11.1.3.1 风险管理计划
风险管理计划是项目管理计划的组成部分,描述如何安排与实施风险管理活动。风险管理计划可包括以下部分或全部内容:
- 风险管理战略。描述用于管理本项目的风险的一般方法。
- 方法论。确定用于开展本项目的风险管理的具体方法、工具及数据来源。
- 角色与职责。确定每项风险管理活动的领导者、支持者和团队成员,并明确他们的职责。
- 资金。确定开展项目风险管理活动所需的资金,并制定应急储备和管理储备的使用方案。
- 时间安排。确定在项目生命周期中实施项目风险管理过程的时间和频率,确定风险管理活动并将其纳入项目进度计划。
- 风险类别。确定对单个项目风险进行分类的方式。通常借助风险分解结构 (RBS)来构建风险类别。风险分解结构是潜在风险来源的层级展现(示例见图 11-4)。风险分解结构有助于项目团队考虑单个项目风险的全部可能来源,对识别风险或归类已识别风险特别有用。组织可能有适用于所有项目的通用风险分解结构,也可能针对不同类型项目使用几种不同的风险分解结构框架,或者允许项目量身定制专用的风险分解结构。如果未使用风险分解结构,组织则可能采用某种常见的风险分类框架,既可以是简单的类别清单,也可以是基于项目目标的某种类别结构。
图 11-4风险分解结构(RBS)示例
- 相关方风险偏好。应在风险管理计划中记录项目关键相关方的风险偏好。他们的风险偏好会影响规划风险管理过程的细节。特别是,应该针对每个项目目标,把相关方的风险偏好表述成可测量的风险临界值。这些临界值不仅将联合决定可接受的整体项目风险敞口水平,而且也用于制定概率和影响定义。以后将根据概率和影响定义,对单个项目风险进行评估和排序。
- 风险概率和影响定义。根据具体的项目环境,组织和关键相关方的风险偏好和临界值,来制定风险概率和影响定义。项目可能自行制定关于概率和影响级别的具体定义,或者用组织提供的通用定义作为出发点。应该根据拟开展项目风险管理过程的详细程度,来确定概率和影响级别的数量,即:更多级别(通常为五级)对应于更详细的风险管理方法,更少级别(通常为三级)对应于更简单的方法。表 11-1 针对三个项目目标提供了概率和影响定义的示例。
通过将影响定义为负面威胁(工期延误、成本增加和绩效不佳)和正面机会(工期缩短、成本节约和绩效改善),表格所示的量表可同时用于评估威胁和机会。
表 11-1概率和影响定义示例
- 概率和影响矩阵。见 11.3.2.6 节。组织可在项目开始前确定优先级排序规则,并将其纳入组织过程资产,或者也可为具体项目量身定制优先级排序规则。在常见的概率和影响矩阵中,会同时列出机会和威胁;以正面影响定义机会,以负面影响定义威胁。概率和影响可以用描述性术语(如很高、高、中、低和很低)或数值来表达。如果使用数值,就可以把两个数值相乘,得出每个风险的概率 - 影响分值,以便据此在每个优先级组别之内排列单个风险相对优先级。
图 11-5 是概率和影响矩阵的示例,其中也有数值风险评分的可能方法。
图 11-5概率和影响矩阵示例(有评分方法)
项目管理计划是说明项目执行、监控和收尾方式的一份文件,它整合并综合了所有子管理计划和基准,以及管理项目所需的其他信息。究竟需要哪些项目管理计划组件,取决于具体项目的需求。
项目管理计划组件包括(但不限于):
- 子管理计划:
- 范围管理计划。见 5.1.3.1 节。确立如何定义、制定、监督、控制和确认项目范围。
- 需求管理计划。见 5.1.3.2 节。确定如何分析、记录和管理需求。
- 进度管理计划。见 6.1.3.1 节。为编制、监督和控制项目进度建立准则并确定活动。
- 成本管理计划。见 7.1.3.1 节。确定如何规划、安排和控制成本。
- 质量管理计划。见 8.1.3.1 节。确定在项目中如何实施组织的质量政策、方法和标准。
- 资源管理计划。见 9.1.3.1 节。指导如何对项目资源进行分类、分配、管理和释放。
- 沟通管理计划。见 10.1.3.1 节。确定项目信息将如何、何时、由谁来进行管理和传播。
- 风险管理计划。见 11.1.3.1 节。确定如何安排与实施风险管理活动。
- 采购管理计划。见 12.1.3.1 节。确定项目团队将如何从执行组织外部获取货物和服务。
- 相关方参与计划。见 13.2.3.1 节。确定如何根据相关方的需求、利益和影响让他们参与项目决策和执行。
- 基准:
- 范围基准。见 5.4.3.1 节。经过批准的范围说明书、工作分解结构 (WBS) 和相应的 WBS 词典,用作比较依据。
- 进度基准。见 6.5.3.1 节。经过批准的进度模型,用作与实际结果进行比较的依据。
- 成本基准。见 7.3.3.1 节。经过批准的、按时间段分配的项目预算,用作与实际结果进行比较的依据。
- 其他组件。大多数项目管理计划组件都来自于其他过程,虽然有些组件是在本过程生成的。
虽然在本过程生成的组件会因项目而异,但是通常包括(但不限于):
- 变更管理计划。描述在整个项目期间如何正式审批和采纳变更请求。
- 配置管理计划。描述如何记录和更新项目的特定信息,以及该记录和更新哪些信息,以保持产品、服务或成果的一致性和(或)有效性。
- 绩效测量基准。经过整合的项目范围、进度和成本计划,用作项目执行的比较依据,以测量和管理项目绩效。
- 项目生命周期。描述项目从开始到结束所经历的一系列阶段。
- 开发方法。描述产品、服务或成果的开发方法,例如预测、迭代、敏捷或混合型模式。
- 管理审查。确定项目经理和有关相关方审查项目进展的时间点,以考核绩效是否符合预期,或者确定是否有必要采取预防或纠正措施。
项目管理计划是用于管理项目的主要文件之一。管理项目时还会使用其他项目文件。这些其他文件不属于项目管理计划,但它们也是实现高效管理所必需的文件。表 4-1 列出了主要的项目管理计划组件和项目文件。
表 4-1项目管理计划和项目文件
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
- 进度管理计划。见 6.1.3.1 节。进度管理计划确定了编制、监督和控制项目进度的准则和活动,同时也提供了影响成本估算和管理的过程及控制方法。
- 风险管理计划。见 11.1.3.1 节。风险管理计划提供了识别、分析和监督风险的方法,同时也提供了影响成本估算和管理的过程及控制方法。
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
- 需求管理计划。见 5.1.3.2 节。需求管理计划提供了识别、分析和管理需求的方法,以供质量管理计划和质量测量指标借鉴。
- 风险管理计划。见 11.1.3.1 节。风险管理计划提供了识别、分析和监督风险的方法。将风险管理计划和质量管理计划的信息相结合,有助于成功交付产品和项目。
- 相关方参与计划。见 13.2.3.1 节。相关方参与计划提供了记录相关方需求和期望的方法,为质量管理奠定了基础。
- 范围基准。见 5.4.3.1 节。在确定适用于项目的质量标准和目标时,以及在确定要求质量审查的项目可交付成果和过程时,需要考虑WBS和项目范围说明书中记录的可交付成果。范围说明书包含可交付成果的验收标准。该标准的界定可能导致质量成本并进而导致项目成本的显著升高或降低。满足所有的验收标准意味着满足相关方的需求。
项目管理计划的任何变更都以变更请求的形式提出,且通过组织的变更控制过程进行处理。可能需要变更请求的项目管理计划组成部分包括(但不限于):
- 风险管理计划。见 11.1.3.1 节。在确定质量管理方法时可能需要更改已商定的项目风险管理方法,这些变更会记录在风险管理计划中。
- 范围基准。见 5.4.3.1 节。如果需要增加特定的质量管理活动,范围基准可能因本过程而变更。
WBS 词典记录的质量要求可能需要更新。
项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程。项目风险管理的目标在于提高正面风险的概率和(或)影响,降低负面风险的概率和(或)影响,从而提高项目成功的可能性。
项目风险管理的过程是:
11.1 规划风险管理 — 定义如何实施项目风险管理活动的过程。
11.2 识别风险 — 识别单个项目风险,以及整体项目风险的来源,并记录风险特征的过程。
11.3 实施定性风险分析 — 通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。
11.4 实施定量风险分析 — 就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析的过程。
11.5 规划风险应对 — 为处理整体项目风险敞口,以及应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程。
11.6 实施风险应对 — 执行商定的风险应对计划的过程。
11.7 监督风险 — 在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。
图 11-1 概括了项目风险管理的各个过程。虽然在本《PMBOK® 指南》中,各项目管理风险过程
以界限分明和相互独立的形式出现,但在实践中它们会以本指南无法全面详述的方式相互交叠和相互作用。
图 11-1项目风险管理概述
项目风险管理的核心概念既然项目是为交付收益而开展的、具有不同复杂程度的独特性工作,那自然就会充满风险。
开展项目,不仅要面对各种制约因素和假设条件,而且还要应对可能相互冲突和不断变化的相关方期望。组织应该有目的地以可控方式去冒项目风险,以便平衡风险和回报,并创造价值。
项目风险管理旨在识别和管理未被其他项目管理过程所管理的风险。如果不妥善管理,这些风险有可能导致项目偏离计划,无法达成既定的项目目标。因此,项目风险管理的有效性直接关乎项目成功与否。
每个项目都在两个层面上存在风险。每个项目都有会影响项目达成目标的单个风险,以及由单个项目风险和不确定性的其他来源联合导致的整体项目风险。考虑整体项目风险,也非常重要。项目风险管理过程同时兼顾这两个层面的风险。它们的定义如下:
- 单个项目风险是一旦发生,会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。
- 整体项目风险是不确定性对项目整体的影响,是相关方面临的项目结果正面和负面变异区间。
它源于包括单个风险在内的所有不确定性。
一旦发生,单个项目风险会对项目目标产生正面或负面的影响。项目风险管理旨在利用或强化正面风险(机会),规避或减轻负面风险(威胁)。未妥善管理的威胁可能引发各种问题,如工期延误、成本超支、绩效不佳或声誉受损。把握好机会则能够获得众多好处,如工期缩短、成本节约、绩效改善或声誉提升。
整体项目风险也有正面或负面之分。管理整体项目风险旨在通过削弱负面变异的驱动因素,加强正面变异的驱动因素,以及最大化实现整体项目目标的概率,把项目风险敞口保持在可接受的范围之内。
因为风险会在项目生命周期内持续发生,所以,项目风险管理过程也应不断迭代开展。在项目规划期间,就应该通过调整项目策略对风险做初步处理。接着,应该随着项目进展,监督和管理风险,确保项目处于正轨,并且突发性风险也得到处理。
为有效管理特定项目的风险,项目团队需要知道,相对于要追求的项目目标,可接受的风险敞口究竟是多大。这通常用可测量的风险临界值来定义。风险临界值反映了组织与项目相关方的风险偏好程度,是项目目标的可接受的变异程度。应该明确规定风险临界,并传达给项目团队,同时反映在项目的风险影响级别定义中。
项目风险管理的发展趋势和新兴实践项目风险管理的关注面正在扩大,以便确保考虑所有类型的风险,并在更广泛的背景中理解项目风险。项目风险管理的发展趋势和新兴实践包括(但不限于):
- 非事件类风险。大多数项目只关注作为可能发生或不发生的不确定性未来事件的风险。例如:
关键卖方可能在项目期间停业,客户可能在设计完成后变更需求,或分包商可能要求对标准化操作流程进行优化。
不过,识别并管理非事件类风险的意识正在不断加强。非事件类风险有两种主要类型:
- 变异性风险。已规划事件、活动或决策的某些关键方面存在不确定性,就导致变异性风险。例如,生产率可能高于或低于目标值,测试发现的错误数量可能多于或少于预期,或施工阶段可能出现反常的天气情况。
- 模糊性风险。对未来可能发生什么,存在不确定性。知识不足可能影响项目达成目标的能力,例如,不太了解需求或技术解决方案的要素、法规框架的未来发展,或项目内在的系统复杂性。
变异性风险可通过蒙特卡洛分析加以处理,即:用概率分布表示变异的可能区间,然后采取行动去缩小可能结果的区间。管理模糊性风险,则需要先定义认知或理解不足之处,进而通过获取外部专家意见或以最佳实践为标杆来填补差距。也可以采用增量开发、原型搭建或模拟等方法来处理模糊性风险。
- 项目韧性。随着对所谓“未知-未知”因素的意识的增强,人们也越来越明确地知道确实存在突发性风险。这种风险只有在发生后才能被发现。可以通过加强项目韧性来应对突发性风险。
这就要求每个项目:
- 除了为已知风险列出具体风险预算,还要为突发性风险预留合理的应急预算和时间;
- 采用灵活的项目过程,包括强有力的变更管理,以便在保持朝项目目标推进的正确方向的同时,应对突发性风险;
- 授权目标明确且值得信赖的项目团队在商定限制范围内完成工作;
- 经常留意早期预警信号,以尽早识别突发性风险;
- 明确征求相关方的意见,以明确为应对突发性风险而可以调整项目范围或策略的领域。
- 整合式风险管理。项目存在于组织背景中,可能是项目集或项目组合的一部分。在项目、项目集、项目组合和组织这些层面上,都存在风险。应该在适当的层面上承担和管理风险。在较高层面识别出的某些风险,将被授权给项目团队去管理;而在较低层面识别出的某些风险,又可能上交给较高层面去管理(如果在项目之外管理最有效)。应该采用协调式企业级风险管理方法,来确保所有层面的风险管理工作的一致性和连贯性。这样就能使项目集和项目组合的结构具有风险效率,有利于在给定的风险敞口水平下创造最大的整体价值。
裁剪时需要考虑的因素因为每个项目都是独特的,所以有必要对项目风险管理过程的应用方式进行裁剪。裁剪时应考虑的因素包括(但不限于):
- 项目规模。由预算、持续时间、范围或团队人数所体现的项目规模,要求采取更详细的风险管理方法吗?或者项目小到只需要用简化的风险管理过程吗?
- 项目复杂性。由高水平创新、新技术采用、商务安排、界面或外部依赖关系导致的项目复杂性提高,是否要求采用更稳健的风险管理方法?或者项目是否简单到只需要用简化的风险管理过程?
- 项目重要性。项目的战略重要性有多大?项目的风险级别因旨在创造突破性机会、克服组织经营的重大障碍或涉及重大产品创新而提高了吗?
- 开发方法。它是否是瀑布式项目,风险管理过程可以相继或重复开展;或者此项目是否采取敏捷型方法,需在每个重复过程的开始阶段以及执行期间处理风险?
根据上述需考虑的因素来裁剪项目风险管理过程,这是规划风险管理过程的一部分工作。裁剪结果将被记录在风险管理计划中。
在敏捷或适应型环境中需要考虑的因素从本质上讲,越是变化的环境就存在越多的不确定性和风险。要应对快速变化,就需要采用适应型方法管理项目,即:通过跨职能项目团队和经常审查增量式工作产品,来加快知识分享,确保对风险的认知和管理。在选择每个迭代期的工作内容时,应该考虑风险;在每个迭代期间应该识别、分析和管理风险。
此外,应该根据对当前风险敞口的理解的加深,定期更新需求文件,并随项目进展重新排列工作优先级。
见 4.2.3.1 节。在规划项目风险管理时,应该考虑所有已批准的子管理计划,使风险管理计划与之相协调;同时,其他项目管理计划组件中所列出的方法论可能也会影响规划风险管理过程。
会影响规划风险管理过程的组织过程资产包括(但不限于):
- 组织的风险政策;
- 风险类别,可能用风险分解结构来表示;
- 风险概念和术语的通用定义;
- 风险描述的格式;
- 风险管理计划、风险登记册和风险报告的模板;
- 角色与职责;
- 决策所需的职权级别;
- 经验教训知识库,其中包含以往类似项目的信息。
风险管理计划的编制可以是项目开工会议上的一项工作,或者可以举办专门的规划会议来编制风险管理计划。参会者可能包括项目经理、指定项目团队成员、关键相关方,或负责管理项目风险管理过程的团队成员;如果需要,也可邀请其他外部人员参加,包括客户、卖方和监管机构。熟练的会议引导者能够帮助参会者专注于会议事项,就风险管理方法的关键方面达成共识,识别和克服偏见,以及解决任何可能出现的分歧。
在此类会议上确定开展风险管理活动的计划,并将其记录在风险管理计划(见 11.1.3.1 节)中。
识别风险是识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程。本过程的主要作用是,记录现有的单个项目风险,以及整体项目风险的来源;同时,汇集相关信息,以便项目团队能够恰当应对已识别的风险。本过程需要在整个项目期间开展。图 11-6 描述本过程的输入、工具与技术和输出。图 11-7 是本过程的数据流向图。
图 11-6识别风险:输入、工具与技术和输出
图 11-7识别风险:数据流向图
识别风险时,要同时考虑单个项目风险,以及整体项目风险的来源。风险识别活动的参与者可能包括:项目经理、项目团队成员、项目风险专家(若已指定)、客户、项目团队外部的主题专家、最终用户、其他项目经理、运营经理、相关方和组织内的风险管理专家。虽然这些人员通常是风险识别活动的关键参与者,但是还应鼓励所有项目相关方参与单个项目风险的识别工作。项目团队的参与尤其重要,以便培养和保持他们对已识别单个项目风险、整体项目风险级别和相关风险应对措施的主人翁意识和责任感。
应该采用统一的风险描述格式,来描述和记录单个项目风险,以确保每一项风险都被清楚、明确地理解,从而为有效的分析和风险应对措施制定提供支持。可以在识别风险过程中为单个项目风险指定风险责任人,待实施定性风险分析过程确认。也可以识别和记录初步的风险应对措施,待规划风险应对过程审查和确认。
在整个项目生命周期中,单个项目风险可能随项目进展而不断出现,整体项目风险的级别也会发生变化。因此,识别风险是一个迭代的过程。迭代的频率和每次迭代所需的参与程度因情况而异,应在风险管理计划中做出相应规定。
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
- 需求管理计划。见 5.1.3.2 节。需求管理计划可能指出了特别有风险的项目目标。
- 进度管理计划。见 6.1.3.1 节。进度管理计划可能列出了受不确定性或模糊性影响的一些领域。
- 成本管理计划。见 7.1.3.1 节。成本管理计划可能列出了受不确定性或模糊性影响的一些领域。
- 质量管理计划。见 8.1.3.1 节。质量管理计划可能列出了受不确定性或模糊性影响的一些领域,或者关键假设可能引发风险的一些领域。
- 资源管理计划。见 9.1.3.1 节。资源管理计划可能列出了受不确定性或模糊性影响的一些领域,或者关键假设可能引发风险的一些领域。
- 风险管理计划。见 11.1.3.1 节。风险管理计划规定了风险管理的角色和职责,说明了如何将风险管理活动纳入预算和进度计划,并描述了风险类别(可用风险分解结构表述)。
- 范围基准。见 5.4.3.1 节。范围基准包括可交付成果及其验收标准,其中有些可能引发风险;
还包括工作分解结构,可用作安排风险识别工作的框架。
- 进度基准。见 6.5.3.1 节。可以查看进度基准,找出存在不确定性或模糊性的里程碑日期和可交付成果交付日期,或者可能引发风险的关键假设条件。
- 成本基准。见 7.3.3.1 节。可以查看成本基准,找出存在不确定性或模糊性的成本估算或资金需求,或者关键假设可能引发风险的方面。
为了开展风险识别工作,项目团队可能要召开专门的会议(通常称为风险研讨会)。在大多数风险研讨会中,都会开展某种形式的头脑风暴(见 4.1.2.2 节)。根据风险管理计划中对开展风险管理过程的要求,还有可能采用其他风险识别技术。配备一名经验丰富的引导者将会提高会议的有效性;确保适当的人员参加风险研讨会也至关重要。对于较大型项目,可能需要邀请项目发起人、主题专家、卖方、客户代表,或其他项目相关方参加会议;而对于较小型项目,可能仅限部分项目团队成员参加。
风险登记册记录已识别单个项目风险的详细信息。随着实施定性风险分析、规划风险应对、实施风险应对和监督风险等过程的开展,这些过程的结果也要记进风险登记册。取决于具体的项目变量(如规模和复杂性),风险登记册可能包含有限或广泛的风险信息。
当完成识别风险过程时,风险登记册的内容可能包括(但不限于):
- 已识别风险的清单。在风险登记册中,每项单个项目风险都被赋予一个独特的标识号。要以所需的详细程度对已识别风险进行描述,确保明确理解。可以使用结构化的风险描述,来把风险本身与风险原因及风险影响区分开来。
- 潜在风险责任人。如果已在识别风险过程中识别出潜在的风险责任人,就要把该责任人记录到风险登记册中。随后将由实施定性风险分析过程进行确认。
- 潜在风险应对措施清单。如果已在识别风险过程中识别出某种潜在的风险应对措施,就要把它记录到风险登记册中。随后将由规划风险应对过程进行确认。
根据风险管理计划规定的风险登记册格式,可能还要记录关于每项已识别风险的其他数据,包括:简短的风险名称、风险类别、当前风险状态、一项或多项原因、一项或多项对目标的影响、风险触发条件(显示风险即将发生的事件或条件)、受影响的 WBS组件,以及时间信息(风险何时识别、可能何时发生、何时可能不再相关,以及采取行动的最后期限)。
风险报告提供关于整体项目风险的信息,以及关于已识别的单个项目风险的概述信息。在项目风险管理过程中,风险报告的编制是一项渐进式的工作。随着实施定性风险分析、实施定量风险分析、规划风险应对、实施风险应对和监督风险过程的完成,这些过程的结果也需要记录在风险登记册中。在完成识别风险过程时,风险报告的内容可能包括(但不限于):
- 整体项目风险的来源。说明哪些是整体项目风险敞口的最重要驱动因素。
- 关于已识别单个项目风险的概述信息。例如,已识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势。
根据风险管理计划中规定的报告要求,风险报告中可能还包含其他信息。
实施定性风险分析是通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。本过程的主要作用是重点关注高优先级的风险。
本过程需要在整个项目期间开展。图 11-8 描述本过程的输入、工具与技术和输出。图 11-9 是本过程的数据流向图。
图 11-8实施定性风险分析:输入、工具与技术和输出
图 11-9实施定性风险分析:数据流向图
实施定性风险分析,使用项目风险的发生概率、风险发生时对项目目标的相应影响以及其他因素,来评估已识别单个项目风险的优先级。这种评估基于项目团队和其他相关方对风险的感知程度,从而具有主观性。所以,为了实现有效评估,就需要认清和管理本过程关键参与者对风险所持的态度。风险感知会导致评估已识别风险时出现偏见,所以应该注意找出偏见并加以纠正。如果由引导者来引导本过程的开展,那么找出并纠正偏见就是该引导者的一项重要工作。同时,评估单个项目风险的现有信息的质量,也有助于澄清每个风险对项目的重要性的评估。
实施定性风险分析能为规划风险应对过程确定单个项目风险的相对优先级。本过程会为每个风险识别出责任人,以便由他们负责规划风险应对措施,并确保应对措施的实施。如果需要开展实施定量风险分析过程,那么实施定性风险分析也能为其奠定基础。
根据风险管理计划的规定,在整个项目生命周期中要定期开展实施定性风险分析过程。在敏捷开发环境中,实施定性风险分析过程通常要在每次迭代开始前进行。
见 4.2.3.1 节。项目管理计划组件包括风险管理计划(见 11.1.3.1 节)。本过程中需要特别注意的是风险管理的角色和职责、预算和进度活动安排,以及风险类别(通常在风险分解结构中定义)、概率和影响定义、概率和影响矩阵和相关方的风险临界值。通常已经在规划风险管理过程中把这些内容裁剪成适合具体项目的需要。如果还没有这些内容,则可以在实施定性风险分析过程中编制,并经项目发起人批准之后用于本过程。
适用于本过程的数据分析技术包括(但不限于):
- 风险数据质量评估。风险数据是开展定性风险分析的基础。风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性。使用低质量的风险数据,可能导致定性风险分析对项目来说基本没用。如果数据质量不可接受,就可能需要收集更好的数据。可以开展问卷调查,了解项目相关方对数据质量各方面的评价,包括数据的完整性、客观性、相关性和及时性,进而对风险数据的质量进行综合评估。可以计算这些方面的加权平均数,将其作为数据质量的总体分数。
- 风险概率和影响评估。风险概率评估考虑的是特定风险发生的可能性,而风险影响评估考虑的是风险对一项或多项项目目标的潜在影响,如进度、成本、质量或绩效。威胁将产生负面的影响,机会将产生正面的影响。要对每个已识别的单个项目风险进行概率和影响评估。风险评估可以采用访谈或会议的形式,参加者将依照他们对风险登记册中所记录的风险类型的熟悉程度而定。项目团队成员和项目外部资深人员应该参加访谈或会议。在访谈或会议期间,评估每个风险的概率水平及其对每项目标的影响级别。如果相关方对概率水平和影响级别的感知存在差异,则应对差异进行探讨。此外,还应记录相应的说明性细节,例如,确定概率水平或影响级别所依据的假设条件。应该采用风险管理计划中的概率和影响定义(表11-1),来评估风险的概率和影响。低概率和影响的风险将被列入风险登记册中的观察清单,以供未来监控。
- 其他风险参数评估。为了方便未来分析和行动,在对单个项目风险进行优先级排序时,项目团队可能考虑(除概率和影响以外的)其他风险特征。此类特征可能包括(但不限于):
- 紧迫性。为有效应对风险而必须采取应对措施的时间段。时间短就说明紧迫性高。
- 邻近性。风险在多长时间后会影响一项或多项项目目标。时间短就说明邻近性高。
- 潜伏期。从风险发生到影响显现之间可能的时间段。时间短就说明潜伏期短。
- 可管理性。风险责任人(或责任组织)管理风险发生或影响的容易程度。如果容易管理,可管理性就高。
- 可控性。风险责任人(或责任组织)能够控制风险后果的程度。如果后果很容易控制,可控性就高。
- 可监测性。对风险发生或即将发生进行监测的容易程度。如果风险发生很容易监测,可监测性就高。
- 连通性。风险与其他单个项目风险存在关联的程度大小。如果风险与多个其他风险存在关联,连通性就高。
- 战略影响力。风险对组织战略目标潜在的正面或负面影响。如果风险对战略目标有重大影响,战略影响力就大。
- 密切度。风险被一名或多名相关方认为要紧的程度。被认为很要紧的风险,密切度就高。
相对于仅评估概率和影响,考虑上述某些特征有助于进行更稳健的风险优先级排序。
项目风险可依据风险来源(如采用风险分解结构 [RBS],见图 11-4)、受影响的项目领域(如采用工作分解结构 [WBS],见图 5-12、5-13 和 5-14),以及其他实用类别(如项目阶段、项目预算、角色和职责)来分类,确定哪些项目领域最容易被不确定性影响;风险还可以根据共同的根本原因进行分类。应该在风险管理计划中规定可用于项目的风险分类方法。
对风险进行分类,有助于把注意力和精力集中到风险敞口最大的领域,或针对一组相关的风险制定通用的风险应对措施,从而有利于更有效地开展风险应对。
适用于本过程的数据表现技术包括(但不限于):
- 概率和影响矩阵。概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。此矩阵对概率和影响进行组合,以便于把单个项目风险划分成不同的优先级组别(见图 11-5)。基于风险的概率和影响,对风险进行优先级排序,以便未来进一步分析并制定应对措施。采用风险管理计划中规定的风险概率和影响定义,逐一对单个项目风险的发生概率及其对一项或多项项目目标的影响(若发生)进行评估。然后,基于所得到的概率和影响的组合,使用概率和影响矩阵,来为单个项目风险分配优先级别。
组织可针对每个项目目标(如成本、时间和范围)制定单独的概率和影响矩阵,并用它们来评估风险针对每个目标的优先级别。组织还可以用不同的方法为每个风险确定一个总体优先级别。即可综合针对不同目标的评估结果,也可采用最高优先级别(无论针对哪个目标),作为风险的总体优先级别。
- 层级图。如果使用了两个以上的参数对风险进行分类,那就不能使用概率和影响矩阵,而需要使用其他图形。例如,气泡图能显示三维数据。在气泡图中,把每个风险都绘制成一个气泡,并用x 轴值、y 轴值和气泡大小来表示风险的三个参数。图 11-10 是气泡图的示例,其中,X轴代表可监测性,Y轴代表邻近性,影响值则以气泡大小表示。
图 11-10列出可监测性、邻近性和影响值的气泡图示例
实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。本过程的主要作用是,量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划。本过程并非每个项目必需,但如果采用,它会在整个项目期间持续开展。图 11-11 描述了本过程的输入和输出。图 11-12 是本过程的数据流向图。
图 11-11实施定量风险分析:输入、工具与技术和输出
图 11-12实施定量风险分析:数据流向图
并非所有项目都需要实施定量风险分析。能否开展稳健的分析取决于是否有关于单个项目风险和其他不确定性来源的高质量数据,以及与范围、进度和成本相关的扎实项目基准。定量风险分析通常需要运用专门的风险分析软件,以及编制和解释风险模式的专业知识,还需要额外的时间和成本投入。
项目风险管理计划会规定是否需要使用定量风险分析,定量分析最可能适用于大型或复杂的项目、具有战略重要性的项目、合同要求进行定量分析的项目,或主要相关方要求进行定量分析的项目。
通过评估所有单个项目风险和其他不确定性来源对项目结果的综合影响,定量风险分析就成为评估整体项目风险的唯一可靠的方法。
在实施定量风险分析过程中,要使用被定性风险分析过程评估为对项目目标存在重大潜在影响的单个项目风险的信息。
实施定量风险分析过程的输出,则要用作规划风险应对过程的输入,特别是要据此为整体项目风险和关键单个项目风险推荐应对措施。定量风险分析也可以在规划风险应对过程之后开展,以分析已规划的应对措施对降低整体项目风险敞口的有效性。
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
- 风险管理计划。见 11.1.3.1 节。风险管理计划确定项目是否需要定量风险分析,还会详述可用于分析的资源,以及预期的分析频率。
- 范围基准。见 5.4.3.1 节。范围基准提供了对单个项目风险和其他不确定性来源的影响开展评估的起始点。
- 进度基准。见 6.5.3.1 节。进度基准提供了对单个项目风险和其他不确定性来源的影响开展评估的起始点。
- 成本基准。见 7.3.3.1 节。成本基准提供了对单个项目风险和其他不确定性来源的影响开展评估的起始点。
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
- 资源管理计划。见 9.1.3.1 节。资源管理计划有助于确定该如何协调用于风险应对的资源和其他项目资源。
- 风险管理计划。见 11.1.3.1 节。本过程会用到其中的风险管理角色和职责,以及风险临界值。
- 成本基准。见 7.3.3.1 节。成本基准包含了拟用于风险应对的应急资金的信息。
能够影响规划风险应对过程的组织过程资产包括(但不限于):
- 风险管理计划、风险登记册和风险报告的模板;
- 历史数据库;
- 类似项目的经验教训知识库。
见 4.2.3.1 节。项目管理计划组件包括(但不限于)风险管理计划。见 11.1.3.1 节,风险管理计划列明了与风险管理相关的项目团队成员和其他相关方的角色和职责。应根据这些信息为已商定的风险应对措施分配责任人。风险管理计划还会定义适用于本项目的风险管理方法论的详细程度,还会基于关键相关方的风险偏好规定项目的风险临界值。风险临界值代表了实施风险应对所需实现的可接受目标。
见 4.2.3.1 节。项目管理计划组件包括(但不限于)风险管理计划(见 11.1.3.1 节)。风险管理计划规定了应如何及何时审查风险,应遵守哪些政策和程序,与本监督过程有关的角色和职责安排,以及报告格式。
见 8.2.2.5 节。风险审计是一种审计类型,可用于评估风险管理过程的有效性。项目经理负责确保按项目风险管理计划所规定的频率开展风险审计。风险审计可以在日常项目审查会上开展,可以在风险审查会上开展,团队也可以召开专门的风险审计会。在实施审计前,应明确定义风险审计的程序和目标。
适用于本过程的会议包括(但不限于)风险审查会。应该定期安排风险审查,来检查和记录风险应对在处理整体项目风险和已识别单个项目风险方面的有效性。在风险审查中,还可以识别出新的单个项目风险(包括已商定应对措施所引发的次生风险),重新评估当前风险,关闭已过时风险,讨论风险发生所引发的问题,以及总结可用于当前项目后续阶段或未来类似项目的经验教训。
根据风险管理计划的规定,风险审查可以是定期项目状态会中的一项议程,或者也可以召开专门的风险审查会。
可在本过程更新的组织过程资产包括(但不限于):
- 风险管理计划、风险登记册和风险报告的模板;
- 风险分解结构。
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
- 范围管理计划。见 5.1.3.1 节。范围管理计划描述如何管理总体工作范围,包括由卖方负责的工作范围。
- 需求管理计划。见 5.1.3.2 节。需求管理计划描述将如何分析、记录和管理需求。 它可能还包括卖方将如何管理按协议规定应该实现的需求。
- 沟通管理计划。见 10.1.3.1 节。沟通管理计划描述买方和卖方之间如何开展沟通。
- 风险管理计划。见 11.1.3.1 节。风险管理计划是项目管理计划的组成部分,描述如何安排和实施项目风险管理活动。
- 采购管理计划。见 12.1.3.1 节。采购管理计划包含在实施采购过程中应该开展的活动。
- 配置管理计划。见 5.6.1.1 节。配置管理计划定义了哪些是配置项,哪些配置项需要正式变更控制,以及针对这些配置项的变更控制过程。它包括卖方开展配置管理的形式和过程,以便与买方采取的方法保持一致。
- 成本基准。见 7.3.3.1 节。成本基准包括用于开展采购的预算,用于管理采购过程的成本,以及用于管理卖方的成本。
项目管理计划的任何变更都以变更请求的形式提出,且通过组织的变更控制过程进行处理。可能需要变更的项目管理计划组件包括(但不限于):
- 需求管理计划。见 5.1.3.2 节。项目需求可能因卖方的要求而变更。
- 质量管理计划。见 8.1.3.1 节。卖方可能提出备选质量标准或备选解决方案,从而影响质量管理计划中规定的质量管理方法。
- 沟通管理计划。见 10.1.3.1 节。在选定卖方后,需要更新沟通管理计划,记录卖方的沟通需求和方法。
- 风险管理计划。见 11.1.3.1 节。每个协议和卖方都会带来独特的风险,从而需要更新风险管理计划。具体的风险应该记录到风险登记册中。
- 采购管理计划。见 12.1.3.1 节。可能需要基于合同谈判和签署的结果,而更新采购管理计划。
- 范围基准。见 5.4.3.1 节。在执行采购活动时,需明确考虑范围基准中的项目工作分解结构和可交付成果。本过程可能导致对任何一个或全部可交付成果的变更。
- 进度基准。见 6.5.3.1 节。如果卖方交付成果方面的变更影响了项目的整体进度绩效,则可能需要更新并审批基准进度计划,以反映当前的期望。
- 成本基准。见 7.3.3.1 节。在项目交付期间,承包商的材料价格和人力价格可能随外部经济环境而频繁变动。这种变动需要反映到成本基准中。
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
- 需求管理计划。见 5.1.3.2 节。需求管理计划描述将如何分析、记录和管理承包商需求。
- 风险管理计划。见 11.1.3.1 节。风险管理计划描述如何安排和实施由卖方引发的项目风险管理活动。
- 采购管理计划。见 12.1.3.2 节。采购管理计划规定了在控制采购过程中需要开展的活动。
- 变更管理计划。见 4.2.3.1 节。变更管理计划包含关于如何处理由卖方引发的变更的信息。
- 进度基准。见 6.5.3.1 节。如果卖方的进度拖后影响了项目的整体进度绩效,则可能需要更新并审批进度计划,以反映当前的期望。
项目管理计划的任何变更都以变更请求的形式提出,且通过组织的变更控制过程进行处理。可能需要变更的项目管理计划组件包括(但不限于):
- 风险管理计划。见 11.1.3.1 节。每个协议和卖方都会带来独特的风险,因此可能需要更新风险管理计划。如果在执行合同期间发生重大的意外风险,则风险管理计划可能需要更新。应该把具体的风险记录到风险登记册中。
- 采购管理计划。见 12.1.3.1 节。采购管理计划包含在采购过程中需要开展的活动。可能需要基于卖方执行工作的绩效情况,对采购管理计划进行更新。
- 进度基准。见 6.5.3.1 节。如果卖方的重大进度变更影响到了项目的整体进度绩效,则可能需要更新并审批基准进度计划,以反映当前的期望。买方应该注意某个卖方的进度拖延,可能对其他卖方的工作造成连锁影响。
- 成本基准。见 7.3.3.1 节。在项目交付期间,承包商的材料价格和人力价格可能随外部经济环境而频繁变动。这种变动需要反映到成本基准中。
在项目初始时识别相关方,不会导致项目管理计划更新。但随着项目进展,项目管理计划的任何变更都以变更请求的形式提出,且通过组织的变更控制过程进行处理。可能需要变更的项目管理计划组件包括(但不限于):
- 需求管理计划。见 5.1.1.2 节。新识别的相关方可能会影响规划、跟踪和报告需求活动的方式。
- 沟通管理计划。见 10.1.3.1 节。沟通管理计划记录相关方的沟通要求和已商定的沟通策略。
- 风险管理计划。见 11.1.3.1 节。如果相关方的沟通要求和已商定的沟通策略会影响管理项目风险的方法,就应在风险管理计划中加以反映。
- 相关方参与计划。见 13.2.3.1 节。相关方参与计划记录针对已识别相关方的商定的沟通策略。
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
- 资源管理计划。见 9.1.3.1 节。资源管理计划可能包含关于团队成员及其他相关方的角色和职责的信息。
- 沟通管理计划。见 10.1.3.1 节。用于相关方管理的沟通策略以及用于实施策略的计划,既是项目相关方管理中的各个过程的输入,又会收录来自这些过程的相关信息。
- 风险管理计划。见 11.1.3.1 节。风险管理计划可能包含风险临界值或风险态度,有助于选择最佳的相关方参与策略组合。
见 4.2.3.1 节。项目管理计划组件包括(但不限于):
- 沟通管理计划。见 10.1.3.1 节。沟通管理计划描述与相关方沟通的方法、形式和技术。
- 风险管理计划。见 11.1.3.1 节。风险管理计划描述了风险类别、风险偏好和报告格式。这些内容都可用于管理相关方参与。
- 相关方参与计划。见 13.2.3.1 节。相关方参与计划为管理相关方期望提供指导和信息。
- 变更管理计划。见 4.2.3.1 节。变更管理计划描述了提交、评估和执行项目变更的过程。
在本标准中,术语“工件”包括项目管理过程、输入、工具、技术、输出、事业环境因素和组织过程资产。项目经理和项目管理团队需要选择和调整合适的工件,用于其特定项目。这种选择和调整活动称为裁剪。每个项目的独特性决定了必须进行裁剪,因此,并非每个项目都需要每个过程、输入、工具、技术或输出。
项目管理计划是最常用的工件,有许多组成部分,如子管理计划、基准和项目生命周期描述。
子管理计划是与项目特定方面或知识领域相关的计划,如进度管理计划、风险管理计划和变更管理计划。进行裁剪时,需要确定特定项目所需的项目管理计划组件。项目管理计划是一种输入,而项目管理计划更新是本标准中许多过程的输出。在本标准中,不会在输入和输出表中直接列出单个项目管理计划组件,而是在该表下方的正文中列出每个过程可能用到的项目管理计划组件(输入)或可能得到的项目管理计划组件更新(输出)。所列出的组件仅为示例而已。在开展每个特定过程时,项目经理既非必须、也非限于用到上述输入或得到上述输出。
项目管理计划是主要的项目工件之一。另外,还有不属于项目管理计划但也可用于管理项目的其他文件。这些其他文件称为项目文件。与项目管理计划组件类似,过程所需的项目文件会因具体项目而异。项目经理负责确定过程所需的项目文件,以及将作为过程输出的项目文件更新。在本标准中,在输入和输出表下方的正文中列出的项目文件,仅为项目文件的可能示例,而非完整列表。
表 1-2 列出了项目管理计划的主要组件和主要的项目文件。虽然该表并未穷尽所有的计划组件和项
目文件,但的确列出了有助于管理项目的常用计划组件和项目文件。
表 1-2项目管理计划和项目文件
商业文件通常是在项目之外创建的文件,用作项目的输入。商业文件包括商业论证和效益管理计划。如何应用商业文件,将取决于公司文化和项目启动过程。
会影响项目的事业环境因素,以及可用于项目的组织过程资产,将因项目及其所处环境而异,所以并未在本标准中列出。
可在本过程更新的项目管理计划组件包括(但不限于):
- 需求管理计划;
- 沟通管理计划;
- 风险管理计划;
- 相关方参与计划。
可用作本过程输入的项目管理计划组件包括(但不限于):
- 进度管理计划;
- 风险管理计划。
可用作本过程输入的项目管理计划组件包括(但不限于):
- 需求管理计划;
- 风险管理计划;
- 相关方参与计划;
- 范围基准。
可在本过程更新的项目管理计划组件包括(但不限于):
- 风险管理计划;
- 范围基准。
可用作本过程输入的项目管理计划组件包括(但不限于):
- 需求管理计划;
- 进度管理计划;
- 成本管理计划;
- 质量管理计划;
- 资源管理计划;
- 风险管理计划;
- 范围基准;
- 进度基准;
- 成本基准。
可用作本过程输入的项目管理计划组件包括(但不限于)风险管理计划。
可用作本过程输入的项目管理计划组件包括(但不限于):
- 风险管理计划;
- 范围基准;
- 进度基准;
- 成本基准。
可用作本过程输入的项目管理计划组件包括(但不限于):
- 资源管理计划;
- 风险管理计划;
- 成本基准。
可用作本过程输入的项目管理计划组件包括(但不限于):
- 资源管理计划;
- 沟通管理计划;
- 风险管理计划。
可用作本过程输入的项目管理计划组件包括(但不限于)风险管理计划。
可用作本过程输入的项目管理计划组件包括(但不限于):
- 范围管理计划;
- 需求管理计划;
- 沟通管理计划;
- 风险管理计划;
- 采购管理计划;
- 配置管理计划;
- 成本基准。
可在本过程更新的项目管理计划组件包括(但不限于):
- 需求管理计划;
- 质量管理计划;
- 沟通管理计划;
- 风险管理计划;
- 采购管理计划;
- 范围基准;
- 进度基准;
- 成本基准。
可用作本过程输入的项目管理计划组件包括(但不限于):
- 沟通管理计划;
- 风险管理计划;
- 相关方参与计划;
- 变更管理计划。
可用作本过程输入的项目管理计划组件包括(但不限于)风险管理计划。
可用作本过程输入的项目管理计划组件包括(但不限于):
- 需求管理计划;
- 风险管理计划;
- 采购管理计划;
- 变更管理计划;
- 进度基准。
可在本过程更新的项目管理计划组件包括(但不限于):
- 风险管理计划;
- 采购管理计划;
- 进度基准;
- 成本基准。