风险响应策略与风险防范策略确实属于风险管理中的两个不同维度

风险响应策略与风险防范策略确实属于风险管理中的两个不同维度。风险防范策略（也称风险预防策略）侧重于在风险发生前采取措施，降低其发生的可能性或影响程度，因此需要提前融入项目的技术方案、流程设计和管理机制中，由相关人员持续执行，例如通过质量控制、冗余设计、培训等手段进行预防。

而风险响应策略是针对已识别但尚未发生的风险所制定的应对计划，它是一种“触发式”机制——只有当特定风险事件实际发生时，才会启动相应的应对措施，如应急计划、缓解行动或转移策略（如购买保险）。如果该风险在整个项目周期内都未发生，则这些响应措施不会被执行，也不会占用项目资源。

简而言之：

• 风险防范 是“事前主动防御”，贯穿项目全过程；
• 风险响应 是“事后被动出击”，仅在风险触发时激活。

class RiskManagement:
    def __init__(self):
        self.preventive_strategies = []  # 防范策略：始终执行
        self.response_plans = {}         # 响应策略：条件触发

    def add_prevention(self, strategy):
        """添加防范策略"""
        self.preventive_strategies.append(strategy)
        print(f"[执行] 防范策略已部署: {strategy}")

    def register_response(self, risk_event, action):
        """注册风险响应计划"""
        self.response_plans[risk_event] = action
        print(f"[准备] 响应策略已登记: 若'{risk_event}'发生，则执行'{action}'")

    def trigger_risk(self, occurred_risk):
        """模拟风险发生并触发响应"""
        if occurred_risk in self.response_plans:
            action = self.response_plans[occurred_risk]
            print(f"[触发] 风险 '{occurred_risk}' 发生，执行响应: {action}")
        else:
            print(f"[警告] 无对应响应策略: {occurred_risk}")

# 示例使用
rm = RiskManagement()
rm.add_prevention("代码审查流程")
rm.add_prevention("系统双机热备")
rm.register_response("服务器宕机", "切换至备用服务器")
rm.register_response("需求变更", "启动变更控制流程")

# 模拟风险事件
rm.trigger_risk("服务器宕机")     # 触发响应
rm.trigger_risk("资金短缺")       # 无响应计划

在项目初期识别需要防范和响应的关键风险，是确保项目成功的重要前提。这一过程通常通过系统的风险管理流程来实现，主要包括以下几个步骤：

1. 组建风险管理团队
   邀请项目经理、技术专家、业务代表、质量与安全人员等关键干系人参与，确保多角度识别风险。

2. 开展风险识别活动
   使用结构化方法收集潜在风险，常用工具包括：

   • 头脑风暴：集思广益，列出所有可能的风险。
   • 德尔菲法：通过匿名专家问卷多轮反馈，达成共识。
   • SWOT分析：从项目的优势（Strengths）、劣势（Weaknesses）、机会（Opportunities）和威胁（Threats）中挖掘内外部风险。
   • 检查表法：基于历史项目经验或行业标准建立风险清单进行比对。
   • 假设分析：检验项目计划中的关键假设是否成立，识别由此带来的风险。

3. 分类与归类风险
   将识别出的风险按类型分类，如：

   • 技术风险（新技术不成熟、集成难度大）
   • 管理风险（进度延误、沟通不畅）
   • 外部风险（政策变化、供应链中断）
   • 资源风险（人力不足、预算超支）
   • 需求风险（需求变更频繁、用户参与度低）

4. 评估风险优先级
   对每个风险进行概率与影响评估（通常采用5×5风险矩阵），确定其严重程度：

   • 高概率+高影响 → 关键风险，需重点防范与响应
   • 低概率+低影响 → 可接受或监控

5. 区分防范与响应策略对象

   • 需防范的风险：发生可能性高、可预防的（如技术缺陷、人员流失），应提前嵌入项目流程；
   • 需响应的风险：虽影响大但不确定是否发生（如自然灾害、关键供应商倒闭），制定应急计划即可。

6. 记录并持续更新风险登记册（Risk Register）
   将所有关键风险及其描述、类别、责任人、应对策略（防范/响应）记录下来，并在项目全周期中动态更新。

# 示例：简化版风险登记册数据结构
risk_register = [
    {
        "risk_id": "R001",
        "description": "核心开发人员离职",
        "category": "资源风险",
        "probability": "高",
        "impact": "高",
        "priority": "高",
        "prevention": "建立AB角机制、知识共享制度",
        "response": "启动紧急招聘流程，调配替代人员"
    },
    {
        "risk_id": "R002",
        "description": "第三方API接口不稳定",
        "category": "技术风险",
        "probability": "中",
        "impact": "高",
        "priority": "高",
        "prevention": "增加本地缓存、降级逻辑",
        "response": "切换至备用服务提供商"
    }
]

for risk in risk_register:
    print(f"【{risk['priority'].upper()}】{risk['description']} "
          f"→ 防范: {risk['prevention']} | 响应: {risk['response']}")

输出示例：
【高】核心开发人员离职 → 防范: 建立AB角机制、知识共享制度 | 响应: 启动紧急招聘流程，调配替代人员
【高】第三方API接口不稳定 → 防范: 增加本地缓存、降级逻辑 | 响应: 切换至备用服务提供商