第十一章 项目风险管理
墨菲定律:事情如果有变坏的可能,不管这种可能性有多小,它总会发生。(前提条件:大于零的概率和时间足够长)
项目风险管理的目标在于提高正面风险的概率和(或)影响,降低负面风险的概率和(或)影响,从而提高项目成功的可能性。
项目风险管理过程同时兼顾两个层面的风险:
- 单个项目风险是一旦发生,会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。
- 整体项目风险是不确定性对项目整体的影响,是相关方面临的项目结果正面和负面变异区间。
风险有正面或负面之分:
- 正面:对目标有促进作用。如工期缩短、成本节约和绩效改善等。正面风险可能会带来一些机遇,控制好了可以增加工作成效利益。控制不好投入产出比就降低了。
- 负面:对目标有妨碍作用。如工期延误、成本增加、绩效不佳、损失、伤亡等。
非事件类风险有两种主要类型:
- 变异性风险:已规划好的发生意外。通过蒙特卡洛分析(随机抽样估算) 加以处理,用概率分布表示变异的可能区间,然后采取行动去缩小可能结果的区间。
- 模糊性风险:对未来不确定性的。通过获取外部专家意见或以最佳实践为标杆来填补差距,也可以采用增量开发、原型搭建或模拟等方法来处理模糊性风险。
11.1 规划风险管理
规划风险管理是定义如何实施项目风险管理活动的过程。本过程的主要作用是,确保风险管理的水平、方法和可见度与项目风险程度,以及项目对组织和其他相关方的重要程度相匹配。
11.1.3 输出
11.1.3.1 风险管理计划
描述如何安排与实施风险管理活动,包括以下内容:
- 风险管理战略。
- 方法论。
- 角色与职责:确定每项风险的领导者、支持者和团队成员,并明确他们的职责。
- 资金:制定应急储备和管理储备的使用方案。
- 时间安排。
- 风险类别:确定对单个项目风险进行分类的方式。通常借助**风险分解结构 (RBS)**来构建风险类别。
- 相关方风险偏好。
- 风险概率和影响定义:根据具体的项目环境,组织和关键相关方的风险偏好和临界值,来制定风险概率和影响定义。
- 概率和影响矩阵:组织可在项目开始前确定优先级排序规则,并将其纳入组织过程资产,或者也可为具体项目量身定制优先级排序规则。
- 报告格式。
- 跟踪:跟踪是确定将如何记录风险活动,以及将如何审计风险的管理过程。
11.2 识别风险
识别风险是识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程。
11.2.3 输出
11.2.3.1 风险登记册
风险登记册记录已识别单个项目风险的详细信息。随着实施定性风险分析、规划风险应对、实施风险应对和监督风险等过程的开展,这些过程的结果也要记进风险登记册。
风险登记册的内容可能包括:
- 已识别风险的清单。
- 潜在风险责任人。
- 潜在风险应对措施清单。
11.2.3.2 风险报告
风险报告提供关于整体项目风险的信息,以及关于已识别的单个项目风险的概述信息。
11.2.3.3 项目文件更新
假设日志、问题日志和经验教训登记册。
11.3 实施定性风险分析
实施定性风险分析是通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。本过程的主要作用是重点关注高优先级的风险。
11.3.2 工具与技术
11.3.2.3 数据分析
- 风险数据质量评估:风险数据是开展定性风险分析的基础。风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性。
- 风险概率和影响评估:风险概率评估考虑的是特定风险发生的可能性,而风险影响评估考虑的是风险对一项或多项项目目标的潜在影响,如进度、成本、质量或绩效。
- 其他风险参数评估:特征包括:紧迫性、邻近性、潜伏期、可管理性、可控性、可检测性、连通性、战略影响力、密切度等。
11.3.2.5 风险分类
项目风险分类依据:
- 风险来源(如RBS)
- 受影响的项目领域(如WBS)
- 其他实用类别(如项目阶段、项目预算、角色和职责)
- 共同的根本原因
11.3.2.6 数据表现
- 概率和影响矩阵
概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。此矩阵对概率和影响进行组合,以便于把单个项目风险划分成不同的优先级组别。基于风险的概率和影响,对风险进行优先级排序,以便未来进一步分析并制定应对措施。
- 层级图
如果使用了两个以上的参数对风险进行分类,那就不能使用概率和影响矩阵,而需要使用其他图形。例如,气泡图能显示三维数据。在气泡图中,把每个风险都绘制成一个气泡,并用x 轴值、y 轴值和气泡大小来表示风险的三个参数。下图是气泡图的示例,其中,X轴代表可监测性,Y轴代表邻近性,影响值则以气泡大小表示。
11.4 实施定量风险分析
实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。本过程的主要作用是,量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划。
11.4.2 工具与技术
11.4.2.4 不确定性表现方式
要开展定量风险分析,就需要建立能反映单个项目风险和其他不确定性来源的定量风险分析模型,并为之提供输入。
如果活动的持续时间、成本或资源需求是不确定的,就可以在模型中用概率分布来表示其数值的可能区间。概率分布可能有多种形式,最常用的有三角分布、正态分布、对数正态分布、贝塔分布、均匀分布或离散分布。应该谨慎选择用于表示活动数值的可能区间的概率分布形式。
11.4.2.5 数据分析
- 模拟
在定量风险分析中,使用模型来模拟单个项目风险和其他不确定性来源的综合影响,以评估它们对项目目标的潜在影响。模拟通常采用蒙特卡洛分析。蒙特卡洛成本风险分析所得到的 S 曲线示例,见图。
- 敏感性分析
敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响。敏感性分析的结果通常用龙卷风图来表示。在该图中,标出定量风险分析模型中的每项要素与其能影响的项目结果之间的关联系数。这些要素可包括单个项目风险、易变的项目活动,或具体的不明确性来源。每个要素按关联强度降序排列,形成典型的龙卷风形状。龙卷风图示例,见图。
- 决策树分析
用决策树在若干备选行动方案中选择一个最佳方案。在决策树分析中,通过计算每条分支的预期货币价值,就可以选出最优的路径。决策树示例,见图。
- 影响图
影响图是不确定条件下决策制定的图形辅助工具。
11.5 规划风险应对
规划风险应对是为处理整体项目风险敞口,以及应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程。本过程的主要作用是,制定应对整体项目风险和单个项目风险的适当方法;还将分配资源,并根据需要将相关活动添加进项目文件和项目管理计划。
11.5.2 工具与技术
11.5.2.4 威胁应对策略
针对威胁,可以考虑下列五种备选策略:
- 上报
如果项目团队或项目发起人认为某威胁不在项目范围内,或提议的应对措施超出了项目经理的权限,就应该采用上报策略。被上报的风险将在项目集、组合层面,而不在项目层面。威胁一旦上报,就不再由项目团队做进一步监督,虽然仍可出现在风险登记册中供参考。 - 规避
风险规避是指项目团队采取行动来消除威胁,或保护项目免受威胁的影响。它可能适用于发生概率较高,且具有严重负面影响的高优先级威胁。规避策略可能涉及变更项目管理计划的某些方面。 - 转移
转移涉及到将应对威胁的责任转移给第三方,让第三方管理风险并承担威胁发生的影响。转移通常需要向承担威胁的一方支付风险转移费用。包括购买保险、使用履约保函、使用担保书、使用保证书等。 - 减轻
风险减轻是指采取措施来降低威胁发生的概率和(或)影响。提前采取减轻措施通常比威胁出现后尝试进行弥补更加有效。 - 接受
风险接受是指承认威胁的存在,但不主动采取措施。此策略可用于低优先级威胁,也可用于无法以任何其他方式加以经济有效地应对的威胁。接受策略又分为主动或被动方式。最常见的主动接受策略是建立应急储备,包括预留时间、资金或资源以应对出现的威胁;被动接受策略则不会主动采取行动,而只是定期对威胁进行审查,确保其并未发生重大改变。
11.5.2.5 机会应对策略
- 上报,如果机会不在项目范围内,就应该取用上报策略。
- 开拓,如果组织想确保把握住高优先级的机会,就可以选择开拓策略。
- 分享,分享涉及到将应对机会的责任转移给第三方,使其享有机会所带来的部分收益。
- 提高,提高策略用于提高机会出现的概率和(或)影响。
- 接受,接受机会是指承认机会的存在,但不主动采取措施。
11.5.2.6 应急应对策略
可以设计一些仅在特定事件发生时才采用的应对措施。对于某些风险,如果项目团队相信其发生会有充分的预警信号,那么就应该制定仅在某些预定条件出现时才执行的应对计划。应该定义并跟踪应急应对策略的触发条件,例如,未实现中间的里程碑,或获得卖方更高程度的重视。采用此技术制定的风险应对计划,通常称为应急计划或弹回计划,其中包括已识别的、用于启动计划的触发事件。
11.5.2.7 整体项目风险应对策略
- 规避,如果整体项目风险有严重的负面影响,并已超出商定的项目风险临界值,就可以采用规避策略。
- 开拓,如果整体项目风险有显著的正面影响,并已超出商定的项目风险临界值,就可以采用开拓策略。
- 转移或分享,如果整体项目风险的级别很高,组织无法有效加以应对,就可能需要让第三方代表组织对风险进行管理。
- 减轻或提高,减轻策略适用于负面的整体项目风险,而提高策略则适用于正面的整体项目风险。本策略涉及变更整体项目风险的级别,以优化实现项目目标的可能性。
- 接受,即使整体项目风险已超出商定的临界值,如果无法针对整体项目风险采取主动的应对策略,组织可能选择继续按当前的定义推动项目进展。
11.5.2.8 数据分析
- 备选方案分析。
- 成本收益分析。
11.5.3 输出
11.5.3.1 变更请求
规划风险应对后,可能会就成本基准和进度基准,或项目管理计划的其他组件提出变更请求,应该通过实施整体变更控制过程对变更请求进行审查和处理。
11.5.3.2 项目管理计划更新
11.5.3.3 项目文件更新
11.6 实施风险应对
实施风险应对是执行商定的风险应对计划的过程。本过程的主要作用是,确保按计划执行商定的风险应对措施,来管理整体项目风险敞口、最小化单个项目威胁,以及最大化单个项目机会。
11.6.2 工具与技术
11.6.2.1 专家判断
11.6.2.2 人际关系与团队技能
11.6.2.3 项目管理信息系统 (PMIS)
11.6.3 输出
11.6.3.1 变更请求
实施风险应对后,可能会就成本基准和进度基准,或项目管理计划的其他组件提出变更请求。应该通过实施整体变更控制过程对变更请求进行审查和处理。
11.6.3.2 项目文件更新
- 问题日志。
- 经验教训登记册。
- 项目团队派工单。
- 风险登记册。
- 风险报告。
11.7 监督风险
监督风险是在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。本过程的主要作用是,使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。
11.7.2 工具与技术
11.7.2.1 数据分析
- 技术绩效分析。
- 储备分析。储备分析是指在项目的任一时点比较剩余应急储备与剩余风险量,从而确定剩余储备是否仍然合理。可以用各种图形(如燃尽图)来显示应急储备的消耗情况。
11.7.2.2 审计
风险审计是一种审计类型,可用于评估风险管理过程的有效性。项目经理负责确保按项目风险管理计划所规定的频率开展风险审计。
11.7.2.3 会议
风险审查会:应该定期安排风险审查,来检查和记录风险应对在处理整体项目风险和已识别单个项目风险方面的有效性。