项目风险管理

项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程。项目风险管理的目标在于提高正面风险的概率和(或)影响，降低负面风险的概率和(或)影响，从而提高项目成功的可能性。

项目风险管理的过程：
11.1规划风险管理—定义如何实施项目风险管理活动的过程。
11.2识别风险—识别单个项目风险，以及整体项目风险的来源，并记录风险特征的过程。
11.3实施定性风险分析—通过评估单个项目风险发生的概率和影响以及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程。
11.4实施定量风险分析—就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析的过程。
11.5规划风险应对—为处理整体项目风险敞口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程。
11.6实施风险应对—执行商定的风险应对计划的过程。
11.7监督风险—在整个项目期间，监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性的过程。

项目风险管理的核心概念
项目风险管理旨在识别和管理未被其他项目管理过程所管理的风险。
项目风险管理的有效性直接关乎项目成功与否。

每个项目都在两个层面上存在风险：
单个项目风险：是一旦发生，会对一个或多个项目目标产生正面或负面影响的不确定事件或条件
整体项目风险：是不确定性对项目整体的影响，是相关方面临的项目结果正面或负面变异区间。它源于包括单个风险在内的所有不确定性。

管理整体项目风险旨在通过削弱负面变异的驱动因素，加强正面变异的驱动因素，以及最大化实现整体项目目标的概率，把项目风险敞口保持在可接受的范围之内。

风险临界值：应该明确规定风险临界值，反映在项目的风险影响级别定义中。
通常用可测量的风险临界值来定义可接受的风险敞口究竟是多大。
风险临界值反映了组织与项目相关方的风险偏好程度，是项目目标的可接受的变异程度。

项目风险管理的发展趋势和新兴实践
非事件类风险：大多数项目只关注作为可能发生或不发生的不确定性未来事件的风险。
变异性风险：已规划事件、活动或决策的某些关键方面存在不确定性，就导致变异性风险
例如：施工阶段可能出现反常的天气情况
模糊性风险：对未来可能发生什么，存在不确定性。知识不足可能影响项目达成目标的能力。
例如：不太了解需求或技术解决方案的要素、法规框架的未来发展或项目内在的系统复杂性。
变异性风险可通过蒙特卡洛分析加以处理，即用概率分布表示变异的可能区间，然后采取行动去缩小可能结果的区间。
模糊性风险的管理，则需要先定义认知或理解不足之处，进而通过获取外部专家意见或以最佳实践为标杆来填补差距。也可以采用增量开发、原型搭建或模拟等方法来处理模糊性风险。

项目韧性：通过加强项目韧性来应对突发性风险(未知–未知风险)。
项目韧性对每个项目的要求：
除了为已知风险列出具体风险预算，还要为突发性风险预留合理的应急预算和时间。
采用灵活的项目过程，包括强有力的变更管理，以便在保持朝项目目标推进的正确方向的同时，应对突发性风险。
授权目标明确且值得信赖的项目团队在商定限制范围内完成工作。
经常留意早期预警信号，以尽早识别突发性风险。
明确征求相关方的意见，以明确为应对突发性风险而可用调整项目范围或策略的领域。

整合式风险管理：
应该采用协调式企业级风险管理方法，来确保所有层面的风险管理工作的一致性和连贯性。这样能使项目集和项目组合的结构具有风险效率，有利于在给定的风险敞口水平下创造最大的整体价值。

裁剪时需要考虑的因素：
项目规模
项目复杂性
项目重要性
开发方法

在敏捷或适应型环境中需要考虑的因素：
从本质上讲，越是变化的环境就存在越多的不确定性和风险。要应对快速变化，就需要采用适应型方法管理项目，即通过跨职能项目团队和经常审查增量式工作产品，来加快知识分享，确保对风险的认知和管理。在选择每个迭代期的工作内容时，应该考虑风险；在每个迭代期间应该识别、分析和管理风险。

11.1规划风险管理

定义：如何实施项目风险管理活动的过程。
主要作用：确保风险管理的水平、方法和可见度与项目风险程度，以及项目对组织和其他相关方的重要程度相匹配。本过程仅开展一次或仅在项目的预定义点开展。
规划风险管理过程在项目构思阶段就应开始，并在项目早期完成。在项目生命周期的后期，可能有必要重新开展本过程。
输入：
项目章程：记录了高层级的项目描述和边界、高层级的需求和风险。
项目管理计划：应该考虑所有已批准的子管理计划，使风险管理计划与之相协调。
项目文件：相关方登记册
事业环境因素：由组织或关键相关方设定的整体风险临界值。
组织过程资产：
组织的风险政策
风险类别，可能用风险分解结构来表示
风险概念和术语的通用定义
风险描述的格式
风险管理计划、风险登记册和风险报告的模板
角色与职责
决策所需的职权级别
经验教训知识库，其中包含以往类似项目的信息
工具与技术：
专家判断：
数据分析：相关方分析，可通过相关方分析确定项目相关方的风险偏好
会议：风险管理计划的编制可以使项目开工会议上的一项工作，或者可以举办专门的规划会议来编制风险管理计划。在此类会议上确定开展风险管理活动的计划，并将其记录在风险管理计划中。
输出：
风险管理计划：描述如何安排与实施风险管理活动。
包括以下部分或全部内容：
风险管理战略：描述用于管理本项目的风险的一般方法。
方法论：确定用于开展本项目的风险管理的具体方法、工具及数据来源。
角色与职责：确定每项风险管理活动的领导者、支持者或团队成员，并明确他们的职责。
资金：确定开展项目风险管理活动所需的资金，并制定应急储备和管理储备的使用方案。
时间安排：确定在项目生命周期中实施项目风险管理过程的时间和频率，确定风险管理活动并将其纳入项目进度计划。
风险类别：确定对单个项目风险进行分类的方式。通常借助风险分解结构(RBS)来构建风险类别。风险分解结构是潜在风险来源的层级表现。风险分解结构有助于项目团队考虑单个项目风险的全部可能来源，对识别风险或归类已识别风险特别有用。
相关方风险偏好：应在风险管理计划中记录项目关键相关方的风险偏好。特别是，应该针对每个项目目标，把相关方的风险偏好表述成可测量的风险临界值。这些临界值不仅将联合决定可接受的整体项目风险敞口水平，而且也用于制定概率和影响定义。
风险概率和影响定义：根据具体的项目环境、组织和关键相关方的风险偏好和临界值，来制定风险概率和影响定义。更多级别(通常为5级)，更少级别(通常为3级)；将影响定义分为负面威胁(工期延误、成本增加和绩效不加)和正面机会(工期缩短、成本节约和绩效改善)。
概率和影响矩阵：组织可在项目开始前确定优先级排序规则，并将其纳入组织过程资产，或者也可为具体项目量身定制优先级排序规则。
报告形式：确定将如何记录、分析和沟通项目风险管理过程的结构。在这一部分，描述风险登记册、风险报告以及项目风险管理过程的其他输出的内容和形式。
跟踪：是确定将如何记录风险活动，以及将如何审计风险的管理过程。

11.2识别风险

定义：识别单个项目风险，以及整体项目风险的来源，并记录风险特征的过程。
主要作用：记录现有的单个风险，以及整体项目风险的来源；同时，汇集相关信息，以便项目团队能够恰当应对已识别的风险。本过程需要在整个项目期间开展。识别风险是一个迭代的过程。
输入：
项目管理计划：
需求管理计划
进度管理计划
成本管理计划
质量管理计划
资源管理计划
风险管理计划
范围基准
进度基准
成本基准
项目文件：
假设日志
成本估算
持续时间估算
问题日志
经验教训登记册
需求文件
资源需求
相关方登记册
协议：如果需要从外部采购项目资源，协议所规定的里程碑日期、合同类型、验收标准和奖罚条款等，都可能造成威胁或创造机会。
采购文档：
事业环境因素：
已发布的材料，包括商业风险数据库或核对单
学术研究资料
标杆对照成果
类似项目的行业研究资料
组织过程资产：
项目文档，包括实际数据
组织和项目的过程控制资料
风险描述的格式
以往类似项目的核对单
工具与技术：
专家判断：了解类似项目或业务领域的个人或小组的专业意见
数据收集：
头脑风暴：目标是获取一份全面的单个项目风险和整体项目风险来源的清单。
核对单：是包括需要考虑的项目、行动或要点的清单。
访谈：在信任和保密的环境下开展访谈，以获得真实可信、不带偏见的意见。
数据分析：
根本原因分析：常用于发现导致问题的深层原因并制定预防措施。
假设条件和制约因素分析：用以探索假设条件和制约因素的有效性，确定其中哪些会引发项目风险。从假设条件的不准确、不稳定、不一致或不完整，可以识别出威胁，通过清除或放松会影响项目或过程执行的制约因素，可以创造出机会。
SWOT分析：是对项目的**优势、劣势、机会和威胁(SWOT)**进行逐个检查。
文件分析：通过对项目文件的结构化审查，可以识别出一些风险。可供审查的文件包括计划、假设条件、制约因素、以往项目档案、合同、协议和技术文件。
人际关系与团队技能：引导
提示清单：是关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单。
识别整体项目风险来源的常见战略框架：
PESTLE：政治、经济、社会、技术、法律、环境
TECOP：技术、环境、商业、运营、政治
VUCA：易变性、不确定性、复杂性、模糊性
会议：
输出：
风险登记册：记录已识别单个项目风险的详细信息。
已识别风险的清单
潜在风险责任人
潜在风险应对措施清单
风险报告：提供关于整体项目风险的信息，以及关于已识别的单个项目风险的概述信息。风险报告的编制是一项渐进式的工作。
项目文件更新：
假设日志
问题日志
经验教训登记册

11.3实施定性风险分析

定义：通过评估单个项目风险发生的概率和影响以及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程。本过程需要在整个项目期间开展。
主要作用：重点关注高优先级的风险。
实施定性风险分析，使用项目风险的发生概率、风险发生时对项目目标的相应影响以及其他因素，来评估已识别当项目风险的优先级。
实施定性风险分析能为规划风险应对过程确定单个项目风险的相对优先级。本过程会为每个风险识别出责任人，以便由他们负责规划风险应对措施，并确保应对措施的实施。
根据风险管理计划的规定，在整个项目生命周期中要定期开展实施定性风险分析过程。在敏捷开发环境中，实施定性风险分析过程通常要在每次迭代开始前进行。
输入：
项目管理计划
项目文件：
假设日志
风险登记册
相关方登记册
事业环境因素：
类似项目的行业研究资料
已发布的材料，包括商业风险数据库或核对库
组织过程资产：已完成的类似项目的信息
工具与技术：
专家判断
数据收集：访谈，结构化和半结构化的访谈可用于评估单个项目风险的概率和影响，以及其他因素。
数据分析：
风险数据质量评估：风险数据时开展定性风险分析的基础。风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性。
风险概率和影响评估：风险概率评估考虑的是特定风险发生的可能性，而风险影响评估考虑的是风险对一项或多项项目目标的潜在影响，如进度、成本、质量和绩效。风险评估可以采用访谈或会议的形式。低概率和影响的风险将被列入风险登记册中的观察清单，以供未来监控。
其他风险参数评估：
其他风险的特征：
紧迫性：为有效应对风险而必须采取应对措施的时间段。时间短，紧迫性高
邻近性：风险在多长时间后会影响一项或多项项目目标。时间短，邻近性高
潜伏期：从风险发生到影响显现之间可能的时间段。时间短，潜伏期短
可管理性：风险责任人(或责任组织)管理风险发生或影响的容易程度。容易管理，可管理性高。
可控性：风险责任人(或责任组织)能够控制风险后果的程度。容易控制，可控性高
可监测性：对风险发生或即将发生进行监测的容易程度。容易监测，可监测性高
连通性：风险与其他单个项目风险存在关联的程度大小。与多个其他风险存在关联，连通性高
战略影响力：风险对组织战略目标潜在的正面或负面影响。
密切度：风险被一名或多名相关方认为要紧的程度。
人际关系与团队技能：引导
风险分类：项目风险可以将风险来源(如采用风险分解结构RBS)、受影响的项目领域(如采用工作分解结构WBS)，以及其他实用类别(如项目阶段、项目预算、角色和职责)来分类
数据表现：
概率和影响矩阵：概率和影响是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。
层级图：气泡图能显示三维数据。X轴代表可监测性，Y轴代表邻近性，影响值则以气泡大小表示。
会议：风险研讨会，对已识别单个项目风险进行讨论。会议的目标包括审查已识别的风险、评估概率和影响、对风险进行分类和优先级排序。
输出：
项目文件更新：
假设日志
问题日志
风险登记册：指定风险责任人
风险报告

11.4实施定量风险分析

定义：就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析的过程。本过程并非每个项目必需，但如果采用，它会在整个项目期间持续开展。
主要作用：量化整体项目风险敞口，并提供额外的定量风险信息，以支持风险应对规划。定量风险分析通常需要运用专门的风险分析软件，以及编制和解释风险模式的专业知识，还需要额外的时间和成本投入。
项目风险管理计划会规定是否需要使用定量风险分析，定量风险分析最可能适用于大型或复杂的项目、具有战略重要性的项目、合同要求进行定量分析的项目，或主要相关方要求进行定量分析的项目。
定量风险分析也可以在规划风险应对过程之后开展，以分析已规划的应对措施对降低整体项目风险敞口的有效性。
输入：
项目管理计划：
风险管理计划
范围基准
进度基准
成本基准
项目文件：
假设日志
估算依据
成本估算
成本预测
持续时间估算
里程碑清单
资源需求
风险登记册
风险报告
进度预测
事业环境因素：
类似项目的行业研究材料
已发布的资料，包括商业风险数据库或核对单
组织过程资产：已完成的类似项目的信息
工具与技术：
专家判断
数据收集：访谈
人际关系与团队技能：引导
不确定性表现方式：在模型中用概率分布来表示其数值的可能区间。
概率分布的多种形式：
三角分布
正态分布
对数正态分布
贝塔分布
均匀分布
离散分布
数据分析：
模拟：通常采用蒙特卡洛分析。开展综合定量成本–进度风险分析时，同时使用项目成本估算、进度网络图和持续时间估算作为输入，其输出就是定量风险分析模型。
敏感性分析：敏感性分析的结果通常用龙卷风图来表示。敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响。它在项目结果变异与定量风险分析模型中的要素变异之间建立联系。
决策树分析：用决策树在若干备选行动方案中选择一个最佳方案。决策树分支的重点表示沿特定路径发展的最后结果。在决策树分析中，通过计算每条分支的预期货币价值，选出最优路径。
影响图：是不确定条件下决策制定的图形辅助工具。
输出：
项目文件更新：
对整体项目风险敞口的评估结果：
整体项目风险的测量方式：
项目成功的可能性
项目固有的变异性
项目详细概率分析的结果：
定量风险分析的详细结果：
所需的应急储备，以达到实现目标的特定置信水平
对项目关键路径有最大影响的单个项目风险或其他不确定性来源的清单
整体项目风险的主要驱动因素，即：对项目结果的不确定性有最大影响的因素
单个项目风险优先级清单
定量风险分析结果的趋势
风险应对建议

11.5规划风险应对

定义：为处理整体项目风险敞口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程。本过程需要在整个项目期间开展。
主要作用：制定应对整体项目风险或单个项目风险的适当方法。本过程还将分配资源，并根据需要将相关活动添加进项目文件和项目管理计划。
次生风险：是实施风险应对措施而直接导致的风险。
输入：
项目管理计划：
资源管理计划
风险管理计划
成本基准
项目文件：
经验教训登记册
项目进度计划
项目团队派工单
资源日历
风险登记册
风险报告
相关方登记册
事业环境因素：关键相关方的风险偏好和风险临界值
组织过程资产：
风险管理计划、风险登记册和风险报告的模板
历史数据库
类似项目的经验教训知识库
工具与技术：
专家判断：
威胁应对策略
机会应对策略
应急应对策略
整体项目风险应对策略
数据收集：访谈
人际关系与团队技能：引导
威胁应对策略：
上报：
规避：
转移：
减轻：
接受：
机会应对策略：
上报：
开拓：
分享：
提高：
接受：
应急应对策略：仅在特定事件发生时才采用的应对措施。
整体项目风险应对策略：
规避：
开拓：
转移或分享：
减轻或提高：
接受：
数据分析：
备选方案分析：
成本效益分析：
决策：多标准决策
输出：
变更请求
项目管理计划更新：
进度管理计划
成本管理计划
质量管理计划
资源管理计划
采购管理计划
范围基准
进度基准
成本基准
项目文件更新：
假设日志
成本预测
经验教训登记册
项目进度计划
项目团队派工单
风险登记册
风险报告

11.6实施风险应对

定义：执行商定的风险应对计划的过程。
主要作用：确保按计划执行商定的风险应对措施，来管理整体项目风险敞口、最小化单个项目威胁，以及最大化单个项目机会。本过程需要在整个项目期间开展。
适当关注实施风险应对过程，能够确保已商定的风险应对措施得到实际执行。
输入：
项目管理计划：风险管理计划
项目文件：
经验教训登记册
风险登记册
风险报告
组织过程资产：已完成的类似项目的经验教训知识库
工具与技术：
专家判断
人际关系与团队技能：影响力
项目管理信息系统
输出：
变更请求
项目文件更新：
问题日志
经验教训登记册
项目团队派工单
风险登记册
风险报告

11.7监督风险

定义：在整个项目期间，监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性的过程。本过程需要在整个项目期间开展。
主要作用：使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。
输入：
项目管理计划：风险管理计划
项目文件：
问题日志
经验教训登记册
风险登记册
风险报告
工作绩效数据：关于项目状态的信息
工作绩效报告：是通过分析绩效测量结果而得到的，能够提供关于项目工作绩效的信息，包括偏差分析结果、挣值数据和预测数据。
工具与技术：
数据分析：
技术绩效分析：
测量指标：重量、处理时间、缺陷数量、储存容量等
储备分析：指在项目的任一时点比较剩余应急储备与剩余风险量，从而确定剩余应急储备是否仍然合理。可以使用各种图形(如燃尽图)来显示应急储备的消耗情况。
审计：风险审计是一种审计类型，可用于评估风险管理过程的有效性。
会议：风险审查会。定期安排风险审查，来检查和记录风险应对在处理整体项目风险和已识别单个风险方面的有效性。
输出：
工作绩效信息：是经过比较单个风险的时间发生情况和预计发生情况，所得到的关于项目风险管理执行绩效的信息。
变更请求：可能包括建议的纠正与预防措施
项目管理计划更新
项目文件更新：
假设日志
问题日志
经验教训登记册
风险登记册
风险报告
组织过程资产更新：
风险管理计划、风险登记册和风险报告模板
风险分解结构