11.项目风险管理

项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程。项目风险管理的目标在于提高正面风险的概率或影响，降低负面风险的概率或影响，从而提高项目成功的可能性。

项目风险管理的过程是：

11.1 规划风险管理 — 定义如何实施项目风险管理活动的过程。

11.2 识别风险 — 识别单个项目风险，以及整体项目风险的来源，并记录风险特征的过程。

11.3 实施定性风险分析 — 通过评估单个项目风险发生的概率和影响以及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程。

11.4 实施定量风险分析 — 就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析的过程。

11.5 规划风险应对 — 为处理整体项目风险敞口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程。

11.6 实施风险应对 — 执行商定的风险应对计划的过程。

11.7 监督风险 — 在整个项目期间，监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性的过程。

项目风险管理的核心概念

项目风险管理旨在识别和管理未被其他项目管理过程所管理的风险。如果不妥善管理，这些风险有可能导致项目偏离计划，无法达成既定的项目目标。因此，项目风险管理的有效性直接关乎项目成功与否。

每个项目都在两个层面上存在风险。每个项目都有会影响项目达成目标的单个风险，以及由单个项目风险和不确定性的其他来源联合导致的整体项目风险。考虑整体项目风险，也非常重要。项目风险管理过程同时兼顾这两个层面的风险。它们的定义如下：

• 单个项目风险是一旦发生，会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。
• 整体项目风险是不确定性对项目整体的影响，是相关方面临的项目结果正面和负面变异区间。它源于包括单个风险在内的所有不确定性。

项目风险管理的发展趋势和新兴实践

• 非事件类风险。大多数项目只关注作为可能发生或不发生的不确定性未来事件的风险。
  • 变异性风险。已规划事件、活动或决策的某些关键方面存在不确定性，就导致变异性风险。
  • 模糊性风险。对未来可能发生什么，存在不确定性。
• 项目韧性。随着对所谓“未知-未知”因素的意识的增强，人们也越来越明确地知道确实存在突发性风险。这种风险只有在发生后才能被发现。可以通过加强项目韧性来应对突发性风险。这就要求每个项目：
  • 除了为已知风险列出具体风险预算，还要为突发性风险预留合理的应急预算和时间；
  • 采用灵活的项目过程，包括强有力的变更管理，以便在保持朝项目目标推进的正确方向的同时，应对突发性风险；
  • 授权目标明确且值得信赖的项目团队在商定限制范围内完成工作；
  • 经常留意早期预警信号，以尽早识别突发性风险；
  • 明确征求相关方的意见，以明确为应对突发性风险而可以调整项目范围或策略的领域。
• 整合式风险管理。项目存在于组织背景中，可能是项目集或项目组合的一部分。在项目、项目集、项目组合和组织这些层面上，都存在风险。

裁剪时需要考虑的因素

• 项目规模
• 项目复杂性
• 项目重要性
• 开发方法

11.1 规划风险管理

规划风险管理是定义如何实施项目风险管理活动的过程。本过程的主要作用是，确保风险管理的水平、方法和可见度与项目风险程度，以及项目对组织和其他相关方的重要程度相匹配。本过程仅开展一次或仅在项目的预定义点开展。

11.1.1 规划风险管理：输入

规划风险管理的输入包括：

• 项目章程
• 项目管理计划
• 项目文件
• 事业环境因素
• 组织过程资产
• 组织的风险政策；
  • 风险类别，可能用风险分解结构来表示；
  • 风险概念和术语的通用定义；
  • 风险描述的格式；
  • 风险管理计划、风险登记册和风险报告的模板；
  • 角色与职责；
  • 决策所需的职权级别；
  • 经验教训知识库，其中包含以往类似项目的信息。

11.1.2 规划风险管理：工具与技术

规划风险管理需要的工具与技术包括：

• 专家判断
• 数据分析
• 会议

11.1.3 规划风险管理：输出

规划风险管理的输出包括：

• 风险管理计划
  • 风险管理战略
  • 方法论
  • 角色与职责
  • 资金
  • 时间安排
  • 风险类别
  • 相关方风险偏好
  • 风险概率和影响定义
  • 概率和影响矩阵
  • 报告格式
  • 跟踪

11.2 识别风险

识别风险是识别单个项目风险以及整体项目风险的来源，并记录风险特征的过程。本过程的主要作用是，记录现有的单个项目风险，以及整体项目风险的来源；同时，汇集相关信息，以便项目团队能够恰当应对已识别的风险。本过程需要在整个项目期间开展。

11.2.1 识别风险：输入

识别风险的输入包括：

• 项目管理计划
  • 需求管理计划
  • 进度管理计划
  • 成本管理计划
  • 质量管理计划
  • 资源管理计划
  • 风险管理计划
  • 范围基准
  • 进度基准
  • 成本基准
• 项目文件
  • 假设日志
  • 成本估算
  • 持续时间估算
  • 问题日志
  • 经验教训登记册
  • 需求文件
  • 资源需求
  • 相关方登记册
• 协议
• 采购文档
• 事业环境因素
  • 已发布的材料，包括商业风险数据库或核对单；
  • 学术研究资料；
  • 标杆对照成果；
  • 类似项目的行业研究资料。
• 组织过程资产
  • 项目文档，包括实际数据；
  • 组织和项目的过程控制资料；
  • 风险描述的格式；
  • 以往类似项目的核对单。

11.2.2 识别风险：工具与技术

识别风险的工具与技术包括：

• 专家判断
• 数据收集
  • 头脑风暴
  • 核对单
  • 访谈
• 数据分析
  • 根本原因分析
  • 假设条件和制约因素分析
  • SWOT 分析
  • 文件分析
• 人际关系与团队技能
• 提示清单
• 会议

11.2.3 识别风险：输出

识别风险的输出包括：

• 风险登记册
  • 已识别风险的清单。在风险登记册中，每项单个项目风险都被赋予一个独特的标识号。要以所需的详细程度对已识别风险进行描述，确保明确理解。可以使用结构化的风险描述，来把风险本身与风险原因及风险影响区分开来。
  • 潜在风险责任人。如果已在识别风险过程中识别出潜在的风险责任人，就要把该责任人记录到风险登记册中。随后将由实施定性风险分析过程进行确认。
  • 潜在风险应对措施清单。如果已在识别风险过程中识别出某种潜在的风险应对措施，就要把它记录到风险登记册中。随后将由规划风险应对过程进行确认。
• 风险报告
  • 整体项目风险的来源。说明哪些是整体项目风险敞口的最重要驱动因素。
  • 关于已识别单个项目风险的概述信息。例如，已识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势。
• 项目文件更新
  • 假设日志
  • 问题日志
  • 经验教训登记册

11.3 实施定性风险分析

实施定性风险分析是通过评估单个项目风险发生的概率和影响以及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程。本过程的主要作用是重点关注高优先级的风险。本过程需要在整个项目期间开展。

11.3.1 实施定性风险分析：输入

实施定性风险分析的输入包括：

• 项目管理计划
• 项目文件
  • 假设日志
  • 风险登记册
  • 相关方登记册
• 事业环境因素
  • 类似项目的行业研究资料
  • 已发布的材料，包括商业风险数据库或核对单
• 组织过程资产

11.3.2 实施定性风险分析：工具与技术

实施定性风险分析需要的工具与技术包括：

• 专家判断
• 数据收集
• 数据分析
  • 风险数据质量评估。风险数据是开展定性风险分析的基础。风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性。使用低质量的风险数据，可能导致定性风险分析对项目来说基本没用。如果数据质量不可接受，就可能需要收集更好的数据。可以开展问卷调查，了解项目相关方对数据质量各方面的评价，包括数据的完整性、客观性、相关性和及时性，进而对风险数据的质量进行综合评估。可以计算这些方面的加权平均数，将其作为数据质量的总体分数。
  • 风险概率和影响评估。风险概率评估考虑的是特定风险发生的可能性，而风险影响评估考虑的是风险对一项或多项项目目标的潜在影响，如进度、成本、质量或绩效。威胁将产生负面的影响，机会将产生正面的影响。要对每个已识别的单个项目风险进行概率和影响评估。风险评估可以采用访谈或会议的形式，参加者将依照他们对风险登记册中所记录的风险类型的熟悉程度而定。项目团队成员和项目外部资深人员应该参加访谈或会议。在访谈或会议期间，评估每个风险的概率水平及其对每项目标的影响级别。如果相关方对概率水平和影响级别的感知存在差异，则应对差异进行探讨。此外，还应记录相应的说明性细节。
  • 其他风险参数评估。
    • 紧迫性。为有效应对风险而必须采取应对措施的时间段。时间短就说明紧迫性高。
    • 邻近性。风险在多长时间后会影响一项或多项项目目标。时间短就说明邻近性高。
    • 潜伏期。从风险发生到影响显现之间可能的时间段。时间短就说明潜伏期短。
    • 可管理性。风险责任人（或责任组织）管理风险发生或影响的容易程度。如果容易管理，可管理性就高。
    • 可控性。风险责任人（或责任组织）能够控制风险后果的程度。如果后果很容易控制，可控性就高。
    • 可监测性。对风险发生或即将发生进行监测的容易程度。如果风险发生很容易监测，可监测性就高。
    • 连通性。风险与其他单个项目风险存在关联的程度大小。如果风险与多个其他风险存在关联，连通性就高。
    • 战略影响力。风险对组织战略目标潜在的正面或负面影响。如果风险对战略目标有重大影响，战略影响力就大。
    • 密切度。风险被一名或多名相关方认为要紧的程度。被认为很要紧的风险，密切度就高。
• 人际关系与团队技能
• 风险分类
• 数据表现
  • 概率和影响矩阵：概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。此矩阵对概率和影响进行组合，以便于把单个项目风险划分成不同的优先级组别
  • 层级图
• 会议

11.3.3 实施定性风险分析：输出

实施定性风险分析的输出包括：

• 项目文件更新
  • 假设日志
  • 问题日志
  • 风险登记册
  • 风险报告

11.4 实施定量风险分析

实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。本过程的主要作用是，量化整体项目风险敞口，并提供额外的定量风险信息，以支持风险应对规划。本过程并非每个项目必需，但如果采用，它会在整个项目期间开展。

项目风险管理计划会规定是否需要使用定量风险分析，定量分析最可能适用于大型或复杂的项目、具有战略重要性的项目、合同要求进行定量分析的项目，或主要相关方要求进行定量分析的项目。通过评估所有单个项目风险和其他不确定性来源对项目结果的综合影响，定量风险分析就成为评估整体项目风险的唯一可靠的方法。

11.4.1 实施定量风险分析：输入

实施定量风险分析的输入包括：

• 项目管理计划
  • 风险管理计划
  • 范围基准
  • 进度基准
  • 成本基准
• 项目文件
  • 假设日志
  • 估算依据
  • 成本估算
  • 成本预测
  • 持续时间估算
  • 里程碑清单
  • 资源需求
  • 风险登记册
  • 风险报告
  • 进度预测
• 事业环境因素
• 组织过程资产

11.4.2 实施定量风险分析：工具与技术

实施定量风险分析需要的工具与技术包括：

• 专家判断
  • 将单个项目风险和其他不确定性来源的信息转化成用于定量风险分析模型的数值输入；
  • 选择最适当的方式表示不确定性，以便为特定风险或其他不确定性来源建立模型；
  • 用适合项目环境的技术建立模型；
  • 识别最适用于所选建模技术的工具；
  • 解释定量风险分析的输出。
• 数据收集
• 人际关系与团队技能
• 不确定性表现方式
• 数据分析
  • 模拟
  • 敏感性分析
  • 决策树分析
  • 影响图

11.4.3 实施定量风险分析：输出

实施定量风险分析的输出包括：

• 项目文件更新
  • 对整体项目风险敞口的评估结果
    • 项目成功的可能性。基于已识别的单个项目风险和其他不确定性来源，项目实现其主要目标（例如，既定的结束日期或中间里程碑、既定的成本目标）的概率。
    • 项目固有的变异性。在开展定量分析之时，可能的项目结果的分布区间。
  • 项目详细概率分析的结果。列出定量风险分析的重要输出，如 S 曲线、龙卷风图和关键性指标，以及对它们的叙述性解释。定量风险分析的详细结果可能包括：
    • 所需的应急储备，以达到实现目标的特定置信水平；
    • 对项目关键路径有最大影响的单个项目风险或其他不确定性来源的清单；
    • 整体项目风险的主要驱动因素，即：对项目结果的不确定性有最大影响的因素。
  • 单个项目风险优先级清单。根据敏感性分析的结果，列出对项目造成最大威胁或产生最大机会的单个项目风险。
  • 定量风险分析结果的趋势。随着在项目生命周期的不同时间重复开展定量风险分析，风险的发展趋势可能逐渐清晰。发展趋势会影响对风险应对措施的规划。
  • 风险应对建议。风险报告可能根据定量风险分析的结果，针对整体项目风险敞口或关键单个项目风险提出应对建议。这些建议将成为规划风险应对过程的输入。

11.5 规划风险应对

规划风险应对是为处理整体项目风险敞口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程。本过程的主要作用是，制定应对整体项目风险和单个项目风险的适当方法；本过程还将分配资源，并根据需要将相关活动添加进项目文件和项目管理计划。本过程需要在整个项目期间开展。

11.5.1 规划风险应对：输入

规划风险应对的输入包括：

• 项目管理计划
  • 资源管理计划
  • 风险管理计划
  • 成本基准
• 项目文件
  • 经验教训登记册
  • 项目进度计划
  • 项目团队派工单
  • 资源日历
  • 风险登记册
  • 风险报告
  • 相关方登记册
• 事业环境因素
• 组织过程资产
  • 风险管理计划、风险登记册和风险报告的模板；
  • 历史数据库；
  • 类似项目的经验教训知识库。

11.5.2 规划风险应对：工具与技术

规划风险应对需要的工具与技术包括：

• 专家判断
  • 威胁应对策略；
  • 机会应对策略；
  • 应急应对策略；
  • 整体项目风险应对策略。
• 数据收集
• 人际关系与团队技能
• 威胁应对策略
  • 上报
  • 规避
  • 转移
  • 减轻
  • 接受
• 机会应对策略
  • 上报
  • 开拓
  • 分享
  • 提高
  • 接受
• 应急应对策略
• 整体项目风险应对策略
  • 规避
  • 开拓
  • 转移或分享
  • 减轻或提高
  • 接受
• 数据分析
  • 备选方案分析
  • 成本收益分析
• 决策

11.5.3 规划风险应对：输出

规划风险应对的输出包括：

• 变更请求
• 项目管理计划更新
  • 进度管理计划
  • 成本管理计划
  • 质量管理计划
  • 资源管理计划
  • 采购管理计划
  • 范围基准
  • 进度基准
  • 成本基准
• 项目文件更新
  • 假设日志
  • 成本预测
  • 经验教训登记册
  • 项目进度计划
  • 项目团队派工单
  • 风险登记册
    • 商定的应对策略；
    • 实施所选应对策略所需要的具体行动；
    • 风险发生的触发条件、征兆和预警信号；
    • 实施所选应对策略所需要的预算和进度活动；
    • 应急计划，以及启动该计划所需的风险触发条件；
    • 弹回计划，供风险发生且主要应对措施不足以应对时使用；
    • 在采取预定应对措施之后仍然存在的残余风险，以及被有意接受的风险；
    • 由实施风险应对措施而直接导致的次生风险。
  • 风险报告

11.6 实施风险应对

实施风险应对是执行商定的风险应对计划的过程。本过程的主要作用是，确保按计划执行商定的风险应对措施，来管理整体项目风险敞口、最小化单个项目威胁，以及最大化单个项目机会。本过程需要在整个项目期间开展。

11.6.1 实施风险应对：输入

实施风险应对的输入包括：

• 项目管理计划
• 项目文件
  • 经验教训登记册
  • 风险登记册
  • 风险报告
• 组织过程资产

11.6.2 实施风险应对：工具与技术

实施风险应对需要的工具与技术包括：

• 专家判断
• 人际关系与团队技能
• 项目管理信息系统

11.6.3 实施风险应对：输出

实施风险应对的输出包括：

• 变更请求
• 项目文件更新
  • 问题日志
  • 经验教训登记册
  • 项目团队派工单
  • 风险登记册
  • 风险报告

11.7 监督风险

监督风险是在整个项目期间，监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性的过程。本过程的主要作用是，使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。本过程需要在整个项目期间开展。

为了确保项目团队和关键相关方了解当前的风险敞口级别，应该通过监督风险过程对项目工作进行持续监督，来发现新出现、正变化和已过时的单个项目风险。监督风险过程采用项目执行期间生成的绩效信息，以确定：

• 实施的风险应对是否有效；
• 整体项目风险级别是否已改变；
• 已识别单个项目风险的状态是否已改变；
• 是否出现新的单个项目风险；
• 风险管理方法是否依然适用；
• 项目假设条件是否仍然成立；
• 风险管理政策和程序是否已得到遵守；
• 成本或进度应急储备是否需要修改；
• 项目策略是否仍然有效。

11.7.1 监督风险：输入

监督风险的输入包括：

• 项目管理计划
• 项目文件
  • 问题日志
  • 经验教训登记册
  • 风险登记册
  • 风险报告
• 工作绩效数据
• 工作绩效报告

11.7.2 监督风险：工具与技术

监督风险需要的工具与技术包括：

• 数据分析
  • 技术绩效分析
  • 储备分析
• 审计
• 会议

11.7.3 监督风险：输出

监督风险的输出包括：

• 工作绩效信息
• 变更请求
• 项目管理计划更新
• 项目文件更新
  • 假设日志
  • 问题日志
  • 经验教训登记册
  • 风险登记册
  • 风险报告
• 组织过程资产更新
  • 风险管理计划、风险登记册和风险报告的模板
  • 风险分解结构