实施定性风险分析是通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先排序,从而为后续分析或行动提供基础的过程。本过程的主要作用是重点关注高优先级的风险。本过程需要在整个项目期间开展。图 3-21 描述了本过程的输入和输出。
图 3-21实施定性风险分析:输入和输出
项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程。项目风险管理的目标在于提高正面风险的概率和(或)影响,降低负面风险的概率和(或)影响,从而提高项目成功的可能性。
项目风险管理的过程是:
11.1 规划风险管理 — 定义如何实施项目风险管理活动的过程。
11.2 识别风险 — 识别单个项目风险,以及整体项目风险的来源,并记录风险特征的过程。
11.3 实施定性风险分析 — 通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。
11.4 实施定量风险分析 — 就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析的过程。
11.5 规划风险应对 — 为处理整体项目风险敞口,以及应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程。
11.6 实施风险应对 — 执行商定的风险应对计划的过程。
11.7 监督风险 — 在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。
图 11-1 概括了项目风险管理的各个过程。虽然在本《PMBOK® 指南》中,各项目管理风险过程
以界限分明和相互独立的形式出现,但在实践中它们会以本指南无法全面详述的方式相互交叠和相互作用。
图 11-1项目风险管理概述
项目风险管理的核心概念既然项目是为交付收益而开展的、具有不同复杂程度的独特性工作,那自然就会充满风险。
开展项目,不仅要面对各种制约因素和假设条件,而且还要应对可能相互冲突和不断变化的相关方期望。组织应该有目的地以可控方式去冒项目风险,以便平衡风险和回报,并创造价值。
项目风险管理旨在识别和管理未被其他项目管理过程所管理的风险。如果不妥善管理,这些风险有可能导致项目偏离计划,无法达成既定的项目目标。因此,项目风险管理的有效性直接关乎项目成功与否。
每个项目都在两个层面上存在风险。每个项目都有会影响项目达成目标的单个风险,以及由单个项目风险和不确定性的其他来源联合导致的整体项目风险。考虑整体项目风险,也非常重要。项目风险管理过程同时兼顾这两个层面的风险。它们的定义如下:
它源于包括单个风险在内的所有不确定性。
一旦发生,单个项目风险会对项目目标产生正面或负面的影响。项目风险管理旨在利用或强化正面风险(机会),规避或减轻负面风险(威胁)。未妥善管理的威胁可能引发各种问题,如工期延误、成本超支、绩效不佳或声誉受损。把握好机会则能够获得众多好处,如工期缩短、成本节约、绩效改善或声誉提升。
整体项目风险也有正面或负面之分。管理整体项目风险旨在通过削弱负面变异的驱动因素,加强正面变异的驱动因素,以及最大化实现整体项目目标的概率,把项目风险敞口保持在可接受的范围之内。
因为风险会在项目生命周期内持续发生,所以,项目风险管理过程也应不断迭代开展。在项目规划期间,就应该通过调整项目策略对风险做初步处理。接着,应该随着项目进展,监督和管理风险,确保项目处于正轨,并且突发性风险也得到处理。
为有效管理特定项目的风险,项目团队需要知道,相对于要追求的项目目标,可接受的风险敞口究竟是多大。这通常用可测量的风险临界值来定义。风险临界值反映了组织与项目相关方的风险偏好程度,是项目目标的可接受的变异程度。应该明确规定风险临界,并传达给项目团队,同时反映在项目的风险影响级别定义中。
项目风险管理的发展趋势和新兴实践项目风险管理的关注面正在扩大,以便确保考虑所有类型的风险,并在更广泛的背景中理解项目风险。项目风险管理的发展趋势和新兴实践包括(但不限于):
关键卖方可能在项目期间停业,客户可能在设计完成后变更需求,或分包商可能要求对标准化操作流程进行优化。
不过,识别并管理非事件类风险的意识正在不断加强。非事件类风险有两种主要类型:
变异性风险可通过蒙特卡洛分析加以处理,即:用概率分布表示变异的可能区间,然后采取行动去缩小可能结果的区间。管理模糊性风险,则需要先定义认知或理解不足之处,进而通过获取外部专家意见或以最佳实践为标杆来填补差距。也可以采用增量开发、原型搭建或模拟等方法来处理模糊性风险。
这就要求每个项目:
裁剪时需要考虑的因素因为每个项目都是独特的,所以有必要对项目风险管理过程的应用方式进行裁剪。裁剪时应考虑的因素包括(但不限于):
根据上述需考虑的因素来裁剪项目风险管理过程,这是规划风险管理过程的一部分工作。裁剪结果将被记录在风险管理计划中。
在敏捷或适应型环境中需要考虑的因素从本质上讲,越是变化的环境就存在越多的不确定性和风险。要应对快速变化,就需要采用适应型方法管理项目,即:通过跨职能项目团队和经常审查增量式工作产品,来加快知识分享,确保对风险的认知和管理。在选择每个迭代期的工作内容时,应该考虑风险;在每个迭代期间应该识别、分析和管理风险。
此外,应该根据对当前风险敞口的理解的加深,定期更新需求文件,并随项目进展重新排列工作优先级。
识别风险是识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程。本过程的主要作用是,记录现有的单个项目风险,以及整体项目风险的来源;同时,汇集相关信息,以便项目团队能够恰当应对已识别的风险。本过程需要在整个项目期间开展。图 11-6 描述本过程的输入、工具与技术和输出。图 11-7 是本过程的数据流向图。
图 11-6识别风险:输入、工具与技术和输出
图 11-7识别风险:数据流向图
识别风险时,要同时考虑单个项目风险,以及整体项目风险的来源。风险识别活动的参与者可能包括:项目经理、项目团队成员、项目风险专家(若已指定)、客户、项目团队外部的主题专家、最终用户、其他项目经理、运营经理、相关方和组织内的风险管理专家。虽然这些人员通常是风险识别活动的关键参与者,但是还应鼓励所有项目相关方参与单个项目风险的识别工作。项目团队的参与尤其重要,以便培养和保持他们对已识别单个项目风险、整体项目风险级别和相关风险应对措施的主人翁意识和责任感。
应该采用统一的风险描述格式,来描述和记录单个项目风险,以确保每一项风险都被清楚、明确地理解,从而为有效的分析和风险应对措施制定提供支持。可以在识别风险过程中为单个项目风险指定风险责任人,待实施定性风险分析过程确认。也可以识别和记录初步的风险应对措施,待规划风险应对过程审查和确认。
在整个项目生命周期中,单个项目风险可能随项目进展而不断出现,整体项目风险的级别也会发生变化。因此,识别风险是一个迭代的过程。迭代的频率和每次迭代所需的参与程度因情况而异,应在风险管理计划中做出相应规定。
风险登记册记录已识别单个项目风险的详细信息。随着实施定性风险分析、规划风险应对、实施风险应对和监督风险等过程的开展,这些过程的结果也要记进风险登记册。取决于具体的项目变量(如规模和复杂性),风险登记册可能包含有限或广泛的风险信息。
当完成识别风险过程时,风险登记册的内容可能包括(但不限于):
根据风险管理计划规定的风险登记册格式,可能还要记录关于每项已识别风险的其他数据,包括:简短的风险名称、风险类别、当前风险状态、一项或多项原因、一项或多项对目标的影响、风险触发条件(显示风险即将发生的事件或条件)、受影响的 WBS组件,以及时间信息(风险何时识别、可能何时发生、何时可能不再相关,以及采取行动的最后期限)。
风险报告提供关于整体项目风险的信息,以及关于已识别的单个项目风险的概述信息。在项目风险管理过程中,风险报告的编制是一项渐进式的工作。随着实施定性风险分析、实施定量风险分析、规划风险应对、实施风险应对和监督风险过程的完成,这些过程的结果也需要记录在风险登记册中。在完成识别风险过程时,风险报告的内容可能包括(但不限于):
根据风险管理计划中规定的报告要求,风险报告中可能还包含其他信息。
见 4.2.3.1 节。项目管理计划组件包括风险管理计划(见 11.1.3.1 节)。本过程中需要特别注意的是风险管理的角色和职责、预算和进度活动安排,以及风险类别(通常在风险分解结构中定义)、概率和影响定义、概率和影响矩阵和相关方的风险临界值。通常已经在规划风险管理过程中把这些内容裁剪成适合具体项目的需要。如果还没有这些内容,则可以在实施定性风险分析过程中编制,并经项目发起人批准之后用于本过程。
能够影响实施定性风险分析的事业环境因素包括(但不限于):
能够影响实施定性风险分析的组织过程资产包括(但不限于)已完成的类似项目的信息。
要开展定性风险分析,项目团队可能要召开专门会议(通常称为风险研讨会),对已识别单个项目风险进行讨论。会议的目标包括审查已识别的风险、评估概率和影响(及其他可能的风险参数)、对风险进行分类和优先级排序。在实施定性风险分析过程中,要逐一为单个项目风险分配风险责任人。
以后,将由风险责任人负责规划风险应对措施和报告风险管理工作的进展情况。会议可从审查和确认拟使用的概率和影响量表开始。在会议讨论中,也可能识别出其他风险。应该记录这些风险,供后续分析。配备一名熟练的引导者能够提高会议的有效性。
可在本过程更新的项目文件包括(但不限于):
风险登记册的更新内容可能包括:每项单个项目风险的概率和影响评估、优先级别或风险分值、指定风险责任人、风险紧迫性信息或风险类别,以及低优先级风险的观察清单或需要进一步分析的风险。