风险管理计划是项目管理计划的组成部分,描述如何安排与实施风险管理活动。风险管理计划可包括以下部分或全部内容:
图 11-4风险分解结构(RBS)示例
通过将影响定义为负面威胁(工期延误、成本增加和绩效不佳)和正面机会(工期缩短、成本节约和绩效改善),表格所示的量表可同时用于评估威胁和机会。
表 11-1概率和影响定义示例
图 11-5 是概率和影响矩阵的示例,其中也有数值风险评分的可能方法。
图 11-5概率和影响矩阵示例(有评分方法)
项目管理计划是说明项目执行、监控和收尾方式的一份文件,它整合并综合了所有子管理计划和基准,以及管理项目所需的其他信息。究竟需要哪些项目管理计划组件,取决于具体项目的需求。
项目管理计划组件包括(但不限于):
虽然在本过程生成的组件会因项目而异,但是通常包括(但不限于):
项目管理计划是用于管理项目的主要文件之一。管理项目时还会使用其他项目文件。这些其他文件不属于项目管理计划,但它们也是实现高效管理所必需的文件。表 4-1 列出了主要的项目管理计划组件和项目文件。
表 4-1项目管理计划和项目文件
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
项目管理计划的任何变更都以变更请求的形式提出,且通过组织的变更控制过程进行处理。可能需要变更请求的项目管理计划组成部分包括(但不限于):
WBS 词典记录的质量要求可能需要更新。
项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程。项目风险管理的目标在于提高正面风险的概率和(或)影响,降低负面风险的概率和(或)影响,从而提高项目成功的可能性。
项目风险管理的过程是:
11.1 规划风险管理 — 定义如何实施项目风险管理活动的过程。
11.2 识别风险 — 识别单个项目风险,以及整体项目风险的来源,并记录风险特征的过程。
11.3 实施定性风险分析 — 通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。
11.4 实施定量风险分析 — 就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析的过程。
11.5 规划风险应对 — 为处理整体项目风险敞口,以及应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程。
11.6 实施风险应对 — 执行商定的风险应对计划的过程。
11.7 监督风险 — 在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。
图 11-1 概括了项目风险管理的各个过程。虽然在本《PMBOK® 指南》中,各项目管理风险过程
以界限分明和相互独立的形式出现,但在实践中它们会以本指南无法全面详述的方式相互交叠和相互作用。
图 11-1项目风险管理概述
项目风险管理的核心概念既然项目是为交付收益而开展的、具有不同复杂程度的独特性工作,那自然就会充满风险。
开展项目,不仅要面对各种制约因素和假设条件,而且还要应对可能相互冲突和不断变化的相关方期望。组织应该有目的地以可控方式去冒项目风险,以便平衡风险和回报,并创造价值。
项目风险管理旨在识别和管理未被其他项目管理过程所管理的风险。如果不妥善管理,这些风险有可能导致项目偏离计划,无法达成既定的项目目标。因此,项目风险管理的有效性直接关乎项目成功与否。
每个项目都在两个层面上存在风险。每个项目都有会影响项目达成目标的单个风险,以及由单个项目风险和不确定性的其他来源联合导致的整体项目风险。考虑整体项目风险,也非常重要。项目风险管理过程同时兼顾这两个层面的风险。它们的定义如下:
它源于包括单个风险在内的所有不确定性。
一旦发生,单个项目风险会对项目目标产生正面或负面的影响。项目风险管理旨在利用或强化正面风险(机会),规避或减轻负面风险(威胁)。未妥善管理的威胁可能引发各种问题,如工期延误、成本超支、绩效不佳或声誉受损。把握好机会则能够获得众多好处,如工期缩短、成本节约、绩效改善或声誉提升。
整体项目风险也有正面或负面之分。管理整体项目风险旨在通过削弱负面变异的驱动因素,加强正面变异的驱动因素,以及最大化实现整体项目目标的概率,把项目风险敞口保持在可接受的范围之内。
因为风险会在项目生命周期内持续发生,所以,项目风险管理过程也应不断迭代开展。在项目规划期间,就应该通过调整项目策略对风险做初步处理。接着,应该随着项目进展,监督和管理风险,确保项目处于正轨,并且突发性风险也得到处理。
为有效管理特定项目的风险,项目团队需要知道,相对于要追求的项目目标,可接受的风险敞口究竟是多大。这通常用可测量的风险临界值来定义。风险临界值反映了组织与项目相关方的风险偏好程度,是项目目标的可接受的变异程度。应该明确规定风险临界,并传达给项目团队,同时反映在项目的风险影响级别定义中。
项目风险管理的发展趋势和新兴实践项目风险管理的关注面正在扩大,以便确保考虑所有类型的风险,并在更广泛的背景中理解项目风险。项目风险管理的发展趋势和新兴实践包括(但不限于):
关键卖方可能在项目期间停业,客户可能在设计完成后变更需求,或分包商可能要求对标准化操作流程进行优化。
不过,识别并管理非事件类风险的意识正在不断加强。非事件类风险有两种主要类型:
变异性风险可通过蒙特卡洛分析加以处理,即:用概率分布表示变异的可能区间,然后采取行动去缩小可能结果的区间。管理模糊性风险,则需要先定义认知或理解不足之处,进而通过获取外部专家意见或以最佳实践为标杆来填补差距。也可以采用增量开发、原型搭建或模拟等方法来处理模糊性风险。
这就要求每个项目:
裁剪时需要考虑的因素因为每个项目都是独特的,所以有必要对项目风险管理过程的应用方式进行裁剪。裁剪时应考虑的因素包括(但不限于):
根据上述需考虑的因素来裁剪项目风险管理过程,这是规划风险管理过程的一部分工作。裁剪结果将被记录在风险管理计划中。
在敏捷或适应型环境中需要考虑的因素从本质上讲,越是变化的环境就存在越多的不确定性和风险。要应对快速变化,就需要采用适应型方法管理项目,即:通过跨职能项目团队和经常审查增量式工作产品,来加快知识分享,确保对风险的认知和管理。在选择每个迭代期的工作内容时,应该考虑风险;在每个迭代期间应该识别、分析和管理风险。
此外,应该根据对当前风险敞口的理解的加深,定期更新需求文件,并随项目进展重新排列工作优先级。
见 4.2.3.1 节。在规划项目风险管理时,应该考虑所有已批准的子管理计划,使风险管理计划与之相协调;同时,其他项目管理计划组件中所列出的方法论可能也会影响规划风险管理过程。
会影响规划风险管理过程的组织过程资产包括(但不限于):
风险管理计划的编制可以是项目开工会议上的一项工作,或者可以举办专门的规划会议来编制风险管理计划。参会者可能包括项目经理、指定项目团队成员、关键相关方,或负责管理项目风险管理过程的团队成员;如果需要,也可邀请其他外部人员参加,包括客户、卖方和监管机构。熟练的会议引导者能够帮助参会者专注于会议事项,就风险管理方法的关键方面达成共识,识别和克服偏见,以及解决任何可能出现的分歧。
在此类会议上确定开展风险管理活动的计划,并将其记录在风险管理计划(见 11.1.3.1 节)中。
识别风险是识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程。本过程的主要作用是,记录现有的单个项目风险,以及整体项目风险的来源;同时,汇集相关信息,以便项目团队能够恰当应对已识别的风险。本过程需要在整个项目期间开展。图 11-6 描述本过程的输入、工具与技术和输出。图 11-7 是本过程的数据流向图。
图 11-6识别风险:输入、工具与技术和输出
图 11-7识别风险:数据流向图
识别风险时,要同时考虑单个项目风险,以及整体项目风险的来源。风险识别活动的参与者可能包括:项目经理、项目团队成员、项目风险专家(若已指定)、客户、项目团队外部的主题专家、最终用户、其他项目经理、运营经理、相关方和组织内的风险管理专家。虽然这些人员通常是风险识别活动的关键参与者,但是还应鼓励所有项目相关方参与单个项目风险的识别工作。项目团队的参与尤其重要,以便培养和保持他们对已识别单个项目风险、整体项目风险级别和相关风险应对措施的主人翁意识和责任感。
应该采用统一的风险描述格式,来描述和记录单个项目风险,以确保每一项风险都被清楚、明确地理解,从而为有效的分析和风险应对措施制定提供支持。可以在识别风险过程中为单个项目风险指定风险责任人,待实施定性风险分析过程确认。也可以识别和记录初步的风险应对措施,待规划风险应对过程审查和确认。
在整个项目生命周期中,单个项目风险可能随项目进展而不断出现,整体项目风险的级别也会发生变化。因此,识别风险是一个迭代的过程。迭代的频率和每次迭代所需的参与程度因情况而异,应在风险管理计划中做出相应规定。
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
还包括工作分解结构,可用作安排风险识别工作的框架。
为了开展风险识别工作,项目团队可能要召开专门的会议(通常称为风险研讨会)。在大多数风险研讨会中,都会开展某种形式的头脑风暴(见 4.1.2.2 节)。根据风险管理计划中对开展风险管理过程的要求,还有可能采用其他风险识别技术。配备一名经验丰富的引导者将会提高会议的有效性;确保适当的人员参加风险研讨会也至关重要。对于较大型项目,可能需要邀请项目发起人、主题专家、卖方、客户代表,或其他项目相关方参加会议;而对于较小型项目,可能仅限部分项目团队成员参加。
风险登记册记录已识别单个项目风险的详细信息。随着实施定性风险分析、规划风险应对、实施风险应对和监督风险等过程的开展,这些过程的结果也要记进风险登记册。取决于具体的项目变量(如规模和复杂性),风险登记册可能包含有限或广泛的风险信息。
当完成识别风险过程时,风险登记册的内容可能包括(但不限于):
根据风险管理计划规定的风险登记册格式,可能还要记录关于每项已识别风险的其他数据,包括:简短的风险名称、风险类别、当前风险状态、一项或多项原因、一项或多项对目标的影响、风险触发条件(显示风险即将发生的事件或条件)、受影响的 WBS组件,以及时间信息(风险何时识别、可能何时发生、何时可能不再相关,以及采取行动的最后期限)。
风险报告提供关于整体项目风险的信息,以及关于已识别的单个项目风险的概述信息。在项目风险管理过程中,风险报告的编制是一项渐进式的工作。随着实施定性风险分析、实施定量风险分析、规划风险应对、实施风险应对和监督风险过程的完成,这些过程的结果也需要记录在风险登记册中。在完成识别风险过程时,风险报告的内容可能包括(但不限于):
根据风险管理计划中规定的报告要求,风险报告中可能还包含其他信息。
实施定性风险分析是通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。本过程的主要作用是重点关注高优先级的风险。
本过程需要在整个项目期间开展。图 11-8 描述本过程的输入、工具与技术和输出。图 11-9 是本过程的数据流向图。
图 11-8实施定性风险分析:输入、工具与技术和输出
图 11-9实施定性风险分析:数据流向图
实施定性风险分析,使用项目风险的发生概率、风险发生时对项目目标的相应影响以及其他因素,来评估已识别单个项目风险的优先级。这种评估基于项目团队和其他相关方对风险的感知程度,从而具有主观性。所以,为了实现有效评估,就需要认清和管理本过程关键参与者对风险所持的态度。风险感知会导致评估已识别风险时出现偏见,所以应该注意找出偏见并加以纠正。如果由引导者来引导本过程的开展,那么找出并纠正偏见就是该引导者的一项重要工作。同时,评估单个项目风险的现有信息的质量,也有助于澄清每个风险对项目的重要性的评估。
实施定性风险分析能为规划风险应对过程确定单个项目风险的相对优先级。本过程会为每个风险识别出责任人,以便由他们负责规划风险应对措施,并确保应对措施的实施。如果需要开展实施定量风险分析过程,那么实施定性风险分析也能为其奠定基础。
根据风险管理计划的规定,在整个项目生命周期中要定期开展实施定性风险分析过程。在敏捷开发环境中,实施定性风险分析过程通常要在每次迭代开始前进行。
见 4.2.3.1 节。项目管理计划组件包括风险管理计划(见 11.1.3.1 节)。本过程中需要特别注意的是风险管理的角色和职责、预算和进度活动安排,以及风险类别(通常在风险分解结构中定义)、概率和影响定义、概率和影响矩阵和相关方的风险临界值。通常已经在规划风险管理过程中把这些内容裁剪成适合具体项目的需要。如果还没有这些内容,则可以在实施定性风险分析过程中编制,并经项目发起人批准之后用于本过程。
适用于本过程的数据分析技术包括(但不限于):
相对于仅评估概率和影响,考虑上述某些特征有助于进行更稳健的风险优先级排序。
项目风险可依据风险来源(如采用风险分解结构 [RBS],见图 11-4)、受影响的项目领域(如采用工作分解结构 [WBS],见图 5-12、5-13 和 5-14),以及其他实用类别(如项目阶段、项目预算、角色和职责)来分类,确定哪些项目领域最容易被不确定性影响;风险还可以根据共同的根本原因进行分类。应该在风险管理计划中规定可用于项目的风险分类方法。
对风险进行分类,有助于把注意力和精力集中到风险敞口最大的领域,或针对一组相关的风险制定通用的风险应对措施,从而有利于更有效地开展风险应对。
适用于本过程的数据表现技术包括(但不限于):
组织可针对每个项目目标(如成本、时间和范围)制定单独的概率和影响矩阵,并用它们来评估风险针对每个目标的优先级别。组织还可以用不同的方法为每个风险确定一个总体优先级别。即可综合针对不同目标的评估结果,也可采用最高优先级别(无论针对哪个目标),作为风险的总体优先级别。
图 11-10列出可监测性、邻近性和影响值的气泡图示例
实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。本过程的主要作用是,量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划。本过程并非每个项目必需,但如果采用,它会在整个项目期间持续开展。图 11-11 描述了本过程的输入和输出。图 11-12 是本过程的数据流向图。
图 11-11实施定量风险分析:输入、工具与技术和输出
图 11-12实施定量风险分析:数据流向图
并非所有项目都需要实施定量风险分析。能否开展稳健的分析取决于是否有关于单个项目风险和其他不确定性来源的高质量数据,以及与范围、进度和成本相关的扎实项目基准。定量风险分析通常需要运用专门的风险分析软件,以及编制和解释风险模式的专业知识,还需要额外的时间和成本投入。
项目风险管理计划会规定是否需要使用定量风险分析,定量分析最可能适用于大型或复杂的项目、具有战略重要性的项目、合同要求进行定量分析的项目,或主要相关方要求进行定量分析的项目。
通过评估所有单个项目风险和其他不确定性来源对项目结果的综合影响,定量风险分析就成为评估整体项目风险的唯一可靠的方法。
在实施定量风险分析过程中,要使用被定性风险分析过程评估为对项目目标存在重大潜在影响的单个项目风险的信息。
实施定量风险分析过程的输出,则要用作规划风险应对过程的输入,特别是要据此为整体项目风险和关键单个项目风险推荐应对措施。定量风险分析也可以在规划风险应对过程之后开展,以分析已规划的应对措施对降低整体项目风险敞口的有效性。
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
能够影响规划风险应对过程的组织过程资产包括(但不限于):
见 4.2.3.1 节。项目管理计划组件包括(但不限于)风险管理计划。见 11.1.3.1 节,风险管理计划列明了与风险管理相关的项目团队成员和其他相关方的角色和职责。应根据这些信息为已商定的风险应对措施分配责任人。风险管理计划还会定义适用于本项目的风险管理方法论的详细程度,还会基于关键相关方的风险偏好规定项目的风险临界值。风险临界值代表了实施风险应对所需实现的可接受目标。
见 4.2.3.1 节。项目管理计划组件包括(但不限于)风险管理计划(见 11.1.3.1 节)。风险管理计划规定了应如何及何时审查风险,应遵守哪些政策和程序,与本监督过程有关的角色和职责安排,以及报告格式。
见 8.2.2.5 节。风险审计是一种审计类型,可用于评估风险管理过程的有效性。项目经理负责确保按项目风险管理计划所规定的频率开展风险审计。风险审计可以在日常项目审查会上开展,可以在风险审查会上开展,团队也可以召开专门的风险审计会。在实施审计前,应明确定义风险审计的程序和目标。
适用于本过程的会议包括(但不限于)风险审查会。应该定期安排风险审查,来检查和记录风险应对在处理整体项目风险和已识别单个项目风险方面的有效性。在风险审查中,还可以识别出新的单个项目风险(包括已商定应对措施所引发的次生风险),重新评估当前风险,关闭已过时风险,讨论风险发生所引发的问题,以及总结可用于当前项目后续阶段或未来类似项目的经验教训。
根据风险管理计划的规定,风险审查可以是定期项目状态会中的一项议程,或者也可以召开专门的风险审查会。
可在本过程更新的组织过程资产包括(但不限于):
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
项目管理计划的任何变更都以变更请求的形式提出,且通过组织的变更控制过程进行处理。可能需要变更的项目管理计划组件包括(但不限于):
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
项目管理计划的任何变更都以变更请求的形式提出,且通过组织的变更控制过程进行处理。可能需要变更的项目管理计划组件包括(但不限于):
在项目初始时识别相关方,不会导致项目管理计划更新。但随着项目进展,项目管理计划的任何变更都以变更请求的形式提出,且通过组织的变更控制过程进行处理。可能需要变更的项目管理计划组件包括(但不限于):
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
在本标准中,术语“工件”包括项目管理过程、输入、工具、技术、输出、事业环境因素和组织过程资产。项目经理和项目管理团队需要选择和调整合适的工件,用于其特定项目。这种选择和调整活动称为裁剪。每个项目的独特性决定了必须进行裁剪,因此,并非每个项目都需要每个过程、输入、工具、技术或输出。
项目管理计划是最常用的工件,有许多组成部分,如子管理计划、基准和项目生命周期描述。
子管理计划是与项目特定方面或知识领域相关的计划,如进度管理计划、风险管理计划和变更管理计划。进行裁剪时,需要确定特定项目所需的项目管理计划组件。项目管理计划是一种输入,而项目管理计划更新是本标准中许多过程的输出。在本标准中,不会在输入和输出表中直接列出单个项目管理计划组件,而是在该表下方的正文中列出每个过程可能用到的项目管理计划组件(输入)或可能得到的项目管理计划组件更新(输出)。所列出的组件仅为示例而已。在开展每个特定过程时,项目经理既非必须、也非限于用到上述输入或得到上述输出。
项目管理计划是主要的项目工件之一。另外,还有不属于项目管理计划但也可用于管理项目的其他文件。这些其他文件称为项目文件。与项目管理计划组件类似,过程所需的项目文件会因具体项目而异。项目经理负责确定过程所需的项目文件,以及将作为过程输出的项目文件更新。在本标准中,在输入和输出表下方的正文中列出的项目文件,仅为项目文件的可能示例,而非完整列表。
表 1-2 列出了项目管理计划的主要组件和主要的项目文件。虽然该表并未穷尽所有的计划组件和项
目文件,但的确列出了有助于管理项目的常用计划组件和项目文件。
表 1-2项目管理计划和项目文件
商业文件通常是在项目之外创建的文件,用作项目的输入。商业文件包括商业论证和效益管理计划。如何应用商业文件,将取决于公司文化和项目启动过程。
会影响项目的事业环境因素,以及可用于项目的组织过程资产,将因项目及其所处环境而异,所以并未在本标准中列出。
可在本过程更新的项目管理计划组件包括(但不限于):
可用作本过程输入的项目管理计划组件包括(但不限于):
可用作本过程输入的项目管理计划组件包括(但不限于):
可在本过程更新的项目管理计划组件包括(但不限于):
可用作本过程输入的项目管理计划组件包括(但不限于):
可用作本过程输入的项目管理计划组件包括(但不限于)风险管理计划。
可用作本过程输入的项目管理计划组件包括(但不限于):
可用作本过程输入的项目管理计划组件包括(但不限于):
可用作本过程输入的项目管理计划组件包括(但不限于):
可用作本过程输入的项目管理计划组件包括(但不限于)风险管理计划。
可用作本过程输入的项目管理计划组件包括(但不限于):
可在本过程更新的项目管理计划组件包括(但不限于):
可用作本过程输入的项目管理计划组件包括(但不限于):
可用作本过程输入的项目管理计划组件包括(但不限于)风险管理计划。
可用作本过程输入的项目管理计划组件包括(但不限于):
可在本过程更新的项目管理计划组件包括(但不限于):