第11章 项目风险管理

项目风险管理包括规划风险管理、识别风险、实施风险分析、规划风险应对和控制风险等各个过程。

项目风险管理的目标在于提高项目中积极事件的概率和影响，降低项目中消极事件的概率和影响。

项目风险源于任何项目中都存在不确定性。

对于那些已知但又无法主动管理的风险，要分配一定的应急储备。未知风险无法进行主动管理，因此需要分配一定的管理储备。

组织和干系人的风险态度的因素分为：

• 风险偏好。为了预期的回报，一个实体愿意承受不确定性的程度。
• 风险承受力。组织或个人能承受的风险程度、数量或容量。
• 风险临界值。干系人特别关注的特定的不确定性程度或影响程度。

积极和消极风险通常被称为机会和威胁。

11.1 规划风险管理

规划风险管理是定义如何实施项目风险管理活动的过程。

本过程的主要作用是，确保风险管理的程度、类型和可见度与风险及项目对组织的重要性相匹配。

规划风险管理过程在项目构思阶段就应开始，并在项目规划阶段的早期完成。

11.1.1 规划风险管理：输入

11.1.1.1 项目管理计划

11.1.1.2 项目章程

见 4.1.3.1 节。

11.1.1.3 干系人登记册

见 13.1.3.1 节。

11.1.1.4 事业环境因素

见 2.1.5 节。

11.1.1.5 组织过程资产

见 2.1.4 节。

11.1.2 规划风险管理：工具与技术

11.1.2.1 分析技术

分析技术用来理解和定义项目的总体风险管理环境。

风险管理环境是基于项目总体情况的干系人风险态度和项目战略风险敞口的组合。

11.1.2.2 专家判断

11.1.2.3 会议

11.1.3 规划风险管理：输出

11.1.3.1 风险管理计划

风险管理计划是项目管理计划的组成部分，描述将如何安排与实施风险管理活动。

包括：

• 方法论
• 角色与职责
• 预算
• 时间安排
• 风险类别
• 风险概率和影响的定义
• 概率和影响矩阵
• 修订的干系人承受力
• 报告格式
• 跟踪

风险分解结构（Risk Breakdown Structure，RBS）有助于项目团队在识别风险的过程中发现有可能引起风险的多种原因。

11.2 识别风险

识别风险是判断哪些风险可能影响项目并记录其特征的过程。

本过程的主要作用是，对已有风险进行文档化，并为项目团队预测未来事件积累知识和技能。

风险识别活动的参与者可包括：项目经理、项目团队成员、风险管理团队（如有）、客户、项目团队之外的主题专家、最终用户、其他项目经理、干系人和风险管理专家。

识别风险是一个反复进行的过程

11.2.1 识别风险：输入

11.2.1.1 风险管理计划

见 11.1.3.1 节。

11.2.1.2 成本管理计划

见 7.1.3.1 节。

11.2.1.3 进度管理计划

见 6.1.3.1 节。

11.2.1.4 质量管理计划

见 8.1.3.1 节。

11.2.1.5 人力资源管理计划

见 9.1.3.1 节。

11.2.1.6 范围基准

见 5.4.3.1 节。

WBS 是识别风险过程的关键输入，因为它方便人们同时从微观和宏观两个层面认识潜在风险。可以在总体、控制账户和/或工作包层级上识别并继而跟踪风险。

11.2.1.7 活动成本估算

见 7.2.3.1 节。

11.2.1.8 活动持续时间估算

见 6.5.3.1 节。

11.2.1.9 干系人登记册

见 13.1.3.1 节。

11.2.1.10 项目文件

• 项目章程
• 项目进度计划
• 进度网络图
• 问题日志
• 质量核对单
• 对识别风险有用的其他信息

11.2.1.11 采购文件

见 12.1.3.3 节。

11.2.1.12 事业环境因素

见 2.1.5 节。

11.2.1.13 组织过程资产

见 2.1.4 节。

11.2.2 识别风险：工具与技术

11.2.2.1 文档审查

对项目文档（包括各种计划、假设条件、以往的项目文档、协议和其他信息）进行结构化审查。

11.2.2.2 信息收集技术

可用于风险识别的信息收集技术包括：

• 头脑风暴
• 德尔菲技术。德尔菲技术是组织专家达成一致意见的一种方法。项目风险专家匿名参与其中。这个过程反复几轮后，就可能达成一致意见。德尔菲技术有助于减轻数据的偏倚，防止任何个人对结果产生不恰当的影响。
• 访谈
• 根本原因分析

11.2.2.3 核对单分析

可以根据以往类似项目和其他来源的历史信息与知识编制风险识别核对单。

11.2.2.4 假设分析

11.2.2.5 图解技术

风险图解技术可包括：

• 因果图。石川图或鱼骨图。
• 系统或过程流程图。
• 影响图。表示变量与结果之间的因果关系、事件时间顺序及其他关系

11.2.2.6 SWOT 分析

这种技术从项目的每个优势（Strength）、劣势（Weakness）、机会（Opportunity）和威胁（Threat）出发，对项目进行考察，把产生于内部的风险都包括在内，从而更全面地考虑风险。

11.2.2.7 专家判断

11.2.3 识别风险：输出

11.2.3.1 风险登记册

最初的风险登记册包括如下信息：

• 已识别风险清单
• 潜在应对措施清单

11.3 实施定性风险分析

实施定性风险分析是评估并综合分析风险的概率和影响，对风险进行优先排序，从而为后续分析或行动提供基础的过程。

本过程的主要作用是，使项目经理能够降低项目的不确定性级别，并重点关注高优先级的风险。

评估已识别风险的优先级

实施定性风险分析通常可以快速且经济有效地为规划风险应对建立优先级。

11.3.1 实施定性风险分析：输入

11.3.1.1 风险管理计划

见 11.1.3.1 节。

11.3.1.2 范围基准

见 5.4.3.1 节。

11.3.1.3 风险登记册

见 11.2.3.1 节。

11.3.1.4 事业环境因素

见 2.1.5 节。

11.3.1.5 组织过程资产

见 2.1.4 节。

11.3.2 实施定性风险分析：工具与技术

11.3.2.1 风险概率和影响评估

风险概率评估旨在调查每个具体风险发生的可能性。

11.3.2.2 概率和影响矩阵

11.3.2.3 风险数据质量评估

11.3.2.4 风险分类

11.3.2.5 风险紧迫性评估

11.3.2.6 专家判断

11.3.3 实施定性风险分析：输出

11.3.3.1 项目文件更新

• 风险登记册
• 假设条件日志

11.4 实施定量风险分析

实施定量风险分析是就已识别风险对项目整体目标的影响进行定量分析的过程。

本过程的主要作用是，产生量化风险信息，来支持决策制定，降低项目的不确定性。

实施定量风险分析在实施定性风险分析过程之后开展

11.4.1 实施定量风险分析：输入

11.4.1.1 风险管理计划

见 11.1.3.1 节。

11.4.1.2 成本管理计划

见 7.1.3.1 节。

11.4.1.3 进度管理计划

见 6.1.3.1 节。

11.4.1.4 风险登记册

见 11.2.3.1 节。

11.4.1.5 事业环境因素

见 2.1.5 节。

11.4.1.6 组织过程资产

见 2.1.4 节。

11.4.2 实施定量风险分析：工具与技术

11.4.2.1 数据收集和展示技术

• 访谈
• 概率分布

三点估算法

11.4.2.2 定量风险分析和建模技术

• 敏感性分析。敏感性分析有助于确定哪些风险对项目具有最大的潜在影响。理解项目目标的变化与各种不确定因素的变化之间存在怎样的关联。龙卷风图是在敏感性分析中用来比较不同变量的相对重要性的一种特殊形式的条形图。
• 预期货币价值分析。计算平均结果的一种统计方法（不确定性下的分析）。机会的 EMV 通常表示为正值，而威胁的 EMV 则表示为负值。每个可能结果的数值与其发生的概率相乘。经常在决策树分析中使用。
• 建模和模拟。模拟通常采用蒙特卡洛技术。

11.4.2.3 专家判断

11.4.3 实施定量风险分析：输出

11.4.3.1 项目文件更新

风险登记册更新包括：

• 项目的概率分析
• 实现成本和时间目标的概率
• 量化风险优先级清单
• 定量风险分析结果的趋势

11.5 规划风险应对

规划风险应对是针对项目目标，制定提高机会、降低威胁的方案和措施的过程。

本过程的主要作用是，根据风险的优先级来制定应对措施，并把风险应对所需的资源和活动加进项目的预算、进度计划和项目管理计划中。

11.5.1 规划风险应对：输入

11.5.1.1 风险管理计划

风险管理计划的重要内容包括角色和职责、风险分析定义、审查时间安排（以及经审查而删去风险的时间安排），以及关于低、中、高风险的风险临界值。风险临界值有助于识别需要特定应对措施的风险。

11.5.1.2 风险登记册

风险登记册中包含已识别的风险、风险的根本原因、潜在应对措施清单、风险责任人、征兆和预警信号、项目风险的相对评级或优先级清单、近期需要应对的风险、需要进一步分析和应对的风险清单、定性分析结果的趋势，以及低优先级风险的观察清单。

11.5.2 规划风险应对：工具与技术

可利用风险分析工具（如决策树分析，见 11.4.2.2 节）来选择最适当的应对策略。

11.5.2.1 消极风险或威胁的应对策略

讨论这四种策略：

• 规避。通常包括改变项目管理计划，以完全消除威胁。可以把项目目标从风险的影响中分离出来，或者改变受到威胁的目标。最极端的规避策略是关闭整个项目。
• 转移。把威胁造成的影响连同应对责任一起转移给第三方的风险应对策略。转移风险是把风险管理责任简单地推给另一方，而并非消除风险。风险转移策略对处理风险的财务后果最有效。
• 减轻。队采取行动降低风险发生的概率或造成的影响的风险应对策略。
• 接受。风险接受是指项目团队决定接受风险的存在，而不采取任何措施（除非风险真的发生）的风险应对策略。该策略可以是被动或主动的。最常见的主动接受策略是建立应急储备，安排一定的时间、资金或资源来应对风险。

11.5.2.2 积极风险或机会的应对策略

• 开拓。确保机会得以实现，就可对具有积极影响的风险采取本策略。把组织中最有能力的资源分配给项目来缩短完成时间，或者，采用全新或改进的技术来节约成本，缩短实现项目目标的持续时间。
• 提高。提高机会的发生概率和/或积极影响。提高机会的例子包括为尽早完成活动而增加资源。
• 分享。
• 接受。

11.5.2.3 应急应对策略

11.5.2.4 专家判断

11.5.3 规划风险应对：输出

11.5.3.1 项目管理计划更新

更新的内容包括（但不限于）：

• 进度管理计划。
• 成本管理计划。
• 质量管理计划。
• 采购管理计划。
• 人力资源管理计划。
• 范围基准。
• 进度基准。
• 成本基准。

11.5.3.2 项目文件更新

• 风险登记册
• 假设条件日志
• 技术文件
• 变更请求

11.6 控制风险

控制风险是在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险，以及评估风险过程有效性的过程。

本过程的主要作用是，在整个项目生命周期中提高应对风险的效率，不断优化风险应对。

控制风险过程的其他目的在于确定：

• 项目假设条件是否仍然成立
• 某个已评估过的风险是否已发生变化或消失
• 风险管理政策和程序是否已得到遵守
• 根据当前的风险评估，是否需要调整成本或进度应急储备

11.6.1 控制风险：输入

11.6.1.1 项目管理计划

见 4.2.3.1 节。

11.6.1.2 风险登记册

11.6.1.3 工作绩效数据

见 4.3.3.2 节。

11.6.1.4 工作绩效报告

见 4.4.3.2 节。

工作绩效报告是从绩效测量值中提取信息并进行分析的结果，提供关于项目工作绩效的信息，包括偏差分析结果、挣值数据和预测数据等。

11.6.2 控制风险：工具与技术

11.6.2.1 风险再评估

需要识别新风险，对现有风险进行再评估，以及删去已过时的风险

11.6.2.2 风险审计

已识别风险及其根源方面的有效性，以及风险管理过程的有效性。

11.6.2.3 偏差和趋势分析

11.6.2.4 技术绩效测量

11.6.2.5 储备分析

项目的任何时点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理。

11.6.2.6 会议

11.6.3 控制风险：输出

11.6.3.1 工作绩效信息

11.6.3.2 变更请求

• 推荐的纠正措施。
• 推荐的预防措施。

11.6.3.3 项目管理计划更新

11.6.3.4 项目文件更新

风险登记册更新包括：

• 风险再评估、风险审计和定期风险审查的结果
• 项目风险及其应对的实际结果

11.6.3.5 组织过程资产更新

• 风险管理计划的模板，包括概率和影响矩阵、风险登记册
• 风险分解结构
• 从项目风险管理活动中得到的经验教训