系统集成|第十九章(笔记)

---

上篇：第十八章、安全管理
下篇：第二十章、收尾管理

第十九章 风险管理

---

19.1 风险管理的概述及相关概念

风险：

• 概述：

  • 狭义：损失的不确定性，表现为负面影响
  • 广义：带来损失的可能性，也指可能获利的机会

• 分类：

  • 按照性质划分
    • 纯粹风险：是指只有损失可能性而无获利可能性的风险。
    • 投机风险：是相对于纯粹风险而言的，是指即有损失的可能又有获利机会的风险。
  • 按照产生原因划分
    • 自然风险
    • 社会风险
    • 政治风险
    • 经济风险
    • 技术风险
  • 软件风险
    • 项目风险：现在需求风险、计划编制风险、人员风险、组织管理风险、开发环境风险、客户风险、过程风险等方面。
    • 技术风险：是指在设计、实现、接口、验证、维护、规约的二义性、技术的不确定性、陈旧的技术等方面存在的风险。
    • 商业风险：主要包含市场风险、策略风险、销售风险、管理风险、预算风险(没有得到预算或相关资源上的保证)

• 性质：

  • 1）客观性：风险是一种不以人的意志为转移，独立于人的意识之外的客观存在。
  • 2）偶然性：由于信息的不对称，未来风险事件发生与否难以预测。
  • 3）相对性：风险性质会因时空各种因素变化而变化。
  • 4）社会性：风险的后果与人类社会的相关性决定了风险的社会性，具有很大的社会影响力。
  • 5）不确定性：发生时间的不确定性。

• 识别的特点：

  • （1）全员性
  • （2）系统性
  • （3）动态性
  • （4）信息依赖性
  • （ 5）综合性

项目风险管理包括规划风险管理、识别风险、实施风险分析、规划风险应对和控制风险等各个过程。项目风险管理的目标在于提高项目中积极事件的概率和影响，降低项目中消极事件的概率和影响。

1. 规划风险管理：定义如何实施项目风险管理活动的过程。
2. 识别风险：判断哪些风险可能影响项目并记录其特征的过程。
3. 实施定性风险分析：它是评估并综合分析风险的发生概率和影响，对风险进行优先排序，从而为后续分析或行动提供基础的过程。
4. 实施定量风险分析：它是就已识别风险对项目整体目标的影响进行定量分析的过程。
5. 它是针对项目目标，制定提高机会、降低威胁的方案和措施的过程。
6. 它是在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险，以及评估风险过程有效性的过程。

目标： 提高项目中积极事件的概率和影响，降低项目中消极事件的概率和影响。

影响组织和干系人的风险态度因素：

• （1）风险偏好：为了预期的回报，一个实体愿意承受不确定性的程度。
• （2）风险承受力：组织或个人能承受的风险程度，数量或容器。
• （3）风险临界值：干系人特别关注的特定的不确定性程度或影响程度，低于风险临界值，组织会接受风险，高于风险临界值，组织将不能承受风险。

---

19.2 主要过程

包括：

• 规划风险管理（计划过程组）
• 识别风险（计划过程组）
• 实施定性风险分析（计划过程组）
• 实施定量风险分析（计划过程组）
• 规划风险应对（计划过程组）
• 控制风险（监控过程组）

---

19.2.1 规划风险管理

概述：风险性质会因时空各种因素变化而变化。

作用：确保风险管理的程度，类型和可见度为风险及项目对组织的重要性相匹配。

规划风险管理的输入：

• 1）项目管理计划
• 2）项目章程
• 3）干系人登记册
• 4）事业环境因素
• 5）组织过程资产

规划风险管理的工具与技术：

• ① 分析技术
• ② 专家判断
• ③ 会议

规划风险管理的输出：

• ① 风险管理计划
  • 概述：风险管理计划是项目管理计划的 组成部分，描述将如何安排与实施风险管理活动
  • 内容：
    • （1）方法论：确定项目风险管理将使用的方法，工具及数据来源
    • （2）角色与职责：确定风险管理计划中每个活动的责任者和支持者，以及风险管理团队的成员，并明确其职责
    • （3）预算
    • （4）时间安排：确定项目生命周期中实施风险管理过程的时间和频率
    • （5）风险类别
    • （6）风险概率和影响的定义
    • （7）概率和影响矩阵
    • （8）修订的干系人承受力
    • （9）报告形式
    • （10）跟踪

---

19.2.2 识别风险

概述：它是判断哪些风险可能影响项目并记录其特征的过程

作用：把识别出的风险记录在案，并为项目团队预测未来事件积累知识和技能

相关概念：

• 风险事故
• 风险事件
• 风险因素
• 风险危害

原则：

• （1）由粗到细，由细到粗
• （2）严格界定风险内涵并考虑风险因素之间的相关性
• （3）先怀疑，后排除
• （4）排除与确认并重。对于肯定不能排除但又不能肯定与已确认的风险按确认考虑
• （5）必要时，可做试验论证

识别风险的输入：

• 1）风险管理计划
• 2）成本管理计划
• 3）进度管理计划
• 4）质量管理计划
• 5）人力资源管理计划
• 6）范围基准
• 7）活动成本估算
• 8）活动持续时间估算
• 9）干系人登记册
• 10）项目文件
• 11）采购文件
• 12）事业环境因素
• 13）组织过程资产

识别风险的工具与技术：

• ① 文档审查
  • 概述：对项目文档（包括各种计划，假设条件，以往的项目文档，协议和其它信息）进行结构化审查，发现其中不一致及风险隐患
• ② 信息收集技术
  • 包括：
    • 头脑风暴
    • 德尔菲技术
    • 访谈
    • 根本原因分析
• ③ 核对单分析
  • 概述：根据以往类似项目和其他来源的历史信息与知识编制风险识别核对表
• ④ 假设分析
• ⑤ 图解技术
  • 包括：
    • （1）因果图：又称石川图或鱼骨图，用于识别风险的起因
    • （2）系统过程流程图：显示系统各要素之间的相互联系及因果传导机制
    • （3）影像图：用图形方式表示变量与结果之间的因果关系，事件时间顺序及其他关系
• ⑥ SWOT分析
  • 概述：优势；劣势；机会；威胁
• ⑦ 专家判断

识别风险的输出：

• ① 风险登记册
  • 包括：
    • 已识别风险清单
    • 潜在应对措施清单

---

19.2.3 实施定性风险分析

概述：它是评估并综合分析风险的发生概率和影响，对风险进行优先排序，从而为后续分析或活动提供基础的过程

1. 实施定性风险分析是评估并综合分析风险的概率和影响，对风险进行优先排序，从而为后续分析或行动提供基础的过程。本过程的主要作用是，是项目经理能够降低项目的不确定性级别，并重点关注高优先级的风险。
2. 实施定性风险分析发生的概率或可能性，风险发生后对项目目标的相应影响及其他因素（如应对时间要求，与项目成本，进度，范围和质量等制约因素相关的组织风险承受力），来评估以识别风险的优先级。
3. 实施定性风险分析通常可以快速且经济有效的为制定风险应对措施建立优先级。可以为实施定量风险分析（如果需要的话）奠定基础。

作用：项目经理能够降低项目的不确定性级别，并重点关注高优先级的风险

实施定性风险分析的输入：

• 1）风险管理计划
• 2）范围基准
• 3）风险登记册
• 4）事业环境因素
• 5）组织过程资产

实施定性风险分析的工具与技术：

• ① 风险概率和影响评估
• ② 概率和影响矩阵
• ③ 风险数据质量评估
• ④ 风险分类
• ⑤ 风险紧迫性评估
• ⑥ 专家判断

实施定性风险分析的输出：

• ① 项目文件更新
  • 风险登记册
  • 假设条件日志

---

19.2.4 实施定量风险分析

概述：它是就已识别风险对项目整体目标的影响进行定量分析的过程

1. 实施定量风险分析时就已识别风险对项目整体目标的影响进行定量分析的过程。本过程的作用是，产生量化风险信息，来支持决策制度，降低项目的不确定性。
2. 实施定量风险分析的对象是在定性风险分析过程中被确定为对项目的竞争性需求存在重大潜在影响的风险。实施定量风险分析过程就是分析这些风险对项目目标的影响，主要用来评估所有风险对项目的总体影响。在进行定量分析时，也可以对单个风险分配优先级数值。
3. 实时定量风险分析一般在实施定性风险分析过程之后开展，在没有足够的数据建立模型的时候，定量分析可能无法实施。

作用：产生量化风险信息，来支持决策制度，降低项目的不确定性

实施定量风险分析的输入：

• 1）风险管理计划
• 2）成本管理计划
• 3）进度管理计划
• 4）风险登记册
• 5）事业环境因素
• 6）组织过程资产

实施定量风险分析的工具与技术：

• ① 数据收集和展示技术
  • （1）访谈
  • （2）概率分布（三点估算PERT）
• ② 定量风险分析和建模技术
  • （1）敏感性分析
  • （2）预期货币价值分析（ EMV）
  • （3）建模和模拟
    • 蒙特卡罗分析法：蒙特卡洛分析也称为随机模拟法，其基本思路是首先建立一个概率模型或随机过程，使它的参数等于问题的解，然后通过对模型或过程的观察计算所求参数的统计特征，最后给出所求问题的近似值，解的精度可以用估计值的标准误差表示。大家可记住蒙特卡洛分析的关键字，“随机"、“模型"、“统计特征”。
• ③ 专家判断

实施定量风险分析的输出：

• ① 风险登记册更新
  • 项目的概率分析
  • 实现成本和时间目标的概率
  • 量化风险优先级清单
  • 定量风险分析结果的趋势

---

19.2.5 规划风险应对

概述：它是针对项目目标，制定提高机会，降低威胁的方案和措施的过程，本过程也叫 “制定风险应对措施，或者叫制定风险应对计划 ”。

作用：根据风险的优先级来制定应对措施，并把风险应对所需的管理资源和活动加进项目的预算，进度计划和项目管理计划中。

对风险持不同态度的人：

1. 厌恶型（否定）
2. 促进型（积极）
3. 中间型（中间）

规划风险应对的输入：

• 1）风险管理计划
• 2）风险登记册

规划风险应对的工具与技术：

• ① 消极风险或威胁的应对策略
  • 1）规避：如延长进度，改变策略或缩小范围等。最极端的规避策略是关闭整个项目，在项目早期出现的某些风险，可以通过澄清需求，获取信息，改善沟通或取得专有技能来加以规避。
  • 2）转移：风险转移可采用多种工具，包括（但不限于）保险，履约保函，担保书和保证书等。可以利用合同或协议把某些具体风险转移给另一方。例如，如果买方具备卖方所不具备的某种能力，为谨慎起见，可通过合同规定把部分工作及其风险在转移给买方。在许多情况下，成本补偿合同可把成本风险转移给买方，而总价合同可把风险转移给卖方。
  • 3）减轻：减轻措施的例子包括采用不太复杂的流程，进行更多的测试，或者选用更可靠的供应商，它可能需要开发原型，以降低从实验台模型放大到实际工艺或产品过程中的风险。如果无法降低风险概率，也许可以从决定风险严重性的关 联点入手，针对风险影响来采取减轻措施。例如，在一个系统中加入冗余部件，可以减轻主部件故障所造成的影响。
  • 4）接受：风险接受是指项目团队决定接受风险的存在，这策略可以是被动或主动的。被动接受策略不采取任何措施，只需要记录本策略，而无需任何其它行动，待风险发生时再由项目团队处理。不过，需要定期复查。以确保威胁没有太大的变化。如果采取主动接受的策略，则要在风险发生前制定应急计划。最常见的主动接受策略是建立应急储备，安排一定的时间，资金或资源来应对风险。
• ② 积极风险或威胁的应对策略
  • 1）开拓：如果组织想要确保机会得以实现，就可以对具有积极影响的风险采取本策略。本策略旨在消除与某个特定积极风险相关的不确定性，确保机会肯定出现。直接开拓包括把组织中最有能力的资源分配给项目来缩短完成时间，或者采用全新或改进的技术来节约成本，缩短实现项目目标的持续资源。
  • 2）提高：本策略旨在提高机会的发生概率和积极影响。识别那些会影响积极风险发生的关键 因素，并使这些因素最大化，以提高机会发生的概率。提高机会的例子包括为尽早完成活动而增加资源。
  • 3）分享：分享的积极风险是指把应对机会的部分或全部责任分配给最能为项目里以抓住的机会的第三方。分享的例子包括建立风险共担的合作关系和团队，以及为特殊目的成为公司或联营体，以便充分利用机会，使各方都从中受益。
  • 4）接受：接受机会是指当机会发生时乐于利用，但不主动追求机会。
• ③ 应急应对策略
  • 概述：可以针对某些特定事件，专门设计一些应对措施。对于有些风险，项目团队可以制定以及应对策略，即只有在某些预定条件发生时才能实施的应对 计划。
• ④ 专家判断

规划风险应对的输出：

• ① 项目管理计划更新
• ② 项目文件更新

---

19.2.6 控制风险

概述：它是在整个项目中实施风险应对计划，跟踪已识别风险，监管残余风险，识别新风险，以及评估风险过程有效性的过程。

作用：在整个项目生命周期中提高应对风险的效率，不断优化风险应对措施。

控制风险的输入：

• 1）项目管理计划
• 2）风险登记册
• 3）工作绩效数据
• 4）工作绩效报告

控制风险的工具与技术：

• ① 风险再评估
  • 概述：在控制风险中，经常需要识别新风险，对现有风险进行再评估，以及删去已过时的风险。应该定期进行项目风险再评估，反复进行再评估的次数和详细程度，应该根据相对于项目目标的项目及进展情况而定。
• ② 风险审计
  • 概述：风险审计是检查并记录风险应对措施在处理已识别风险及其根源方面的有效性，以及风险管理过程的有效性。
• ③ 偏差和趋势分析
• ④ 技术测量绩效
  • 概述：技术绩效测量是把项目执行期间所取得的技术成果进行比较
• ⑤ 储备分析
• ⑥ 会议

控制风险的输出：

• ① 工作绩效信息
• ② 变更请求
• ③ 项目管理计划更新
• ④ 项目文件更新
• ⑤ 组织过程资产更新

相关说明

德尔菲技术：德尔菲技术是组织专家达成一致意见的一种方法。项目风险专家匿名参与其中。组织者使用调查问卷就重要的项目风险征询意见，然后对专家的答卷进行归纳，并把结果反馈给专家做进一步评论。这个过程反复几轮后，就可能达成一致意见。德尔菲技术有助于减轻数据的偏倚，防止任何个人对结果产生不恰当的影响。

聘请专家采取背对背匿名的方式进行；借助问卷获取专家的评估结论；汇总问卷结果并在专家间传阅；专家调整各自评估结论；通过多轮征询获得专家对项目评估的一致见解。

---

上篇：第十八章、安全管理
下篇：第二十章、收尾管理