项目风险管理

本章字数: 7.4k阅读时长: 21 分钟最后更新于: 1天前

概念

项目风险是一种不确定的事件或条件，一旦发生，会对项目目标产生某种正面或负面的影响。 项目风险既包括对项目目标的威胁，也包括促进项目目标的机会。 已知风险是那些已经经过识别和分析的风险，对于已知风险，对其进行规划，寻找应对方案是可行的； 虽然项目经理们可以依据以往类似项目的经验，采取一般的应急措施处理未知风险，但未知风险是无法管理的。

本章目录

• 管理基础
• 裁剪考虑因素
• 1.规划风险管理
  • 输入
  • 工具与技术
  • 输出
• 2.识别风险
  • 输入
  • 工具和技术
  • 输出
• 3.实施定性风险分析
  • 输入
  • 工具与技术
  • 输出
• 4.实施定量风险分析
  • 输入
  • 工具与技术
  • 输出
• 5.规划风险应对
  • 输入
  • 工具与技术
  • 输出
• 6.实施风险应对
  • 输入
  • 工具与技术
  • 输出
• 7.监督风险
  • 输入
  • 工具与技术
  • 输出

风险会随着项目的进展而变化，不确定性也会着项目进展而逐渐减少。最大的不确定性存在于项目的早期。项 目的各种风险中，进度拖延往往是成本超支、现金流出以及其他损失的主要原因。

项目风险管理的目的在于降低风险不利影响，提高项目成功的可能性。

管理基础

每个项目都在两个层面上存在风险：一是每个项目都有会影响项目目标的单个风险；二是由单个风险和不确定性的其他 来源联合导致的整体项目风险。项目风险管理过程同时兼顾这两个层面的风险。

风险的属性

1. 风险事件的随机性：风险事件的发生及其后果都具有偶然性。风险事件具有随机性。
2. 风险的相对性：同样的风险对于不同的主体有不同的影响。
   • 收益的大小：收益越大，人们愿意承担的风险也就越大
   • 投入的大小：项目活动投入越多，愿意冒的风险也就越小
   • 项目活动主体的地位和拥有的资源：级别高的管理人员比级别低的管理人员能够承担的风险相对较大，个人或组织拥有的资源越多，其风险承受能力也越大
3. 风险的可变性
   • 风险性质的变化
   • 风险后果的变化
   • 出现新风险

风险的分类

1. 按照后果的不同，风险可划分为：

• 纯粹风险：不能带来机会、无获得利益可能得风险。
• 投机风险：既可能带来机会、获得利益，又隐含威胁、造成损失的风险
• 纯粹风险和投机风险在一定条件下可以相互转化，项目管理人员必须避免投机风险转化为纯粹风险。
• 风险不是零和游戏。很多情况下，涉及风险的各个方面都要蒙受损失，五一幸免。

2. 按风险的可预测性划分为：

• 已知风险：知道会发生，后果也可预见
• 可预测风险：可预见其发生，不可预见后果
• 不可预测风险：有可能发生，但发生的可能性即使是最有经验的人也不能预见。又称，未知风险或未识别风险。外部因素作用（地震、特大暴雨、政策变化或通货膨胀等）

裁剪考虑因素

1. 项目规模
2. 项目复杂性
3. 项目重要性
4. 开发方法
   • 瀑布或预测性开发方法，风险管理过程可按阶段开展
   • 敏捷或适应型开发方法，风险管理过程可以在每个重复过程中开展？

1.规划风险管理

定义及作用

定义如何实施项目风险管理活动。

主要作用：确保风险管理的水平、方法和可见度与项目风险程度相匹配，与对组织和其他干系人的重要程度相匹配。

规划风险管理过程在项目立项阶段就应开始，并在项目早期完成，在项目生命周期的后期，可能有必要重新开展本过程。

输入

项目章程

项目章程记录了项目的总体描述和边界、总体的需求和风险。

项目管理计划

应考虑所有已批准的项目管理子计划，是风险管理计划和各计划相协调，同时各子计划中列出的方法论可能会影响规划风险管理过程。

项目文件

干系人登记册：概述了干系人在项目中的角色和其对项目风险的态度，可用于确定项目风险管理的角色和职责，以及为项目设定风险临界值。

事业环境因素

-

组织过程资产

-

工具与技术

专家判断

-

数据分析

干系人分析法：通过干系人分析确定项目干系人的风险偏好。

会议

风险管理计划的编制可以是项目开工会议上的一项工作，也可以举办专门的规划会议来编制风险管理计划。

输出

风险管理计划

风险管理计划是项目管理计划的组成部分，描述如何安排与实施风险管理活动。主要内容包括:

1. 风险管理策略：描述用于管理本项目风险的一般方法；
2. 方法论：确定用于开展本项目风险管理的具体方法、工具及数据来源；
3. 角色与职责：确定每项风险管理活动的领导者、支持者和团队成员，并明确职责；
4. 资金：确定开展项目风险管理活动所需资金，制定应急储备和管理储备使用方案；
5. 时间安排：确定在项目生命周期中实施项目风险管理过程的时间和频率，确定风险管理活动并将其纳入项目进度计划；
6. 风险类别：确定对项目风险进行分类的方式。通常借助风险分解结构(RBS)来构建风险类别；
7. 干系人风险偏好：
8. 风险概率和影响：
9. 概率和影响矩阵：
10. 报告格式：确定将如何记录、分析和沟通项目风险管理过程的结果。这一部分，描述风险登记册、风险报告以及项目风险管理过程的其他输出的内容和格式；
11. 跟踪：确定将如何记录风险活动，以及如何审计风险的管理过程。

2.识别风险

定义及作用

识别风险是识别单个项目风险以及整体项目风险的来源，并记录风险特征的过程。主要作用：

1. 记录现有的单个项目风险，以及整体项目风险的来源
2. 汇总相关信息，以便项目团队能够恰当地应对已识别的风险。

应在整个项目期间开展

识别风险时，要同时考虑单个项目分线以及整体项目风险的来源。风险识别活动的参与者可能包括：项目经理、项目团队成员、项目风险专家(若已制定)、客户项目团队外部的主题专家、运营经理、干系人和组织内的风险管理专家。虽然这些通常是风险识别活动的关键参与者，但应鼓励所有项目干系人参与项目风险的识别工作。

应采用统一的风险描述格式来描述和记录项目风险，以确保每一项风险都被清楚、明确地理解，从而为有效的分析和风险应对措施制定提供支持。

输入

项目管理计划

1. 需求管理计划：可能指出了特别有风险的项目目标
2. 进度管理计划：可能列出了受不确定性或模糊性影响的一些进度领域
3. 成本管理计划：可能列出了受不确定性或模糊性影响的一些成本领域
4. 质量管理计划：可能列出了受不确定性或模糊性影响的一些质量领域，或者关键假设可能引发风险的一些领域
5. 资源管理计划：可能列出了受不确定性或模糊性影响的一些资源领域，或者关键假设可能引发风险的一些资源领域
6. 风险管理计划：规定了风险管理的角色和职责，说明了如何将风险管理活动纳入预算和进度计划，并描述了风险类别
7. 范围基准：包括可交付成果机器验收标准，其中有些可能引发风险；还包括工作分解结构，可用作安排风险识别工作的框架
8. 进度基准：可以查看进度基准，找出存在不确定或模糊性的里程碑日期和可交付成果交付日期，或者可能引发风险的关键假设条件
9. 成本基准：可以查看成本基准，找出存在不确定或模糊性的成本估算或资金需求，或者关键假设可能引发风险的方面。

项目文件

1. 假设日志：
2. 干系人登记册：
3. 需求文件：
4. 持续时间估算：
5. 成本估算：
6. 资源需求：
7. 问题日志：
8. 经验教训登记表：

采购文档

如果需要从外部采购项目资源，就应该审查初始采购文档，因为从组织外部采购商品和服务可能提高或降低整体项目风险，并可能引发更多的项目风险

协议

如果需要从外部采购项目资源，协议所规定的里程碑日期、合同类型、验收标准和奖罚条款等，都可能造成威胁或创造机会

事业环境因素

-

组织过程资产

-

工具和技术

专家判断

数据收集

1. 头脑风暴：
2. 核查单：...虽然核查单简单易用，但它不可能穷尽所有风险
3. 访谈：

数据分析

1. 根本原因分析：常用于发现导致问题的深层原因并制定预防措施。
2. 假设条件和制约因素分析：
3. SWOT分析：对项目的优势、劣势、机会和威胁进行逐个检查。
4. 文件分析：通过对项目文件的结构化审查，可以识别出一些风险。可供审查的文件主要包括计划、假设条件、制约因素、以往项目档案、合同、协议和技术文件。

人际关系与团队技能

帮助...

提示清单

提示清单是关于可能引发项目风险来源的风险类别的预设清单。在采用风险识别技术时，提示清单可作为框架用于协助项目团队形成想法。 可以用风险分解结构底层的风险类别作为提示清单，来识别单个风险。

会议

输出

风险登记册

风险登记册记录已识别的项目风险的详细信息。随着实施定性风险分析、规划风险应对、实施风险应对和监督风险等过程的开展，这些过程的结果也要记入风险登记册。取决于具体的项目变量（规模或复杂性），风险登记册可能包含有限或广泛的风险信息。

当完成识别风险过程是，风险登记册的内容主要包括：

• 已完成识别风险的清单：
• 潜在风险责任人：
• 潜在风险应对措施清单：

风险报告

风险报告提供关于整体项目风险的信息，以及关于识别的单个项目风险的概述信息。在项目风险管理过程中，风险报告的编制是一项渐进式工作。 随着实施定性风险分析、实施定量风险分析、规划风险应对、实施风险应对和监督风险过程的完成，这些过程的结果也需要记录在风险登记册中。

完成识别风险时，风险报告内容主要包括：

• 整体项目风险的来源：说明哪些是整体项目风险的最重要因素
• 关于已识别单个项目风险的概述信息：例如，已识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势

项目文件（更新）

假设日志、问题日志、经验教训登记表的更新

3.实施定性风险分析

定义及作用

通过评估单个项目风险发生的概率和影响以及特征，对风险进行优先级排序，从而为后续分析或行动提供基础。主要作用是重点关注高优先级的风险。

整个项目期间开展。

根据风险管理计划的规定，在整个项目生命周期中要定期开展实施定性风险过程，在敏捷或适应型开发环境中，实施定性风险分析过程通常要在每次迭代开始前进行。

输入

项目管理计划

• 风险管理计划

项目文件

• 假设日志
• 风险登记册
• 干系人登记册

事业环境因素

-

组织过程资产

-

工具与技术

专家判断

-

数据收集

• 访谈：结构化或半结构化的访谈可用于评估单个项目风险的概率和影响，以及其他因素。访谈者应营造信任和保密的访谈环境，以鼓励被访者提出诚实和无偏见的意见。

数据分析

• 风险数据质量评估：风险数据是开展定性风险分析的基础。风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性。
• 风险概率和影响评估：风险概率评估考虑的是特定风险发生的可能性，而风险影响评估考虑的是风险对一项或多项项目目标的潜在影响，如进度、成本、质量和绩效。
• 其他风险参数评估：

人际关系与团队技能

• 引导

风险分类

项目风险可依据风险来源、受影响的项目领域，以及其他实用类别（如项目阶段、项目预算、角色和职责）来分类。

对风险进行分类，有助于把注意力和精力集中到风险可能发生的最大的领域，或针对一组相关的风险制定通用的风险应对措施，从而有利于更有效的开展风险应对。

数据表现

• 概率和影响矩阵：
• 层级图：气泡图能显示三维数据，把每个风险绘制成气泡，并用x轴值、y轴值和气泡大小表示风险的3个参数。x轴：可监测性，y轴：邻近性，气泡大小：影响值

输出

项目文件

假设日志、问题日志、风险登记册和风险报告的更新

4.实施定量风险分析

定义及作用

实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影 响进行定量分析的过程。

本过程的作用是：

1. 量化整体项目风险最大可能性
2. 提供额外的定量风险信息，以支持风险应对规划。

本过程并非每个项目必需，但如果采用，它会在整个项目期间持续开展

输入

项目管理计划

-

项目文件

-

事业环境因素

-

工具与技术

专家判断

数据收集

访谈可用于针对单个项目风险和其他不确定性来源，生成定量风险分析的输入

人际关系与团队技能

适用于实施定量风险过程的人际关系与团队技能是引导。

不确定性表现方式

如果活动的待续时间、成本或资源需求是不确定的，就可以在模型中用概率分布来表示其 数值的可能区间。概率分布可能有多种形式，最常用的有三角分布、正态分布、对数正态分布、 贝塔分布、均匀分布或离散分布

数据分析

适用于实施定量风险分析过程的数据分析技术主要包括：

• 模拟：：在定量风险分析中，使用模型来模拟单个项目风险和其他不确定性来源的综合影响，以评估它们对项目目标的潜在影响。模拟通常采用蒙特卡洛分析。
• 敏感性分析：有助于确定哪些单个项目风险或不确定性来源对项目结果具有最大的潜 在影响。它在项目结果变化与定量风险分析模型中的要素变化之间建立联系。敏感性分析的结 果通常用龙卷风图来表示。
• 决策树分析：用决策树在若干备选行动方案中选择一个最佳方案。
• 影响图：不确定条件下进行决策的图形辅助工具。它将一个项目或项目中的一种情境 表现为一系列实体、结果和影响，以及它们之间的关系和相互影响。

输出

项目文件（更新）

可作为实施定量风险分析过程输出的项目文件是风险报告。更新风险报告可以反映定量风 险分析的结果。

1. 对整体项目风险最大可能性的评估结果。整体项目风险有两种主要的测量方式：
   • 项目对成功的可能性：
   • 项目固有的变化性：
2. 项目详细概览分析的结果
3. 单个项目风险优先级清单
4. 定量风险分析结果的趋势
5. 风险应对建议

5.规划风险应对

定义及作用

规划风险的应对措施是为了应对项目风险，而制定可选方案、选择应对策略并商定应对行动的过程。

本过程的主要作用：1.制定应对整体项目风险和单个项目风险的适当方法；2.分配资源，并根据需要将相关活动添加进项目文件和项目管理计划中。

本过程需要在整个项目期间开展

如果选定的策略并不完全有效，或者 发生了已接受的风险，就需要制订应急计划。同时，也需要识别次生风险。次生风险是实施风 险应对措施直接导致的风险。

输入

项目管理计划

• 资源管理计划：有助于协调用于风险应对的资源和其他项目资源。
• 风险管理计划：风险角色和职责、风险临界值。
• 成本基准：包含了拟用于风险应对的应急资金的信息。

项目文件

• 干系人登记册：列出了风险应对的潜在责任人。
• 风险登记册：包含了已识别并排序的、需要应对的单个项目风险的详细信息。每项风险 的优先级有助于选择适当的风险应对措施。 进一步分析的风险。
• 风险报告：项目整体风险最大可能风险的当前级别，会影响风险应对策略的选择。风险 报告也可能按优先级顺序列出了单个项目风险，并对单个项目风险的分布情况进行了更 多分析；这些信息都会影响风险应对策略的选择。
• 资源日历：确定了潜在的资源何时可用于风险应对。
• 项目团队派工单：列明了可用于风险应对的人力资源。
• 项目进度计划：用于确定如何同时规划风险应对活动和其他项目活动。
• 经验教训登记册：查看关于项目早期的风险应对的经验教训，确定类似的应对是否适用于项目后期。

事业环境因素

-

组织过程资产

能够影响规划风险应对过程的组织过程资产主要包括：风险管理计划、风险登记册和风险 报告的模板；历史数据库；类似项目的经验教训知识库等。

工具与技术

专家判断

在规划风险应对时，应征求具备如下专业知识或接受相关培训的个人或小组意见：威胁应 对策略；机会应对策略；应急应对策略；整体项目风险应对策略。 可以就具体单个项目风险向特定主题专家征求意见等。

数据收集

适用于规划风险应对过程的数据收集技术是访谈。项目风险的应对措施可以在与风险责任 人的结构化或半结构化的访谈中制定。必要时，也可访谈其他干系人。访谈者应该营造信任和 保密的访谈环境，以鼓励被访者提出诚实和无偏见的意见。

人际关系与团队技能

适用于规划风险应对过程的人际关系与团队技能是引导。开展引导能够提高项目风险应对 策略制定的有效性。熟练的引导者可以帮助风险责任人理解风险、识别并比较备选的风险应对 策略、选择适当的应对策略，并克服偏见。

威胁应对策略

针对威胁，可以考虑如下 5种备选的应对策略：

1. 上报
2. 规避
3. 转移
4. 减轻
5. 接受

机会应对策略

针对机会，可以考虑如下 5种备选的备选策略：

1. 上报
2. 开拓
3. 分享
4. 提高
5. 接受

应急应对策略

可以设计一些仅在特定事件发生时才采用的应对措施。

整体项目风险应对策略

风险应对措施的规划和实施不应只针对单个项目风险，还应针对整体的项目风险。用于应 对单个项目风险的策略也适用于整体项目风险：

1. 规避
2. 开拓
3. 转移或分析
4. 减轻或提高
5. 接受

数据分析

可用于选择首选风险应对策略的数据分析技术主要包括：

• 备选方案分析
• 成本收益分析

决策

适用于规划风险应对的决策技术是多标准决策分析，列入考虑范围的风险应对策略可能是 一种或多种。决策技术有助于对多种风险应对策略进行优先级排序。

输出

变更请求

规划风险应对后，可能会就成本基准和进度基准，或项目管理计划的其他组件提出变更请 求，应该通过实施整体变更控制过程对变更请求进行审查和处理。

项目管理计划（更新）

项目管理计划的任何变更都以变更请求的形式提出，且通过组织的变更控制过程进行处理。 可能需要变更的项目管理计划组件主要包括：

• 进度管理计划
• 成本管理计划
• 质量管理计划
• 资源管理计划
• 范围基准
• 进度基准
• 成本基准

项目文件（更新）

-

6.实施风险应对

定义及作用

实施风险应对是执行商定的风险应对计划的过程。

本过程的主要作用：

• 确保按计划执行商定的风险应对措施；
• 管理整体项目风险入口、最小化单个项目威胁，以及最大化单个项目机会。 本过程需要在整个项目期间开展。

项目风险管理的一个常见问题就是“只发现、不执行“。

输入

项目管理计划

风险管理计划：风险管理计划列明了与风险管理相关的项目团队成员和其他干系人的角色和职责。应根据这些信息为己商定的风险应对措施分配责任人。

项目文件

• 经验教训登记册：
• 风险登记册：
• 风险报告：

组织过程资产

-

工具与技术

专家判断

-

人际关系与团队技能

适用于本过程的人际关系与团队技能是影响力。有些风险应对措施可能由项目团队以外的 人员执行，或由存在其他竞争性需求的人员执行。

项目管理信息系统

项目管理信息系统可能包括进度、资源和成本软件，用于确保把商定的风险应对计划及其 相关活动，连同其他项目活动，一并纳入整个项目。

输出

变更请求

实施风险应对后，可能会就成本基准和进度基准，或项目管理计划的其他组件提出变更请 求。应该通过实施整体变更控制过程对变更请求进行审查和处理。

项目文件（更新）

-

7.监督风险

定义及作用

监督风险是在整个项目期间，监督风险应对计划的实施，并跟踪已识别风险、识别和分析 新风险，以及评估风险管理有效性的过程。

本过程的主要作用是，保证项目决策是在整体项目风险和单个项目风险当前信息的基础上进行。本过程需要在整个项目期间开展

监督风险过程采用项目执行期间生成的绩效信息，以确定：

1. 实施的风险应对是否有效；
2. 整体项目风险级别是否已改变；
3. 已识别单个项目风险的状态是否已改变；
4. 是否出现新的单个项目风险；
5. 风险管理方法是否依然适用；
6. 项目假设条件是否仍然成立；
7. 风险管理政策和程序是否已得到遵守；
8. 成本或进度应急储备是否需要修改；
9. 项目策略是否仍然有效等。

输入

项目管理计划

可用于监督风险的项目管理计划的组件是风险管理计划。风险管理计划规定了应如何及 何时审查风险，应遵守哪些政策和程序，与本过程监督工作有关的角色和职责安排，以及报告格式。

项目文件

应作为监督风险过程输入的项目文件主要包括：

• 问题日志
• 经验教训登记册
• 风险登记册
• 风险报告

工作绩效数据

工作绩效数据包含关于项目状态的信息，例如，已实施的风险应对措施、已发生的风险、 仍活跃及已关闭的风险。

工作绩效报告

工作绩效报告通过分析绩效测量结果得出，能够提供关于项目工作绩效的信息，包括偏差 分析结果、挣值数据和预测数据。监督与绩效相关的风险时，需要使用这些信息。

工具与技术

数据分析

适用于监督风险过程的数据分析技术主要包括：

• 技术绩效分析
• 储备分析

审计

风险审计是一种审计类型，可用于评估风险管理过程的有效性。项目经理负责确保按项 目风险管理计划所规定的频率开展风险审计。风险审计可以在日常项目审查会和风险审查会 上开展，团队也可以召开专门的风险审计会。在实施审计前，应明确定义风险审计的程序和 目标。

会议

适用于监督风险过程的会议是风险审查会。 根据风险管理计划的规定，风险审查可以是定期项目状态会中的一项议程，也可以召开专门的风险审查会。

输出

工作绩效信息

工作绩效信息是经过比较单个风险的实际发生情况和预计发生情况，所得到的关于项目风险管理执行绩效的信息。 它可以说明风险应对规划和应对实施过程的有效性。

变更请求

执行监督风险过程后，可能会就成本基准和进度基准，或项目管理计划的其他子计划提出 变更请求，应该通过实施整体变更控制过程对变更请求进行审查和处理。

变更请求可能包括：建议的纠正与预防措施，已处理整体项目风险级别或单个风险。

项目管理计划（更新）

-

项目文件（更新）

-