PMP知识点(十二)项目风险管理
项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程。项目风险管理的目标在于提高正面风险(机会)的概率和(或)影响,降低负面风险(威胁)的概率和(或)影响,从而提高项目成功的可能性。
项目风险管理的核心概念包括:
所有项目都有风险。组织应选择承担项目风险,以便创造价值并在风险和奖励之间取得平衡。
项目风险管理的目的在于,识别并管理其他项目管理过程中未处理的风险。
每个项目中都存在两个级别的风险: 单个风险指的是一旦发生,会对一个或多个项目目标产生积极或消极影响的不确定事件或条件; 整体项目风险指的是不确定性对项目整体的影响,它代表相关方面临的项目结果可能的积极和消极变化。这些影响源于包括单个风险在内的所有不确 定性。项目风险管理过程要处理这两个项目级别上的风险。
一旦发生,单个风险可能对项目目标产生积极或消极的影响,而整体项目风险也有积极或消极之分。
在项目生命周期内,风险将持续涌现,所以,项目风险管理过程也应不断重复。
为了对特定项目的风险进行有效管理,项目团队需要认清在努力实现项目目标过程中,什么级别的风险敞口可以接受。这一点则由反映组织与项目相关者风险偏好的可测量风险临界值来确定。
没有被保护的区域就叫做风险敞口,也叫风险暴露,风险敞口也是正常的,我们没有办法做到把所有的地方都保护得严严实实,万无一失。适当地保持一个正常的风险敞口也是我们项目风险管理的一个正常思路。
非事件类风险分为: 变异性风险(可通过模拟技术,比如蒙特卡洛技术进行风险定量分析,评估其概率和影响)、模糊性风险(对未来可能发生什么存在不确定性)。
项目韧性的一是指项目遭遇风险或受到扰动时仍能维持状态的能力、能迅速恢复的能力、能通过适应来更好应对未来不确定性的能力。
项目风险管理的过程是:
规划风险管理 — 定义如何实施项目风险管理活动的过程。本过程的主要作用是,确保风险管理的水平、方法和可见度与项目风险程度,以及项目对组织和其他相关方的重要程度相匹配。本过程仅 开展一次或仅在项目的预定义点开展。
规划风险管理过程在项目构思阶段就应开始,并在项目早期完成。在项目生命周期的后期,可能有必要重新开展本过程,例如,在发生重大阶段变更时,在项目范围显著变化时,或者后续对风险管理有效性进行审查且确定需要调整项目风险管理过程时。
风险管理计划可包括以下部分或全部内容: 风险管理战略、方法论、角色与职责、资金(应急储备和管理储备的使用方案)、时间安排、风险类别(通常借助风险分解结构 (RBS)来构建风险类别)、相关方风险偏好(应该针对每个项目目标,把相关方的风险偏好表述成可测量的风险临界值。这些临界值不仅将联合决定可接受的整体项目风险敞口水平,而且也用于 制定概率和影响定义)、风险概率和影响定义、概率和影响矩阵、报告格式、跟踪。
识别风险 — 识别单个项目风险,以及整体项目风险的来源,并记录风险特征的过程。本过程的主要作用是,记录现有的单个项目风险,以及整体项目风险的来源;同时,汇集相关信息,以便项目团队能够恰当应对已识别的风险。本过程需要在整个项目期间开展。
风险识别活动的参与者可能包括: 项目经理、项目团队成员、项目风险专家(若已指定)、客户、项目团队外部的主题专家、 最终用户、其他项目经理、运营经理、相关方和组织内的风险管理专家。
识别风险的数据收集技术可以是:头脑风暴、核对单、访谈。
识别风险的数据分析技术可以是:根本原因分析、假设条件和制约因素分析、SWOT 分析(这是对项目的优势、劣势、机会和威胁 (SWOT) 进行逐个检查)、项目文件分析;假设分析、鱼骨图、根本原因分析、系统或过程流程图、专家判断、德尔菲技术(又称专家规定程序调查法,该方法主要由调查者拟定调查表,以函件的方式分别向专家组成员进行征询,而专家组成员又以匿名的方式提交意见。经过几轮反复征询和反馈,专家组成员的意见逐步趋于集中,最后获得具有很高准确率的集体判断结果)。
风险登记册记录已识别单个项目风险的详细信息。随着实施定性风险分析、规划风险应对、实施风险应对和监督风险等过程的开展,这些过程的结果也要记进风险登记册。风险登记册的内容可能包括(但不限于): 已识别风险的清单、潜在风险责任人、潜在风险应对措施清单。
风险报告提供关于整体项目风险的信息,以及关于已识别的单个项目风险的概述信息。在项目风险管理过程中,风险报告的编制是一项渐进式的工作。随着实施定性风险分析、实施定量风险分 析、规划风险应对、实施风险应对和监督风险过程的完成,这些过程的结果也需要记录在风险登记册中。在完成识别风险过程时,风险报告的内容可能包括(但不限于): 整体项目风险的来源、关于已识别单个项目风险的概述信息。
实施定性风险分析—通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。本过程的主要作用是重点关注高优先级的风险。 本过程需要在整个项目期间开展。
实施定性风险分析,使用项目风险的发生概率、风险发生时对项目目标的相应影响以及其他因 素,来评估已识别单个项目风险的优先级。这种评估基于项目团队和其他相关方对风险的感知程度,从而具有主观性。所以,为了实现有效评估,就需要认清和管理本过程关键参与者对风险所持的态度。风险感知会导致评估已识别风险时出现偏见,所以应该注意找出偏见并加以纠正。
项目风险可依据风险来源、受影响的项目领域,以及其他实用类别(如项目阶段、项目预算、角色 和职责)来分类,确定哪些项目领域最容易被不确定性影响; 风险还可以根据共同的根本原因进行分类。应该在风险管理计划中规定可用于项目的风险分类方法。对风险进行分类,有助于把注意力和精力集中到风险敞口最大的领域,或针对一组相关的风险制定通用的风险应对措施,从而有利于更有效地开展风险应对。
风险可以分为已知风险和未知风险。(已知-已知,已知-未知,未知-未知)。已知风险是事先能识别和分析概率及影响的风险,未知风险可以是事先能识别该风险但是不知道风险发生的概率或影响(已知-未知,应对该类型为应急储备),和事先无法识别的风险(未知-未知,应对该类型为管理储备,由高层管理者掌控,不再成本基准中)
风险还可以分为内部风险和外部风险。内部风险可以是技术风险(比如技术太复杂)、项目管理风险(比如估算错误、沟通差、资源分配不匀);外部风险可以是组织内部风险(比如资源调配冲突、资金中断)、组织外部风险(比如市场萎缩、通货膨胀、法律变化、客户变化,不可抗力)。
数据表现技术可以是: 概率和影响矩阵、层级图(比如气泡图)。分别如下。
实施定量风险分析—就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析的过程。本过程的主要作用是,量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划。本过程并非每个项目必需,但如果采用,它会在整个项目期间持续开展。
并非所有项目都需要实施定量风险分析。能否开展稳健的分析取决于是否有关于单个项目风险和其 他不确定性来源的高质量数据,以及与范围、进度和成本相关的扎实项目基准。定量风险分析通常需要运用专门的风险分析软件,以及编制和解释风险模式的专业知识,还需要额外的时间和成本投入。 项目风险管理计划会规定是否需要使用定量风险分析,定量分析最可能适用于大型或复杂的项目、 具有战略重要性的项目、合同要求进行定量分析的项目,或主要相关方要求进行定量分析的项目。
定量风险分析的数据分析技术可以是:
模拟。在定量风险分析中,使用模型来模拟单个项目风险和其他不确定性来源的综合影响,以评估它们对项目目标的潜在影响。模拟通常采用蒙特卡洛分析。对成本风险进行蒙特卡洛分析时,使用项目成本估算作为模拟的输入; 对进度风险进行蒙特卡洛分析时,使用进度网络图和持续时间估算作为模拟的输入。开展综合定量成本-进度风险分析时,同时使用这两种输入。 其输出就是定量风险分析模型。蒙特卡洛成本风险分析所得到的 S 曲线示例如下图:
敏感性分析。敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响。它在项目结果变异与定量风险分析模型中的要素变异之间建立联系。敏感性分析的结果通常用龙卷风图来表示。在该图中,标出定量风险分析模型中的每项要素与其能影响的项目结果之间的关联系数。这些要素可包括单个项目风险、易变的项目活动, 或具体的不明确性来源。每个要素按关联强度降序排列,形成典型的龙卷风形状。如下图:
决策树分析。用决策树在若干备选行动方案中选择一个最佳方案。在决策树中,用不同的分支代表不同的决策或事件,即项目的备选路径。每个决策或事件都有相关的成本和单个项目风险(包括威胁和机会)。决策树分支的终点表示沿特定路径发展的最后结果,可以是负面或正面的结果。如下图:
影响图。影响图是不确定条件下决策制定的图形辅助工具。它将一个项目或项目中的一种情境表现为一系列实体、结果和影响,以及它们之间的关系和相互影响。如果因为存在单个项目风险或其他不确定性来源而使影响图中的某些要素不确定,就在影响图中以区间或概率分布的形 式表示这些要素; 然后,借助模拟技术(如蒙特卡洛分析)来分析哪些要素对重要结果具有最大的影响。影响图分析,可以得出类似于其他定量风险分析的结果,如 S 曲线图和龙卷风图。
更新风险报告,反映定量风险分析的结果,通常包括:
- 对整体项目风险敞口的评估结果(整体项目风险有两种主要的测量方式: 项目成功的可能性。基于已识别的单个项目风险和其他不确定性来源,项目实现其主要目标的概率; 项目固有的变异性。在开展定量分析之时,可能的项目结果的分布区间。
- 项目详细概率分析的结果。列出定量风险分析的重要输出,如 S 曲线、龙卷风图和关键性指 标,以及对它们的叙述性解释。(定量风险分析的详细结果可能包括: 所需的应急储备,以达到实现目标的特定置信水平; 对项目关键路径有最大影响的单个项目风险或其他不确定性来源的清单; 整体项目风险的主要驱动因素,即:对项目结果的不确定性有最大影响的因素。
- 单个项目风险优先级清单。根据敏感性分析的结果,列出对项目造成最大威胁或产生最大机会的单个项目风险。
- 定量风险分析结果的趋势。随着在项目生命周期的不同时间重复开展定量风险分析,风险的发展趋势可能逐渐清晰。发展趋势会影响对风险应对措施的规划。
- 风险应对建议。风险报告可能根据定量风险分析的结果,针对整体项目风险敞口或关键单个项 目风险提出应对建议。这些建议将成为规划风险应对过程的输入。
规划风险应对—为处理整体项目风险敞口,以及应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程。本过程的主要作用是,制定应对整体项目风险和单个项目风险的适当方法; 本过程还将分配资源,并根据需要将相关活动添加进项目文件和项目管理计划。本过程需要在整个项目期间开展。
风险应对工具可以是:
- 应急计划。俗称plan b,针对某些特定事件,提前设计一套应对计划。
- 弹回计划。提前预备的一套的行动方案,以便在主应对计划因问题、风险或其他原因废弃时采用。可理解为项目目标放弃或重大改变时,以最小损失收尾或过度的方案,或称保底方案。
- 权变措施。在未事先制定应对措施或事先制定的应对措施无效时,针对已发生的威胁而采取的随机应变的措施。
针对威胁,可以考虑下列五种备选策略:
- 上报。如果项目团队或项目发起人认为某威胁不在项目范围内,或提议的应对措施超出了项目经理的权限,就应该采用上报策略。被上报的风险将在项目集层面、项目组合层面或组织的其他相关部门加以管理,而不在项目层面。对于被上报的威胁,组织中的相关人员必须愿意承担应对责任,这一点非常重要。威胁通常要上报给其目标会受该威胁影响的那个层级。威胁一旦上报,就不再由项目团队做进一步监督,虽然仍可出现在风险登记册中供参考。
- 规避。风险规避是指项目团队采取行动来消除威胁,或保护项目免受威胁的影响。它可能适用于发生概率较高,且具有严重负面影响的高优先级威胁。规避策略可能涉及变更项目管理计划的某些方面,或改变会受负面影响的目标,以便于彻底消除威胁,将它的发生概率降低到零。 风险责任人也可以采取措施,来分离项目目标与风险万一发生的影响。规避措施可能包括消除 威胁的原因、延长进度计划、改变项目策略,或缩小范围。有些风险可以通过澄清需求、获取信息、改善沟通或取得专有技能来加以规避。
- 转移。转移涉及到将应对威胁的责任转移给第三方,让第三方管理风险并承担威胁发生的影响。采用转移策略,通常需要向承担威胁的一方支付风险转移费用。风险转移可能需要通过一系列行动才得以实现,包括(但不限于)购买保险、使用履约保函、使用担保书、使用保证书等。也可以通过签订协议,把具体风险的归属和责任转移给第三方。
- 减轻。风险减轻是指采取措施来降低威胁发生的概率和(或)影响。提前采取减轻措施通常比 威胁出现后尝试进行弥补更加有效。减轻措施包括采用较简单的流程,进行更多次测试,或者选用更可靠的卖方。还可能涉及原型开发,以降低从实验台模型放大到实际工艺或产品中的风险。如果无法降低概率,也许可以从决定风险严重性的因素入手,来减轻风险发生的影响。例如,在一个系统中加入冗余部件,可以减轻原始部件故障所造成的影响。
- 接受。风险接受是指承认威胁的存在,但不主动采取措施。此策略可用于低优先级威胁,也可用于无法以任何其他方式加以经济有效地应对的威胁。接受策略又分为主动或被动方式。最常见的主动接受策略是建立应急储备,包括预留时间、资金或资源以应对出现的威胁; 被动接受策略则不会主动采取行动,而只是定期对威胁进行审查,确保其并未发生重大改变。
针对机会,可以考虑下列五种备选策略:
- 上报。如上。
- 开拓。如果组织想确保把握住高优先级的机会,就可以选择开拓策略。此策略将特定机会的出现概率提高到 100%,确保其肯定出现,从而获得与其相关的收益。开拓措施可能包括: 把组织中最有能力的资源分配给项目来缩短完工时间,或采用全新技术或技术升级来节约项目成本并缩短项目持续时间。
- 分享。分享涉及到将应对机会的责任转移给第三方,使其享有机会所带来的部分收益。必须仔细为已分享的机会安排新的风险责任人,让那些最有能力为项目抓住机会的人担任新的风险责任人。采用风险分享策略,通常需要向承担机会应对责任的一方支付风险费用。分享措施包括建立合伙关系、合作团队、特殊公司或合资企业来分享机会。
- 提高。提高策略用于提高机会出现的概率和(或)影响。提前采取提高措施通常比机会出现后 尝试改善收益更加有效。通过关注其原因,可以提高机会出现的概率; 如果无法提高概率, 也许可以针对决定其潜在收益规模的因素来提高机会发生的影响。机会提高措施包括为早日完成活动而增加资源。
- 接受。如上。
威胁和机会共有的策略是上报和接受。
可用于选择首选风险应对策略的数据分析技术包括:备选方案分析、成本效益分析。
实施风险应对 — 执行商定的风险应对计划的过程。本过程的主要作用是,确保按计划执行商定的风险应对措施,来管理整体项目风险敞口、最小化单个项目威胁,以及最大化单个项目机会。本过程需要在整个项目期间开展。
监督风险—在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。本过程的主要作用是,使项目决策都基于关于整体项目风 险敞口和单个项目风险的当前信息。本过程需要在整个项目期间开展。
监督风险的数据分析技术可以是:技术绩效分析、储备分析。
风险审计是一种审计类型,可用于评估风险管理过程的有效性。项目经理负责确保按项目风险管理计划所规定的频率开展风险审计。风险审计可以在日常项目审查会上开展,可以 在风险审查会上开展,团队也可以召开专门的风险审计会。在实施审计前,应明确定义风险审计的程序和目标。