分析结果的趋势

规划风险应对（更新）

风险责任人及其职责的分配
商定的对应策略
实施所选应对策略所需的具体行动
风险发生的触发条件、征兆和预警信息
实施所选应对策略所需的预算和进度活动
弹回计划
残余风险及有意接受的风险
次生风险
应急储备

控制风险

风险再评估、风险审计和审核结果
风险和应对策略的实际结果