(13.1.3.8)PMBOK之三:十大知识领域之风险管理
- 81 概念
- 82 涉及过程
- 821 规划风险管理
- 822 识别风险
- 823 风险定性分析
- 824 风险定量分析
- 825 规划风险应对
- 826 控制风险
- 83 输入输出
- 84 工具技术
- 841 规划风险管理 3
- 842 识别风险 7
- 843 风险定性分析 6
- 844 风险定量分析 3
- 845 规划风险应对 4
- 846 控制风险 6
| 过程 | 输入 | 工技 | 输出 |
|---|---|---|---|
| 规划风险管理 | 项目管理计划、项目章程、干系人登记册、事业环境因素、组织过程资产 | 分析技术、专家判断、会议 | 风险管理计划 |
| 识别风险 | 风险管理计划、进度管理计划、成本管理计划、质量管理计划、人力资源管理计划、范围基准、活动持续时间估算、活动成本估算、干系人登记册、项目文件、采购文件、事业环境因素、组织过程资产 | 文档审查、信息收集技术、核对单分析、假设分析、图解技术、SWOT、专家判断 | 风险登记册 |
| 风险定性分析 | 风险登记册、风险管理计划、范围基准、组织过程资产、事业环境因素 | 风险概率与影响分析、风险概率影响矩阵、风险数据质量评估、风险分类、风险紧迫性评估、专家判断 | 项目文件更新 |
| 风险定量分析 | 风险登记册、风险管理计划、成本管理计划、进度管理计划、事业环境因素、组织过程资产 | 数据收集与展示技术、定量风险分析与建模技术、专家判断 | 项目文件更新 |
| 规划风险应对 | 风险登记册、风险管理计划 | 消极风险或威胁应对策略、积极风险或机会应对策略、应急应对策略、专家判断 | 项目管理计划更新、项目文件更新 |
| 控制风险 | 项目管理计划、风险登记册、工作绩效数据、工作绩效报告 | 风险再评估、风险审计、偏差与趋势分析技术、绩效测量、储备分析、会议 | 工作绩效信息、变更请求、项目管理计划更新、项目文件更新、组织过程资产更新 |
3.8.1 概念
项目是独特的一次性事业,必然存在风险。任何一个项目的管理者都必须面对风险。必须积极主动地开展项目风险管理,而不只是消极被动地去应付已发生的风险
风险是一旦发生,会对项目目标产生积极或消极影响的不确定事件
- 风险总是与不确定性联系在一起的,既可能发生,也可能不发生。
- 风险总是与目标联系在一起的。
如果发生,会对项目范围、时间、成本和质量的至少一个方面,有积极或消极影响。
如果某个事件万一发生,对项目范围、时间、成本和质量的任何一个方面都不会有任何影响,就不是项目风险。
风险的四要素
- 事件
- 原因
- 后果
- 发生概率
项目生命周期的不同阶段,项目所面临的风险有所不同。
- 在项目生命周期的早期,项目的不确定性比较大,风险的种类比较多,风险发生的可能性比较大,但是风险发生所造成的后果则比较轻。
- 在项目生命周期的晚期则相反,风险的种类少,风险发生的可能性小(不确定性小),但万一发生,造成的后果会比较严重
风险类别
- 按专业分类:技术风险、组织风险、管理风险、财务风险
- 按内外分类:内部风险、外部风险
- 按与经营者的关系分类:经营风险、纯风险。
前者是与经营活动密切相关的风险,发生的概率和后果与经营者的水平和努力程度有密切关系,通常不能买保险;
后者则是意外事件,通常可以买保险 - 按已知程度分类:已知风险、未知风险。已知风险又可分为已知已知风险和已知未知风险
风险态度( Risk Attitude)是个人或组织喜欢或不喜欢风险的一种主观感受。风险态度取决于多种因素,包括风险偏好( RiskAppetite)、 风险承受力(Risk Tolerance)和风险临界值(Risk Threshold)
- 风险态度。个人或组织认为自己应该冒多大的风险。如果实际所冒风险未超出应该冒的风险,就觉得很舒服
- 风险偏好。为了实现目标(获得利益),个人或组织想要冒多大的风险。
高风险偏好者愿意为获得大利益而冒大风险,低风险偏好者不愿意为了获得利益而冒看似很小的风险 - 风险承受力。个人或组织能够承受多大的风险。如果实际风险水平超出风险承受力,个人或组织就很可能破产
通常,个人或组织想要冒的风险( 风险偏好)应该小于风险承受力 - 风险临界值。个人或组织能够承受的风险程度,而不需要采取应对措施
风险管理不可能凭空进行,需要依据:
- 组织过程资产(历史资料,包括过去的经验教训)。过去类似项目的风险管理和风险发生情况,对策划本项目的风险管理和预测本项目的风险很有帮助。
- 相关的风险管理知识。包括风险管理的程序、要求和概率知识等。
- 项目的背景和性质。有助于针对本项目的背景和性质,来鉴别和分析风险。不同类型的项目,风险差别很大。
- 项目干系人的相关知识与技能。风险识别与分析都需要众多项目干系人的参与,他们的相关知识和技能对项目风险管理非常重要。
- 项目干系人的风险态度、 风险偏好、 风险临界值和风险承受力。了解这些,有勋于制定风险应对计划。
- 项目章程。项目经理的权力是否足够,项目目标是否现实可行,项目在执行组织中的优先程度等,都会在一定程度上决定项目风险的大小
相关计划
- 应急计划是事先制定的风险应急计划,以便在风险发生或出现某种规定情况时采用,是风险的主应急计划。
- 弹回计划是为风险制定的备用应急计划,以便在主应急计划(通常的应急计划)不起作用时启用。
- 而权变措施是针对已经发生的坏风险(威胁)而紧急采取的、原来未计划过的应急措施。采取权变措施,属于纠偏,也要通过实施整体变更控制过程的综合评审
3.8.2 涉及过程
- 规划风险管理
对将来要进行的风险管理活动做出安排,包括如何识别风险、如何进行风险分析、如何制定风险应对策略、如何监控风险以及如何实施风险应对计划等 - 识别风险
运用各种方法,调动众多项目干系人的力量,弄清楚项目面临的各种风险及其初步特征,并记录在风险登记册中 - 风险定性分析
对项目风险及有关条件进行主观定性分析,以评估它们发生的可能性及发生后对项目产生的影响程度,并据此对这些风险排序,决定哪些风险需要进一步定量分析, 哪些风险可直接进行风险应对规划,哪些只需要列入观察清单 - 风险定量分析
对那些被定性分析确定为严重且可量化的风险,采用客观的方法来量化它们发生的概率及后果,计算它们对项目目标的影响 - 规划风险应对
根据定性与定量分析的结果,考虑项目干系人的风险态度、 风险偏好、 风险承受力和风险临界值,制定相关措施,来增加机会、减少威胁 - 控制风险
在项目的整个生命周期内,追踪已识别的风险,监测残余风险,识别新风险,执行风险管理计划和风险应对计划,并且评价风险管理工作的有效性
3.8.2.1 规划风险管理
规划风险管理过程旨在与主要项目干系人一起编制风险管理计划,对未来的风险管理工作做出安排。 项目风险管理应该做到什么程度,不仅取决于项目的复杂程度及规模大小,而且取决于主要干系人的需要
- 风险管理计划应该包括的主要内容:
- 方法论。将用什么方法管理风险
- 角色和职责安排。将设立什么风险管理的岗位,各岗位的权责和能力要求
- 预算和时间安排。将花多少钱和时间做风险管理(需要加到预算和进度计划中) ,将如何确定和调整项目的应急储备
- 风险概率和影响定义。将用什么方法表示风险发生的可能性及后果,如数字量表(0.1、 0.2、 0.3……)、相对量表(几乎不发生、很不可能、不可能、可能、可能性很高、几乎肯定发生)。可能性高低如何分级,后果严重程度如何分级
- 概率和影响矩阵。在综合风险可能性和后果的基础上,用于对风险分级的表格,也叫风险级别矩阵。例如,把风险分成严重、中等、轻微三个级别
- 修订的干系人风险承受力。针对本项目,干系人能够承受多大的风险。干系人的风险承受力在不同的项目上会有所不同
- 报告格式。将来要编制的风险管理报告的格式、内容和报送时间等
- 风险追踪。将如何记录和审查风险管理工作,将如何追踪风险情况
3.8.2.2 识别风险
识别风险过程旨在识别和记录项目风险,编制初步的风险登记册。
- 在初步的风险登记册中应该包括
- 风险编号。每个风险都有独一无二的编号
- 风险名称。每个风险都有独特的名称
- 风险描述。尽可能详细的风险描述
- 步应对措施。这些应对措施是根据直觉得出的,还要在规划风险应对过程中分析和确认
识别风险,通常要基于风险管理计划中的方法和程序,邀请尽可能多的主要干系人参与
风险识别是一个反复进行的过程,风险识别实际上贯穿于项目生命周期的始终
3.8.2.3 风险定性分析
定性风险分析是对风险发生的可能性和后果的主观分析。即便使用一些数字,只要是主观的分析,仍然是定性分析。所以,从严格意义上讲,不能以是否用到数字来判断是定量还是定性分析。
- 定性风险分析的目的是
- 确定项目的整体风险级别。如果整体风险很高,可能导致项目的提前终止
- 以主观的方式评价已识别风险的发生概率和后果
- 得到基于定性分析结果的风险排序
- 确定各风险的紧急程度。可能需要根据紧急程度,修改风险排序
很快就要发生并需紧急处理的风险,即便后果不十分严重,也可能要排在比较靠前的位置 - 确定哪些风险需要进一步定量分析,哪些风险可直接进入规划风险应对过程,哪些风险可直接列入观察清单
- 风险进行归类,指出高风险的项目领域
- 了解风险发展趋势
3.8.2.4 风险定量分析
本过程旨在对风险概率和后果进行量化分析。
相对于定性分析,这是一种客观的分析,通常针对比较严重(依据定性分析的结果)且可以量化的风险
- 定量分析的结果主要包括:
- 项目进度和成本的概率分布情况
通常是蒙特卡洛模拟的所得到的概率分布图。 - 实现进度和成本目标的概率
- 风险的量化排序
- 风险的发展趋势
- 项目进度和成本的概率分布情况
3.8.2.5 规划风险应对
本过程旨在根据定性和定量分析的结果,指定风险责任人,制定风险应对策略和措施。应对措施,既包括预防措施,也包括风险发生后的应急措施
在规划风险应对过程做完后,通常都要回头调整项目管理计划和项目文件,因为原先对风险的考虑很可能不合理
- 规划风险应对过程的结果,需要写入风险登记册,导致风险登记册的更新。需要写入的主要内容包括:
- 风险应对策略及具体的应对措施
- 采取风险应对措施所需要的时间和成本
- 风险责任人。谁将负责监控某个具体的风险,并实施风险应对措施。
- 风险触发因素。也叫风险警告信号或风险症状。出现某种因素、信号或症状时,就预示某个风险即将发生,或显示某个风险正在发生或已经发生。
- 针对严重风险的应急预案
- 针对严重风险的弹回计划。备用的应急计划,以便在主应急计划不起作用时采用。
- 次生风险。应对某个风险而带来的另外一个风险
- 残余风险。采取风险应对措施后仍然存在的风险,是没有主动应对的、被接受的风险
3.8.2.6 控制风险
控制风险过程旨在追踪已识别风险,监测残余风险,识别新风险,实施风险应对计划,并评估风险管理工作的有效性
- 控制风险过程的主要工作包括:
- 注意风险触发因素。是否出现了某种风险预警信号 7
- 追踪已识别的风险。这些风险的情况发生变化了吗 7
- 实施风险应对措施。严格执行风险应对计划。
- 监测残余风险,注意次生风险, 识别新风险。
- 评估风险管理过程及风险应对计划的有效性。
- 与项目干系人沟通项目风险情况。必要时提出变更请求(包括纠正措施与预防措施建议),以便制定新的应对措施。
- 收集风险资料,更新风险登记册、 项目管理计划与组织过程资产。
3.8.3 输入输出
| 过程 | 输入 | 工技 | 输出 |
|---|---|---|---|
| 规划风险管理 | 项目管理计划、项目章程、干系人登记册、事业环境因素、组织过程资产 | 分析技术、专家判断、会议 | 风险管理计划 |
| 识别风险 | 风险管理计划、进度管理计划、成本管理计划、质量管理计划、人力资源管理计划、范围基准、活动持续时间估算、活动成本估算、干系人登记册、项目文件、采购文件、事业环境因素、组织过程资产 | 文档审查、信息收集技术、核对单分析、假设分析、图解技术、SWOT、专家判断 | 风险登记册 |
| 风险定性分析 | 风险登记册、风险管理计划、范围基准、组织过程资产、事业环境因素 | 风险概率与影响分析、风险概率影响矩阵、风险数据质量评估、风险分类、风险紧迫性评估、专家判断 | 项目文件更新 |
| 风险定量分析 | 风险登记册、风险管理计划、成本管理计划、进度管理计划、事业环境因素、组织过程资产 | 数据收集与展示技术、定量风险分析与建模技术、专家判断 | 项目文件更新 |
| 规划风险应对 | 风险登记册、风险管理计划 | 消极风险或威胁应对策略、积极风险或机会应对策略、应急应对策略、专家判断 | 项目管理计划更新、项目文件更新 |
| 控制风险 | 项目管理计划、风险登记册、工作绩效数据、工作绩效报告 | 风险再评估、风险审计、偏差与趋势分析技术、绩效测量、储备分析、会议 | 工作绩效信息、变更请求、项目管理计划更新、项目文件更新、组织过程资产更新 |
项目风险管理各过程的输入与输出之间的关系可以概括为如图 3.8.3.1 所示(未考虑事业环境因素、 组织过程资产和除风险登记册更新外的文件更新)
【图 3.8.3.1 】
- 规划风险管理:在项目章程的指导下,参考项目管理计划中已有的分项管理计划和项日基准,编制风险管理计划。
规划风险管理过程需要众多干系人的参与, 故需要干系人登记册 - 识别风险:
- 要识别对项目范围、进度、成本和质量目标有影响的风险,故需范围基准及进度、成本、 质量管理计划
- 在估算活动持续时间和估算活动成本时,需要针对每个活动识别风险,故需要活动持续时间估算和活动成本估算。
- 需要识别因人力资源问题造成的项目风险,故需人力资源管理计划
- 采购文件有助于识别将来合同中的风险
- 需要众多干系人参与,故需要干系人登记册
- 项目文件中的技术细节,有助于风险识别。
- 识别的结果,应记录在风险登记册中
- 风险定性分析:
- 在风险管理计划的指导下,对前一个过程得到的风险登记册中的风险进行定性分析。
- 范围基准中有关于项目复杂性、 假设条件、 制约因素的信息,有助于开展定性分析;范围基准中的 WBS 组件,便于针对这些组件开展定性分析
- 风险定量分析:
- 在风险管理计划的指导下,对前一个过程得到的风险登记册中的、需要量化分析的风险进行定量分析
- 由于可量化的风险大多是进度和成本方面的,所以还要依据进度管理计划和成本管理计划
- 规划风险应对:
- 在风险管理计划的指导下,根据定性和定量分析的结果(记录在风险登记册中),制定风险应对策略和措施
- 控制风险:
- 把体现在工作绩效数据中的风险实际情况与项目管理计划、 风险登记册中对风险的预计,进行比较,发现、记录并分析偏差,形成工作绩效信息,提出变更请求
3.8.4 工具技术
3.8.4.1 规划风险管理 3
- 【分析技术】可以利用各种分析技术分析项目背景,项目总体风险情况, 项目干系人的风险态度、偏好、临界值和承受力。
- 【会议】可以邀请主要干系人,召开风险管理规划会议,讨论项目的风险管理应该做到什么程度。
- 【专家判断】
3.8.4.2 识别风险 7
【审查】
通过对项目章程、项目合同、项目计划等文档的审查,能够识别出一些风险【信息收集技术】
包括头脑风暴、 德尔菲技术、 访谈和根本原因分析在内的各种信息收集技术,是识别风险时常用的技术【核对单分析】
根据过去项目的风险情况,建立风险核对单,用来检查在过去项目上存在的风险是否在本项目上也存在【假设分析】
通过分析假设条件中可能存在的问题,识别与假设条件有关的风险。【图形技术】
各种图形技术,如因果图(鱼刺图)、 流程图、系统图、影响图,可以直观地展示各种因素之间的关系,有利于识别风险【 SWOT 】
了解项目内部的优势和劣势,项目外部的机会和威胁,从而更全面地识别项目风险【专家判断】
3.8.4.3 风险定性分析 6
定性风险分析是主观的分析,本来就不是很可靠,如果所依据的基础资料再不可靠,定性分析的结果就没有意义
【风险数据质量评估】
首先要通过“风险数据质量评估”确认基础资料的质量。只有质量比较好的资料,才能用于后面的分析。【风险概率和影响评估】
运用定性方法评价风险发生的概率和影响,通常是把概率或影响分成低、中、高三档或更多档次;或者,在一定的数值范围内(如在大于 0 小于 1的范围内)主观打分【概率和影响矩阵】
在概率和影响评估的基础上,就可以把概率与影响综合起来或者相乘(如果是数字量表),来确定风险的严重性。对于相乘的结果,还可以根据乘积在“概率和影响矩阵”中的位置,把风险分成不同的级别,如严重风险、中等风险、轻微风险【风险紧迫性评估】
那些很快就要发生,很快就要应对的风险,在风险清单中很可能要排在比较靠前的位置【风险分类】
在定性分析中,需要进行“风险分类”,以便发现高风险的项目领域【专家判断】
3.8.4.4 风险定量分析 3
【专家判断】
【数据收集与展示技术】
- 访谈是一种常用的数据收集技术。可以分别访谈一些专家,请他们给出关于项目工期、成本或其他方面的意见,再对他们的意见进行完全客观的汇总与分析
- 概率分布图是常用的数据展示技术。用于展示各活动的可能工期或成本的分布情况,以便作为后续定量分析的基础
【定量风险分析与建模技术】
- 敏感性分析(不需使用概率分布图)
用来确定某一变量的单位变化对项目的影响程度 - 预期货币价值分析(不需使用概率分布图)
在考虑各种可能发生的情况的基础上,计算加权平均值,以便在两种或两种以上方案中做出选择。通常借助决策树来实现,所以又叫决策树分析 - 蒙特卡洛模拟(需要使用概率分布图)
用各项活动的多种可能工期(用概率分布图表示)为基础,对各种活动的可能工期进行随机组合,得出项目可能工期(从短到长)的累积概率分布图。
- 敏感性分析(不需使用概率分布图)
3.8.4.5 规划风险应对 4
【消极风险或威胁应对策略】
- 规避。
通过消灭原因来消除风险,如取消高风险的工作;
或者,把项目与某个风险隔离开来,如抢在雨季到来之前完成项目,使项目不受雨季的影响。
采取规避策略,通常要改变项目计划 - 减轻。设法降低风险发生的概率或(和)后果
- 转移。用一定的代价,把应对风险的责任与风险的后果,转移给第三方。通常,需要签署风险转移合同。
- 接受。
不主动管理风险。对于可承受的风险或无法用其他策略的风险,可以使用接受策略。
接受又分成两种:一种是被动接受,即不采取任何行动,顺其自然,风险发生后再说;另一种是主动接受,即预留应急储备,以便风险发生后使用
- 规避。
【积极风险或机会应对策略】
- 开拓
确保某个机会的出现 - 分享
- 提高
提高某个机会发生的概率或后果 - 接受
- 开拓
【应急风险应对】
应急应对策略是针对某些特殊事件的应急预案,其中包括启动预案的条件。通常是针对比较严重的威胁,而且这种威胁在发生前或发生时会有明显的征兆。一旦有了预案中规定的征兆,就需要启动应急预案【专家判断】
3.8.4.6 控制风险 6
【风险再评估】
在项目执行和监控过程中,需要定期或不定期对风险进行再评估【风险审计】
一种独立的结构化的审查,用来总结风险管理方面的经验教训,以便改进以后的风险管理工作【偏差和趋势分析】
基于对项目实际已发生的进度偏差和成本偏差的分析结果,来预测未来的进度绩效和成本绩效,分析未来的进度和成本风险【技术绩效测量】
用来针对项目的技术绩效(范围和质量绩效)。如果基于目前的技术绩效, 预测未来某个时点应该实现的某个功能将无法实现或者可能不符合质量要求,就存在范围或质量方面的风险【储备分析】
定期或不定期地对项目应急储备是否仍然合理进行分析。
如果不合理,就要提出调整建议( 变更请求)。
如果原先预计的某些风险实际并未发生,或者后果没有设想的严重,就需要调减应急储备,修改项目进度基准或成本基准。【会议】