高项第十五章——项目风险管理

什么是风险管理？项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程

15_1 管理基础

风险是一种不确定的事件或条件，一旦发生，会对至少一个项目目标造成影响

积极的风险被称为机会，消极的风险被称为威胁

应根据组织的风险承受水平制定风险临界值。风险临界值反映了组织与项目干系人的风险偏好程度，是项目目标的可接受的变异程度

风险敞口是指在某个项目、项目集或项目组合中，针对任一特定对象，而适时作出的对所有风险的潜在影响的综合评估

如果风险敞口超出风险临界值，说明暴露的风险过大，组织无法接受，就要考虑取消首风险影响的项目范围，甚至取消整个项目

风险的属性：1、风险事件的随机性；

2、风险的相对性；影响风险承受力的因素：收益的大小；投入的大小；地位和拥有的资源

3、风险的可变性；

风险的分类：1、按风险后果划分：纯粹风险、投机风险；

2、按风险来源划分：自然风险、人为风险；

3、按风险是否可管理划分：可管理的风险、不可管理的风险；

4、按风险影响范围划分：局部风险、总体风险；

5、按风险后果的承担者划分：项目业主风险、政府风险、承包商风险等；

6、按风险的可预测性划分：已知风险、可预测风险、不可预测风险；

风险的成本：风险事件造成的损失或减少的收益以及为防止发生风险采取预防措施而支付的费用构成了风险成本。

1、风险损失的有形成本：直接损失、间接损失；

2、风险损失的无形成本：风险损失减少了机会；风险阻碍了生产率的提高；风险造成资源分配不当；

3、风险预防与控制的成本

风险成本的负担：个体负担成本、社会负担成本

事件类风险：作为可能发生或不发生的不确定性未来事件的风险。

非事件风险：变异性风险（已规划事件、活动或决策的某些关键方面存在不确定性）和模糊性风险（对未来可能发生什么，存在不确定性）

15_2 项目风险管理过程

项目风险管理过程包括：

规划风险管理：定义如何实施项目风险管理活动

识别风险：识别单个项目风险，以及整体项目风险的来源，并记录风险特征。

实施定性风险分析：通过评估单个项目风险发生的概率和影响以及特征，对风险进行优先级排序，从而为后续分析或行动提供基础。

实施定量风险分析：就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析。

规划风险应对：为处理整体项目风险以及应对单个项目风险而制定可选方案、选择应对策略并商定应对行动。

实施风险应对：执行商定的风险应对计划。

监督风险：在整个项目期间，监督风险应对计划的实时、跟踪已识别风险、识别和分析新风险，以及评估风险管理的有效性。

裁剪考虑因素：项目规模、项目复杂性、项目重要性、开发方法

从本质上讲，越是变化的环境就存在越多的不确定性和风险

要应对快速变化，就需要采用适应型方法管理项目

15_3 规划风险管理

规划风险管理定义：定义如何实施项目风险管理活动

规划风险管理作用：确保风险管理的水平、方法和可见度与项目风险程度，以及项目对组织和其他干系人的重要程度相匹配

规划风险管理时机：仅开展一次或仅在项目的预定义点开展

规划风险管理输入：项目章程、项目管理计划、项目文件、事业环境因素、组织过程资产

规划风险管理工具与技术：专家判断、数据分析、会议

规划风险管理输出：风险管理计划

风险类别确定对单个项目风险进行分类的方式。通常借助风险分解结构（RBS）来构建风险类别。

RBS有助于项目团队考虑单个项目风险的全部可能来源，对识别风险或归类已识别风险特别有用

核心知识整理：

风险是指一旦发生，就会对项目目标产生积极或消极影响的不确定事件或条件

规划风险管理是定义如何实施项目风险管理活动的过程

规划风险管理过程应该尽早展开，在项目构思阶段就应开始，并在项目早期完成

风险管理计划是项目管理计划的组成部分，描述如何安排与实施风险管理活动

风险分解结构RBS是按风险类别排列的一种层级结构，有助于项目团队是识别风险

概率和影响矩阵把每个风险发生的概率和一旦发生对项目目标的影响映射起来

15_4 识别风险

识别风险定义：识别单个项目风险以及整体项目风险的来源，并记录风险特征

识别风险作用：记录现有的单个项目风险，以及整体项目风险的来源；同时，汇集相关信息，以便项目团队能够恰当应对已识别的风险

识别风险时机：在整个项目期间开展

识别风险输入：项目管理计划、项目文件、协议、采购文档、事业环境因素、组织过程资产

识别风险工具与技术：专家判断、数据收集（头脑风暴、访谈、核对单、根本原因分析、假设条件和制约因素分析、文件分析）、数据分析、人际关系与团队技能、提示清单、会议

核查单（核对单）包括需要考虑的项目、行动或要点的清单

核查单的来源：基于从类似项目和其他信息来源积累的历史信息，可基于自己已完成的项目，也可采用特定行业的通用风险核查单

数据分析之SWOT分析：SWOT分析实际上是对项目内外部条件各方面内容进行综合和概括，进而分析项目的优劣势、面临的机会和威胁的一种方法，通过SWOT可以识别出风险（S优势 W劣势 O机会 T威胁）

提示清单：是关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单

PESTLE分析模型（政治经济社会技术法律环境）、TECOP分析模型（技术环境商业运营政治）、VUCA特征

识别风险输出：风险登记册、风险报告、项目文件更新

核心知识整理：识别冯先生hi识别单个项目风险以及整体项目风险的来源，并记录风险特征的过程

应该鼓励所有项目干系人特别是项目团队参与项目风险的识别工作

可用于识别风险的信息收集技术包括头脑风暴、核对单、访谈等

根据以往类似项目和其他来源的历史信息与知识编制风险核对单

SWOT分析对项目的内外部优劣势、面临的机会和威胁进行分析的一种方法

提示清单是关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单

15_5 实施定性风险分析（重点）

实施定性风险分析定义：通过评估单个项目风险发生的概率和影响以及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础

实施定性风险分析作用：重点关注高优先级的风险

实施定性风险分析时机：在整个项目期间开展

实施定性风险分析输入：项目管理计划、项目文件、事业环境因素、组织过程资产

实施定性风险分析工具与技术：专家判断、数据收集（访谈）、数据分析（风险数据质量评估、风险概率和影响评估、其他风险参数评估）、人际关系与团队技能（引导）、风险分类、数据表现（概率和影响矩阵、层级型）、会议

数据分析之风险数据质量评估：风险数据是开展定性风险分析的基础，风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性

数据分析之风险概率和影响评估：风险概率评估考虑的事特定风险发生的可能性，风险影响评估考虑的是风险对一项或多项项目目标的潜在影响

威胁和机会都要进行概率和影响评估；要对每个已识别的单个项目风险进行概率和影响评估

数据表现之概率和影响矩阵：概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格，用于把单个项目风险划分成不同的优先级组别

数据表现之层级图：如果使用了两个以上的参数对风险进行分类，那就不能使用概率和影响矩阵，而要使用气泡图（层级图），气泡图能显示三维数据

实施定性风险分析输出：项目文件更新（风险登记册、假设日志、问题日志、风险报告）

核心知识整理：

实施定性风险分析是评估风险发生的概率和影响以及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程

本过程的一项重要工作是为每个风险识别出风险责任人，由他们负责规划风险应对措施，并确保应对措施的实施

风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性

要对每个已识别的单个项目风险进行概率和影响评估

概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格，用于对风险排序

风险概率和影响明显很低的风险可不排序，而是列入观察清单，供将来监控

15_6 实施定量风险分析

实施定量风险分析定义：就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析

实施定量风险分析作用：量化整体项目风险敞口，并提供额外的定量风险信息，以支持风险应对规划

实施定量风险分析时机：并非每个项目必需，但如果采用，它会在整个项目期间持续开展

实施定量风险分析输入：项目管理计划、项目文件、事业环境因素、组织过程资产

实施定量风险分析工具与技术：专家判断、数据收集（访谈）、人际关系与团队技能（引导）、不确定性表现方式、数据分析（模拟、敏感性分析、决策树分析、影响图）

不确定性表现方式：建立能反映单个项目风险和其他不确定性来源的定量风险分析模型，并为之提供输入。方式1：概率分布图；方式2：概率分支

数据分析之模拟：模拟是一类技术的统称，是指使用一个模型来模拟单个项目风险和其他不确定性来源的综合影响，以评估它们对项目目标的潜在影响。如蒙特卡洛原理。

数据分析之敏感性分析：敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响。

数据分析之决策树分析：决策树是对所考虑的决策以及采用各种方案可能产生的后果进行描述的一种图解方法。

数据分析之影响图：影响图是不确定条件下决策制定的图形辅助工具。

实施定量风险分析输出：项目文件更新（风险报告）

核心知识整理：

实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程

一般先进行风险的定性分析，对风险相对清晰的认识后，再进行定量分析

定量风险分析需要高质量的基础数据，消耗比较大的人力、物力和时间，只有重要的风险才进行定量分析

蒙特卡洛分析对多个影响因素进行多次模拟，目标结果不是一个具体值，而是一个概率分布

敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响

可以利用决策树分析在若干备选行动方案中选择一个最佳方案

15_7 规划风险应对（重点）

规划风险应对定义：处理整个项目风险敞口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动

规划风险应对作用：制定应对整体项目风险和单个项目风险的适当方法；还将分配资源，并根据需要将相关活动添加进项目文件和项目管理计划

规划风险应对时机：在整个项目期间开展

残余风险与次生风险：残余风险是指在采取预定应对措施之后仍然存在的风险，以及已经有意接受的风险

次生风险是执行应对措施直接导致的新风险，即如果不应对前一个风险便不会发生这个风险

规划风险应对输入：项目管理计划、项目文件（风险登记册）、事业环境因素、组织过程资产

规划风险应对工具与技术：专家判断、数据收集（访谈）、人际关系与团队技能（引导）、威胁应对策略、机会应对策略、应急应对策略、整体项目风险应对策略、数据分析、决策

威胁应对策略：上报：如果项目团队或项目发起人认为某威胁不在项目范围内，或提议的应对措施超出了项目经理的权限，就应该采用上报策略；

规避：风险规避是指项目团队采取行动来消除威胁，或保护项目免受威胁的影响。它适用于发生概率较高，且具有严重负面影响的高优先级威胁

转移：转移设计到将应对威胁的责任转移给第三方，让第三方管理风险并承担威胁发生的影响。

减轻：风险减轻是指采取措施来降低威胁发生的概率或影响。提前采取减轻措施通常比威胁出现后尝试进行弥补更加有效

接受：风险接受是指承认威胁的存在，但不主动采取措施。此策略可用于低优先级威胁，也可用于无法以任何其他方式加以经济有效地应对风险

机会应对策略：上报：如果项目团队或项目发起人认为某机会不在项目范围内，或提议的应对措施超出了项目经理的权限，就应该采用上报策略；

开拓：如果组织想确保把握住高优先级的机会，就可以选择开拓策略。此策略将特定机会的出现概率提高到100%，确保其肯定出现，从而获得与其相关的收益

分享：分享涉及到将应对机会的责任转移给第三方，使其享有机会所带来的部分收益。必须仔细为已分享的机会安排新的风险责任人，让那些最有能力为项目抓住机会的人担任新的风险责任人。

提高：提高策略用于提高机会出现的概率或影响。提前采取提高策略通常比机会出现后尝试改善收益更加有效

接受：接受机会是指承认机会的存在，但不主动采取措施。此策略可用于低优先级机会，也可用于无法以任何其他方式加以经济有效地应对机会

应急应对策略：对于某些风险，如果项目团队相信其发生会有充分的预警信号，那么就应该制定仅在某些预定条件出现时才执行的应对计划

整体项目风险应对策略：规避、开拓、转移或分享、减轻或提高、接受

规划风险应对输出：变更请求、项目管理计划更新、项目文件更新

核心知识整理：

规划风险应对是为处理整体项目风险敞口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程

威胁有五种应对策略，包括上报、规避、转移、减轻和接受

机会的应对策略也有五种，包括上报、开拓、提高、分享和接受

升级风险将在项目集、项目组合或组织层面加以管理，不再由项目团队监督，仍保留在风险登记册中

规避适用于发生概率较高，且具有严重负面影响的高优先级威胁

接受分为主动或被动方式，主动接受建立应急储备，被动接受不主动采取行动

应急计划是接受风险的一种策略，所花成本属于应急储备

风险应对措施不应只针对单个项目风险，还应针对整体项目风险
 

15_8 实施风险应对

实施风险应对定义：执行商定的风险应对计划

实施风险应对作用：确保按计划执行商定的风险应对措施，来管理整体项目风险敞口、最小化单个项目威胁，以及最大化单个项目机会

实施风险应对时机：在整个项目期间开展

实施风险应对输入：项目管理计划、项目文件、组织过程资产

实施风险应对工具与技术：专家判断、人际关系与团队技能（影响力）、项目管理信息系统

实施风险应对输出：变更请求、项目文件更新

核心知识整理：

实施风险应对是执行商定的风险应对计划，由风险责任人发挥主动性

有些风险应对措施可能由团队以外的人员去执行，项目经理应施展影响力鼓励与引导

实施风险应对后，可能会就成本基准、进度基准，或项目管理计划的其他组件提出变更请求，应走整体变更流程

15_9 监督风险

监督风险定义：在整个项目期间，监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性

监督风险作用：使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息

监督风险时机：在整个项目期间开展

监督风险输入：项目管理计划、项目文件、工作绩效数据、工作绩效报告

监督风险工具与技术：数据分析（技术绩效分析、储备分析）、审计、会议

开展技术绩效分析，把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较。

储备分析是指在项目的任意时点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理。

风险审计用于评估风险管理过程的有效性

监督风险输出：工作绩效信息、变更请求、项目管理计划更新、项目文件更新、组织过程资产更新

核心知识整理：

监督风险是在整个项目期间，监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性的过程

技术绩效分析把技术成果与计划进行比较，偏差可以表明威胁或机会的潜在影响

储备分析重点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理

风险审计用于评估风险管理过程的有效性

监督风险期间应不断识别新风险、重新评估当前风险、关闭已过时风险、讨论风险发生所引发的问题，以及总结经验教训

15_10 风险管理示例

主要风险清单示例：