【高项】信息系统项目管理师（十）项目风险管理【5分】-优快云博客

在这里插入图片描述

项目风险是一种不确定的事件或条件，一旦发生，会对项目目标产生某种正面或负面的影响。项目风险既包括对项目目标的威胁，也包括促进项目目标的机会。
已知风险是那些已经经过识别和分析的风险，对于已知风险，对其进行规划，寻找应对方案是可行的；虽然项目经理们可以依据以往类似项目的经验，采取一般的应急措施处理未知风险，但未知风险是无法管理的。
风险源于所有项目之中的不确定因素。项目在不同阶段会有不同的风险。风险会随着项目的进展而变化，不确定性也会随项目进展而逐渐减少。
项目风险管理的目的在于降低风险不利影响，提高项目成功的可能性。

一、管理基础

1、项目风险概述

每个项目都在两个层面上存在风险：一是每个项目都会影响项目达成目标的单个风险；二是由单个风险和不确定性的其他来源联合导致的整体项目风险。项目风险管理过程同时兼顾这两个层面的风险。
项目风险会对项目目标产生负面或正面的影响，也就是风险与机会。项目风险管理旨在利用或强化正面风险（机会），规避或减轻负面风险（威胁）。负面风险可能会引发各种问题，如工期延误、成本超支、绩效不佳或声誉受损等。

2、风险的属性

风险事件是随机性。风险事件的发生及其后果都具有偶然性。
风险的相对性。风险总是相对项目活动主体而言。同样的风险对于不同的主体有不同的影响。人们对于风险事件都有一定的承受能力，但是这种能力因活动、人和时间而异。对于项目风险，影响人们的风险承受能力的因素主要包括：收益的大小；投入的大小；项目活动主体的地位和拥有的资源。
风险的可变性。辩证唯物主义认为，任何事情和矛盾都可以在一定条件下向自己的反面转化。风险的可变性含义包括：风险性质的变化；风险后果的变化；出现新风险。

3、风险的分类

项目风险是一种不确定的事件或条件，一旦发生，就会对一个或多个项目目标造成积极或消极的影响。
特点：随机性、相对性、可变性
包括：威胁、机会

（1）分类-按后果

纯粹风险：不能带来机会、无获得利益可能（火灾、自然灾害…）
投机风险：既可能带来机会、获得利益，又隐含威胁、造成损失（股票、炒鞋…）
风险不是零和游戏。许多情况下，设计风险的各有关方面都要蒙受损失，无一幸免

（2）分类-按来源

自然风险：由于自然力的作用，造成财产损毁或人员伤亡的风险（洪水、地震…）
人为风险：由于人的活动而带来的风险。可以细分为行为、经济、技术、政治和组织风险等

（3）分类-按是否可管理

可管理的风险：指可以预测，并可采取相应措施加以控制
不可管理的风险：不可预测、很难主动管理

（4）分类-按风险影响范围

局部风险:影响的围小
总体风险:影响范围大
关键路线上的活动一旦延误，会延迟整个项目工期，形成总体风险;非关键路线上活动的延误在许多情况下是局部风险。

（5）分类-按后果的承担者

有项目业主风险、政府风险、承包商风险、投资方风险、设计单位风险、监理单位风险、供应商风险、担保方风险、保险公司风险

（6）分类-可预测性

已知风险：明确的、经常发生的、其后果亦可预见的风险。发生概率高，一般后果轻微(项目目标不明确，过分乐观的进度计划，设计或施工变更，材料价格波动)
可预测风险(已知-未知)：是根据经验可以预见其发生，但不可预见其后果的风险。有时可能相当严重(不及时批准，分包商不能及时交工，不可预见的地质条件)
不可预测风险(未知-未知)：有可能发生，但可能性不能预的风险。也称未知风险或未识别的风险。(地震、百年不遇的暴雨、通货膨胀、政策变化)

（7）风险态度

风险偏好。为了预期的回报，一个实体愿意承受不确定性的程度
风险承受力。能承受的风险程度、数量或容量
风险临界值。干系人特别关注的特定的不确定性程度或影响程度

4、风险成本及其负担

风险损失的有形成本。包括风险事件造成的直接损失和间接损失。
风险损失的无形成本。包括:风险损失减少了机会;风险阻碍了生产率的提高;风险造成资源分配不当。
风险预防与控制的成本。
风险成本的负担。项目主体负担的那部分为个体负担成本，其他有关方面负担的部分为社会负担成本。

5、管理新实践

非事件类风险。

变异性风险。已规划的目标、活动或决策的某些关键方面存在不确定性。例如，测试发现的错误数量可能多于或少于预期。变异性风险可通过蒙特卡洛分析加以处理，即:用概率分布表示变异的可能区间，然后采取行动缩小可能结果的区间。
模糊性风险。对未来可能发生什么存在不确定性。例如，不太了解需求或技术解决方案的要素。模糊性风险需要先定义认知或理解的不足之处，进而通过获取外部专家的意见或以最佳实践为标杆来填补差距。也可以采用增量开发、原型搭建或模拟等方法来处理模糊性风险。

项目韧性

有一种风险只有在发生后才能被发现，这种风险称为突发性风险。可以通过加强项目韧性来应对这种风险

整合式风险管理

应该在适当的层面上承担和管理风险。在较高层面识别出的某些风险，可以及时授权给项目团队去管理;而在较低层面识别出的某些风险，又可以交给较高层面去管理(如果在项目之外管理最有效)。应该利用组织级的风险管理方法，来确保所有层面的风险管理工作的一致性和连贯性，这样就能使项目集和项目组合的结构具有风险控制的效率，有利于在给定的风险忍受程度下创造最大的整体价值。

二、项目风险管理过程

在这里插入图片描述

三、规划风险管理

规划风险管理是定义如何实施项目风险管理活动的过程。
主要作用是，确保风险管理的水平、方法和可见度与项目风险程度相匹配，与对组织的其他干系人的程度相匹配。

输入	项目章程、项目管理计划、项目文件、事业环境因素、组织过程资产
输出	`风险管理计划`
技术	专家判断、数据表现、会议

在这里插入图片描述

1、风险管理计划

描述如何安排与实施风险管理活动

包括:风险管理战略；方法论；角色与职责；资金;时间安排；风险类别；干系人风险偏好；风险概率和影响定义；概率和影响矩阵；报告格式；跟踪。

2、风险识别

确定对单个项目风险进行分类的方式。
通常借助风险分解结构(RBS)来构建风
险类别。

3、风险概率和影响的定义

要对每个已识别的单个项目风险进行概率和影响评估。
风险评估可以采用访谈或会议的形式。
应该采用风险管理计划中的概率和影响定义。
低概率和影响的风险将被列入风险登记册中的观察清单，以供未来监控。

在这里插入图片描述

4、概率和影响矩阵

在这里插入图片描述

四、识别风险

识别风险是识别单个风险以及整体项目风险的来源，并记录风险特征的过程。
主要作用：1、记录现有的单个项目风险，以及整体项目风险的来源；2、汇总相关信息，以便项目团队能够恰当地应对已识别的风险。本过程应在整个项目期间开展。

输入	项目管理计划、项目文件、采购文档、协议、事业环境因素、组织过程资产
输出	`风险登记册、风险报告`、项目文件更新
技术	专家判断、`数据收集`、数据分析、人际关系与团队技能、`提示清单`、会议

在这里插入图片描述

1、风险登记册

记录风险分析和应对规划的结果的文件

识别风险后，风险登记册记录：
①已识别风险的清单；
②潜在风险责任人；
③潜在风险应对措施清单；

在这里插入图片描述

2、风险报告

风险报告提供关于整体项目风险的信息，以及关于已识别的单个项目风险的概述信息。
风险报告的编制是一项渐进式的工作。

3、核查单

包括需要考虑的项目、行动或要点的清单。它常被用作提醒。
基于从类似项目和其他信息来源积累的历史信息和知识来编制核查单。
可列出过去曾出现且可能与当前项目相关的具体项目风险，这是吸取已完成的类似项目的经验教训的有效方式。可基于已完成的项目来编制核查单，也可采用特定行业的通用风险核查单。
虽然核查单简单易用，但它不可能穷尽所有风险。所以，必须确保不要用核查单来取代所需的风险识别工作;同时，项目团队也应该注意考察未在核査单中列出的事项。此外，还应该不时地审查核查单，增加新信息，删除或存档过时信息。

4、SWOT分析

在这里插入图片描述

五、实施定性风险分析

实施定性风险分析是通过评估单个项目风险发生的概率和影响及其他特征，对风险进行优先排序，从而为后续分析或行动提供基础的过程。
主要作用是重点关注高优先级的风险。本过程需要在整个项目期间开展。

输入	项目管理计划、项目文件、事业环境因素、组织过程资产
输出	项目文件更新
技术	专家判断、数据收集、`数据分析`、人际关系与团队技能、`风险分类`、数据表现、会议

在这里插入图片描述

1、输出

风险登记册。用实施定性风险分析过程生成的新信息，去更新风险登记册。更新内容可能包括：每项单个项目风险的概率和影响评估、优先级别或风险分值、指定风险责任人、风险紧迫性信息或风险类别，以及低优先级风险的观察清单和需要进一步分析的风险。
风险报告。更新风险报告，以记录最重要的单个项目风险(通常为概率和影响最高的风险)、所有已识别风,险的优先级列表以及简要的结论。

2、风险数据质量评估

评估风险数据对风险管理的有用程度
考察人们对风险的理解程度，以及考察风险数据的准确性、质量、可靠性和完整性

3、风险分类

可按照风险来源（RBS）、受影响的项目工作（WBS）或其他有效分类标准（如项目阶段）对项目风险进行分类，以确定受不确定性影响最大的项目区域
也可以根据共同的根本原因进行分类；
本技术有助于为制定有效的风险应对措施而确定工作包、活动、项目阶段、甚至项目中的角色

4、风险紧迫性评估

考虑：可监测性、风险应对的时间要求、风险征兆和预警信号、风险等级
把近期就需要应对的风险确定为更紧迫的风险
可结合概率和影响评估结果综合分析

5、层级图

如果使用了两个以上的参数对风险进行分类，那就不能使用概率和影响短阵，而需要使用其他图形。
例如，气泡图能显示三维数据。在气泡图中，把每个风险都绘制成一个气泡，并用X轴值、y轴值和气泡大小来表示风险的3个参数。气泡图的示例如图15-6所示，其中X轴代表可监测性，Y轴代表邻近性，影响值则以气泡大小表示.

在这里插入图片描述

六、实施定量风险分析

实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。
主要作用：①量化整体项目风险最大可能性；②提供额外的定量风险信息，以支持风险应对规划。
本过程并非每个项目必需，但如果采用，它会在整个项目期间持续开展。

输入	项目管理计划、项目文件、事业环境因素、组织过程资产
输出	项目文件更新
技术	专家判断、数据收集、`数据分析`、人际关系与团队技能、`不确定性表现方式`、数据分析

在这里插入图片描述

1、输出

可作为实施定量风险分析过程输出的项目文件是风险报告。
更新风险报告可以反应定量风险分析的结果：
（1）对整体项目风险最大可能性的评估结果。
（2）项目详细概率分析的结果。
（3）单个项目风险优先级清单
（4）定量风险分析结果的趋势
（5）风险应对建议

2、决策树分析

是当某些情况在未来可能发生或不发生时，计算平均结果的一种统计方法。
风险中立，不避险，不冒险，把每个可能结果的数值与其发生的概率相乘，再把所有乘积相加，就计算出项目的WMV。

在这里插入图片描述

3、敏感性分析

有助于确定哪些风险对项目具有最大的潜在影响
有助于理解项目目标的变化与各种不确定因素的变化之间存在怎样的关联。
把所有其他不确定因素固定在基准值，考虑每个因素的变化会对目标产生多大程度的影响。
敏感性分析的典型表现形式是龙卷风图

在这里插入图片描述

4、建模和模拟

使用模型来模拟单个项目风险和其他不确定性来源的综合影响，以评估它们对项目目标的潜在影响
模拟通常采用蒙特卡洛分析

在这里插入图片描述

5、影响图

影响图。不确定条件下进行决策的图形辅助工具。
它将一个项目或项目中的一种情境表现为一系列实体、结果和影响，以及它们之间的关系和相互影响。
如果因为存在单个项目风险或不确定性来源而影响图中的某些要素的不确定性，就在影响图中以区间或概率分布的形式表示这些要素;然后，借助模拟技术(如蒙特卡洛分析)来分析哪些要素对重要结果具有最大的影响。
影响图分析可以得出类似于其他定量风险分析的结果，如S曲线图和龙卷风图

七、规划风险应对

规划风险的应对措施是为了应对项目风险，而制定可选方案，选择应对策略并商定应对行动的过程。
主要作用：①制定应对整体项目风险和单个项目风险的适当方法；②分配资源，并根据需要将相关活动添加进项目文件和项目管理计划中。本过程需要在整个项目期间开展。

输入	项目管理计划、项目文件、事业环境因素、组织过程资产
输出	变更请求、项目管理计划更新、项目文件更新
技术	专家判断、数据收集、`威胁应对策略、机会应对策略、应急应对策略`、人际关系与团队技能、整体项目风险应对策略、决策、数据分析

在这里插入图片描述

1、输出

风险登记册。需要更新以记录选择和商定的风险应对措施。更新可能包括:1、商定的应对策略;2、实施所选应对策略所需要的具体行动;3、风险发生的触发条件、征兆和预警信号;4、实施所选应对策略所需要的预算和进度活动;5、应急计划及启动该计划所需的风险触发条件;6、回退计划，供风险发生目主要应对措施不足以应对时使用;7、采取预定应对措施之后仍存在的残余风险，以及被有意接受的风险;8、由实施风险应对措施而直接导致的次生风险。
风险报告。更新以记录针对当前整体项目风险敞口和高优先级风险的经商定的应对措施以及实施这些措施之后的预期变化。

2、威胁应对

上报	某威胁不在项目范围内，或提议的应对措施超出了项目经理的权限，就应该采用上报策略被上报的风险将在项目集层面、项目组合层面或组织的其他相关部门加以管理，而不在项目层面，对于被上报的威胁，组织中的相关人员必须愿意承担应对责任，这一点非常重要仍可出现在风险登记册中供参考，
规避	指项目团队采取行动来消除威胁，或深护项目免受风险影包括:改变项目管理计划、把项目目标从风险的影响中分离出来、改变受到威胁的目标项目早期出现的某些风险，可以通过`澄清需求、获取信息、改善沟通或取得专有技能`来加以规避
转移	项目团队把威胁造成的影响近同应对责任一起转移给第三方几乎总是需要向风险承担者支付风险费用;对处理风险的财务后果最有效包括:`保险、履约保函、担保书和保证书`等
减轻	指项目团队采取行动降低风险发生的概率或造成的影响提前采取行动，比风险发生后再设法补数，往往会更加有效包括:采用不太复杂的流程、更多的测试，选用更可靠的供应商、开发原型、系统冗余
接受	指项目团队决定接受风险的存在，而不采取任何措施(除非风险真的发生)在不可能用其他方法/或者其他方法不具经济有效性时使用被动接受:仅记录，无需其他行动;待风险发生时再处理主动接受:建立应急储备，安排一定的时间、资金或资源来应对风险

3、机会应对

上报	某威胁不在项目范围内，或提议的应对措施超出了项目经理的权限，就应该采用上报策略被上报的风险将在项目集层面、项目组合层面或组织的其他相关部门加以管理，而不在项目层面，对于被上报的威胁，组织中的相关人员必须愿意承担应对责任，这一点非常重要仍可出现在风险登记册中供参考。
开拓	消除与某个积极风险的不确定性，确保机会肯定出现。包括:`把组织中最有能力的资源分配给项目来缩短完成时间，或者，采用全新或改进的技术来节约成本，缩短实现项目目标的持续时间`
分享	把应对机会的部分或全部责任分配给最能为项目利益抓住该机会的第三方。包括:`建立风险共担的合作关系和团队，以及为特殊目的成立公司或联营体以便充分利用机会，使各方都从中受益`
提高	提高机会的发生概率/影响识别那些会影响积极风险发生的关键因素，并使之最大化包括:`为尽早完成活动而增加资源`
接受	接受机会是指当机会发生时乐于利用，但不主动追求机会

原计划	在项目初期编制计划时，对已识别风险编制的应对方案
应急计划	针对某些特定事件，提前设计一套应对计划，俗称 Plan B。只有在某些预定条件发生时才能实施的应对计划。
弹回计划	提前预备的一套的行动方案，以便在主应对计划因问题、风险或其他原因废弃时采用。可理解为项目目标放弃或重大改变时，以最小损失收尾或过渡的方案，或称“保底方案"
权变措施	在未事先制定应对措施或事先制定的应对措施无效时，针对已发生的威胁而采取的随机应变的措施。

在这里插入图片描述

八、实施风险应对

实施风险应对是执行商定的风险应对计划的过程。
主要作用：①确保按计划执行商定的风险应对措施；②管理整体项目风险入口、最小化单个项目威胁，以及最大化单个项目机会。本过程需要在整个项目期间开展。

输入	项目管理计划、项目文件、组织过程资产
输出	变更请求、项目文件更新
技术	专家判断、人际关系与团队技能、项目管理信息系统

在这里插入图片描述

1、输出

风险登记册。可能需要更新风险登记册，以反映开展本过程所导致的对单个项目风险的，已商定应对措施的任何变更。
风险报告。可能需要更新风险报告，以反映开展本过程所导致的对整体项目风险入口的已商定应对措施的任何变更。

九、监督风险

监督风险是在整个项目期间，监督风险应对计划的实施，并跟踪已识别风险，识别和分析新风险，以及评估风险管理有效性的过程。
主要作用是：保证项目决策是在整个项目风险和单个项目风险当前信息的基础上进行。
本过程需要在整个项目期间开展。

输入	项目管理计划、项目文件、工作绩效`数据`、工作绩效`报告`
输出	工作绩效`信息`、变更请求、项目管理计划更新、项目文件更新、组织过程资产更新
技术	数据分析、`审计、会议`

在这里插入图片描述

1、输出

风险登记册。更新风险登记册，以记录在监督风险中产生的单个项目风险的信息，可能包括添加新风险、更新已过时风险或已发生风险，以及更新风险应对措施等
风险报告。应随着监督风险过程生成的新信息更新风险报告，以反映重要单个项目风险的当前状态，以及整体项目风险的当前级别。风险报告还可能包括有关的详细信息，诸如最高优先级单个项目风险、已商定的应对措施和责任人，以及结论与建议。风险报告也可收录风险审计给出的关于风险管理过程有效性的结论,