11.6 实施风险应对

1. 第一部分 项目管理知识体系指南
2. 1 引论
3. 1.2 基本要素
4. 1.2.4 指南的组成部分
5. 1.2.4.6 项目管理知识领域

除了过程组，过程还可以按知识领域进行分类。知识领域指按所需知识内容来定义的项目管理领域，并用其所含过程、实践、输入、输出、工具和技术进行描述。

虽然知识领域相互联系，但从项目管理的角度来看，它们是分别定义的。本指南确定了大多数情况下大部分项目通常使用的十个知识领域。本指南描述的十个知识领域包括：

• 项目整合管理包括为识别、定义、组合、统一和协调各项目管理过程组的各个过程和活动而开展的过程与活动。
• 项目范围管理包括确保项目做且只做所需的全部工作以成功完成项目的各个过程。
• 项目进度管理包括为管理项目按时完成所需的各个过程。
• 项目成本管理包括为使项目在批准的预算内完成而对成本进行规划、估算、预算、融资、筹资、管理和控制的各个过程。
• 项目质量管理包括把组织的质量政策应用于规划、管理、控制项目和产品质量要求，以满足相关方的期望的各个过程。
• 项目资源管理包括识别、获取和管理所需资源以成功完成项目的各个过程。
• 项目沟通管理包括为确保项目信息及时且恰当地规划、收集、生成、发布、存储、检索、管理、控制、监督和最终处置所需的各个过程。
• 项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程。
• 项目采购管理包括从项目团队外部采购或获取所需产品、服务或成果的各个过程。
• 项目相关方管理包括用于开展下列工作的各个过程：识别影响或受项目影响的人员、团队或组织，分析相关方对项目的期望和影响，制定合适的管理策略来有效调动相关方参与项目决策和执行。

某些项目可能需要一个或多个其他的知识领域，例如，建造项目可能需要财务管理或安全与健康管理。表 1-4 列出了项目管理过程组和知识领域。第 4 章至第 13 章详细说明了各个知识领域。该表格概述了第 4 章至第 13章所描述的基本过程。

表 1-4项目管理过程组与知识领域

1. 第一部分 项目管理知识体系指南
2. 11 项目风险管理

项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程。项目风险管理的目标在于提高正面风险的概率和（或）影响，降低负面风险的概率和（或）影响，从而提高项目成功的可能性。

项目风险管理的过程是：

11.1 规划风险管理 — 定义如何实施项目风险管理活动的过程。

11.2 识别风险 — 识别单个项目风险，以及整体项目风险的来源，并记录风险特征的过程。

11.3 实施定性风险分析 — 通过评估单个项目风险发生的概率和影响以及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程。

11.4 实施定量风险分析 — 就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析的过程。

11.5 规划风险应对 — 为处理整体项目风险敞口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程。

11.6 实施风险应对 — 执行商定的风险应对计划的过程。

11.7 监督风险 — 在整个项目期间，监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性的过程。

图 11-1 概括了项目风险管理的各个过程。虽然在本《PMBOK® 指南》中，各项目管理风险过程

以界限分明和相互独立的形式出现，但在实践中它们会以本指南无法全面详述的方式相互交叠和相互作用。

图 11-1项目风险管理概述

项目风险管理的核心概念既然项目是为交付收益而开展的、具有不同复杂程度的独特性工作，那自然就会充满风险。

开展项目，不仅要面对各种制约因素和假设条件，而且还要应对可能相互冲突和不断变化的相关方期望。组织应该有目的地以可控方式去冒项目风险，以便平衡风险和回报，并创造价值。

项目风险管理旨在识别和管理未被其他项目管理过程所管理的风险。如果不妥善管理，这些风险有可能导致项目偏离计划，无法达成既定的项目目标。因此，项目风险管理的有效性直接关乎项目成功与否。

每个项目都在两个层面上存在风险。每个项目都有会影响项目达成目标的单个风险，以及由单个项目风险和不确定性的其他来源联合导致的整体项目风险。考虑整体项目风险，也非常重要。项目风险管理过程同时兼顾这两个层面的风险。它们的定义如下：

• 单个项目风险是一旦发生，会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。
• 整体项目风险是不确定性对项目整体的影响，是相关方面临的项目结果正面和负面变异区间。

它源于包括单个风险在内的所有不确定性。

一旦发生，单个项目风险会对项目目标产生正面或负面的影响。项目风险管理旨在利用或强化正面风险（机会），规避或减轻负面风险（威胁）。未妥善管理的威胁可能引发各种问题，如工期延误、成本超支、绩效不佳或声誉受损。把握好机会则能够获得众多好处，如工期缩短、成本节约、绩效改善或声誉提升。

整体项目风险也有正面或负面之分。管理整体项目风险旨在通过削弱负面变异的驱动因素，加强正面变异的驱动因素，以及最大化实现整体项目目标的概率，把项目风险敞口保持在可接受的范围之内。

因为风险会在项目生命周期内持续发生，所以，项目风险管理过程也应不断迭代开展。在项目规划期间，就应该通过调整项目策略对风险做初步处理。接着，应该随着项目进展，监督和管理风险，确保项目处于正轨，并且突发性风险也得到处理。

为有效管理特定项目的风险，项目团队需要知道，相对于要追求的项目目标，可接受的风险敞口究竟是多大。这通常用可测量的风险临界值来定义。风险临界值反映了组织与项目相关方的风险偏好程度，是项目目标的可接受的变异程度。应该明确规定风险临界，并传达给项目团队，同时反映在项目的风险影响级别定义中。

项目风险管理的发展趋势和新兴实践项目风险管理的关注面正在扩大，以便确保考虑所有类型的风险，并在更广泛的背景中理解项目风险。项目风险管理的发展趋势和新兴实践包括（但不限于）：

• 非事件类风险。大多数项目只关注作为可能发生或不发生的不确定性未来事件的风险。例如：

关键卖方可能在项目期间停业，客户可能在设计完成后变更需求，或分包商可能要求对标准化操作流程进行优化。

不过，识别并管理非事件类风险的意识正在不断加强。非事件类风险有两种主要类型：

• 变异性风险。已规划事件、活动或决策的某些关键方面存在不确定性，就导致变异性风险。例如，生产率可能高于或低于目标值，测试发现的错误数量可能多于或少于预期，或施工阶段可能出现反常的天气情况。
• 模糊性风险。对未来可能发生什么，存在不确定性。知识不足可能影响项目达成目标的能力，例如，不太了解需求或技术解决方案的要素、法规框架的未来发展，或项目内在的系统复杂性。

变异性风险可通过蒙特卡洛分析加以处理，即：用概率分布表示变异的可能区间，然后采取行动去缩小可能结果的区间。管理模糊性风险，则需要先定义认知或理解不足之处，进而通过获取外部专家意见或以最佳实践为标杆来填补差距。也可以采用增量开发、原型搭建或模拟等方法来处理模糊性风险。

• 项目韧性。随着对所谓“未知-未知”因素的意识的增强，人们也越来越明确地知道确实存在突发性风险。这种风险只有在发生后才能被发现。可以通过加强项目韧性来应对突发性风险。

这就要求每个项目：

• 除了为已知风险列出具体风险预算，还要为突发性风险预留合理的应急预算和时间；
• 采用灵活的项目过程，包括强有力的变更管理，以便在保持朝项目目标推进的正确方向的同时，应对突发性风险；
• 授权目标明确且值得信赖的项目团队在商定限制范围内完成工作；
• 经常留意早期预警信号，以尽早识别突发性风险；
• 明确征求相关方的意见，以明确为应对突发性风险而可以调整项目范围或策略的领域。
• 整合式风险管理。项目存在于组织背景中，可能是项目集或项目组合的一部分。在项目、项目集、项目组合和组织这些层面上，都存在风险。应该在适当的层面上承担和管理风险。在较高层面识别出的某些风险，将被授权给项目团队去管理；而在较低层面识别出的某些风险，又可能上交给较高层面去管理（如果在项目之外管理最有效）。应该采用协调式企业级风险管理方法，来确保所有层面的风险管理工作的一致性和连贯性。这样就能使项目集和项目组合的结构具有风险效率，有利于在给定的风险敞口水平下创造最大的整体价值。

裁剪时需要考虑的因素因为每个项目都是独特的，所以有必要对项目风险管理过程的应用方式进行裁剪。裁剪时应考虑的因素包括（但不限于）：

• 项目规模。由预算、持续时间、范围或团队人数所体现的项目规模，要求采取更详细的风险管理方法吗？或者项目小到只需要用简化的风险管理过程吗？
• 项目复杂性。由高水平创新、新技术采用、商务安排、界面或外部依赖关系导致的项目复杂性提高，是否要求采用更稳健的风险管理方法？或者项目是否简单到只需要用简化的风险管理过程？
• 项目重要性。项目的战略重要性有多大？项目的风险级别因旨在创造突破性机会、克服组织经营的重大障碍或涉及重大产品创新而提高了吗？
• 开发方法。它是否是瀑布式项目，风险管理过程可以相继或重复开展；或者此项目是否采取敏捷型方法，需在每个重复过程的开始阶段以及执行期间处理风险？

根据上述需考虑的因素来裁剪项目风险管理过程，这是规划风险管理过程的一部分工作。裁剪结果将被记录在风险管理计划中。

在敏捷或适应型环境中需要考虑的因素从本质上讲，越是变化的环境就存在越多的不确定性和风险。要应对快速变化，就需要采用适应型方法管理项目，即：通过跨职能项目团队和经常审查增量式工作产品，来加快知识分享，确保对风险的认知和管理。在选择每个迭代期的工作内容时，应该考虑风险；在每个迭代期间应该识别、分析和管理风险。

此外，应该根据对当前风险敞口的理解的加深，定期更新需求文件，并随项目进展重新排列工作优先级。

1. 第一部分 项目管理知识体系指南
2. 11 项目风险管理
3. 11.2 识别风险
4. 11.2.3 识别风险：输出
5. 11.2.3.1 风险登记册

风险登记册记录已识别单个项目风险的详细信息。随着实施定性风险分析、规划风险应对、实施风险应对和监督风险等过程的开展，这些过程的结果也要记进风险登记册。取决于具体的项目变量（如规模和复杂性），风险登记册可能包含有限或广泛的风险信息。

当完成识别风险过程时，风险登记册的内容可能包括（但不限于）：

• 已识别风险的清单。在风险登记册中，每项单个项目风险都被赋予一个独特的标识号。要以所需的详细程度对已识别风险进行描述，确保明确理解。可以使用结构化的风险描述，来把风险本身与风险原因及风险影响区分开来。
• 潜在风险责任人。如果已在识别风险过程中识别出潜在的风险责任人，就要把该责任人记录到风险登记册中。随后将由实施定性风险分析过程进行确认。
• 潜在风险应对措施清单。如果已在识别风险过程中识别出某种潜在的风险应对措施，就要把它记录到风险登记册中。随后将由规划风险应对过程进行确认。

根据风险管理计划规定的风险登记册格式，可能还要记录关于每项已识别风险的其他数据，包括：简短的风险名称、风险类别、当前风险状态、一项或多项原因、一项或多项对目标的影响、风险触发条件（显示风险即将发生的事件或条件）、受影响的 WBS组件，以及时间信息（风险何时识别、可能何时发生、何时可能不再相关，以及采取行动的最后期限）。

1. 第一部分 项目管理知识体系指南
2. 11 项目风险管理
3. 11.2 识别风险
4. 11.2.3 识别风险：输出
5. 11.2.3.2 风险报告

风险报告提供关于整体项目风险的信息，以及关于已识别的单个项目风险的概述信息。在项目风险管理过程中，风险报告的编制是一项渐进式的工作。随着实施定性风险分析、实施定量风险分析、规划风险应对、实施风险应对和监督风险过程的完成，这些过程的结果也需要记录在风险登记册中。在完成识别风险过程时，风险报告的内容可能包括（但不限于）：

• 整体项目风险的来源。说明哪些是整体项目风险敞口的最重要驱动因素。
• 关于已识别单个项目风险的概述信息。例如，已识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势。

根据风险管理计划中规定的报告要求，风险报告中可能还包含其他信息。

1. 第一部分 项目管理知识体系指南
2. 11 项目风险管理
3. 11.5 规划风险应对

规划风险应对是为处理整体项目风险敞口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程。本过程的主要作用是，制定应对整体项目风险和单个项目风险的适当方法；本过程还将分配资源，并根据需要将相关活动添加进项目文件和项目管理计划。本过程需要在整个项目期间开展。图 11-16 描述本过程的输入、工具与技术和输出。图 11-17 是本过程的数据流向图。

图 11-16规划风险应对：输入、工具与技术和输出

图 11-17规划风险应对：数据流向图

有效和适当的风险应对可以最小化单个威胁，最大化单个机会，并降低整体项目风险敞口；不恰当的风险应对则会适得其反。一旦完成对风险的识别、分析和排序，指定的风险责任人就应该编制计划，以应对项目团队认为足够重要的每项单个项目风险。这些风险会对项目目标的实现造成威胁或提供机会。项目经理也应该思考如何针对整体项目风险的当前级别做出适当的应对。

风险应对方案应该与风险的重要性相匹配、能经济有效地应对挑战、在当前项目背景下现实可行、能获得全体相关方的同意，并由一名责任人具体负责。往往需要从几套可选方案中选出最优的风险应对方案。应该为每个风险选择最可能有效的策略或策略组合。可用结构化的决策技术来选择最适当的应对策略。对于大型或复杂项目，可能需要以数学优化模型或实际方案分析为基础，进行更加稳健的备选风险应对策略经济分析。

要为实施商定的风险应对策略，包括主要策略和备用策略（若必要），制定具体的应对行动。

如果选定的策略并不完全有效，或者发生了已接受的风险，就需要制定应急计划（或弹回计划）。

同时，也需要识别次生风险。次生风险是实施风险应对措施而直接导致的风险。往往需要为风险分配时间或成本应急储备，并可能需要说明动用应急储备的条件。

1. 第一部分 项目管理知识体系指南
2. 11 项目风险管理
3. 11.5 规划风险应对
4. 11.5.3 规划风险应对：输出
5. 11.5.3.3 项目文件更新

可在本过程更新的项目文件包括（但不限于）：

• 假设日志。见 4.1.3.2 节。在规划风险应对过程中，可能做出新的假设、识别出新的制约因素，或者现有的假设条件或制约因素可能被重新审查和修改。应该更新假设日志，记录这些新信息。
• 成本预测。见 7.4.3.2 节。成本预测可能因规划的风险应对策略而发生变更。
• 经验教训登记册。见 4.4.3.1 节。更新经验教训登记册，记录适用于项目的未来阶段或未来项目的风险应对信息。
• 项目进度计划。见 6.5.3.2 节。可以把用于执行已商定的风险应对策略的活动添加到项目进度计划中。
• 项目团队派工单。见 9.3.3.2 节。一旦确定应对策略，应为每项与风险应对计划相关的措施分配必要的资源，包括用于执行商定的措施的具有适当资质和经验的人员（通常在项目团队中）、合理的资金和时间，以及必要的技术手段。
• 风险登记册。见 11.2.3.1 节。需要更新风险登记册，记录选择和商定的风险应对措施。风险登记册的更新可能包括（但不限于）：
• 商定的应对策略；
• 实施所选应对策略所需要的具体行动；
• 风险发生的触发条件、征兆和预警信号；
• 实施所选应对策略所需要的预算和进度活动；
• 应急计划，以及启动该计划所需的风险触发条件；
• 弹回计划，供风险发生且主要应对措施不足以应对时使用；
• 在采取预定应对措施之后仍然存在的残余风险，以及被有意接受的风险；
• 由实施风险应对措施而直接导致的次生风险。
• 风险报告。见 11.2.3.2 节。更新风险报告，记录针对当前整体项目风险敞口和高优先级风险的经商定的应对措施，以及实施这些措施之后的预期变化。

1. 第一部分 项目管理知识体系指南
2. 11 项目风险管理
3. 11.6 实施风险应对
4. 11.6.1 实施风险应对：输入
5. 11.6.1.1 项目管理计划

见 4.2.3.1 节。项目管理计划组件包括（但不限于）风险管理计划。见 11.1.3.1 节，风险管理计划列明了与风险管理相关的项目团队成员和其他相关方的角色和职责。应根据这些信息为已商定的风险应对措施分配责任人。风险管理计划还会定义适用于本项目的风险管理方法论的详细程度，还会基于关键相关方的风险偏好规定项目的风险临界值。风险临界值代表了实施风险应对所需实现的可接受目标。

1. 第一部分 项目管理知识体系指南
2. 11 项目风险管理
3. 11.6 实施风险应对
4. 11.6.1 实施风险应对：输入
5. 11.6.1.2 项目文件

可作为本过程输入的项目文件包括（但不限于）：

• 经验教训登记册。见 4.4.3.1 节。项目早期获得的与实施风险应对有关的经验教训，可用于项目后期提高本过程的有效性。
• 风险登记册。见 11.2.3.1 节。风险登记册记录了每项单个风险的商定风险应对措施，以及负责应对的指定责任人。
• 风险报告。见 11.2.3.2 节。风险报告包括对当前整体项目风险敞口的评估，以及商定的风险应对策略，还会描述重要的单个项目风险及其应对计划。

1. 第一部分 项目管理知识体系指南
2. 11 项目风险管理
3. 11.6 实施风险应对
4. 11.6.1 实施风险应对：输入
5. 11.6.1.3 组织过程资产

能够影响实施风险应对过程的组织过程资产包括（但不限于）已完成的类似项目的经验教训知识库，其中会说明特定风险应对的有效性。

1. 第一部分 项目管理知识体系指南
2. 11 项目风险管理
3. 11.6 实施风险应对
4. 11.6.3 实施风险应对：输出
5. 11.6.3.1 变更请求

见 4.3.3.4 节。实施风险应对后，可能会就成本基准和进度基准，或项目管理计划的其他组件提出变更请求。应该通过实施整体变更控制过程（见 4.6 节）对变更请求进行审查和处理。

1. 第一部分 项目管理知识体系指南
2. 11 项目风险管理
3. 11.6 实施风险应对
4. 11.6.3 实施风险应对：输出
5. 11.6.3.2 项目文件更新

可在本过程更新的项目文件包括（但不限于）：

• 问题日志。见 4.3.3.3 节。作为实施风险应对过程的一部分，已识别的问题会被记录到问题日志中。
• 经验教训登记册。见 4.4.3.1 节。更新经验教训登记册，记录在实施风险应对时遇到的挑战、本可采取的规避方法，以及实施风险应对的有效方式。
• 项目团队派工单。见 9.3.3.2 节。一旦确定风险应对策略，应为每项与风险应对计划相关的措施分配必要的资源，包括用于执行商定的措施的具有适当资质和经验的人员、合理的资金和时间，以及必要的技术手段。
• 风险登记册。见 11.2.3.1 节。可能需要更新风险登记册，反映开展本过程所导致的对单个项目风险的已商定应对措施的任何变更。
• 风险报告。见 11.2.3.2 节。可能需要风险报告，反映开展本过程所导致的对整体项目风险敞口的已商定应对措施的任何变更。

1. 第二部分 项目管理标准
2. 1 引论
3. 1.8 项目管理知识领域

项目管理知识领域是管理各种项目时需普遍使用的专业知识领域。每个知识领域都是项目管理中的一个特定主题，以及与该主题相关的一组过程。这10大知识领域在大多数时候适用于大多数项目。某类特定项目可能需要额外的知识领域。这 10 大知识领域包括：

• 项目整合管理项目整合管理包括为识别、定义、组合、统一和协调各项目管理过程组的各种过程和活动而开展的过程与活动。
• 项目范围管理项目范围管理包括确保项目做且只做所需的全部工作，以成功完成项目的各个过程。
• 项目进度管理项目进度管理包括为管理项目按时完成所需的各个过程。
• 项目成本管理项目成本管理包括为使项目在批准的预算内完成而对成本进行规划、估算、预算、融资、筹资、管理和控制的各个过程。
• 项目质量管理项目质量管理包括把组织的质量政策应用于规划、管理、控制项目和产品质量要求，以满足相关方的期望的各个过程。
• 项目资源管理项目资源管理包括识别、获取和管理所需资源以成功完成项目的各个过程。
• 项目沟通管理项目沟通管理包括为确保项目信息及时且恰当地规划、收集、生成、发布、存储、检索、管理、控制、监督和最终处置所需的各个过程。
• 项目风险管理项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程。
• 项目采购管理项目采购管理包括从项目团队外部采购或获取所需产品、服务或成果的各个过程。
• 项目相关方管理项目相关方管理包括用于开展下列工作的各个过程：识别影响或受项目影响的人员、群体或组织，分析相关方对项目的期望和影响，制定合适的管理策略来有效调动相关方参与项目决策和执行。

1. 第三部分 附录、术语表、索引
2. 附录 X1 第 6 版更新
3. X1.11 知识领域和过程变更

我们对两个知识领域的名称做了变更，以更贴切地反映其中的工作。

• 项目时间管理变更为项目进度管理，以反映该知识领域会确定并管理项目期间的进度计划，而不是对时间进行管理。
• 第六版会同时关注团队资源和物质资源，因此，项目人力资源管理知识领域变更为项目资源管理。

为了反映在实践中项目管理方式的变化，删除了一项过程，新增了三项过程，并移动一项过程到两个知识领域之间。下文会总结这些变更，并在相关知识领域章节加以讨论：

• 管理项目知识（见 4.4 节）—— 新增；
• 估算活动资源（见 6.4 节）—— 移动到项目资源管理；
• 控制资源（见 9.6 节）——新增；
• 实施风险应对（见 11.6 节）——新增；
• 结束采购（见 12.4 节）——删除。

若干过程名称有所变更，以提高各过程间的一致性和清晰性。调查显示，相对于控制，项目经理更倾向于监督、引导和管理，尤其在需要与人员交流互动的过程中；因此，控制沟通、控制风险和控制相关方参与等过程的名称变更为监督沟通、监督风险和监督相关方参与。以下清单对所有过程名称的变更进行了总结：

• 实施质量保证（见 8.2 节）——更改为管理质量；
• 规划人力资源管理（见 9.1 节）——更改为规划资源管理；
• 组建项目团队（见 9.2 节）——更改为获取资源；
• 建设项目团队（见 9.3 节）——更改为建设团队；
• 管理项目团队（见 9.4 节）——更改为管理团队；
• 控制沟通（见 10.3 节）——更改为监督沟通；
• 控制风险（见 11.6 节）——更改为监督风险；
• 规划相关方管理（见 13.2 节）——更改为规划相关方参与；
• 控制相关方参与（见 13.4 节）——更改为监督相关方参与。

1. 第三部分 附录、术语表、索引
2. 附录 X1 第 6 版更新
3. X1.19 第 11 章 项目风险管理变更

对整体项目风险日益加强的重视已整合到风险过程中，本章也新增了一项新过程“实施风险应对”，作为执行过程组一部分。它不仅关注规划风险应对的重要性，还强调实施风险应对的重要性。我们还引入了一项名为“升级”的全新风险应对，以说明若已识别的风险不在项目目标范围以内，它们应转交给组织的相关人员或小组。风险指的是不确定的未来事件或条件，虽然无法控制它们，但却能监督；因此，控制风险过程重新命名为监督风险。

与从 X1.1 至 X1.11 节所述信息一致的变更也得到采纳。表 X1-6 对第 11 章的过程进行了总结：

表 X1-6 第 11 章变更