11 - 风险管理

项目风险定义

项目风险是一种不确定的事件或条件，一旦发生，就会对一个或多个项目目标造成积极或消极的影响

风险的属性

1. 风险事件的随机性 风险事件的发生及其后果都具有偶然性。

2. 风险的相对性 风险总是相对项目活动主体而言的。同样的风险对于不同的主体有不同的影响。

3. 风险的可变性 辩证唯物主义认为，任何事情和矛盾都可以在一定条件下向自己的反面转化。

风险的分类

按后果$\color{red}{★}$

• 纯粹风险： 不能带来机会、无获得利益可能（火灾、自然灾害……）
• 投机风险： 既可能带来机会、获得利益，又隐含威胁、造成损失（股票、炒鞋……）
• 风险不是零和游戏。许多情况下，涉及风险的各有关方面都要蒙受损失，无一 幸免

按来源

• 自然风险：由于自然力的作用，造成财产毁损或人员伤亡的风险（洪水、地震……）
• 人为风险：由于人的活动而带来的风险。可以细分为行为、经济、技术、政治和组织风险等

按是否可管理

• 可管理的风险：指可以预测，并可采取相应措施加以控制
• 不可管理的风险：不可预测、很难主动管理

按风险影响范围

• 局部风险：影响的围小
• 总体风险：影响范围大
• 关键路线上的活动一旦延误，会延迟整个项目工期，形成总体风险；非关键路线上活动的延误在许多情况下是局部风险

按后果的承担者

• 有项目业主风险、政府风险、承包商风险、投资方风险、设计单位风险、监理单位风险、供应商风险、担保方风险、保险公司风险

可预测性$\color{red}{★}$

• 已知风险：明确的、经常发生的、其后果亦可预见的风险。发生概率高，一般后果轻微（项目目标不明确，过分乐观的进度计划，设计或施工变更，材料价格波动）
• 可预测风险（已知-未知）：是根据经验可以预见其发生，但不可预见其后果的风险。有时可能相当严重（不及时批准，分包商不能及时交工，不可预见的地质条件）
• 不可预测风险（未知-未知） ：有可能发生，但可能性不能预的风险。也称未知风险或未识别的风险。（地震、百年不遇的暴雨、通货膨胀、政策变化）

风险态度

• 风险偏好。为了预期的回报，一个实体愿意承受不确定性的程度
• 风险承受力。能承受的风险程度、数量或容量
• 风险临界值。干系人特别关注的特定的不确定性程度或影响程度

项目风险管理

• 包括规划风险管理、识别风险、实施风险分析、规划风险应对和控制风险等各个过程
• 目标在于提高项目中积极事件的概率和影响，降低项目中消极事件的概率和影响

项目风险管理的过程

1. 规划风险管理
2. 识别风险
3. 实施定性风险分析
4. 实施定量风险分析
5. 规划风险应对
6. 控制风险

规划风险管理

定义: 定义如何实施项目风险管理活动

作用: 本过程的主要作用是，确保风险管理的水平、方法和可见度与项目风险程度相匹配，与对组织和其他干系人的重要程度相匹配。

风险管理计划$\color{red}{★}$

风险管理计划描述如何安排与实施项目风险管理，它是项目管理计划的从属计划。 风险管理计划可包括以下内容。

• 风险管理策略：描述用于管理本项目风险的一般方法。
• 方法论：确定用于开展本项目风险管理的具体方法、工具及数据来源。
• 角色与职责：确定每项风险管理活动的领导者、支持者和团队成员，并明确职责。
• 资金：确定开展项目风险管理活动所需资金， 制定应急储备和管理储备使用方案。
• 时间安排：确定在项目生命周期中实施项目风险管理过程的时间和频率，确定风险管理活动并将其纳入项目进度计划。
• 风险类别：确定对项目风险进行分类的方式。通常借助风险分解结构（RBS ) 来构建风险类别。
• 干系人风险偏好：应在风险管理计划中记录项目关键干系人的风险偏好。
• 风险概率和影响：根据具体的项目环境、组织和关键干系人的风险偏好和临界值，来制定风险概率和影响。
• 概率和影响矩阵：组织可在项目开始前确定优先级排序规则，并将其纳入组织过程资产，也可为具体项目量身定制优先级排序规则。
• 报告格式：确定将如何记录、分析和沟通项目风险管理过程的结果。
• 跟踪：确定将如何记录风险活动，以及如何审计风险的管理过程。

风险类别$\color{red}{★}$

• 对潜在风险成因的分类方法
• 风险分解结构（Risk Breakdown Structure，RBS）

风险概率和影响的定义$\color{red}{★}$

识别风险

定义: 识别风险是识别单个项目风险以及整体项目风险的来源，并记录风险特征的过程。

作用: ①记录现有的单个项目风险，以及整体项目风险的来源；②汇总相关信息，以便项目团队能够恰当地应对己识别的风险。

定性风险分析后的风险登记册

1. 风险ID
2. 风险描述
3. 风险类别
4. 概率
5. 影响
6. 优先级
7. 应对策略
8. 应对措施
9. 风险责任人

信息收集技术

• 头脑风暴
• 德尔菲技术
• 访谈
• 根本原因分析

核对单分析$\color{red}{★}$

• 根据以往类似项目和其他来源的历史信息与知识编制风险识别核对单
• 也可用风险解结构的底层作为风险核对单
• 单要随时调整，以便增减相关条目
• 项目收尾过程中，应对核对单进行审查，并根据新的经验教训改进核对单，供未来项目使用

图解技术

• 因果图。又称石川图或鱼骨图，用于识别风险的起因
• 系统或过程流程图。显示系统各要素之间的相互联系及因果传导机制
• 影响图。用图形方式表示变量与结果之间的因果关系、事件时间顺序及其他关系

SWOT分析 $\color{red}{★}$

从项目的每个优势（Strength）、劣势（Weakness）、机会（Opportunity）和威胁（Threat）出发，把产生于内部的风险都包括在内，从而更全面地考虑风险

风险登记册

• 记录风险分析和应对规划的结果的文件
• 识别风险后，风险登记册记录：
  • 已识别风险清单
  • 潜在应对措施清单
  • 潜在风险责任人

完成识别风险过程时，风险报告内容主要包括：

• 整体项目风险的来源：说明哪些是整体项目风险的最重要因素。

• 关于己识别单个项目风险的概述信息：例如，己识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势。

实施定性风险分析

定义: 评估并综合分析风险的概率和影响，对风险进行优先排序，从而为后续分析或行动提供基础

作用: 使项目经理能够降低项目的不确定性级别，并重点关注高优先级的风险

风险概率和影响评估

• 风险概率评估：旨在调查每个具体风险发生的可能性
• 风险影响评估：旨在调查风险对项目目标（如进度、成本、质量或性能）的潜在影响（包括消极影响和积极影响）
• 具有低级别概率和影响的风险，将列入风险登记册中的观察清单，供将来监测

概率和影响矩阵$\color{red}{★}$

风险数据质量评估

• 评估风险数据对风险管理的有用程度
• 考察人们对风险的理解程度，以及考察风险数据的准确性、质量、可靠性和完整性

风险分类

• 可按照风险来源（RBS）、受影响的项目工作（WBS）或其他有效分类标准（如项目阶段）对项目风险进行分类，以确定受不确定性影响最大的项目区域
• 也可以根据共同的根本原因进行分类
• 本技术有助于为制定有效的风险应对措施而确定工作包、活动、项目阶段，甚至项目中的角色

风险紧迫性评估

• 考虑因素：可监测性、风险应对的时间要求、风险征兆和预警信号、风险等级
• 把近期就需要应对的风险确定为更紧迫的风险
• 可结合概率和影响评估结果综合分析

风险登记册$\color{red}{★}$

• 定性分析后，风险登记册记录：
  • 每个风险的概率和影响评估
  • 风险评级和分值
  • 风险紧迫性或风险分类
  • 低概率风险的观察清单
  • 需要进一步分析的风险

实施定量风险分析

定义: 就已识别风险对项目整体目标的影响进行定量分析

作用: 产生量化风险信息，来支持决策制定，降低项目的不确定性

敏感性分析$\color{red}{★}$

• 有助于确定哪些风险对项目具有最大的潜在影响
• 有助于理解项目目标的变化与各种不确定因素的变化之间存在怎样的关联
• 把所有其他不确定因素固定在基准值，考察每个因素的变化会对目标产生多大程度的影响
• 敏感性分析的典型表现形式是龙卷风图

该过程采用蒙特卡洛模拟与决策树分析等技术，以便∶

• 对项目结果以及实现项目结果的概率进行量化。
• 评估实现具体项目目标的概率。
• 通过量化各项风险对项目总体风险的影响，确定需要特别重视的风险。
• 在考虑项目风险的情况下，确定可以实现的切合实际的成本、进度或范围目标。
• 在某些条件或结果不确定时，确定最佳的项目管理决策。

预期货币价值分析 $\color{red}{★}$

• 是当某些情况在未来可能发生或不发生时，计算平均结果的一种统计方法
• 机会的EMV通常表示为正值，威胁的EMV则表示为负值
• 建立在风险中立的假设之上的，既不避险，也不冒险
• 把每个可能结果的数值与其发生的概率相乘，再把所有乘积相加， 就可以计算出项目的EMV
• 这种技术经常在决策树分析中使用

建模和模拟 $\color{red}{★}$

• 使用一个模型，计算项目各细节方面的不确定性对项目目标的潜在影响
• 模拟通常采用蒙特卡洛技术
• 在模拟中，要利用项目模型进行多次（反复）计算

风险登记册 $\color{red}{★}$

• 定量分析后，风险登记册记录：
  • 项目的概率分析
  • 实现成本和时间目标的概率
  • 量化风险优先级清单
  • 定量风险分析结果的趋势

规划风险应对

定义: 针对项目目标，制定提高机会、降低威胁的方案和措施

作用: 根据风险的优先级来制定应对措施，并把风险应对所需的资源和活动加进项目的预算、进度计划和项目管理计划中

威胁应对

规避 $\color{red}{★}$

• 指项目团队采取行动来消除威胁，或保护项目免受风险影
• 包括：改变项目管理计划、把项目目标从风险的影响中分离出来、改变受到威胁的目标
• 项目早期出现的某些风险，可以通过澄清需求、获取信息、改善沟通或取得专有技能来加以规避

转移 $\color{red}{★}$

• 项目团队把威胁造成的影响连同应对责任一起转移给第三方
• 几乎总是需要向风险承担者支付风险费用
• 对处理风险的财务后果最有效
• 包括：保险、履约保函、 担保书和保证书等
• 成本补偿合同可把成本风险转移给买方，而总价合同可把风险转移给卖方

减轻 $\color{red}{★}$

• 指项目团队采取行动降低风险发生的概率或造成的影响
• 提前采取行动，比风险发生后再设法补救，往往会更加有效
• 包括：采用不太复杂的流程、更多的测试，选用更可靠的供应商、开发原型、系统冗余

接受$\color{red}{★}$

• 指项目团队决定接受风险的存在，而不采取任何措施（除非风险真的发生）
• 在不可能用其他方法/或者其他方法不具经济有效性时使用
• 被动接受：仅记录，无需其他行动；待风险发生时再处理
• 主动接受：建立应急储备，安排一定的时间、资金或资源来应对风险

机会应对

开拓 $\color{red}{★}$

• 消除与某个积极风险的不确定性，确保机会肯定出现
• 包括：把组织中最有能力的资源分配给项目来缩短完成时间，或者，采用全新或改进的技术来节约成本，缩短实现项目目标的持续时间

提高 $\color{red}{★}$

• 提高机会的发生概率/影响
• 识别那些会影响积极风险发生的关键因素，并使之最大化
• 包括：为尽早完成活动而增加资源

分享 $\color{red}{★}$

• 把应对机会的部分或全部责任分配给最能为项目利益抓住该机会的第三方
• 包括：建立风险共担的合作关系和团队，以及为特殊目的成立公司或联营体，以便充分利用机会，使各方都从中受益

接受 $\color{red}{★}$

• 接受机会是指当机会发生时乐于利用，但不主动追求机会

应急应对策略$\color{red}{★}$

• 制定只有在某些预定条件发生时才能实施的应对计划
• 风险的发生会有充分的预警信号，就应该制定应急应对策略
• 应该对触发应急策略的事件进行定义和跟踪， 例如，未实现阶段性里程碑，或者获得供应商更高程度的重视
• 通常称为应急计划或弹回计划

风险登记册$\color{red}{★}$

• 规划应对后，风险登记册记录：
  • 风险责任人及其职责；
  • 商定的应对策略；
  • 实施所选应对策略所需要的具体行动；
  • 风险发生的触发条件、征兆和预警信号；
  • 实施所选应对策略所需要的预算和进度活动；
  • 应急计划及启动应急计划的触发因素；
  • 弹回计划，在风险发生并且主要应对措施无效时使用；
  • 在采取预定应对措施之后仍然存在的残余风险，以及已经有意接受的风险；
  • 实施风险应对措施直接导致的次生风险；
  • 根据项目的定量风险分析及组织的风险临界值，计算出来的应急储备

控制风险

定义： 在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险，以及评估风险过程有效性

作用： 在整个项目生命周期中提高应对风险的效率，不断优化风险应对

风险再评估 $\color{red}{★}$

• 识别新风险、对现有风险进行再评估、删去已过时风险
• 应该定期进行
• 次数和详细程度，根据项目目标的项目进展情况而定

风险审计 $\color{red}{★}$

• 检查并记录风险应对措施在处理已识别风险及其根源方面的有效性，以及风险管理过程的有效性
• 按项目风险管理计划规定进行
• 可以在日常的项目审查会中进行，也可单独召开

偏差和趋势分析

• 利用绩效信息对项目执行的趋势进行审查
• 分析的结果可以揭示项目在完成时可能偏离成本和进度目标的程度
• 与基准计划的偏差可能表明威胁或机会的潜在影响

技术绩效测量

• 把项目执行期间所取得的技术成果与关于取得技术成果的计划进行比较
• 测量指标可包括重量、处理时间、缺陷数量和存储容量
• 偏差值有助于预测项目范围方面的成功程度

储备分析 $\color{red}{★}$

• 在项目的任何时点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理

风险登记册 $\color{red}{★}$

• 控制风险，风险登记册记录：
  • 风险再评估、风险审计和定期风险审查的结果
  • 项目风险及其应对的实际结果。