# 核心概念
# 什么是项目风险
- 项目风险
- 是一种不确定的事件或条件,一旦发生,就会对一个或多个项目目标造成积极或消极的影响。
- 风险的三要素:
- 风险事件、
- 概率、
- 影响。
- 积极和消极风险通常被称为机会和威胁。
风险与问题最大的区别:
问题,是指现在客观存在的。
风险,现在还没有发生,只是将来有概率有可能发生,也有可能不发生。
所以,客观存在的是问题,将来有可能发生的是风险。
衡量风险时,概率和影响都要考虑。用风险的敞口来衡量,敞口 = 概率 × 影响。
# 两个层面的风险
- 单个项目风险
- 一旦发生,会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。
- 整体项目风险
- 不确定性对项目整体的影响,是相关方面临的项目结果正面和负面变异区间。
- 整体项目风险大于项目中单个风险之和,因为整体风险源于包括单个风险在内的所有不确定性。
# 三种性质的项目风险
- “已知 — 已知” 风险
- 已识别,可对这些风险规划应对措施。
计入时间/成本 - “已知 — 未知” 风险
- 已识别,但无法(或不需要)主动管理的风险。
分配应急储备 - “未知 — 未知” 风险
- 未识别,无法进行主动管理,因此需要预留一定的
管理储备。
# 影响风险态度的因素
- 风险偏好
- 为了预期的回报,一个实体愿意承受不确定性的程度。
愿不愿意承受 - 风险承受力
- 组织或个人能承受的风险程度、数量或容量。
能不能承受 - 风险临界值
- 反映了组织与项目相关方的风险偏好程度,是项目目标的可接收的变异程度。
要不要管理
- 较为合适且正确的做法是如下排列:风险承受力 > 风险偏好 > 风险临界值
# 什么是风险态度
- 风险态度
- 个人或组织认为自己应该冒多大的风险。如果实际所冒风险未超出应该冒的风险,就觉得很舒服。个人和团体的风险态度影响其应对风险的方式。
- 风险冒进者:常常采用 “接受” 的策略。
# 发展趋势和新兴实践
# 非事件类风险
传统关注:事件类风险
- 可能发生或可能不发生的不确定性未来事件的风险。
发展趋势:非事件类风险
- 变异性风险、模糊性风险。
| 变异性风险 | 模糊性风险 | |
|---|---|---|
| 定义 | 已规划事件、活动或决策的某些关键方面存在不确定性,就导致变异性风险。 | 对未来可能发生什么,存在不确定性。 |
| 举例 | 计划一个工人刷 100 平方米的墙需要 8 小时。实际上可能需要 6 小时、7 小时、9 小时、10 小时 | 不太了解需求或技术解决方案,不太了解项目内在的系统复杂性。 |
| 处理策略 | 蒙特卡洛模拟 | 外部专家意见、标杆对照、迭代、增量、模拟原型等 |
# 项目韧性
- 项目韧性
- 确实存在只有在发生后才能被发现的突发性风险,需要通过加强项目韧性来应对。
- 应对思路:
- 留出储备
- 灵活的变更管理机制
- 足够授权、值得信赖的团队
- 关注早期风险信号
- 沟通相关方,明确面对突发可采取的策略的范围。
# 整合式风险管理
- 在较高层面识别出的某些风险,将被授权给项目团队去管理;
- 而在较低层面识别出的某些风险,又可能上交给较高层面去管理。
- 应该采用协调式企业级风险管理方法,来确保所有层面的风险管理工作的一致性和连贯性。
# 在敏捷和适应型环境中需要考虑的因素
- 要应对快速变化,就需要采用适应型方法管理项目。
- 即:通过跨职能项目团队和经常审查增量式工作产品,来加快知识分享,确保对风险的认知和管理。
- 在选择每个迭代期的工作内容时,应该考虑风险;在每个迭代期间应该识别、分析和管理风险。
- 应该根据对当前风险敞口的理解的加深,定期更新需求文件,并随项目进展重新排列工作优先级。
- 识别
为了便于以后识别风险,推荐采用结构化的方法。- 优先级,资源是有限的,高危风险要重点管理
- 规划应对方案
- 执行方案
- 监督执行
# 规划 规划风险管理
- 规划风险管理
- 定义如何实施项目风险管理活动的过程。
- 本过程的作用:
- 确保风险管理的水平、方法和可见度与项目风险程度,及项目对组织和其他相关方的重要程度相匹配。
| 规划风险管理 | ||
|---|---|---|
| 输入 | 工具和技术 | 输出 |
| 项目章程 | 专家判断 | 风险管理计划 |
项目管理计划
| 数据分析
| |
项目文件
| 会议 | |
| 事业环境因素 | ||
| 组织过程资产 | ||
# 输入
# 1️⃣ 项目章程
- 项目章程
- 项目章程中有高层级的风险。
# 2️⃣ 项目文件
- 相关方登记册
- 包含项目相关方的详细信息,并概述其在项目中的角色和对项目风险的态度;
- 可用于确定项目风险管理的角色和职责
- 以及为项目设定风险临界值。
# 工具与技术
# 1️⃣ 数据分析
- 相关方分析
- 通过相关方分析确定项目相关方的风险偏好。
# 输出
# 风险管理计划
- 风险管理计划
- 描述如何安排与实施风险管理活动。
风险管理计划无风险
- 管理计划的内容:
- 风险管理战略、方法论、资金、时间安排
- 角色与职责:确定每项风险管理活动的领导者、支持者和团队成员,并明确他们的职责。
- 风险类别:确定对单个项目风险进行分类的方法,通常借助风险分解结构
RBS来构建风险类别。- 风险分解结构
RBS:是潜在风险来源的层级展现。有助于项目团队考虑单个项目风险的全部可能来源,对识别风险或归类已识别风险特别有用。
RBS 只有类别,没有具体的风险
和核对单不一样,核对单有具体的风险![]( "RBS")
- 风险分解结构
- 相关方风险偏好:应该针对每个项目目标,把相关方的风险偏好表述成可测量的风险临界值。
- 风险概率和影响的定义:根据具体的项目环境、组织和关键相关方的风险偏好和临界值,来制定风险概率和影响的定义。项目可能自行制定具体定义,或者用组织提供的通用定义作为出发点。
![]( "风险影响的定义(概率的定义也是类似定义)")
- 概率和影响矩阵:把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。通常由组织来设定概率和影响的各种组合,并据此设定高、中、低风险级别。
分数不一定是量化,它只是为了排序
![]( "概率和影响矩阵")
- 报告格式、跟踪
# 规划 识别风险
- 识别风险
- 识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程。
本过程的作用:
- 记录现有的单个项目风险,以及整体项目风险的来源。
- 汇集相关信息,以便项目团队能够恰当应对已识别的风险。
应鼓励所有项目相关方参与单个项目风险的识别工作。
项目团队的参与尤其重要,以便培养和保持他们对风险管理的主人翁意识和责任感。
可以在识别风险过程中为单个项目风险指定风险责任人,待实施定性风险分析过程确认。
可以识别和记录初步的风险应对措施,待规划风险应对过程审查和确认。
识别风险是一个迭代的过程。迭代的频率和每次迭代所需的参与程度应在风险管理计划中做出规定。
| 识别风险 | ||
|---|---|---|
| 输入 | 工具和技术 | 输出 |
项目管理计划
| 专家判断 | 风险登记册 |
项目文件
| 数据收集
| 风险报告 |
协议 | 数据分析
| 项目文件更新
|
采购文档 | 人际关系与团队技能
| |
| 事业环境因素 | 提示清单 | |
| 组织过程资产 | 会议 | |
# 工具与技术
# 1️⃣ 数据收集
- 头脑风暴
- 可以采用自由或结构化的形式开展头脑风暴,在引导者的指引下产生各种创意。可以用风险类别(如 RBS)作为识别风险的框架。
- 访谈
- 应该在信任和保密的环境下开展访谈,以获得真实可信、不带偏见的意见。
- 核对单(有具体的风险)
checklist - 是包括需要考虑的项目、行动或要点的清单,常被用作提醒。
- 基于从类似项目和其他信息来源积累的历史信息和知识来编制核对单。
- 因不能穷尽所有风险,所以必须确保不要用核对单来取代所需的风险识别工作;另外也应注意考察未在核对单中列出的事项。
# 2️⃣ 数据分析
- 根本原因分析
- 常用于发现导致问题的深层原因并制定预防措施。
- 借助鱼骨图
- 问题陈述作为出发点,识别威胁;
- 收益陈述作为出发点,识别机会。
- 假设条件和制约因素分析
- 从假设条件 (前提条件) 的不准确、不稳定、不一致或不完整,识别威胁;
- 通过清除或放松会影响项目过程执行的制约因素,创造机会
- 文件分析
- 对项目文件的结构化审查,识别风险。
- SWOT 分析
- 优势
Strength、劣势Weakness、机会Opportunity、威胁Threat
- 关注项目、组织或一般业务领域,识别出组织的优势和劣势;
- 找出优势可能会带来的机会,劣势可能造成的威胁;
- 分析优势能在多大程度上克服威胁,劣势是否会妨碍机会产生
- 优势
# 3️⃣ 人际关系与团队技能
- 引导
- 能提高用于识别单个项目风险和整体项目风险来源的许多技术的有效性。
# 4️⃣ 提示清单
- 提示清单
- 是关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单。
- 可以用风险分解结构
RBS底层的风险类别作为提示清单。(RBS 只有类别,没有风险详情)
- 识别单个项目风险的框架:提示清单
- 识别整体项目风险的框架
- PESTLE(政治、经济、社会、技术、法律 、环境)
- TECOP(技术、环境、商业、运营、政治)
- VUCA(易变性、不确定性、复杂性、模糊性)
# 输出
# 1️⃣ 风险登记册
- 风险登记册
- 记录已识别单个项目风险的详细信息。
随着其他风险管理过程的实施,风险登记册还将包括这些过程的输出,其中的信息种类和数量也就逐渐增加。
风险登记册的编制始于识别风险过程。
完成识别风险过程时,风险登记册包括如下信息:
- 已识别风险清单
- 要以所需的详细程度对已识别风险进行描述,确保明确理解。
- 潜在风险责任人
临时工 - 记录识别出的潜在风险责任人,随后由实施定性风险分析过程进行确认。
- 潜在应对措施清单
- 记录识别出的潜在风险应对措施,随后由规划风险应对过程进行确认。
| 风险 | 潜在责任人 | 潜在应对 | 概率 | 影响 | 分值 | 责任人 | 定量 | 策略 | 应对计划 |
|---|---|---|---|---|---|---|---|---|---|
| 生病 | 自己 | 多喝热水 | |||||||
| 堵车 | 自己 | 早出门 |
风险是记在风险登记册里面的,而不是记在风险管理计划里面。
# 2️⃣ 风险报告
- 风险报告
- 提供关于整体项目风险的来源、已识别的单个项目风险的概述信息。编制需要渐进式。
# 规划 实施定性风险分析
- 实施定性风险分析
- 通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。
- 本过程的作用:重点关注高优先级的风险。
- 由于相关方对风险的感知程度不同,因此会导致评估时出现主观性的偏见。克服方法是:
- 注意找出偏见并加以纠正;
- 评估单个项目风险的现有信息的质量。
风险数据质量评估
- 另外,本过程还会确认每个风险的责任人,这个人负责后续的工作,包括制定和落实应对措施。
- 在整个项目生命周期中要定期开展实施定性风险分析过程。
- 在敏捷开发环境中,实施定性风险分析过程通常要在每次迭代开始前进行。
- 本过程完成后,可进入实施定量风险分析过程或直接进入规划风险应对过程。
概率和影响的定义要对照之前定义的规则选择对应的数据。
风险管理计划当初定义了风险的影响 / 后果。就是说一旦这个风险发生,它带来的影响是成本会增加 20% 到 40%,或者进度会拖延 10% 到 20%,或者范围缩小得发起人不能接受,或者质量降低得发起人不能接受。风险一旦发生会有这些后果,风险管理计划对此风险的影响定义为 0.4。
| 风险 | 潜在责任人 | 潜在应对 | 概率 | 影响 | 分值 | 责任人 | 定量 | 策略 | 应对计划 |
|---|---|---|---|---|---|---|---|---|---|
| 生病 | 自己 | 多喝热水 | 0.1 | 0.4 | 0.04 | 自己 | |||
| 堵车 | 自己 | 早出门 | 0.3 | 0.2 | 0.06 | 自己 |
分值 = 概率 × 影响
高分 / 高危风险,是要重点关注的。
可以用概率和影响矩阵来分析
| 实施定性风险分析 | ||
|---|---|---|
| 输入 | 工具和技术 | 输出 |
项目管理计划
| 专家判断 | 项目文件更新
|
项目文件
| 数据收集
| |
事业环境因素 | 数据分析
| |
组织过程资产 | 人际关系与团队技能
| |
| 风险分类 | ||
数据表现
| ||
| 会议 | ||
# 工具与技术
# 1️⃣ 数据分析
- 风险数据质量评估
问卷调查加权平均数 - 旨在评价关于单个项目风险的数据的准确性和可靠性。
- 可以开展问卷调查,了解项目相关方对数据质量各方面的评价。
- 可以计算数据的完整性、客观性、相关性和及时性等方面的加权平均数,作为数据质量的总体分数
在给概率和影响打分时,虽然有事先定义好的这几档,但多少存在主观性。
因此,需要通过开展问卷调查,或计算完整性、客观性、相关性等方面的加权平均,来尽量提高这些打分的质量
- 风险概率和影响评估
访谈或会议观察清单 - 风险概率评估考虑的是特定风险发生的可能性;
- 风险影响评估考虑的是风险对项目目标(如进度、成本、质量或绩效)的潜在影响(消极和积极)。
- 对已识别的每个风险都要进行概率和影响评估。
- 可以选择熟悉相应风险类别的人员,以访谈或会议的形式进行风险评估。
- 低概率和影响的风险将被列入风险登记册中旳观察清单,以供未来监控。(或者用灰色背景表示)
为什么不删除低概率和影响的风险
- 因为风险是动态的,现在概率可能比较低,但是将来有可能概率会发生变化。现在看起来影响很小,将来可能影响也会不一样。
- 即使是不变的,也可以保留下来,也算一个组织过程资产,对将来的项目也有好处
- 其他风险参数评估
- 紧迫性、邻近性、潜伏期、可管理性、可控性、可监测性、连通性、战略影响力、密切度等。
- 考虑这些特征有助于进行更稳健的风险优先级排序。
# 2️⃣ 风险分类
可按照不同的分类标准对项目风险分类,以确定哪些项目领域最容易被不确定性影响。
风险分类标准:
- 风险分解结构
RBS; - 工作分解结构
WBS; - 项目阶段、预算、角色和职责;
- 共同的根本原因
- 风险分解结构
对风险进行分类,有助于:
- 把注意力和精力集中到风险敞口最大的领域。
- 针对一组相关的风险制定通用的风险应对措施。
# 3️⃣ 数据表现
- 概率和影响矩阵
- 此矩阵对概率和影响进行组合,以便于把单个项目风险划分成不同的优先级组别。
- 采用风险管理计划中规定的风险概率和影响定义,逐一对单个项目风险的发生概率及其对一项或多项项目目标的影响进行评估。再基于所得到的概率和影响的组合,使用概率和影响矩阵,来分配风险的优先级别。
- 层级图
- 如使用了两个以上的参数对风险进行分类,则不能使用概率和影响矩阵,而需要使用其他图形。
- 如:气泡图(X 轴值、Y 轴值和气泡大小来表示风险的三个参数)。
# 规划 实施定量风险分析
- 实施定量风险分析
- 就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。
本过程的作用:
- 量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划。
并非所有项目都需要实施定量风险分析
不是必须要做的它最可能适用的情况如下:
- 大型或复杂的项目
- 具有战略重要性的项目
- 合同要求进行定量分析的项目
- 主要相关方要求进行定量分析的项目
如要评估所有单个项目风险对项目整体的综合影响,定量风险分析就成为唯一可靠的方法。
实施定量风险分析的对象,是在定性分析过程中被评估为对项目目标存在重大潜在影响的,并且能被量化的单个项目风险的信息。
定量风险分析也可以在规划风险应对过程之后展开,以分析已规划的应对措施对降低整体项目风险敞口的有效性。
| 实施定量风险分析 | ||
|---|---|---|
| 输入 | 工具和技术 | 输出 |
项目管理计划
| 专家判断 | 项目文件更新
|
项目文件
| 数据收集
| |
事业环境因素 | 人际关系与团队技能
| |
| 组织过程资产 | 不确定性表现方式 | |
数据分析
| ||
# 工具与技术
# 1️⃣ 数据收集
- 访谈
- 当需要向专家征求信息时,访谈尤其适用。
- 访谈者应该营造信任和保密的访谈环境,以鼓励被访者提出诚实和无偏见的意见。
# 2️⃣ 不确定性表现方式
- 如果活动的持续时间、成本或资源需求是不确定的,就可以在模型中用概率分布(如三角分布、正态分布、对数正态分布、贝塔分布、均匀分布或离散分布)来表示。
# 3️⃣ 数据分析
# 模拟
- 模拟
是单变量反复模拟 - 通常采用蒙特卡洛分析。
| 输入 | 随机选择 | 输出 |
|---|---|---|
| 成本估算 | 蒙特卡洛分析 | 次数的直方图 |
| 进度网络图 | 计算机软件 | 累积概率分布 |
| 持续时间估算 | 数千次迭代运行 | S 曲线 |
- 关键性分析
- 对项目进度进行蒙特卡洛模拟时,计算风险
- 模型中的每个活动出现在关键路径上的次数和频率。
- 出现频率高的那些活动,要重点关注,并规划风险应对措施。这个频率也可以称作为 “关键性指标”。
# 敏感性分析
- 敏感性分析
是一种单因素分析 - 有助于确定哪些风险对项目具有最大的潜在影响。
- 它有助于理解项目结果变异与定量风险分析模型中的要素变异之间存在怎样的联系。
- 把所有其他不确定因素固定在基准值,考察每个因素的变化会对目标产生多大程度的影响
- 敏感性分析的典型表现形式是龙卷风图
- 用于比较很不确定的变量与相对稳定的变量之间的相对重要性和相对影响
# 决策树分析
- 决策树分析
- 用决策树在若干备选行动方案中选择一个最佳方案。
- 不同的分支代表不同的决策或事件
- 在决策树分析中,通过计算每条分支的预期货币价值
EMV,就可以选出最优的路径。 - 机会的
EMV通常表示为正值,而威胁的EMV则表示为负值。 EMV是建立在风险中立的假设之上的,既不避险,也不冒险
算的是利润时,选的是大的
算的是成本时,则应该选小的
注意审题
# 影响图
- 影响图
- 不确定条件下决策制定的图形辅助工具。
- 是对变量与结果之间的因果关系、事件时间顺序及其他关系的图形表示。
- 影响图分析,可以得出类似于其他定量风险分析的结果,如 S 曲线图和龙卷风图
# 输出
# 1️⃣ 项目文件更新
- 更新风险报告,反应定量风险分析的结果。
- 对整体项目风险敞口的评估结果
- 项目详细概率分析的结果
- 单个项目风险优先级清单
- 定量风险优先级清单
- 风险应对建议
# 规划 规划风险应对
- 规划风险应对
- 为处理整体项目风险敞口,以及应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程。
本过程的作用:
- 制定应对整体项目风险和单个项目风险的适当方法
- 分配资源,并根据需要将相关活动添加进项目文件和项目管理计划。
风险应对措施必须:
- 与风险的重要性相匹配;
- 能经济有效地应对挑战;
- 现实可行;
- 能获得全体相关方的同意;
- 由一名责任人具体负责(风险应对责任人)
如果选定的策略并不完全有效,或者发生了已接受的风险,就需要制定应急计划(或弹回计划)。
- 次生风险
- 实施风险应对措施而直接导致的风险。规划风险应对时,需要识别次生风险。
- 往往需要为风险分配时间或成本应急储备,并可能需要说明动用应急储备的条件。
| 规划风险应对 | ||
|---|---|---|
| 输入 | 工具和技术 | 输出 |
项目管理计划
| 专家判断 | 变更请求 |
项目文件
| 数据收集
| 项目管理计划更新
|
事业环境因素 | 人际关系与团队技能
| 项目文件更新
|
| 组织过程资产 | 威胁应对策略 | |
| 机会应对策略 | ||
| 应急应对策略 | ||
| 整体项目风险应对策略 | ||
数据分析
| ||
决策
| ||
# 工具与技术
# 1️⃣ 威胁应对策略
| 策略类别 | 定义 | 举例 | 注意点 |
|---|---|---|---|
| 上报 | 被上报的风险将在项目集层面、项目组合层面或组织的其他相关部门加以管理。风险将在更高层面加以管理,而不在项目层面。 | 上报给其目标会受该威胁影响的那个层级。一旦上报,项目团队不再进一步监督 | 对于被上报的威胁,组织中的相关人员必须愿意承担应对责任。 |
| 规避 | 指项目团队采取行动来消除威胁,或保护项目免受威胁的影响 将发生概率降低到零,或影响降到零 | 延长进度、改变策略、缩小范围、澄清需求、获取信息、改善沟通、取得专有技能 | 适用于发生概率较高,且具有严重负面影响的高优先级威胁 |
| 转移 | 将应对威胁的责任转移给第三方,让第三方管理风险并承担威胁发生的影响。 | 保险、使用履约保函、担保、保证书、外包 | 通常需要支付风险转移费用。转移风险是把风险管理责任简单地推给另一方,而并非消除风险 |
| 减轻 | 采取措施降低威胁发生的概率和(或)影响 | 采用较简单的流程、进行更多测试、选用更可靠的卖方、原型开发、加入冗余部件(双机热备、备件) | 它意味着把不利风险的概率和 / 或影响降低到可接受的临界值范围内 |
接受 | 承认威胁的存在(已知 - 未知),但不主动采取措施。 | 主动接受:建立应急储备; | 适用于低优先级威胁,或无法以任何其他方式加以经济有效地应对的威胁。 |
- 简化版理解
| 风险敞口 | 使概率 | X | 使影响 | |
|---|---|---|---|---|
| 规避 | 为 0 | 或 / 和 | 为 0 | 让风险不发生、让项目免受影响 |
| 转移 | 不变 | 和 | 不变 | 仅仅把责任推给第三方,要支付费用 |
| 减轻 | 降低 | 或 / 和 | 降低 | 敞口降低到临界值以内(可以接受) |
| 接受 | 不主动管理风险 | |||
对于高危风险,能规避则规避,如果不能规避,应选减轻
# 2️⃣ 机会应对策略
| 策略类别 | 定义 | 举例 | 注意点 |
|---|---|---|---|
| 上报 | 被上报的机会将在项目集层面、项目组合层面或组织的其他相关部门加以管理。风险将在更高层面加以管理,不在项目层面。 | 上报给其目标会受该机会影响的那个层级。一旦上报,项目团队不再进一步监督 | 对于被上报的机会,组织中的相关人员必须愿意承担应对责任。 |
| 开拓 | 如果组织想确保把握住高优先级的机会,就可以选择开拓策略 将发生概率提高到100% | 把组织中最有能力的资源分配给项目来缩短完成时间;采用全新或升级的技术来节约成本 牛X的人或技术 | 适用于高优先级机会 容易抓住 |
| 分享 | 将应对机会的责任转移给第三方,使其享有机会所带来的部分收益。 | 建立合伙关系、合作团队、特殊公司、合资企业 | 必须仔细为已分享的机会安排新的风险责任人 最有能力为项目抓住机会的人 |
| 提高 | 提高机会出现的概率和(或)影响。 | 为早日完成活动而增加资源 普通人 | |
接受 | 承认机会的存在,但不主动采取措施。 | 主动接受:建立应急储备; | 适用于低优先级机会,或无法以任何其他方式加以经济有效地应对的机会。 |
- 风险登记册
| 风险 | 潜在责任人 | 潜在应对 | 概率 | 影响 | 分值 | 责任人 | 定量 | 策略 | 应对计划 |
|---|---|---|---|---|---|---|---|---|---|
| 生病 | 自己 | 多喝热水 | 0.1 | 0.4 | 0.04 | 自己 | 减轻 | 吃清淡一点,保持锻炼 | |
| 堵车 | 自己 | 早出门 | 0.3 | 0.2 | 0.06 | 自己 | 规避 | 住在附近 |
# 3️⃣ 应急应对策略
- 应急应对策略
- 仅在特定事件发生时才采用的应对措施。
注意区分“应急响应”
如果确信风险的发生会有充分的预警信号,就应该制定应急应对策略。
采用此技术制定的风险应对计划称为应急计划或弹回计划 (B 计划),包括已识别的、用于启动计划的触发事件
规划风险应对时还需要注意以下风险
- 次生风险
- 实施风险应对措施的直接结果。由于应对一个风险而产生的另一个风险。
- 残余风险
- 执行风险应对计划后仍然残留的风险,通常是可接受的。
应对计划、应急应对计划
风险:小严今晚陪客户搓麻将,回家很晚,可能会被老婆打得生活不能自理
一般的应对:
小严识别到该风险。经过定性分析,该风险属于高危风险。规划应对时采用的策略为 “规避”,应对计划:“直接离家出走, 将风险发生的概率降低到 0,以规避该风险”。
应急应对:
识别到该风险。经过定性分析,该风险属于高危风险。但是,这个风险是有预警的:如果回家老婆叫小严亲爱的,则代表没事;如果老婆很大声吼出小严的全名,代表小严即将遭受毒打。
应急计划:
先不要直接离家出走,毕竟风险有不确定性,不一定会遭受毒打。如果回家老婆还是叫小严 “亲爱的” 就算了;当小严老婆大声吼出他的全名时(预警发生时),马上跑!!
# 4️⃣ 整体项目风险应对策略
| 策略类别 | 定义 | 举例 | 注意点 |
|---|---|---|---|
规避 | 采取集中行动,弱化不确定性对项目整体的负面影响,并将项目拉回到临界值以内。 | 取消项目范围中的高风险工作 | 适用于整体项目风险有严重负面影响的,并已超出商定的项目风险临界值 |
开拓 | 采取集中行动,去获得不确定性对整体项目的正面影响。 | 项目范围中增加高收益的工作 | 适用于整体项目风险有显著正面影响的,并已超出商定的项目风险临界值 |
转移或分享 | 让第三方代表组织对风险进行管理 | 建立协作式业务结构、成立合资企业或特殊目的公司、分包关键工作 | 适用于整体项目风险的级别很高,组织无法有效加以应对。 |
减轻或提高 | 变更整体项目风险的级别,以优化实现项目目标的可能性。 | 重新规划项目、改变项目范围和边界、调整项目优先级、改变资源配置、调整交付时间 | 减轻策略:适用于负面的整体风险 |
接受 | 不主动采取措施,继续按当前的定义推动项目进展。 | 主动接受:建立整体应急储备; | 适用于无法针对整体项目风险采取主动的应对策略。 |
# 5️⃣ 数据分析
- 备选方案分析
- 对备选风险应对方案的特征和要求进行简单比较,进而确定哪个应对方案最为适用。
- 成本效益分析
- 如果能够把单个项目风险的影响进行货币量化,那么就可以通过成本收益分析来确定备选风险应对策略的成本有效性。
策略的有效性 = 应对的结果 / 应对花费的成本
看值不值得
# 输出
# 1️⃣ 项目文件更新
风险登记册
- 商定的应对策略、实施应对策略所需的具体行动
- 风险发生的触发条件、征兆和预警信号
- 实施所选应对策略所需的预算和进度活动
- 应急计划、弹回计划、残余风险、次生风险
风险报告
- 针对当前整体项目风险敞口和高优先级风险的经商定的应对措施
- 实施这些措施后的预期变化
# 2️⃣ 变更请求
- 规划风险应对后,可能会就成本基准和进度基准,或项目管理计划的其他组件提出变更请求。
- 应该通过实施整体变更控制过程对变更请求进行审查和处理。
# 3️⃣ 项目管理计划更新
- 进度管理计划变更包括:资源负荷和资源平衡变更,或进度策略更新等。
- 成本管理计划变更包括:成本会计、跟踪和报告变更,以及预算策略和应急储备使用方法更新等。
- 质量管理计划变更包括:满足需求的方法、质量管理方法,或质量控制过程的变更等。
- 资源管理计划变更包括:资源配置变更,以及资源策略更新等。
- 采购管理计划变更包括:自制或外购决策或合同类型的更改等。
- 范围基准:如果商定的风险应对策略导致了范围变更,且这种变更已经获得批准,那么就要对范围基准做出相应的变更。
- 进度基准:如果商定的风险应对策略导致了进度估算变更,且这种变更已经获得批准,那么就要对进度基准做出相应的变更。
- 成本基准:如果商定的风险应对策略导致了成本估算变更,且这种变更已经获得批准,那么就要对成本基准做出相应的变更。
# 执行 实施风险应对
- 实施风险应对
- 执行商定的风险应对计划的过程。
本过程的作用:
- 确保按计划执行商定的风险应对措施,来管理整体项目风险敞口、最小化单个项目威胁、最大化单个项目机会。
只有风险责任人以必要的努力去实施商定的应对措施,项目的整体风险敞口和单个威胁及机会才能得到主动管理。
| 实施风险应对 | ||
|---|---|---|
| 输入 | 工具和技术 | 输出 |
项目管理计划
| 专家判断 | 变更请求 |
项目文件
| 人际关系与团队技能
| 项目文件更新
|
| 组织过程资产 | 项目管理信息系统 | |
# 工具与技术
# 1️⃣ 人际关系与团队技能
- 影响力
- 有些风险应对措施可能由直属项目团队以外的人员去执行,或由存在其他竞争性需求的人员去执行。
- 这种情况下,项目经理需要施展影响力,去鼓励指定的风险责任人采取所需的行动。
# 监控 监督风险
- 监督风险
- 在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。
- 本过程的作用:
- 使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。
| 监督风险 | ||
|---|---|---|
| 输入 | 工具和技术 | 输出 |
项目管理计划
| 数据分析
| 工作绩效信息 |
项目文件
| 审计 | 变更请求 |
工作绩效数据 | 会议 | 项目管理计划更新
|
工作绩效报告 | 项目文件更新
| |
| 组织过程资产更新 | ||
# 输入
# 1️⃣ 风险登记册
- 风险登记册中包括:
- 已识别的单个项目风险
- 风险责任人
- 商定的风险应对策略
- 具体的应对措施
- 用于评估应对计划有效性的控制措施
- 风险征兆和预警信号
- 残余风险和次生风险
- 低优先级风险观察清单
# 工具与技术
# 1️⃣ 数据分析
- 技术绩效分析
- 把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较。
- 要求定义关于技术绩效的客观的、量化的测量指标。
- 实际结果偏离计划的程度可以代表威胁或机会的潜在影响。
- 储备分析
- 在项目的任一时点比较剩余应急储备与剩余风险量,从而确定剩余储备是否仍然合理。
- 可以用各种图形(如燃尽图)来显示应急储备的消耗情况。
# 2️⃣ 风险审计
- 风险审计
- 用于评估风险管理过程的有效性。
第二大审计,针对过程
第一个审计,是质量审计
- 可开展的地方:
- 日常项目审查会;
- 风险审查会;
- 专门的风险审计会;
# 3️⃣ 会议
- 适用于本过程的会议包括:风险审查会。
- 应该定期安排风险审查,来检查和记录风险应对在处理整体项目风险和已识别单个项目风险方面的有效性。
- 在风险审查中,还可以识别出新的单个项目风险(包括次生风险),重新评估当前风险,关闭已过时风险,讨论风险发生所引发的问题,以及总结可用于当前项目后续阶段或未来类似项目的经验教训。
- 根据风险管理计划的规定,风险审查可以是定期项目状态会中的一项议程,或者也可以召开专门的风险审查会。
# 输出
# 1️⃣ 项目文件更新 - 风险登记册
- 风险登记册
- 添加新风险、更新已过时风险或已发生风险、更新风险应对措施。
风险答题技巧
- 首先看是 “识别了风险” 还是 “风险发生了”。
- 如是 “识别了风险”,则更新风险登记册,或者,查阅风险登记册、记录在风险登记册。
- 如是 “发生了风险”,则确定是 “已知” 风险还是 “未知” 风险:
- 已知风险:查阅风险登记册,直接应对;如果要使用储备,一般是使用应急储备。
- 未知风险:采取权变措施,提交变更请求,使用管理储备。
- 如果是 “已知” 风险,但是应对无效,同样需要权变措施,提交变更请求,使用管理储备。
- 风险管理的顺序如下:
- 识别
- 定性(必须要做)
- 定量(可以不做)
- 规划应对
- 实施应对
# 重点
- 风险:某个事件,未来可能发生
概率,一旦发生会产生积极或消极的影响影响 - 风险管理计划无风险
- 理解风险管理计划中的四个重点:相关方风险偏好、RBS、概率和影响的定义、矩阵
- 识别风险的工具、输出
- 定性风险分析的作用、工具
- 定量风险分析的工具:敏感性分析、决策树分析
- 规划风险应对的工具、输出
- 实施风险应对的目的,谁来实施
- 监督风险的工具
# 敏捷相关
从本质上讲,越是变化的环境就存在越多的不确定性和风险。要应对快速变化,就需要采用适应型方法管理项目,即:通过跨职能项目团队和经常审查增量式工作产品,来加快知识分享,确保对风险的认知和管理。在选择每个迭代期的工作内容时,应该考虑风险;在每个迭代期间应该识别、分析和管理风险。
此外,应该根据对当前风险敞口的理解的加深,定期更新需求文件,并随项目进展重新排列工作优先级。
- 对应知识点:
- 整个 Sprint 考虑风险
- 风险也是待办事项
- 利用量化的敞口排优先级
