1、项目风险管理目的在与提高正面风险的概率和影响,降低负面风险的概率和影响,从而提高项目成功的可能性。过程包括:
11.1 规划风险管理:定义如何试试项目风险管理活动的过程。
11.2 识别风险:识别单个项目风险,以及整体项目风险的来源,并记录风险特征的过程。
11.3 实施定性风险分析:通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。
11.4 实施定量风险分析:就已识别的单个项目风险和其他不确定性的来源对整体项目目标的总和影响进行定量分析的过程。
11.5 规划风险应对:为处理整体项目风险敞口,以及应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程。
11.6 实施风险应对:执行商定的风险应对计划的过程。
11.7 监督风险:在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。
2、项目会充满风险,不仅仅面对各种制约因素和假设条件,还要应对可能互相冲突和不断变化的相关方期望。
3、项目风险管理过程要监督两个层面的风险:
单个项目风险:是一旦发生,会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。
整体项目风险:是不确定性对项目整体的影响,是相关方面临的项目结果正面和负面变异区间。它源于包括单个风险在内的所有不确定性。
4、风险:是一种不确定的事件或条件,一旦发生,会对至少一个项目目标造成影响。可能有一个或多个起因,一旦发生,可能会有一个或多个影响。已发生的风险也可视为一个问题。
已知风险:已经识别并分析过的风险,从而可对这些风险进行规划应对措施。
未知风险:无法进行主动管理,项目团队应该为未知风险创建应急计划。
5、机会:风险事件产生的正面影响。
威胁:风险事件产生的负面影响。
我们应该利用和强化正面风险,规避或减轻负面风险,将风险敞口保持在可接受的范围内。
一般情况下,我们只讨论负面风险的影响或结果。
6、风险承受力:组织或个人能承受的风险程度、数量和容量。是相关方主观上对不同各类和内容的风险的忍受程度。
7、风险临界值:能够承受的风险的严重性的最高限度。是一种客观描述的量化控制界限。
8、风险管理的趋势和新兴实践:
非事件型风险:
变异性风险:已规划事件、活动或决策的某些关键方面存在不确定性;可用蒙特卡洛分析加以处理。
模糊性风险:知识不足或对未来可能发生什么,存在不确定性;可用专家判断、最佳实践、增量开发、模型、模拟处理。
项目韧性:针对“未知-未知”风险,通过加强项目韧性来应对突发风险。
整合式风险管理:在项目、项目集、项目组合和组织等适当的层面承担和管理风险。
以下是详细子过程
规划风险管理
1、主要作用是确保风险管理的水平、方法和可见度与项目风险程度,以及项目对组织和其他相关方的重要程度相匹配。
2、规划风险管理过程在项目构思阶段就应开始,并在项目规划阶段的早期完成,在项目生命周期的后期,可能有必要重新开展本过程。
3、风险偏好:风险追随者、风险中立者、风险回避者。
4、风险管理计划:描述将如何安排与实施项目风险管理,是项目管理计划的子计划。包括以下内容:风险管理战略、相关方风险偏好、方法论、角色与职责、资金、时间安排、风险类别、风险概率和影响的定义、概率影响矩阵、报告格式、跟踪。
5、风险分解结构(RBS):是潜在风险来源的层级展现。风险分解结构有助于项目团队考虑单个项目风险的全部可能来源,对识别风险或归类已识别风险特别有用。
6、风险概率和影响的定义:根据具体的项目环境,组织和关键相关方的偏好和临界值,来制定风险概率和影响定义。应该根据拟开展项目风险管理过程的详细程度,来确定概率和影 响级别的数量,即更多级别(五级)来应对更详细的风险管理办法,更少级别(三级)来应对更简单的风险管理办法。
7、概率影响矩阵:应该在项目开始前确定优先级排序规则。在常见的概率和影响矩阵中,会同时列出机会和威胁。概率和影响可以用描述性术语(如很高、高、中、低和很低)或数值来表达。如果使用数值,就可以把两个数值相乘, 得出每个风险的概率 - 影响分值,以便据此在每个优先级组别之内排列单个风险相对优先级。
识别风险
1、主要作用是,记录现有的单个项目风险,以及整体项目风险的来源;同时,汇集相关信息,以便项目团队能够恰当应对已识别的风险。本过程需要在整个项目期间开展。
2、应该采用统一的风险描述格式,来描述和记录单个项目风险,以确保每一项风险都被清楚、明确地理解,从而为有效的分析和风险应对措施制定提供支持。
3、可以在识别风险过程中为单个项目风险指定风险责任人,待实施定性风险分析过程确认。
4、可以识别和记录初步的风险应对措施,待规划风险应对过程审查和确认。
5、输入的协议:如果需要从外部采购项目资源,协议所规定的里程碑日期、合同类型、验收标准和奖罚条款等,都可能造成机会或威胁。
6、输入的采购文档:如果需要从外部采购项目资源,就应该审查初始采购文档,因为从组织外部采购商品和服务可能提高或降低整体项目风险,并可能引发更多的单个项目风险。随着采购文档在项目期间的不断更新,还应该审查最新的文档,例如,卖方绩效报告、核准的变更请求和与检查相关的信息。
7、数据收集:核对单、头脑风暴、访谈。
8、核对单:核对单是包括需要考虑的项目、行动或要点的清单。应该探讨核对单中未列出的事项。在项目收尾,应对核对单进行审查和改进。风险分解结构的最底层可以用作风险核对单。
缺点:不可能包罗万象。
优点:风险识别过程迅速简便。
9、数据分析:根本原因分析、假设条件和制约因素分析、文件分析、SWOT分析。
10、提示清单:关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单,可作为框架用于协助项目团队形成想法。
11、风险登记册:记录已识别单个项目风险的详细信息,一般团队内部使用。编制始于风险识别过程,以后的风险管理需要对其更新。包含:已识别的风险清单、潜在风险责任人、潜在风险应对措施。
12、风险报告:提供关于整体项目风险的信息,以及关于已识别的单个项目风险的概述信息。一般给相关方看。编制是渐进式过程,一般包括:整体项目风险的来源、关于已识别单个项目风险的概述情况。
实施定性风险分析
1、主要作用是关注高优先级的风险。
2、这类评估会受项目团队和其他相关方的风险感知程度,从而具有主观性,因此纠正偏见很重要。
3、为每个风险识别出责任人,以便由他们负责规划风险应对措施,并确保应对措施的实施。
4、数据分析-风险数据质量评估:旨在评价关於单个风险的数据的准确性和可靠性。风险数据是开展定性风险分析的基础,如果没有风险数据可以用观察清单。
低质量的风险数据,可能导致定性风险分析对项目没用;数据质量不可接受,就可能需要收集更好的数据。
5、数据分析-风险概率和影响评估:考虑特定风险发生的可能性,评估风险对项目目标的潜在影响。风险评估可以采用访谈或会议的形式。低概率和影响的项目将被列入风险登记册中的观察清单,以供未来监控。
6、数据分析-其他风险参数评估:紧迫性、临近性、潜伏期、可管理性、可控性、可检测性、连通性、战略影响力、密切度。
7、数据表现:概率影响矩阵、层级图(如:气泡图)
8、气泡图:气泡图能显示三维数据。在气泡图中,把每个风险都绘制成一个 气泡,并用x 轴值、y 轴值和气泡大小来表示风险的三个参数。图 11-10 是气泡图的示例, 其中,X轴代表可监测性,Y轴代表邻近性,影响值则以气泡大小表示。
8、会议:召开专门的风险研讨会,对已识别单个项目风险进行讨论,为单个项目风险分配风险责任人。以后就由风险责任人规划应对措施和报告风险管理工作的进展情况。
9、风险登记册更新:根据实施定性风险分析的结果,更新:每项单个风险的概率和影响评估;优先级别或风险分值;指定风险责任人;风险紧迫性或风险类别;低优先级风险的观察清单;需要进一步分析的风险。
实施定量风险分析
1、该过程非必须。作用是量化整体项目风险敞口,并提高额外的定量风险信息,以支持风险应对规划。
评估所有单个风险对结果的综合影响,定量分析就成为评估整体项目风险的唯一可靠的方法。
2、能够开展稳健的分析取决于高质量数据和扎实的项目基准,定量风险分析适用于:大型或复杂项目、具有战略重要性项目、合同要求进行定量分析的项目、主要相关方要求进行定量分析的项目。
3、数据收集-访谈:向专家征求信息,利用经验和历史数据,对风险概率及其对项目目标的影响进行量化分析。
4、人际关系与团队技能-引导:风险研讨会上,配置一名熟练的引导员,有助于更好的收集数据。
5、不确定性表现分布
建立定量风险分析模型,以概率分布来标识数据可能的区间:三角分布、正态分布、对数正态分布、贝塔分布、均匀分布、离散分布。
单个风险的表现形式:概率分布图、概率分支。
6、定量风险分析的工具:模拟、敏感性分析、决策树缝隙、影响图。
7、影响图:将一个项目或项目中的一个情景表现为一系列实体、结果和影响,以及它们之间的关系和相互影响。可以借助其他的技术来得出结果,如:蒙特卡洛分析、S曲线图、龙卷风图。
8、模拟:旨在使用模型,通过输入以评估它们对项目目标的影响。通常采用蒙特卡洛技术,每次运行时,都从这些变更的概率分布中随机抽取数值作为输入,通过多次计算,其输出构成了项目可能结果的区间。典型的输出包括:表示模拟得到特定结果的次数的直方图,或表示获得等于或小于特定数值的结果的累积概率分布曲线(S 曲线)
对于成本风险分析,需要使用成本估算进行模拟;
对于进度风险分析,需要使用进度网络图和持续时间估算进行模拟。
9、敏感性分析:用于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响。常见表现形式为龙卷风图,标出定量风险分析模型中每个要素与其能影响的项目结果之间的关联系数,按关联强度降序排列。
10、决策树分析:用决策树在若干备选行动方案中选择一个最佳方案,不同的分支代表不同的决策或事件,即项目的备选路径。终点表示沿特定路径发展的最后结果,可以是正面或负面的结果(计算预期货币价值)。
EMV法:通过路径上的概率计算
建新厂 2*0.6+0.9*0.4 - 1.2 = 0.36
投老厂 1.2*0.6+0.6*0.4 - 0.5 = 0.46
路径净值法:只看最终受益。
建新厂 0.8-0.5=0.3
投老厂 0.7+0.1=0.8
11、更新风险报告,反应定量风险分析的结果:
- 对整体项目风险敞口的评估结果(测量两种方式:项目成功的可能性、项目固定的变异性)
- 项目详细概率分析的结果
- 单个项目风险优先级清单
- 定量风险分析结果的趋势
- 风险应对建议
规划风险应对
1、本过程的主要作用是:制定应对整体项目风险和单个项目风险的适当方法;还将分配资源,并根据需要将相关活动添加进项目文件和项目管理计划。
2、有效和适当的风险应对可以最小化单个威胁,最大化单个机会,并降低整体项目风险敞口。
3、风险应对方案应与风险重要性相匹配,能经济有效的应对挑战,在当前项目背景下现实可行,能获得全体相关方同意,并由一名责任人具体负责。
4、应急应对策略-弹回计划:计划包括一组备用的行动和任务,以便在主计划因问题、风险或其他原因而废弃时采用。
5、应急计划:如果项目团队相信其发生会有充分的预警信号,那么就应该制定仅在某些预定条件出现时才执行的应对计划。
6、应对计划:应该对次生风险(由应对策略导致的风险),进行审查。
7、消极风险或威胁的应对策略:
上报:威胁不在项目范围内,或提议的应对措施超过了项目经理的权限。一旦上报,就不再由项目团队做进一步监督,但是仍可出现在风险登记册中供参考。
规避:指项目团队采用行动来消除威胁,或保护项目免受威胁的影响。可能适用于发生概率较高,且具有严重负面影响的高优先级威胁。最好是彻底消除威胁,将它的发生概率降为零。规避措施可能包括:消除威胁的原因、延长进度计划、改变项目策略、缩小范围。有些风险可以通过澄清需求、获取信息、改善沟通、取得专有技能来规避。
转移:将应对威胁的责任转移给第三方,让第三方管理风险并承担威胁发生的影响,通常要支付风险转移费用。比如:购买保险、使用保证书/担保书/履约保函、签订协议等。
减轻:采取措施来降低威胁发生的概率和影响。提前采取减轻措施通常比威胁出现后的补救更有效。比如:采用复杂性较低的流程、进行更多的测试、选用比较稳定的供应商、原型开发、加入冗余部件以减轻原部件的故障影响。
接受:可以是主动或被动的,承认威胁存在,但不主动采取措施。可用于低优先级威胁,无法以任何经济有效的方式应对的威胁。主动接收策略包括:建立应急储备,包括预留时间、资金或资源以应对威胁;被动接受策略则不会主动采取行动,只是定期对威胁进行审查,确保其并未发生重大改变。
8、积极风险或机会的应对策略:
上报:同7。
开拓:如果组织想确保把握住高优先级的机会,可以选择开拓,将特定机会的出现提升到100%,确保肯定出现,并获取相关收益。包括:把组织中最有能力的资源分配给项目来缩短完工时间,采用全新技术或技术升级来节约成本和项目时间。
分享:将应对机会的责任转移给第三方,使其享有所带来的部分收益。必须为已分享的机会安排新的风险责任人;通常要支付风险转移费用。包括:建立合伙关系、合作团队、特殊公司、合资企业等。
提高:提高机会发生的概率或积极影响。通过关注原因,可提高机会发生的概率,如果无法提高,则可以针对决定其潜在收益规模的因素来提高机会发生的影响。包括:为尽早完成活动而增加资源。
接受:同7。
9、整体项目风险应对策略:
规避:如果整体项目风险有严重的负面影响,并已超出商定的项目风险临界值,就可以采取规避策略。涉及采取集中行动,弱化不确定性对项目整体的负面影响,并将项目拉回到临界值以内。例如,取消项目范围中的高风险工作,就是一种整个项目层面的规避措施。 如果无法将项目拉回到临界值以内,则可能取消项目。这是最极端的风险规避措施,仅适用 于威胁的整体级别在当前和未来都不可接受。
开拓:如果整体项目风险有显著的正面影响,并已超出商定的项目风险临界值,就可以采用开拓策略。例如,在项 目范围中增加高收益的工作,以提高项目对相关方的价值或效益;或者,也可以与关键相关 方协商修改项目的风险临界值,以便将机会包含在内。
转移或分享:如果整体项目风险的级别很高,组织无法有效加以应对,就可能需要让第三方代表组织对风险进行管理。若整体项目风险是负面的,就需要采取转移策略,这可能涉及支付风险费用;如果整体项目风险高度正面,则由多方分享,以获得相关收益。整体项目风险的转移和分享策略包括(但不限于):建立买方和卖方分享整体项目风险的协作式业务结构、成立合资企业或特殊目的公司,或对项目的关键工作进行分包。
减轻或提高:本策略涉及变更整体项目风险的级别,以优化实现项目目标的可能性。减轻策略 适用于负面的整体项目风险,而提高策略则适用于正面的整体项目风险。包括重新规划项目、改变项目范围和边界、调整项目优先级、改变资源配置、调整交付时间 等。
接受:即使整体项目风险已超出商定的临界值,如果无法针对整体项目风险采取主动的应对策 略,组织可能选择继续按当前的定义推动项目进展。
10、输出的项目文件更新:假设日志、成本预测、经验教训登记册、项目进度计划、项目团队派工单、风险报告、风险登记册。
11、风险登记册更新包括:商定的应对策略;实施所选应对策略所需要的具体行动;风险发生的触发条件、征兆和预警信号;实施所选应对策略所需要的预算和进度活动;应急计划,以及启动该计划所需的风险触发条件;弹回计划,供风险发生且主要应对措施不足以应对时使用;在采取预定应对措施之后仍然存在的残余风险,以及被有意接受的风险;由实施风险应对措施而直接导致的次生风险。
实施风险应对
1、作用是确保按计划执行商定的风险应对措施,来管理整体项目风险敞口、最小化单个项目威胁,以及最大化单个项目机会。
2、只有风险责任人以必要的努力去实施商定的应对措施,项目的整体风险敞口和单个威胁以及机会才能得到主动管理。
3、输入的项目文件:
经验教训登记册:项目早期获得的与实施风险应对有关的经验教训,可用于项目后期提高本过程的有效性。
风险登记册:风险登记册记录了每项单个风险的商定风险应对措施,以及负责应对的指定责任人。
风险报告:风险报告包括对当前整体项目风险敞口的评估,以及商定的风险应对策略,还会描述重要的单个项目风险及其应对计划。
4、输出的项目文件:
问题日志:作为实施风险应对过程的一部分,已识别的问题会被记录到问题日志中。
经验教训登记册:更新经验教训登记册,记录在实施风险应对时遇到的挑战、 采取的规避方法,以及实施风险应对的有效方式。
项目团队派工单:一旦确定风险应对策略,应为每项与风险应对计划相关的措施分配必要的资源,包括用于执行商定的措施的具有适当资质和经验的人员、合理的资金和时 间,以及必要的技术手段。
风险登记册:可能需要更新风险登记册,反映开展本过程所导致的对单个项目风险的已商定应对措施的任何变更。
风险报告:可能需要风险报告,反映开展本过程所导致的对整体项目风险敞口的已商定应对措施的任何变更。
监督风险
1、作用是使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息,通过监督风险过程对项目工作进行持续监督,来发现新出现、正变化和已过时的单个项目风险。
2、数据分析:技术绩效分析、储备分析。
技术绩效分析:开展技术绩效分析,把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较。它要求定义关于技术绩效的客观的、量化的测量指标,以便据此比较实际结果与计划要求。技术绩效测量指标可能包括:重量、处理时间、缺陷数量、储存容量等。实际结果偏离计划的程度可以代表威胁或机会的潜在影响。
储备分析:在项目的任一时点比较剩余应急储备与剩余风险量,从而确定剩余储备是否仍然合理。可以用各种图形(如燃尽图)来显示应急储备的消耗情况。
3、审计:风险审计可用于评估风险管理过程的有效性。项目经理负责确保按项目风险管理计划所规定的频率开展风险审计。实施审计前,要明确定义审计的格式和目标。
4、会议-风险审查会:应该定期安排风险审查,来检查和记录风险应对在处理整体项目风险和已识别单个项目风险方面的有效性。在风险审查中,还可以识别出新的单个项目风险(包括已商定应对措施所引发的次生风险),重新评估当前风险,关闭已过时风险,讨论风险发生所引发的问题,以及总结可用于当前项目后续阶段或未来类似项目的经验教训。
5、权变措施:对已经发生的未做事情安排的不利风险的应对。主要针对以往未曾识别或被动接受、目前正在发生的风险而采取的未经事先计划的应对措施。
6、输出的项目文件更新:
假设日志:在监督风险过程中,可能做出新的假设、识别出新的制约因素,或者现有假设条件或制约因素可能被重新审查和修改。需要更新假设日志,记录这些新信息。
问题日志:作为监督风险过程的一部分,已识别的问题会记录到问题日志中。
经验教训登记册:记录风险审查期间得到的任何与风险相关的经验教训,以便用于项目的后期阶段或未来项目。
风险登记册:记录在监督风险过程中产生的关於单个项目风险的信息,可能包括添加新风险、更新已过时风险或已发生风险,以及更新风险应对措施等。
风险报告:应该随着监督风险过程生成新信息,而更新风险报告,反映重要单个项目风险的当前状态,以及整体项目风险的当前级别。风险报告还可能包括有关的详细信息,诸如最高优先级单个项目风险、已商定的应对措施和责任人,以及结论与建议。风险报告也可以收录风险审计给出的关于风险管理过程有效性的的结论。