项目PMP之十一项目风险管理

项目PMP之十一——项目风险管理

 

一、定义：削弱负面风险，增强正面风险，将风险敞口保持在可接受的范围，扩大项目实现的概率

• 非事件类风险：变异性风险，已规划的不确定性（通过蒙特卡洛分析，缩小结果区间）；模糊性风险，未知不确定性（专家或最佳事件填补差距）
• 项目韧性：未知因素风险的应对意识
• 整合式风险管理：识别层级风险，交于不同人管理，提升管理
• 起因：引起消极或积极结果的需求、假设、制约因素或状况
• 影响度可降低
• 风险敞口未记录的风险
• 风险承受力：组织或个人承受的风险程度、数量或容量；主观层面的忍受力
• 风险临界值：能够承受的风险的严重性的最高限度；客观层面的量化界限
• 已知风险：已识别可进行应对措施；未知风险：应急计划应对；已发生风险：bug
• 风险类别：
  • 事件类
  • 非事件类：
    • 变异性：已规划事件、活动或决策本身的不确定性，关联蒙特卡洛分析
    • 模糊性：知识和能力不足，对未来发生的事不确定，关联专家判断和最佳实践
  • 突发性风险：未知风险，发生后才能处理，关联管理储备或灵活的过程

二、过程：

1. 规划风险管理：早期完成，再有重大变更或范围变更时，需要重新审查确认（通过专家判断、数据分析（相关方分析）、会议实现）
   • 产出
     • 风险管理计划：风险管理战略、方法论、角色与职责、资金、时间安排、风险类别（RBS：风险分解结构，风险的类别）、相关方风险偏好（可测量的风险临界值）、风险概率和影响定义（结合相关方风险偏好和临界值制定风险概率）、概率和影响矩阵、报告格式、跟踪
       • 风险偏好：追随者（年轻）；中立者（有一定风险意识）；回避者（承受过失败或害怕失败）
       • 风险分解结构（RBS）：多级分类表格
       • 风险概率：即风险量表
       • 风险影响：即概率影响矩阵
   • 工具：
     • 会议产出：
       • 风险量表：
       • 

       • 概率影响矩阵：确认问题风险优先级

       • 

2. 识别风险：识别风险来源，并记录风险特征
   • 定义过程：
     • 记录现有团队和整体项目的风险来源及特征
     • 团队参与一起，提升责任感
     • 反复进行的迭代过程
     • 风险记录格式保持统一，便于理解
   • 输入：
     • 协议和采购文档：重点影响点
   • 工具：
     • 专家判断
     • 数据收集：头脑风暴、核对单、访谈
       • 核对单：风险分解结构（RBS）最底层：可识别处理迅速但不能包罗万象；根据历史信息或组织过程资产开展，可能存在未记录的
     • 数据分析：根本原因分析（查到根本原因并做预防）；假设条件和制约因素分析（条件在项目中的有效性）；SWOT分析（针对优势、劣势、机会和威胁分析；内外部、积极消极两个层面分析）；文件分析
     • 人际/团队：引导
     • 提示清单：预设清单，协助项目团队形成想法；通过战略框架制作
       • 框架：列如PESTLE（政治、经济、社会、技术、法律、环境）、TECOP（技术、环境、商业、运营、政治）、VUCA（易变性、不确定性、复杂性、模糊性）
     • 会议：风险研讨会
   • 产出：渐进明细
     • 风险登记册：已识别风险清单（实时更新）；潜在风险责任人；潜在应对措施
     • 风险报告：整体项目风险的信息，渐进式编写过程；对外对上通用性，已发生可公开的
3. 实施定性风险分析：
   • 定义：通过已识别的单个项目风险发生概率、影响和特征，排序风险相对优先级（存在主观性，因此纠正主观偏见很重要），设定风险责任人；必须执行
   • 工具：
     • 专家判断：类比项目（主观性会导致存在偏见）
     • 数据收集：访谈
     • 数据分析：
       • 风险数据质量评估：确认风险数据的准确性和可靠性（会议或访谈确认）
       • 风险概率和影响评估：概率为发生可能性，影响为对项目的潜在影响（负面或正面）；可通过访谈或会议的模式收集；低优先级的风险则加入观察清单
       • 风险参数：紧迫性、邻近性、潜伏期、可管理性、可控性、可监测性、连通性、战略影响力、密切度
       • 人际/团队：引导
       • 风险分类：RBS/WBS
       • 数据表现：
         • 概率和影响矩阵：二维矩阵（通过风险参数关联分析）
         • 三维矩阵
           • 
         • 层级图：三维（气泡图）关键字：两个以上参数
           • 
       • 会议：风险研讨会，确认风险责任人
   • 产出：
     • 风险登记册更新：更新风险的特定属性值（概率和影响评估、优先级、风险种类、风险责任人和观察清单（低影响的风险））
4. 实施定量风险分析：
   • 定义：单项目风险和不确定性的其他来源风险对于整体项目目标的影响分析；量化项目整体的风险敞口（未定义的风险），即定义应急和管理储备；不是所有的流程都需要定量
   • 适用范围：大型或复杂项目、战略重要性的项目、合同要求执行定量分析的项目、主要相关方要求进行定量分析
   • 决定性：是否有关于单个项目风险和其他不确定性来源的高质量数据，以及与范围、进度和成本相关的扎实项目基准
   • 工具：
     • 专家判断：
     • 数据收集：访谈（无偏见的意见）
     • 人际/团队：引导
     • 不确定性表现方式：数据模型
       • 风险模型，概率分布：三角、正态、对数正态、贝塔、均匀、离散；关键字活动持续时间、成本和资源不确定
       • 单一风险表现模式：概率分布图或概率分支
     • 数据分析：
       • 模拟：蒙特卡洛分析（单变量反复测算获取可能结果的区间值），s曲线
         • 成本风险分析：用成本估算模拟
         • 进度风险分析：通过进度网络图和持续时间模拟
       • 敏感性分析：龙卷图模式：最大潜在影响
         • 第五版：风险两面性；第六版只有单方面考虑
         • 
       • 决策树分析（EMV）：最佳方案分析决策
         • 

         • 

       • 影响图：龙卷图和s曲线图，特定场景下一系列数据的关系和相互影响图
   • 产出：
     • 风险报告更新：风险敞口评估（成功的可能性，固定的变异性）；概率分析结果；风险优先级；定量分析结果趋势（可不存在）；应对建议
5. 规划风险应对：
   • 定义：与风险的重要性相匹配，最小化威胁，最大化机会，降低整体项目风险敞口；实现方式，经济有效地应对风险、当天项目背景下可实现、获得相关方全体同意、并由一名风险责任人负责
   • 应急应对策略：弹回计划：备份计划
   • 应急计划（弹回计划）：有征兆、预警，未出现
   • 应对计划：次生风险（通过应对的风险计划后，产生的新风险）
   • 工具：
     • 专家判断
     • 数据分析：访谈
     • 人际/团队：引导
     • 威胁应对策略：
       • 上报：威胁超出权利范围或不在项目范围内；明确责任人；上报项目集、项目组合或组织相关部门；需要组织中相关方愿意承担应对风险；一经上报项目团队不在处理，仅在风险登记册中参考
       • 规避：适用高概率、严重性高的高优先级威胁；措施包含消除威胁原因、延长进度计划、改变项目策略、缩小范围等；彻底消除威胁，风险概率降低至0；未发生的风险，延期
       • 转移：转嫁给第三方，由第三方管理风险并承担发生的影响
       • 减轻：通过不同的选择降低威胁的概率和影响；通过额外的流程进行把控，即威胁仍存在，并没有降至0
       • 接受：适用低优先级的威胁或者无法以经济有效地应对的威胁（主动通过应急储备应对；被动确认其影响面）已发生的风险，延期
       • 
     • 机会应对策略：
       • 上报：同威胁
       • 开拓：把握高优先级机会，分配资源短时间完成确保机会，提高概率至100%
       • 分享：转嫁给第三方；合资方式
       • 提高：提高出现概率，最明显的增加资源，提升概率无法至100%
       • 接受：同威胁
       • 
     • 应急应对策略：特定事件专门设计，此处确认风险会发生并存在充分预警信号，里程碑（有征兆的）
     • 整体项目风险应对策略：威胁和机会的方式结合
       • 规避：项目存在严重负面影响，超出项目风险临界值；团队集体行动，弱化不确定性对项目整理的负面影响，将项目拉回临界值内；如无法拉回则取消项目
       • 开拓：与规避相反，显著的正面影响，超出项目风险临界值
       • 转移或分享：结合第三方处理
       • 减轻或提高：优化实现项目目标的可能（范围修改、优先级、配置、延期等）
       • 接受：无法针对整体项目风险采取主动的应对策略时，默默接受
     • 数据分析：备选方案分析和成本收益分析
     • 决策：多标准决策
   • 产出
     • 风险登记册增加：
       • 应对策略及其行动模式和具体工作
       • 风险的触发条件、征兆和预警信号
       • 应急计划，及其风险触发条件，即何时可用
       • 弹回计划
       • 残余风险
       • 次生风险
       • 风险责任人：负责规划风险应对的措施
     • 观察清单：风险登记册副本（中、小风险；未来远期的风险）；与风险登记册切换
     • 风险报告、假设日志、成本预测及进度计划
6. 实施风险应对：对成本、进度或项目管理计划出现影响，需要提出变更
   • 定义：风险责任人确保按计划执行商定的风险应对措施
   • 工具：专家判断、人际/团队影响力、项目管理信息系统PMIS（经验教训等级册、风险等级册、风险报告）
   • 应急：存在征兆，常识处理
   • 应对：风险出现之后
7. 监督风险：获取新出现、正变化和已过时的风险及机会信息
   • 工具：
     • 数据分析：
       • 技术绩效（kpi）：客观、量化的测量指标
       • 储备分析（消耗）：剩余储备是否合理，燃尽图
     • 审计（CISA）：事后审查风险应对的有效性；评估风险管理过程的有效性；由项目经理确保按项目风险管理计划规定的频率执行
     • 会议：
       • 风险审查会：检查和记录风险应对处理的有效性
         • 识别新风险
         • 评估当前风险
         • 关闭已过时风险
         • 记录风险的衍生风险
         • 总结经验教训
       • 风险再评估：第五版（会议：第六版）:识别新风险，删除老风险
   • 发现问题：未发生则从识别开始执行
   • 权变（workaround）：已发生的不利风险应对；事先未安排
   • 发生的风险：存在风险登记册中->①应对方案②应急方案③变更；不存在风险登记册中->①权变②变更
   • 应急储备：风险登记册中包含的定量分析由来
   • 管理储备：风险登记册中不包含由来