十五、项目风险管理
十五、项目风险管理
Hunter内容来源:信息系统项目管理师教程 (第4版)
文章内容主要为第4版教程的核心重点内容。
15.1 管理基础
15.1.1 项目风险概述
每个项目都在两个层面上存在风险:一是每个项目都有会影响项目达成目标的单个风险; 二是由单个风险和不确定性的其他来源联合导致的整体项目风险。项目风险管理过程同时兼顾 这两个层面的风险。
15.1.2 风险的属性
- 风险事件的随机性
风险事件的发生及其后果都具有偶然性。这种性质叫随机性。风险事件具有随 机性。
- 风险的相对性
风险总是相对项目活动主体而言的。同样的风险对于不同的主体有不同的影响。人们对于 风险事件都有一定的承受能力,但是这种能力因活动、人和时间而异。对于项目风险,影响人 们的风险承受能力的因素主要包括:
- 收益的大小:收益总是伴随损失。损失的可能性和数额越大,人们希望为弥补损失而得 到的收益也越大。反过来,收益越大,人们愿意承担的风险也就越大。
- 投入的大小:项目活动投入得越多,人们对成功所抱的希望也越大,愿意冒的风险也就 越小。
- 项目活动主体的地位和拥有的资源:级别高的管理人员比级别低的管理人员能够承担的 风险相对要大。同一风险,不同的个人或组织承受能力也不同。个人或组织拥有的资源 越多,其风险承受能力也越大。
- 风险的可变性
风险的可变性 含义包括:
- 风险性质的变化:
- 风险后果的变化:
- 出现新风险:
15.1.3 风险的分类
- 按风险后果划分
按照后果的不同,风险可划分为纯粹风险和投机风险。
(1)纯粹风险。不能带来机会、无获得利益可能的风险,叫纯粹风险。纯粹风险只有两种 可能的后果:造成损失和不造成损失。纯粹风险造成的损失是绝对的损失。活动主体蒙受了损 失,全社会也跟着受损失。例如,某建设项目空气压缩机房在施工过程中失火,蒙受了损失, 该损失不但是这个工程的,也是全社会的。没有人从中获得好处。纯粹风险总是和威胁、损失、 不幸相联系。
(2)投机风险。既可能带来机会、获得利益,又隐含威胁、造成损失的风险,叫投机风 险。投机风险有三种可能的后果:造成损失、不造成损失和获得利益。投机风险如果使活动 主体蒙受了损失,但全社会不一定也跟着受损失。相反,其他人有可能因此而获得利益。例 如,私人投资的房地产开发项目如果失败,投资者要蒙受损失;但是发放贷款的银行却可将 抵押的土地和房屋收回,等待时机转手高价卖出,不但可收回贷款,而且还有可能获得高额 利润。
纯粹风险和投机风险在一定条件下可以相互转化。项目管理人员必须避免投机风险转化为 纯粹风险。
风险不是零和游戏。很多情况下,涉及风险的各个方面都要蒙受损失,无一幸免。
- 按风险来源划分
- 按风险是否可管理划分
- 按风险影响范围划分
- 按风险后果的承担者划分
- 按风险的可预测性划分
按这种方法,风险可以分为已知风险、可预测风险和不可预测风险。
(1)已知风险。已知风险是指在认真、严格地分析项目及其计划之后就能够明确的那些经 常发生的,而且其后果亦可预见的风险。已知风险发生概率高,但一般后果轻微,不严重。项 目管理中已知风险的例子有:项目目标不明确,过分乐观的进度计划,设计或施工变更和材料 价格波动等。
(2)可预测风险。可预测风险是指根据经验,可以预见其发生,但不可预见其后果的风险。 这类风险的后果有时可能相当严重。项目管理中的例子有:业主不能及时审查批准,分包商不 能及时交工,施工机械出现故障,不可预见的地质条件等。
(3)不可预测风险。不可预测风险是指有可能发生,但其发生的可能性即使最有经验的人 亦不能预见的风险。不可预测风险有时也称未知风险或未识别的风险。它们是新的、以前未观 察到或很晚才显现出来的风险。这些风险一般是外部因素作用的结果,例如地震、百年不遇的 暴雨、通货膨胀和政策变化等。
15.1.4 风险成本及其负担
风险事件造成的损失或减少的收益以及为防止发生风险采取预防措施而支付的费用,都构 成了风险成本。风险成本包括有形成本、无形成本以及预防与控制风险的成本。
- 风险损失的有形成本
(1)直接损失。直接损失指财产损毁和人员伤亡的价值。例如,压缩空气机房在施工过程中失火,直接损失包括空气压缩机的重置成本、受伤人员的医疗费、休养费、工资等。
(2)间接损失。间接损失指直接损失以外的其他损失、责任损失以及因此而造成的收益的 减少,包括因灭火扑救、停工等发生的成本。
- 风险损失的无形成本
风险损失的无形成本指由于风险所具有的不确定性而使项目主体在风险事件发生之前或之 后付出的代价。主要表现在如下3个方面。
(1)风险损失减少了机会。
(2)风险阻碍了生产率的提高。
(3)风险造成资源分配不当。
- 风险预防与控制的成本
- 风险成本的负担
15.1.5 管理新实践
- 非事件类风险
- 项目韧性
- 整合式风险管理
15.2 项目风险管理过程
15.2.1 过程概述
项目风险管理过程包括:
规划风险管理:定义如何实施项目风险管理活动。
识别风险:识别单个项目风险,以及整体项目风险的来源,并记录风险特征。
实施定性风险分析:通过评估单个项目风险发生的概率和影响以及特征,对风险进行优 先级排序,从而为后续分析或行动提供基础。
实施定量风险分析:就已识别的单个项目风险和其他不确定性的来源对整体项目目标的 综合影响进行定量分析。
规划风险应对:为处理整体项目风险以及应对单个项目风险而制定可选方案、选择应对 策略并商定应对行动。
实施风险应对:执行商定的风险应对计划。
监督风险:在整个项目期间,监督风险以应对计划的实施、跟踪已识别风险、识别和分 析新风险,以及评估风险管理的有效性。
在项目实际进展中,以上各个过程会相互交叠和相互作用。表15-1概括了项目风险管理的 各个过程。
15.2.2 裁剪考虑因素
15.2.3 敏捷与适应方法
从本质上讲,越是变化的环境就存在越多的不确定性和风险。要应对快速变化,就需要采 用敏捷或适应型方法管理项目,如经常审查增量的工作产品,加快知识的分享,来确保对风险 的认知和管理。在选择每个迭代期的工作内容时都要考虑风险;在每个迭代期间应该识别、分 析和管理风险。
此外,应根据对当前风险忍受度的深入理解,定期更新需求文件,并随项目进展重新排列 工作优先级。
15.3 规划风险管理
规划风险管理是定义如何实施项目风险管理活动的过程。本过程的主要作用是,确保风险 管理的水平、方法和可见度与项目风险程度相匹配,与对组织和其他干系人的重要程度相匹配。
15.3.1 输入
- 项目章程
- 项目管理计划
- 项目文件
可作为本过程输入的项目文件是干系人登记册。其中概述了干系人在项目中的角色和其对 项目风险的态度,可用于确定项目风险管理的角色和职责,以及为项目设定风险临界值。
- 事业环境因素
- 组织过程资产
15.3.2 工具与技术
- 专家判断
- 数据分析
可用于规划风险管理过程的数据分析技术是干系人分析法,通过干系人分析确定项目干系 人的风险偏好。
- 会议
15.3.3 输出
风险管理计划
风险管理计划是项目管理计划的组成部分,描述如何安排与实施风险管理活动。风险管理 计划内容主要包括:
- 风险管理策略:描述用于管理本项目风险的一般方法。 ●方法论:确定用于开展本项目风险管理的具体方法、工具及数据来源。
- 角色与职责:确定每项风险管理活动的领导者、支持者和团队成员,并明确职责。
- 资金:确定开展项目风险管理活动所需资金,制定应急储备和管理储备使用方案。
- 时间安排:确定在项目生命周期中实施项目风险管理过程的时间和频率,确定风险管理 活动并将其纳入项目进度计划。
- 风险类别:确定对项目风险进行分类的方式。通常借助风险分解结构(RBS)来构建风 险类别。风险分解结构是潜在风险来源的层级展现,如表15-2所示。风险分解结构有助 于项目团队考虑单个项目风险的全部可能来源,对识别风险或归类已识别风险特别有 用。组织可能有适用于所有项目的通用风险分解结构,也可能针对不同类型项目使用几 种不同的风险分解结构框架,或者允许项目量身定制专用的风险分解结构。如果未使用 风险分解结构,组织则可能采用某种常见的风险分类框架,此框架既可以是简单的类别 清单,也可以是基于项目目标的某种类别结构。
- 干系人风险偏好:应在风险管理计划中记录项目关键干系人的风险偏好。他们的风险偏 好会影响规划风险管理过程的细节。特别是,应该针对每个项目目标,把干系人的风险 偏好表述成可测量的风险临界值。这些临界值不仅将联合决定可接受的整体项目风险忍 受水平,而且也用于制定概率和影响定义。以后将根据概率和影响定义,对单个项目风 险进行评估和排序。
- 风险概率和影响:根据具体的项目环境、组织和关键干系人的风险偏好和临界值,来制 定风险概率和影响。项目可能自行制定关于概率和影响级别的具体定义,也可能用组织 提供的通用定义作为基础来制定。应根据拟开展项目风险管理过程的详细程度,来确定概率和影响级别的数量,更多级别(通常为五级)对应于更详细的风险管理方法;更少 级别(通常为三级)对应于更简单的方法。表15-3针对3个项目目标提供了概率和影响 定义的示例。
- 概率和影响矩阵:组织可在项目开始前确定优先级排序规则,并将其纳入组织过程资 产,也可为具体项目量身定制优先级排序规则。在常见的概率和影响矩阵中,会同时列 出机会和威胁;以正面影响定义机会,以负面影响定义威胁。概率和影响可以用描述性 术语(如很高、高、中、低和很低)或数值来表达。如果使用数值,就可以把两个数值 相乘,得出每个风险的概率-影响分值,以便据此在每个优先级组别之内排列单个风险 相对优先级。图15-3是概率和影响矩阵的示例,其中也有数值风险评分的方法。
- 报告格式:确定将如何记录、分析和沟通项目风险管理过程的结果。在这一部分,描述 风险登记册、风险报告以及项目风险管理过程的其他输出的内容和格式。
- 跟踪:确定将如何记录风险活动,以及如何审计风险的管理过程。
15.4 识别风险
识别风险是识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程。本过程 的主要作用:①记录现有的单个项目风险,以及整体项目风险的来源;②汇总相关信息,以便 项目团队能够恰当地应对已识别的风险。本过程应在整个项目期间开展。识别风险过程的数据 流向如图15-4所示。
识别风险时,要同时考虑单个项目风险以及整体项目风险的来源。风险识别活动的参与者 可能包括:项目经理、项目团队成员、项目风险专家(若已指定)、客户、项目团队外部的主 题专家、最终用户、其他项目经理、运营经理、干系人和组织内的风险管理专家。虽然这些人 员通常是风险识别活动的关键参与者,但是还应鼓励所有项目干系人参与项目风险的识别工作。 项目团队的参与尤其重要,以便培养和保持他们对已识别单个项目风险、整体项目风险级别和 相关风险应对措施的主人翁意识和责任感。
应采用统一的风险描述格式来描述和记录项目风险,以确保每一项风险都被清楚、明确地 理解,从而为有效的分析和风险应对措施制定提供支持。
在整个项目生命周期中,单个项目风险可能随项目进展而不断变化,整体项目风险的级别 也会发生变化。因此,识别风险是一个迭代的过程。迭代的频率和每次迭代所需的参与程度因 情况而异,应在风险管理计划中做出相应规定。
15.4.1 输入
- 项目管理计划
可用于识别风险的项目管理计划组件主要包括:
- 需求管理计划:可能指出了特别有风险的项目目标。
- 进度管理计划:可能列出了受不确定性或模糊性影响的一些进度领域。
- 成本管理计划:可能列出了受不确定性或模糊性影响的一些成本领域。
- 质量管理计划:可能列出了受不确定性或模糊性影响的一些质量领域,或者关键假设可 能引发风险的一些领域。
- 资源管理计划:可能列出了受不确定性或模糊性影响的一些资源领域,或者关键假设可 能引发风险的一些资源领域。
- 风险管理计划:规定了风险管理的角色和职责,说明了如何将风险管理活动纳入预算和 进度计划,并描述了风险类别。
- 范围基准:包括可交付成果及其验收标准,其中有些可能引发风险;还包括工作分解结 构,可用作安排风险识别工作的框架。
- 进度基准:可以查看进度基准,找出存在不确定性或模糊性的里程碑日期和可交付成果 交付日期,或者可能引发风险的关键假设条件。
- 成本基准:可以查看成本基准,找出存在不确定性或模糊性的成本估算或资金需求,或 者关键假设可能引发风险的方面。
- 项目文件
- 干系人登记册:规定了哪些个人或小组可能参与项目的风险识别工作,还会详细说明哪 些个人适合扮演风险责任人角色。
- 需求文件:列明了项目需求,使团队能够确定哪些需求存在风险。
- 持续时间估算:对项目持续时间的定量评估,理想情况下用区间表示,区间的大小预示 着风险程度。对持续时间估算文件进行结构化审查,可能会显示当前估算不足,从而引 发项目风险。
- 成本估算:对项目成本的定量评估,理想情况下用区间表示,区间的大小预示着风险程 度。对成本估算文件进行结构化审查,可能显示当前估算不足,从而引发项目风险。
- 资源需求:对项目所需资源的定量评估,理想情况下用区间表示,区间的大小预示着风险 程度。对资源需求文件进行结构化审查,可能显示当前估算不足,从而引发项目风险。
- 问题日志:所记录的问题可能引发单个项目风险,还可能影响整体项目风险的级别。
- 采购文档
如果需要从外部采购项目资源,就应该审查初始采购文档,因为从组织外部采购商品和服 务可能提高或降低整体项目风险,并可能引发更多的项目风险。随着采购文档在项目期间的不 断更新,还应该审查最新的文档,例如,卖方绩效报告、核准的变更请求和与检查相关的信息。
- 协议
如果需要从外部采购项目资源,协议所规定的里程碑日期、合同类型、验收标准和奖罚条 款等,都可能造成威胁或创造机会。
- 事业环境因素
- 组织过程资产
15.4.2 工具与技术
- 专家判断
- 数据收集
适用于识别风险过程的数据收集技术主要包括:
- 头脑风暴:目标是获取一份全面的项目风险来源的清单。通常由项目团队开展头脑风 暴,同时邀请团队以外的多学科专家参与。可以采用自由或结构化的形式开展头脑风 暴,在组织者的指引下产生各种创意。可以用风险类别(如风险分解结构)作为识别风 险的框架。因为头脑风暴生成的创意并不成型,所以应该特别注意对头脑风暴识别的风 险进行清晰描述。
- 核查单:包括需要考虑的项目、行动或要点的清单。它常被用作提醒。基于从类似项目 和其他信息来源积累的历史信息和知识来编制核查单。编制核查单时,可列出过去曾出 现且可能与当前项目相关的具体项目风险,这是吸取已完成的类似项目的经验教训的有 效方式。可基于已完成的项目来编制核查单,也可采用特定行业的通用风险核查单。虽 然核查单简单易用,但它不可能穷尽所有风险。所以,必须确保不要用核查单来取代所 需的风险识别工作;同时,项目团队也应该注意考察未在核查单中列出的事项。此外, 还应该不时地审查核查单,增加新信息,删除或存档过时信息。
- 访谈:可通过对资深项目参与者、干系人和主题专家的访谈,来识别项目风险的来源。 应该在信任和保密的环境下开展访谈,以获得真实可信、不带偏见的意见。
- 数据分析
适用于识别风险过程的数据分析技术主要包括:
- 根本原因分析:常用于发现导致问题的深层原因并制定预防措施。可以用问题陈述(如 项目可能延误或超支)作为出发点,来探讨哪些威胁可能导致该问题,从而识别出相应 的威胁;也可以用收益陈述(如提前交付或低于预算)作为出发点,来探讨哪些机会可 能有利于实现该效益,从而识别出相应的机会。
- 假设条件和制约因素分析:每个项目及其项目管理计划的构思和开发都基于一系列的假 设条件,并受一系列制约因素的限制。这些假设条件和制约因素往往都已纳入范围基准 和项目估算。开展假设条件和制约因素分析来探索假设条件和制约因素的有效性,确定 其中哪些会引发项目风险。从假设条件的不准确、不稳定、不一致或不完整,可以识别 出威胁;通过清除或放松会影响项目或过程执行的制约因素,可以创造出机会。
- SWOT分析:对项目的优势、劣势、机会和威胁(简称SWOT)进行逐个检查。在识别 风险时,它会将内部产生的风险包含在内,从而拓宽识别风险的范围。首先,关注项 目、组织或一般业务领域,识别出组织的优势和劣势;然后,找出组织优势可能为项目 带来的机会和组织劣势可能造成的威胁。还可以分析组织优势能在多大程度上克服威 胁,组织劣势是否会妨碍机会的产生。
- 文件分析:通过对项目文件的结构化审查,可以识别出一些风险。可供审查的文件主要 包括计划、假设条件、制约因素、以往项目档案、合同、协议和技术文件。项目文件中 的不确定性或模糊性,以及同一文件内部或不同文件之间的不一致,都可能是项目风险 的提示信号。
- 人际关系与团队技能
帮助参会者专注于风险识别任务、准确遵循与技术相关的方法,确保风险描述清晰、找到 并克服偏见,以及解决任何可能出现的分歧。
- 提示清单
提示清单是关于可能引发项目风险来源的风险类别的预设清单。在采用风险识别技术时, 提示清单可作为框架用于协助项目团队形成想法。可以用风险分解结构底层的风险类别作为提 示清单,来识别单个项目风险。某些常见的战略框架更适用于识别整体项目风险的来源,如外 部影响(政策、经济、社会、技术、法律、环境)、内部影响(技术、环境、商业、运营、政 治)和性质(易变性、不确定性、复杂性、模糊性)。
- 会议
15.4.3 输出
- 风险登记册
风险登记册记录已识别项目风险的详细信息。随着实施定性风险分析、规划风险应对、实 施风险应对和监督风险等过程的开展,这些过程的结果也要记入风险登记册。取决于具体的项 目变量(如规模和复杂性),风险登记册可能包含有限或广泛的风险信息。
当完成识别风险过程时,风险登记册的内容主要包括:
- 已识别风险的清单:在风险登记册中,每个项目风险都被赋予一个独特的标识号。需要 按照所需的详细程度对已识别风险进行描述,确保明确理解。可以使用结构化的风险描 述,来把风险本身与风险原因及风险影响区分开来。
- 潜在风险责任人:如果已在识别风险过程中识别出潜在的风险责任人,就要把该责任人 记录到风险登记册中。随后将由实施定性风险分析过程进行确认。
- 潜在风险应对措施清单:如果已在识别风险过程中识别出某种潜在的风险应对措施,就 要把它记录到风险登记册中。随后将由规划风险应对过程进行确认。
- 风险报告
风险报告提供关于整体项目风险的信息,以及关于已识别的单个项目风险的概述信息。在 项目风险管理过程中,风险报告的编制是一项渐进式的工作。随着实施定性风险分析、实施定 量风险分析、规划风险应对、实施风险应对和监督风险过程的完成,这些过程的结果也需要记 录在风险登记册中。完成识别风险过程时,风险报告内容主要包括:
- 整体项目风险的来源:说明哪些是整体项目风险的最重要因素。
- 关于已识别单个项目风险的概述信息:例如,已识别的威胁与机会的数量、风险在风险 类别中的分布情况、测量指标和发展趋势。
- 项目文件(更新)
15.5 实施定性风险分析
实施定性风险分析是通过评估单个项目风险发生的概率和影响及其他特征,对风险进行优 先级排序,从而为后续分析或行动提供基础的过程。本过程的主要作用是重点关注高优先级的 风险。本过程需要在整个项目期间开展。实施定性风险分析过程的数据流向如图15-5所示。
实施定性风险分析能为规划风险应对过程确定单个项目风险的相对优先级。本过程会 为每个风险识别出责任人,以便由他们负责规划风险应对措施,并确保应对措施的实施。如果 需要开展实施定量风险分析过程,那么实施定性风险分析也能为其奠定基础。
根据风险管理计划的规定,在整个项目生命周期中要定期开展实施定性风险分析过程。在 敏捷或适应型开发环境中,实施定性风险分析过程通常要在每次迭代开始前进行。
15.5.1 输入
- 项目管理计划
可用于实施定性风险分析的项目管理计划的子计划是风险管理计划。
- 项目文件
- 风险登记册:包括将在本过程评估的、已识别的项目风险的详细信息。
- 干系人登记册:包括可能被指定为风险责任人的项目干系人的详细信息。
- 事业环境因素
- 组织过程资产
15.5.2 工具与技术
- 专家判断
- 数据收集
适用于实施定性风险分析过程的数据收集技术是访谈。结构化或半结构化的访谈可用于评 估单个项目风险的概率和影响,以及其他因素。访谈者应该营造信任和保密的访谈环境,以鼓 励被访者提出诚实和无偏见的意见。
- 数据分析
适用于实施定性风险分析过程的数据分析技术主要包括:
(1)风险数据质量评估。风险数据是开展定性风险分析的基础。风险数据质量评估旨在评 价关于单个项目风险的数据的准确性和可靠性。使用低质量的风险数据,可能导致定性风险分 析对项目来说基本没用。如果数据质量不可接受,就可能需要收集更好的数据。可以开展问卷 调查,了解项目干系人对数据质量各方面的评价,包括数据的完整性、客观性、相关性和及时 性,进而对风险数据的质量进行综合评估。可以计算这些方面的加权平均数,将其作为数据质 量的总体分数。
(2)风险概率和影响评估。风险概率评估考虑的是特定风险发生的可能性,而风险影响评 估考虑的是风险对一项或多项项目目标的潜在影响,如进度、成本、质量或绩效。威胁将产生 负面的影响,机会将产生正面的影响。要对每个已识别的单个项目风险进行概率和影响评估。 风险评估可以采用访谈或会议的形式,参加者将依照他们对风险登记册中所记录的风险类型的 熟悉程度而定。项目团队成员和项目外部资深人员应该参加访谈或会议。在访谈或会议期间,评估每个风险的概率水平及其对每项目标的影响级别。如果干系人对概率水平和影响级别的感 知存在差异,则应对差异进行探讨。此外,还应记录相应的说明性细节,例如,确定概率水平 或影响级别所依据的假设条件。应该采用风险管理计划中的概率和影响定义,来评估风险的概 率和影响。低概率和影响的风险将被列入风险登记册中的观察清单,以供未来监控。
(3)其他风险参数评估。为了方便未来分析和行动,在对单个项目风险进行优先级排序时, 项目团队可能考虑(除概率和影响以外的)如下其他风险特征:
- 紧迫性:为有效应对风险而必须采取应对措施的时间段。时间短就说明紧迫性高。
- 邻近性:风险在多长时间后会影响一项或多项项目目标。时间短就说明邻近性高。
- 潜伏期:从风险发生到影响显现之间可能的时间段。时间短就说明潜伏期短。
- 可管理性:风险责任人(或责任组织)管理风险发生或影响的容易程度。如果容易管 理,可管理性就高。
- 可控性:风险责任人(或责任组织)能够控制风险后果的程度。如果后果很容易控制, 可控性就高。
- 可监测性:对风险发生或即将发生进行监测的容易程度。如果风险发生很容易监测,可 监测性就高。
- 连通性:风险与其他单个项目风险存在关联的程度大小。如果风险与多个其他风险存在 关联,连通性就高。
- 战略影响力:风险对组织战略目标潜在的正面或负面影响。如果风险对战略目标有重大 影响,战略影响力就大。
- 密切度:风险被一名或多名干系人认为要紧的程度。被认为很要紧的风险,密切度就高。
考虑上述某些特征有助于进行更稳健的风险优先级排序。
- 人际关系与团队技能
适用于实施定性风险分析过程的人际关系与团队技能是引导。开展引导能够提高对单个项目 风险的定性分析的有效性。熟练的引导者可以帮助参会者专注于风险分析任务、准确遵循与技术 相关的方法、就概率和影响评估达成共识、找到并克服偏见,以及解决任何可能出现的分歧。
- 风险分类
项目风险可依据风险来源、受影响的项目领域,以及其他实用类别(如项目阶段、项目预 算、角色和职责)来分类,确定哪些项目领域最容易被不确定性影响;风险还可以根据共同根 本原因进行分类。应该在风险管理计划中规定可用于项目的风险分类方法。
对风险进行分类,有助于把注意力和精力集中到风险可能发生的最大的领域,或针对一组 相关的风险制定通用的风险应对措施,从而有利于更有效地开展风险应对。
- 数据表现
适用于实施定性风险分析过程的数据表现技术主要包括:
- 概率和影响矩阵:把每个风险发生的概率和该风险一旦发生对项目目标的影响映射起来 的表格。此矩阵对概率和影响进行组合,以便于把单个项目风险划分到不同的优先级组别。基于风险的概率和影响,对风险进行优先级排序,以便未来进一步分析并制定应对 措施。采用风险管理计划中规定的风险概率和影响定义,逐一对单个项目风险的发生概 率及其对一项或多项项目目标的影响(若发生)进行评估。然后,基于所得到的概率和 影响的组合,使用概率和影响矩阵,来为单个项目风险分配优先级别。组织可针对每个 项目目标(如成本、时间和范围)制定单独的概率和影响矩阵,并用它们来评估风险针 对每个目标的优先级别。组织也可以用不同的方法为每个风险确定一个总体优先级别。 即可综合针对不同目标的评估结果,也可采用最高优先级别(无论针对哪个目标),作 为风险的总体优先级别。
- 层级图:如果使用了两个以上的参数对风险进行分类,那就不能使用概率和影响矩阵, 而需要使用其他图形。例如,气泡图能显示三维数据。在气泡图中,把每个风险都绘制 成一个气泡,并用x(横)轴值、y(纵)轴值和气泡大小来表示风险的3个参数。气泡 图的示例如图15-6所示,其中,X轴代表可监测性,Y轴代表邻近性,影响值则以气泡 大小表示。
- 会议
15.5.3 输出
项目文件(更新)
- 风险登记册:用实施定性风险分析过程生成的新信息,去更新风险登记册。风险登记册 的更新内容可能包括:每项单个项目风险的概率和影响评估、优先级别或风险分值、指 定风险责任人、风险紧迫性信息或风险类别,以及低优先级风险的观察清单和需要进一 步分析的风险。
- 风险报告:更新风险报告,以记录最重要的单个项目风险(通常为概率和影响最高的风 险)、所有已识别风险的优先级列表以及简要的结论。
15.6 实施定量风险分析
实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影 响进行定量分析的过程。本过程的主要作用:①量化整体项目风险最大可能性;②提供额外的 定量风险信息,以支持风险应对规划。本过程并非每个项目必需,但如果采用,它会在整个项 目期间持续开展。实施定量风险分析过程的数据流向如图15-7所示。
并非所有项目都需要实施定量风险分析。项目风险管理计划会规定是否需要使用定量风险 分析。定量分析适用于大型或复杂的项目,具有战略重要性的项目,合同要求进行定量分析的 项目和主要干系人要求进行定量分析的项目。能否开展稳健的定量分析取决于是否有单个项目 风险和其他不确定性来源的高质量数据,以及与范围、进度和成本相关的扎实的项目基线。
15.6.1 输入
- 项目管理计划
可用于实施定量风险分析的项目管理计划的组件主要包括:
- 风险管理计划:确定项目是否需要定量风险分析,还会详述可用于分析的资源,以及预 期的分析频率。
- 范围基准:提供了对单个项目风险和其他不确定性来源的影响开展评估的起点。
- 进度基准:提供了对单个项目风险和其他不确定性来源的影响开展评估的起点。
- 成本基准:提供了对单个项目风险和其他不确定性来源的影响开展评估的起点。
- 项目文件
- 里程碑清单:项目的重要阶段决定着进度目标,把这些进度目标与定量进度风险分析的 结果进行比较,以确定与实现这些目标相关的置信水平。
- 估算依据:开展定量风险分析时,可以把用于项目规划的估算依据反映在所建立的变量 分析模型中。可能包括估算目的、分类、准确性、方法论和资料来源。
- 持续时间估算:提供了对进度变化性进行评估的起点。
- 成本估算:提供了对成本变化性进行评估的起点。
- 资源需求:提供了对变化性进行评估的起点。
- 成本预测:包括项目的完工尚需估算(ETC)、完工估算(EAC)、完工预算(BAC) 和完工尚需绩效指数(TCP),把这些预测指标与定量成本风险分析的结果进行比较, 以确定与实现这些指标相关的置信水平。
- 风险登记册:包含了用作定量风险分析输入的单个风险的详细信息。
- 风险报告:描述了整体项目风险的来源,以及当前的整体项目风险状态。
- 进度预测:可以将预测与定量进度风险分析的结果进行比较,以确定与实现预测目标相 关的置信水平。
- 事业环境因素
- 组织过程资产
15.6.2 工具与技术
专家判断
数据收集
访谈可用于针对单个项目风险和其他不确定性来源,生成定量风险分析的输入。当需要向 专家征求信息时,访谈尤其适用。访谈者应营造信任和保密的访谈环境,以鼓励被访者提出诚 实和无偏见的意见。
- 人际关系与团队技能
适用于实施定量风险过程的人际关系与团队技能是引导。在由项目团队成员和其他干系人 参加的专门风险研讨会中,配备一名熟练的引导者,有助于更好地收集输入数据。可以通过阐 明研讨会的目的,在参会者之间建立共识,确保持续关注任务,并以创新方式处理人际冲突或 偏见来源,来提升研讨会的有效性。
- 不确定性表现方式
概率分布可能有多种形式,最常用的有三角分布、正态分布、对数正态分布、 贝塔分布、均匀分布或离散分布。
- 数据分析
适用于实施定量风险分析过程的数据分析技术主要包括:
(1)模拟:在定量风险分析中,使用模型来模拟单个项目风险和其他不确定性来源的综合 影响,以评估它们对项目目标的潜在影响。模拟通常采用蒙特卡洛分析。
(2)敏感性分析:有助于确定哪些单个项目风险或不确定性来源对项目结果具有最大的潜 在影响。它在项目结果变化与定量风险分析模型中的要素变化之间建立联系。敏感性分析的结 果通常用龙卷风图来表示,图中标出定量风险分析模型中的每项要素与其能影响的项目结果 之间的关联系数,这些要素可包括单个项目风险、易变的项目活动和具体的不明确性来源;每 个要素按关联强度降序排列,形成典型的龙卷风形状,如图15-9所示。
(3)决策树分析:用决策树在若干备选行动方案中选择一个最佳方案。在决策树中,用不 同的分支代表不同的决策或事件,即项目的备选路径。每个决策或事件都有相关的成本和单个 项目风险(包括威胁和机会)。决策树分支的终点表示沿特定路径发展的最后结果,可以是负面 或正面的结果。在决策树分析中,通过计算每条分支的预期货币价值,就可以选出最优的路径。 决策树示例如图15-10所示。
(4)影响图:不确定条件下进行决策的图形辅助工具。它将一个项目或项目中的一种情境 表现为一系列实体、结果和影响,以及它们之间的关系和相互影响。
15.6.3 输出
项目文件(更新)
可作为实施定量风险分析过程输出的项目文件是风险报告。更新风险报告可以反映定量风 险分析的结果。
(1)对整体项目风险最大可能性的评估结果。整体项目风险有两种主要的测量方式:
- 项目成功的可能性:基于已识别的单个项目风险和其他不确定性来源,项目实现其主要 目标(例如,既定的结束日期或中间里程碑、既定的成本目标)的概率。
- 项目固有的变化性:在开展定量分析之时,可能的项目结果的分布区间。
(2)项目详细概率分析的结果。列出定量风险分析的重要输出,如S曲线、龙卷风图和关 键性指标,以及对它们的叙述性解释。定量风险分析的详细结果主要包括:
- 所需的应急储备:以达到实现目标的特定置信水平。
- 对项目关键路径有最大影响的单个项目风险或其他不确定性来源的清单。
- 整体项目风险的主要驱动因素:即对项目结果的不确定性有最大影响的因素等。
(3)单个项目风险优先级清单。根据敏感性分析的结果,列出对项目造成最大威胁或产生 最大机会的单个项目风险。
(4)定量风险分析结果的趋势。随着在项目生命周期的不同时间重复开展定量风险分析, 风险的发展趋势可能逐渐清晰。发展趋势会影响风险应对措施的规划。
(5)风险应对建议。风险报告可能根据定量风险分析结果,针对整体风险的最大可能性或 关键单个风险提出应对建议。这些建议将成为规划风险应对过程的输入。
15.7 规划风险应对
规划风险的应对措施是为了应对项目风险,而制定可选方案、选择应对策略并商定应对行 动的过程。本过程的主要作用:①制定应对整体项目风险和单个项目风险的适当方法;②分配 资源,并根据需要将相关活动添加进项目文件和项目管理计划中。本过程需要在整个项目期间 开展。
风险应对方案应该与风险的重要性相匹配,并且能够经济有效地应对挑战,同时在当前项 目背景下现实可行,获得全体干系人的同意,并由一名责任人具体负责。
15.7.1 输入
- 项目管理计划
可用于规划风险应对的项目管理计划组件主要包括:
- 资源管理计划:有助于协调用于风险应对的资源和其他项目资源。
- 风险管理计划:风险角色和职责、风险临界值。
- 成本基准:包含了拟用于风险应对的应急资金的信息
- 项目文件
可作为规划风险应对过程输入的项目文件主要包括:
- 干系人登记册:列出了风险应对的潜在责任人。
- 风险登记册:包含了已识别并排序的、需要应对的单个项目风险的详细信息。每项风险 的优先级有助于选择适当的风险应对措施。例如,针对高优先级的威胁或机会,可能需 要采取优先措施和积极主动的应对策略;而针对低优先级的威胁和机会,可能只需把它们列入风险登记册的观察清单部分,不必采取主动的管理措施。同时,风险登记册列出 了每项风险的指定风险责任人,还可能包含在早期的项目风险管理过程中识别的初步风 险应对措施。风险登记册可能还会提供有助于规划风险应对的、关于已识别风险的其他 信息,包括根本原因、风险触发因素和预警信号、需要在短期内应对的风险,以及需要 进一步分析的风险。
- 风险报告:项目整体风险最大可能风险的当前级别,会影响风险应对策略的选择。风险 报告也可能按优先级顺序列出了单个项目风险,并对单个项目风险的分布情况进行了更 多分析;这些信息都会影响风险应对策略的选择。
- 资源日历:确定了潜在的资源何时可用于风险应对。
- 项目团队派工单:列明了可用于风险应对的人力资源。
- 项目进度计划:用于确定如何同时规划风险应对活动和其他项目活动。
- 事业环境因素
- 组织过程资产
15.7.2 工具与技术
- 专家判断
- 数据收集
适用于规划风险应对过程的数据收集技术是访谈。项目风险的应对措施可以在与风险责任 人的结构化或半结构化的访谈中制定。必要时,也可访谈其他干系人。访谈者应该营造信任和 保密的访谈环境,以鼓励被访者提出诚实和无偏见的意见。
- 人际关系与团队技能
适用于规划风险应对过程的人际关系与团队技能是引导。开展引导能够提高项目风险应对 策略制定的有效性。熟练的引导者可以帮助风险责任人理解风险、识别并比较备选的风险应对 策略、选择适当的应对策略,并克服偏见。
- 威胁应对策略
针对威胁,可以考虑如下5种备选的应对策略:
(1)上报。如果项目团队或项目发起人认为某威胁不在项目范围内,或提议的应对措施超 出了项目经理的权限,就应该采用上报策略。被上报的风险将在项目集层面、项目组合层面或 组织的其他相关部门加以管理,而非项目层面。项目经理确定应就威胁通知哪些人员,并向该 人员或组织部门传达关于该威胁的详细信息。对于被上报的威胁,组织中的相关人员必须愿意 承担应对责任,这一点非常重要。威胁通常要上报给其目标会受该威胁影响的层级。威胁一旦 上报,就不再由项目团队做进一步监督,虽然仍可出现在风险登记册中供参考。
(2)规避。风险规避是指项目团队采取行动来消除威胁,或保护项目免受威胁的影响。它 可能适用于发生概率较高,且具有严重负面影响的高优先级的威胁。规避策略可能涉及变更项 目管理计划的某些方面,或改变会受负面影响的目标,以便于彻底消除威胁,将它的发生概率 降低到零。风险责任人也可以采取措施,来分离项目目标与风险万一发生的影响。规避措施可 能包括消除威胁的原因、延长进度计划、改变项目策略,或缩小范围。有些风险可通过澄清需 求、获取信息、改善沟通或取得专有技能来加以规避。
(3)转移。转移涉及将应对威胁的责任转移给第三方,让第三方管理风险并承担威胁发生 的影响。采用转移策略通常需要向承担威胁的一方支付风险转移费用。风险转移可能需要通过 一系列行动才得以实现,主要包括购买保险、使用履约保函、使用担保书和使用保证书等;也 可以通过签订协议,把具体风险的归属和责任转移给第三方。
(4)减轻。风险减轻是指采取措施来降低威胁发生的概率和影响。提前采取减轻措施通常 比威胁出现后尝试进行弥补更加有效。减轻措施包括采用较简单的流程、进行更多次测试和选 用更可靠的卖方。还可能涉及原型开发,以降低从实验台模型放大到实际工艺或产品中的风险。 如果无法降低概率,也许可以从决定风险严重性的因素入手,来减轻风险发生的影响。例如, 在一个系统中加入冗余部件,可减轻原始部件故障所造成的影响。
(5)接受。风险接受是指承认威胁的存在。此策略可用于低优先级威胁,也可用于无法以 任何其他方式经济有效地应对的威胁。接受策略又分为主动或被动方式。最常见的主动接受策 略是建立应急储备,包括预留时间、资金或资源以应对出现的威胁;被动接受策略则不会主动 采取行动,而只是定期对威胁进行审查,确保其并未发生重大改变。
- 机会应对策略
针对机会,可以考虑如下5种备选策略:
(1)上报。如果项目团队或项目发起人认为某机会不在项目范围内,或提议的应对措施超 出了项目经理的权限,就应该采取上报策略。被上报的机会将在项目集层面、项目组合层面或 组织的其他相关部门加以管理,而非项目层面。项目经理确定应就机会通知哪些人员,并向该 人员或组织部门传达关于该机会的详细信息。对于被上报的机会,组织中的相关人员必须愿意 承担应对责任,这一点非常重要。机会通常要上报给其目标会受该机会影响的那个层级。机会 一旦上报,就不再由项目团队做进一步监督,虽然仍可出现在风险登记册中供参考。
(2)开拓。如果组织想确保把握住高优先级的机会,就可以选择开拓策略。此策略将特定 机会的出现概率提高到100确保其肯定出现,从而获得与其相关的收益。开拓措施可能包 括:把组织中最有能力的资源分配给项目来缩短完工时间,或采用全新技术或技术升级来节约项目成本并缩短项目持续时间。
(3)分享。分享涉及将应对机会的责任转移给第三方,使其享有机会所带来的部分收益。 必须仔细为已分享的机会安排新的风险责任人,让那些最有能力为项目抓住机会的人担任新的 风险责任人。采用机会应对策略,通常需要向承担机会应对责任的一方支付风险费用。分享措 施包括建立合伙关系、合作团队、特殊公司和合资企业分享机会。
(4)提高。提高策略用于提高机会出现的概率和影响。提前采取提高措施通常比机会出现 后尝试改善收益更加有效。通过关注其原因,可以提高机会出现的概率;如果无法提高概率, 也许可以针对决定其潜在收益规模的因素来提高机会发生的影响。机会提高措施包括为早日完 成活动而增加资源。
(5)接受。接受机会是指承认机会的存在。此策略可用于低优先级机会,也可用于无法以 任何其他方式经济有效地应对的机会。接受策略又分为主动接受策略和被动接受策略。最常见 的主动接受策略是建立应急储备,包括预留时间、资金或资源,以便在机会出现时加以利用; 被动接受策略则不会主动采取行动,而只是定期对机会进行审查,确保其并未发生重大改变。
- 应急应对策略
- 整体项目风险应对策略
风险应对措施的规划和实施不应只针对单个项目风险,还应针对整体的项目风险。用于应 对单个项目风险的策略也适用于整体项目风险:
(1)规避。如果整体项目风险有严重的负面影响,并已超出商定的项目风险临界值,就可 以采用规避策略。此策略涉及采取集中行动,弱化不确定性对项目整体的负面影响,并将项目 拉回到临界值以内。例如,取消项目范围中的高风险工作,就是一种整个项目层面的规避措施。 如果无法将项目拉回到临界值以内,则可能取消项目。这是最极端的风险规避措施,仅适用于 威胁的整体级别在当前和未来都不可接受的情况。
(2)开拓。如果整体项目风险有显著的正面影响,并已超出商定的项目风险临界值,就可 以采用开拓策略。此策略涉及采取集中行动,获得不确定性对整体项目的正面影响。例如,在 项目范围中增加高收益的工作,以提高项目对干系人的价值或效益;或者,也可以与关键干系 人协商修改项目的风险临界值,以便将机会包含在内。
(3)转移或分享。如果整体项目风险的级别很高,组织无法有效加以应对,就可能需要让 第三方代表组织对风险进行管理。若整体项目风险是负面的,就需要采取转移策略,这可能涉 及支付风险费用:如果整体项目风险高度正面,则由多方分享,以获得相关收益。整体项目风 险的转移和分享策略主要包括:建立买方和卖方分享整体项目风险的协作式业务结构、成立合 资企业或特殊目的公司,或对项目的关键工作进行分包。
(4)减轻或提高。本策略涉及变更整体项目风险的级别,以优化实现项目目标的可能性。 减轻策略适用于负面的整体项目风险,而提高策略则适用于正面的整体项目风险。减轻或提高 策略包括重新规划项目、改变项目范围和边界、调整项目优先级、改变资源配置、调整交付时 间等。
(5)接受。即使整体项目风险已超出商定的临界值,如果无法针对整体项目风险采取主动 的应对策略,组织可能选择继续按当前的定义推动项目进展。接受策略又分为主动接受策略和 被动接受策略。最常见的主动接受策略是为项目建立整体应急储备,包括预留时间、资金或资 源,以便在项目风险超出临界值时使用;被动接受策略则不会主动采取行动,而只是定期对整 体项目风险的级别进行审查,确保其未发生重大改变。
- 数据分析
可用于选择首选风险应对策略的数据分析技术主要包括:
- 备选方案分析:对备选风险应对方案的特征和要求进行简单比较,进而确定哪个应对方 案最为适用。
- 成本收益分析:如果能够把单个项目风险的影响进行货币量化,那么就可以通过成本收 益分析来确定备选风险应对策略的成本有效性。把应对策略将导致的风险影响级别变更 除以策略的实施成本所得到的比率,就代表了应对策略的成本有效性。比率越高,有效 性就越高。
- 决策
适用于规划风险应对的决策技术是多标准决策分析,列入考虑范围的风险应对策略可能是 一种或多种。决策技术有助于对多种风险应对策略进行优先级排序。多标准决策分析借助决策 矩阵,提供建立关键决策标准、评估备选方案并加以评级,以及选择首选方案的系统分析方法。 风险应对策略的选择标准主要包括:应对成本、应对策略在改变概率和影响方面的预计有效性、 资源可用性、时间限制(紧迫性、邻近性和潜伏期)、风险发生的影响级别、应对措施对相关风 险的作用、导致的次生风险等。如果原定的应对策略被证明无效,可在项目后期采取不同的应 对策略。
15.7.3 输出
- 变更请求
- 项目管理计划(更新)
- 进度管理计划:资源负荷和资源平衡变更、进度策略更新等。
- 成本管理计划:成本会计、跟踪和报告变更,以及预算策略和应急储备使用方法更新等。
- 质量管理计划:满足需求的方法、质量管理方法和质量控制过程的变更等。
- 资源管理计划:资源配置变更及资源策略更新等。
- 采购管理计划:自制或外购决策、合同类型更改等。
- 范围基准:如果商定的风险应对策略导致了范围变更,且这种变更已经获得批准,那么 就要对范围基准做出相应的变更。
- 进度基准:如果商定的风险应对策略导致了进度估算变更,且这种变更已经获得批准, 那么就要对进度基准做出相应的变更。
- 成本基准:如果商定的风险应对策略导致了成本估算变更,且这种变更已经获得批准, 那么就要对成本基准做出相应的变更。
- 项目文件(更新)
- 成本预测:可能因规划的风险应对策略而发生变更。
- ●项目进度计划:可以把用于执行已商定的风险应对策略的活动添加到项目进度计划中。
- 项目团队派工单:一旦确定应对策略,应为每项与风险应对计划相关的措施分配必要的 资源,包括用于执行商定的措施的具有适当资质和经验的人员(通常在项目团队中)、 合理的资金和时间,以及必要的技术手段。
- 风险登记册:需要更新以记录选择和商定的风险应对措施。风险登记册的更新可能包 括:①商定的应对策略;②实施所选应对策略所需要的具体行动;③风险发生的触发条 件、征兆和预警信号;④实施所选应对策略所需要的预算和进度活动;⑤应急计划及启 动该计划所需的风险触发条件;⑥回退计划,供风险发生且主要应对措施不足以应对时 使用:⑦采取预定应对措施之后仍存在的残余风险,以及被有意接受的风险;⑧由实施 风险应对措施而直接导致的次生风险。
- 风险报告:更新以记录针对当前整体项目风险敞口和高优先级风险的经商定的应对措 施,以及实施这些措施之后的预期变化。
15.8 实施风险应对
实施风险应对是执行商定的风险应对计划的过程。本过程的主要作用:①确保按计划执行 商定的风险应对措施;②管理整体项目风险入口、最小化单个项目威胁,以及最大化单个项目 机会。本过程需要在整个项目期间开展。
15.8.1 输入
- 项目管理计划
可用于实施风险应对的项目管理计划组件是风险管理计划。
- 项目文件
- 风险登记册:记录了每个风险的应对措施,并指定责任人。
- 风险报告:包括对当前整体项目风险入口的评估,以及商定的风险应对策略,还会描述 重要的单个项目风险及其应对计划。
- 组织过程资产
15.8.2 工具与技术
- 专家判断
- 人际关系与团队技能
适用于本过程的人际关系与团队技能是影响力。有些风险应对措施可能由项目团队以外的 人员执行,或由存在其他竞争性需求的人员执行。这种情况下,负责引导风险管理过程的项目 经理或人员就需要施展影响力,去鼓励指定的风险责任人采取所需的行动。
- 项目管理信息系统
15.8.3 输出
- 变更请求
- 项目文件(更新)
- 项目团队派工单:一旦确定风险应对策略,应为每项与风险应对计划相关的措施分配必 要的资源,包括用于执行商定的措施的,具有适当资质和经验的人员、合理的资金和时 间,以及必要的技术手段。
- 风险登记册:可能需要更新风险登记册,以反映开展本过程所导致的对单个项目风险的 已商定应对措施的任何变更。
- 风险报告:可能需要更新风险报告,以反映开展本过程所导致的对整体项目风险入口的 已商定应对措施的任何变更。
15.9 监督风险
监督风险是在整个项目期间,监督风险应对计划的实施,并跟踪已识别风险、识别和分析 新风险,以及评估风险管理有效性的过程。本过程的主要作用是,保证项目决策是在整体项目 风险和单个项目风险当前信息的基础上进行。本过程需要在整个项目期间开展。
为了确保项目团队和关键干系人了解当前的风险级别,应该通过监督风险过程对项目工作 进行持续监督,并持续关注新出现、正变化和已过时的单个项目风险。
监督风险过程采用项目执行期间生成的绩效信息,以确定:①实施的风险应对是否有效; ②整体项目风险级别是否已改变;③已识别单个项目风险的状态是否已改变;④是否出现新的 单个项目风险;⑤风险管理方法是否依然适用;⑥项目假设条件是否仍然成立;⑦风险管理 政策和程序是否已得到遵守;⑧成本或进度应急储备是否需要修改;⑨项目策略是否仍然有 效等。
15.9.1 输入
- 项目管理计划
可用于监督风险的项目管理计划的组件是风险管理计划。
- 项目文件
- 风险登记册:主要内容包括已识别单个项目风险、风险责任人、商定的风险应对策 略,以及具体的应对措施。它可能还会提供其他详细信息,包括用于评估应对计划有 效性的控制措施、风险的症状和预警信号、残余及次生风险,以及低优先级风险观察 清单。
- 风险报告:包括对当前整体项目风险入口的评估,以及商定的风险应对策略,还会描述 重要的单个项目风险及其应对计划和风险责任人。
- 工作绩效数据
- 工作绩效报告
15.9.2 工具与技术
- 数据分析
适用于监督风险过程的数据分析技术主要包括:
- 技术绩效分析:开展技术绩效分析,把项目执行期间所取得的技术成果与取得相关技术 成果的计划进行比较。它要求定义关于技术绩效的客观的、量化的测量指标,以便据此 比较实际结果与计划要求。技术绩效测量指标可能包括处理时间、缺陷数量和储存容量 等。实际结果偏离计划的程度可代表威胁或机会的潜在影响。
- 储备分析:在整个项目执行期间,可能发生某些单个项目风险,对预算和进度应急储备 产生正面或负面的影响。储备分析是指在项目的任一时点比较剩余应急储备与剩余风险 量,从而确定剩余储备是否仍然合理。可以用各种图形(如燃尽图)来显示应急储备的 消耗情况。
- 审计
风险审计是一种审计类型,可用于评估风险管理过程的有效性。项目经理负责确保按项 目风险管理计划所规定的频率开展风险审计。风险审计可以在日常项目审查会和风险审查会 上开展,团队也可以召开专门的风险审计会。在实施审计前,应明确定义风险审计的程序和 目标。
- 会议
适用于监督风险过程的会议是风险审查会。
15.9.3 输出
- 工作绩效信息
- 变更请求
- 项目管理计划(更新)
- 项目文件(更新)
- 风险登记册:更新风险登记册,以记录在监督风险中产生的单个项目风险的信息,可能 包括添加新风险、更新已过时风险或已发生风险,以及更新风险应对措施等。
- 风险报告:应随着监督风险过程生成的新信息更新风险报告,以反映重要单个项目风险 的当前状态,以及整体项目风险的当前级别。风险报告还可能包括有关的详细信息,诸 如最高优先级单个项目风险、已商定的应对措施和责任人,以及结论与建议。风险报告 也可收录风险审计给出的关于风险管理过程有效性的结论。
- 组织过程资产(更新)
15.10 风险管理示例