【PMP学习笔记】11.项目风险管理

独特性--->不确定性--->风险

有关风险的认知：对项目目标产生正面或负面影响的不确定性事件 风险原因：起因和条件 风险事件：本身是一个事件 风险概率：发生的概率 风险影响：对项目目标影响有多大？

问题与风险的区分： 什么是问题：已发生、确定事件 什么是风险：未发生、不确定件

风险的价值观： 风险偏好：为了预期的回报，（一个实体）相关方愿意承受不确定性的程度《相关方态度、比较主观》--->想办法转变成客观的 风险承受力：组织或个人能承受的风险程度、数量或容量《逐步量化》 风险临界值（风险敞口、控制临界值）：在什么范围之内能接受这个风险，高于风险临界值，组织不能接受。

11.1规划风险管理

重点：风险管理计划的内容★

image-20211124134807786

输入：项目章程、项目管理计划：所有组件、项目文件：相关方登记册

相关方登记册 相关方的期望和对项目的态度

工具与技术：数据分析：相关方分析

相关方分析就是：相关方参与度，使用相关方参与评估矩阵来分析

输出：风险管理计划

风险管理计划内容 风险管理方法论、角色和职责、风险类别（RBS）、相关方风险承受力、临界点、概述影响矩阵、资金、时间安排、报告的格式和内容、风险跟踪的规定

风险分解结构（RBS）(P406) ★ 资源分解结构 RBS2级这一些详细的东西就是：提示清单（这是识别风险的时候用到的工具，从RBS中拿来用，记录到风险登记册中） P406图示是一些风险示例，不同的项目，有不同的风险

风险概率和影响定义(P407) 风险偏好--->风险承受力--->风险临界值--->风险概率和影响定义 根据风险临界值再细化成风险概率及影响

概率有了，就可以画出下记风险的概率影响矩阵（P408） ★ 《数据流：偏好--->程度（风险承受力）--->临界值--->定义--->矩阵》★ 概率影响=概率影响分值--->后续做风险排序用 重点★★：用这个概率影响分值来帮助我们对风险做排序*

11.2识别风险

找风险： 找单个项目风险、整体项目风险 的来源 鼓励全体★相关方在项目周期反复参与★

输出：风险登记册★、风险报告 重点：整体风险管理过程中一直在更新风险登记册和风险报告。（除了规划风险管理）

风险的几种形式★ 已知（能识别到）--已知（能主动管理）风险：应对措施（直接成本） 已知（能识别到）--未知（无法主动管理）风险：应急计划--应急储备 未知（识别不到）--未知（无法主动管理）风险：权变措施（没有分析、没有规划、权宜之计、按场景，该怎么做就怎么做）--管理储备 未知--已知风险：曾经遇到过，现在忘记了

image-20211124134827749

输入：《项目文件：持续时间估算、问题日志、需求文件、资源需求、相关方登记册》、协议（合同）、采购文档

识别风险之前输出的所有文件都可以拿来看。（所有的输入，所有文件都可以用来识别风险）

工具与技术:《数据收集：头脑风暴、核对单★、访谈》、SWOT分析★、文件分析（看看输入有没有问题）、引导、提示清单(RBS)、会议

核对单★：收集需求、项目管理计划、验收、管理质量、控制质量都用到了 在项目收尾过程中，应对核对单进行审查，并根据新的经验教训改进核对单，供未来项目使用--->说明核对单是组织过程资产

SWOT分析 优势S、劣势W、机遇O、威胁T 商业论证也在用SWOT分析

提示清单 提示清单是：关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单 就是RBS最右侧的那一堆明细

输出：风险登记册（V1内容）★、风险报告

风险登记册内容★： 已识别风险清单 潜在应对措施★ 潜在风险责任人★ 因为还没有开展后面的定性、定量等过程，所以现在只能是潜在措施或责任人，后面过程开展后，会把潜在更新为确认。

风险报告： 风险报告提供关于整体项目风险的概述信息，以及关于已识别的单个项目风险的概述信息 不会写说细的风险信息，详细的风险信息写在风险登记册中

11.3实施定性风险分析

对风险进行优先级排序★，重点关注高优先级的风险

输出:风险登记册（V2优先级）

image-20211124134846105

输入：风险管理计划、风险登记册

工具与技术：《数据分析：风险数据质量评估、风险概率和影响评估、其它风险参数评估》★（用这三个技术对风险优先级进行排序）、引导、风险分类、《数据表现：概率和影响矩阵》★（用这个工具帮助排序）、层级型

数据分析技术★：

• 风险概率和影响评估：了解当前风险发生的概率，和带来的影响是多大。

• 根据概率和影响定义给出这两个值（概率、影响）

• 那给出这两个值的依据是什么？比如，明天要下雨，说80%要下雨，凭什么呢？ 如果说，看各个天气预报，综合计算。有理有据 但，说就是感觉要下雨，无理无据 所以对给出的值，要做质量评估

• 风险数据质量评估：评估数据质量的可靠性和准确性

• 其它风险参数：如：风险紧迫性评估

• 比如一个风险的概率影响分值很高，但是在未来两年以后发生，优先级马上就下来了；一个风险概率影响分值低，但接下来一周就要发生，那么明显是明天要发生的风险紧迫性高，优先级马上就上来了

数据表现：概率和影响矩阵

• 经过风险数据质量评估，概率与影响：数据准确、可靠，就可以把这两个值相乘，得到概率影响分值；然后，拿到概率和影响矩阵里去查，开始对风险做第一次的排序。

• 其它风险参数评估：做第二次排序，如果紧迫性高，优先级也相应的提高了。

输出：风险登记册、风险报告

风险登记册V2 低优先级的风险放入观察清单★中 观察清单也在风险登记册中，不是新一个项目文件

定性风险分析步骤（提炼）

• 风险偏好

• 风险临界值

• 概率影响定义

• 概率影响矩阵

• 概率影响评估

• 数据质量评估

• 查询矩阵

• 其他特征评估

前四个规划、后四个定性 排序完成后，要把潜在的现任人，变成确认的现任人。

11.4实施定量风险分析

这个过程工作量浩大，为什么呢？ 对项目整体的目标有影响， 我们要看看这个影响有多大？

输出：风险报告（不更新风险登记册）

定量风险分析的原则 ：（49个过程中唯一可开展，可不开展） 不一定所有风险都定量分析，可以被 时间或成本描述的重要风险才做定量分析。 定量风险分析：适用于：大型或复杂的项目、具有战略重要性、合同要求、相关方要求

image-20211124134934570

输入：成本估算、持续时间估算、资源需求、进度预测

工具与技术：数据分析：模拟★、敏感性分析★、决策树分析★

模拟★：模型---蒙特卡洛技术 用一些专业的软件来模拟 开展前提：要么是重大的项目，要么是战略的项目，要么是客户要求必须开展 否则就不开展定量风险分析 因为工作量太大，耗时耗力，耗费时间、成本、资源多。 得出我们当前整体项目的完工日期的概率，当前整体项目预算的概率（成本）

数据分析：敏感性分析★（也叫做龙卷风图） 敏感性分析有助于确定哪些单个风险对项目具有最大的潜在影响。 也可以说是我这个项目对哪个风险最敏感 也可以对风险做排序

如果说只有定性风险分析才能对风险做排序，这个说法是错误的； 在定量风险分析的敏感性分析中也可以对风险做排序。

数据分析：决策树 EMV:预期货币价值；即考虑风险的机会，也考虑风险的威胁 机会如果盈利取正值、威胁如果亏损取负值，如果威胁的情况下，仍然可以盈利，那威胁也取正值（主要就看是盈利还是亏损）

例：假设买一支股票：60%的机会赚1000；40%的威胁亏800，那EMV就是 （60%1000）+（-80040%）=280 所以这支股票的EMV就是280，一支计算EMV没有意义； 如果有多支股票，每支计算出EMV，然后取最大值 这就是EMV，帮助决策

数据分析：影响图 就是看当前哪些活动，对其他活动造成影响 看看哪些活动最容易受到影响，哪些活动最容易影响别的活动

输出：风险报告

注意，没有更新《风险登记册》

11.5规划风险应对

对整体项目如何应对风险，对单个项目如何应对风险，最后形成一个应对策略 应对风险，需要人做事，需要资源：所以会分配资源，并根据需要将相关活动添加进项目文件和项目管理计划；--->比如添加工作包，更新WBS，更新进度计划等。就是要更新相关基准了。--->因为做了额外的工作，所以会有一大堆的计划与文件需要更新

输出：风险登记册（V4把潜在的应对措施变成确认的应对措施）、项目管是计划更新

规划风险应对的原则 由一名责任人具体负责

image-20211124135122510

输入：项目进度计划、资源日历、风险登记册、风险报告、相关方登记册

工具与技术：威胁应对策略★、机会应对策略★

消极（威胁）风险应对策略

• 回避：完全消除威胁

• 例：疫情期间，而对疫情威胁，就在家呆着，哪也不去，完全消除威胁。

• 好的坏的都不再接受

• 转移：将风险转移给第三方★,需要花成本，承担一些经济上的风险。

• 如：买保险,需要花成本，而且只能承担经济上的风险，并不能消除威胁

• 减轻：减轻风险发生的概率和/或影响，通常会加资源

• 如：疫情期间出差，准备好口罩，消毒液等等，减轻受感染的概率等

• 接受：

• 主动接受：默认风险会发生，选择接受；会主动采取一些应急措施。

• 被动接受：啥也不做，到时候再说

• 上报：

• 1、和我们项目无关

• 2、超出PM权限，如影响到项目成败了。

积极（机会）风险应对策略

• 开拓：机会来了，需要加资源来把握机会；--质变（最有能力）

• 质变：如，原来10个工程师，现在加10个高级工程师

• 希望100%把握机会，把组织中最好的资源拿来

• 提高：机会来了，需要增加资源来把握机会；--量变

• 量变，如，原来10个工程师，现在再加10个工程师。

• 分享：这个机会把握不住，找第三方；如：有福同享

• 接受：当机会发生时乐以利用，但不主动追求 。如：守株待兔

• 主动接受：提前准备好应急计划，应急储备

• 被动接受：啥也不做，当然也会有管理储备可以动用

• 上报：

• 1、机会和我们无关，上报

• 2、机会超出PM权限，上报

输出：一大堆计划与文件（不需要具体看）

风险登记册V4

• 次生风险：采取应对措施后带来的二次风险

• 残余风险：应对后剩下的无法再采取措施

• 弹回计划：主措施失败后的备用措施（倒回）

• 应急计划：处理已知的未知（已识别到，无法主动管理；征兆或触发器）

• 触发条件/预警信号：对触发应急策略的事件进行定义和跟踪

• 项目团队派工单：一旦确定应对策略，应为每项与风险应对计划相关的措施分配必要的资源

11.6实施风险应对

第6版新加的过程，没啥考点，记住下面两项即可

有了风险应对计划，就要按风险应对计划做实施

风险责任人去做实施

image-20211124135139367

11.7监督风险★

跟踪已识别风险、识别和分析新风险★ 评估风险管理有效性的过程（管理质量中的审计也是在评估过程）

输出：工作绩效信息、变更请求、风险登记册、风险报告

image-20211124135153830

输入：工作绩效报告★

工作绩效报告：★ 根据工作绩效报告看我们的风险应对措施有没有效。

工具与技术：技术绩效分析、储备分析、审计★

技术绩效分析：就是看绩效，看工作绩效报告中的绩效

储备分析：在规划过程中分析看，还需要多少储备；在监督过程中，看储备还够不够。

审计：★（）

• 检查并记录风险管理过程的有效性★（看看是不是按照计划的过程走的）

• 项目经理负责按计划开展相关审计

会议（状态审查）★：（风险审查会）

• 对结果进行审查。审查什么？风险应对措施的有效性

• 风险评估：★

• 1、识别新风险

• 2、重新评估当前已识别风险的概率 和 影响

• 3、关闭过时的风险

输出：工作绩效信息、变更请求等常规输出