项目风险管理概述

一、风险的概念

什么是项目风险？

​ 任何项目都有风险，由于项目 中总是有这样或那样的不确定因素， 所以无论项目进行到哪个阶段， 无论项目的进展多么顺利，随时都会出现风险， 进而产生问题。 风险发生后既可能给项目带来问题， 也可能会给项目带来机会，关键的是项目的风险管理水平如何。

​ 风险管理就是要对项目风险进行认真的分析和科学的管理，这样， 能够避开不利条件、少受损失、 取得预期的结果并实现项目目标， 能够争取避免风险的发生或尽量减小风险发生后的影响。但是， 完全避开或消除风险，或者只享受权益而不承担风险是不可能的。

​ 项目风险是一种不确定的事件或条件， 一旦发生，会对项目 目标产生某种正面或负面的影响；风险有其成因，同时，如果风险发生，也导致某种后果； 当事件、 活动或项目有损失或收益与之相联系， 涉及到某种或然性或不确定性和涉及到某种选择时，才称为有风险。 以上三条， 每一个都是风险定义的必要条件， 不是充分条件。具有不确定性的事件不一定是风险。

​ 风险的四要素是事件（条件）、原因、 概率与后果。风险是一个什么事件（条件） ，是由什么原因引起的，风险发生的概率有多大， 风险发生后会导致什么样的后果。 风险管理的目的就是最小化风险对项目 目标的负面影响，抓住风险带来的机会，增加项目相关方的收益。 作为项目经理，必须评估项目中的风险， 制定风险应对策略，有针对性地分配资源，制订计划， 保证项目的顺利进行。

Robert Charette 在他关于风险分析和驾驭的书中对风险的概念给出定义，他所关心的是三个方面：
（1）关心未来： 风险是否会导致项目失败？

（2）关心变化：在用户需求、 开发技术和所有其他与项目相关的实体中 会发生什么样的变化？

（3） 关心选择：应采用什么方法和工具， 应配备多少人力， 在质量上强调到什么程度才满足要求？

1.对风险的深入了解

​ 风险表达了一种概率，具有偶发性。对于项目中的风险可以简单地理解为项目中的不确定因素。从广义的角度来说，不确定因素一 旦确定了，既可能对当前情况产生积极的影响，也可能产生消极的影响。也就是说，风险发生后既可能给项目带来问题，也可能会给项目带来机会。

​ 在对于风险的理解.上，不要将风险简单地看作是问题。风险并不是一发生就消失了。首先，历史经常会重演，只要引发风险的因素没有消除，风险依然存在，它很可能在另外某个时候跳出来影响项目进程。例如，不充分的设计是一种常 见的风险，这个风险在后续阶段转化为问题。但问题发生了并不意味着设计就充分了，如果没有采取相应的措施，设计的问题还会接二连三地冒出来。

​ 其次，对于整个项目来说，发生问题则意味着系统状态发生了变化，这种变化往往带来新的不确定因素，引发新的风险。例如，团队成员不稳定也是项目中常见的一个风险，该风险一旦发生，就会出现人员的流失，即使补充了新的成员进来，新成员是否会再次流失，以及新成员能够在多长时间内熟悉问题域也会成为新的风险。

​ 不过，对于项目而言，风险不仅仅意味着问题的隐患，风险与机会并存，高风险的项目往往有着高的收益。相反，没有任何风险的项目（如果存在的话），不会有任何利润可图。 作为项目经理，要管理好项目中的风险，避免风险造成的损失，提高项目的收益率。

2.几个相关的概念

​ 为了预期的回报， 组织愿意承受的不确定性的程度称为风险偏好。组织能承受的风险程度、 数量或容量称为风险承受力。 相关方特别关注的特定的不确定性程度或影响程度称为风险临界值。 低于风险临界值，组织会接受风险；高于风险临界值，组织将不能承受风险。

人们对于风险的承受力因活动、 人和时间而不同， 主要受以下三个因素的影响：

（1） 收益的大小。 损失的可能性和数额越大， 人们希望为弥补损失而得到的收益也越大。 反过来，收益越大，人们愿意承担的风险也就越大。

（2）投入的大小。项目活动投入得越多， 人们对成功的希望也越大， 愿意冒的风险也就越小。

（3）项目活动主体的地位和拥有的资源。 管理人员中级别高的与级别低的相比， 能够承担较大的风险。个人或组织拥有的资源越多，其风险承受能力也越大。

3.项目风险的特点

​ 虽然不能说项目的失败都是由风险造成的， 但成功的项目必然是有效地进行了风险管理。 任何项目都有风险，由于项目中总是有这样或那样的不确定因素， 所以无论项目进行到什么阶段， 无论项目的进展多么顺利， 随时都会出现风险，进而产生问题。

​ 风险具有两个基本属性， 分别是随机性和相对性。 随机性是指风险事件的发生及其后果都具有偶然性； 相对性是指 风险总是相对项目活动主体而言的， 同样的风险对于不同的主体有不同的影响。 另外，项目风险还具有以下特点：

（1）风险存在的客观性和普遍性。 作为损失发生的不确定性，风险是不以人的意志为转移并超越人们主观意识的客观存在，而且在项目的全生命周期内， 风险无处不在，无时没有。这就说明了为什么虽然人类一直希望认识和控制风险， 但直到现在也只能在有限的空间和时间内改变风险存在和发生的条件， 降低其发生的频率，减少损失程度，而不能也不可能完全消除风险。

（2） 某一具体风险发生的偶然性和大量风险发生的必然性。 任一具体风险的发生都是诸多风险因素和其他因素共同作用的结果，是一种随机现象。 个别风险事故的发生是偶然的、杂乱无章的， 但对大量风险事故资料的观察和统计分析，发现其呈现出明显的运动规律， 这就使人们有可能用概率统计方法及其他现代风险分析方法去计算风险发生的概率和损失程度， 同时也导致风险管理的迅猛发展。

（3）风险的可变性。在项目执行过程中， 各种风险在质和量上是可以变化的。 随着项目工作的开展，有些风险得到控制并消除， 有些风险会发生并得到处理。同时， 在项目的每一个阶段都可能产生新的风险。

（4）风险的多样性和多层次性。 大型项目周期长、规模大、涉及范围广、 风险因素数量多且种类繁杂，致使其在生命周期内面临的风险多种多样。 而且大量风险因素之间的内在关系错综复杂、 各风险因素之间与外界交叉影响又使风险显示出多层次性。

二、风险的分类

​ 风险类别是对潜在风险，成因的归组。项目执行组织可使用预先准备好的分类框架对风险进行分类， 该框架可能是一个简易分类清单或风险分解结构。

1.常见的分类

​ 从不同的角度对风险进行分类，则有不同的分类方法。

​ 按照风险后果进行分类，可将风险分为纯粹风险和投机风险。纯粹风险不能带来机会、无获得利益可能。纯粹风险只有两种可能后果，即造成损失和不造成损失，这种损失是全社会的损失，没有人从中获得好处；投机风险既可能带来机会、获得利益，又隐含威胁、造成损失。投机风险有三种可能后果，分别是造成损失、不造成损失和获得利益。纯粹风险和投机风险在一定条件 下可以相互转化，项目管理团队必须避免投机风险转化为纯粹风险。

​ 按照风险来源进行分类，可将风险分为自然风险和人为风险。自然风险是指由于自然力的作用，造成财产损毁或人员伤亡的风险。人为风险是指由于人的活动而带来的风险，可细分为行为、经济、技术、政治和组织风险。

​ 按照风险发生后对项目的影响范围进行分类，可将风险分为局部风险和总体风险。局部风险的影响范围小，总体风险的影响范围大。局部风险和总体风险是相对而言的，项目管理团队要特别注意总体风险。

​ 按照风险的可预测性进行分类，可将风险分为已知风险、可预测风险和不可预测风险。已知风险是指能够明确的，后果也可预见的风险。已知风险发生的概率高，但后果轻微；可预测风险是指根据经验可以预见其发生，但其后果不可预见。可预测风险的后果有可能相当严重；不可预测风险是指不能预见的风险，也称为未知风险、未识别的风险。不可预测风险一般是外部因素作用的结果。

2.宏观分类

​ 从宏观上来看，风险可以分为项目风险、 技术风险和商业风险。

​ 项目风险是指潜在的预算、进度、人员 （包括个人和组织）、资源、 用户和需求方面的问题， 以及它们对项目的影响。项目复杂性、 规模和结构的不确定性也构成项目的 （估算）风险因素。 项目风险威胁到项目管理计划，项目风 险一旦发生，可能会拖延项目进度， 增加项目的成本。

​ 技术风险是指潜在的设计、实现、接口、 测试和维护方面的问题。此外， 规格说明的多义性、技术上的不确定性、技术陈旧、最新技术（不成熟） 也是风险因素。技术风险威胁到项目的质量和预定的交付时间。 技术风险一旦发生，项目工作可能会变得很困难或根本不可 能继续下去。

商业风险是指组织层面上的运营风险， 威胁到产品的生存能力。 五种主要的商业风险如下：

（1）市场风险：开发的产品虽然很优秀但不是市场真正所想要的。

（2）策略风险：开发的产品不再符合组织的产品战略。

（3）销售风险：开发了销售部门不清楚如何推销的产品。

（4）管理风险：由于重点转移或人员变动而失去上级管理部门的支持。

（5）预算风险：没有得到预算或人员的保证。

3.已知与未知风险

对风险从已经和未知角度进行分类， 可以分为已知-已知风险、 已知-未知风险和未知-未知风险。

（1）已知-已知风险。 已经识别出并分析过的风险， 人们知道它们是什么风险以及发生的可能性和后果，通常按计算出的风险金额计入具体的项目工作的成本中。也就是说， 对已知-已知风险，其成本 （按预期货币价值计算）直接计入项目各项活动中。

（2）已知-未知风险。已经识别出但其发生概率或后果还不清楚的风险， 通常可以用应急储备（包括应急时间和资金）来应付。对已知-未知风险， 其可能的成本要列入项目的应急储备中， 应急储备是项目成本基准的组成部分之一。

（3）未知-未知风险。过去从未遇到过的、 完全未知的风险。例如， 第一例非典型肺炎发生前， “非典”就属于这类风险。如果发生，就用管理储备来应付。 动用应急储备需要项目经理批准， 动用管理储备需要管理层批准。因此，对未知-未知风险的管理， 通常不是项目经理的责任。

4.残余与次生风险

​ 残余风险（Residual Risk）也称为残留风险， 是在采取风险应对措施之后仍然存在的风险， 也就是那些未能为项目团队所控制的战略风险和各经营流程的流程风险。 残余风险通常是可接受的。如果残余风险超过组织的可接受风险水平，项目 团队则必须安排进一步的风险应对措施， 将残余风险降低到可接受的水平。

​ 次生风险（Secondary Risk）也称为二次风险， 是应对一个风险而导致的风险。 如果不应对前一个风险，后一个风险（次生风险）就不会发生。对于次生风险， 项目团队应当识别并规划应对措施。例如， 在项目实施过程中，进度拖延可能是一个风险， 为了应对这个风险，很多 项目经理选择了加班的策略， 但加班可能会引发一些次生风险， 例如：

​ 因加班而导致消极情绪积压，次生风险是工作状态不稳定和人才流失。

​ 因加班而导致的身体或精神状态变化，次生风险是工作绩效差。

5.风险分解结构

​ 风险分解结构（Risk Breakdown Structure， RBS） 是按风险类别和子类别来排列已识别的项目风险的一种层级结构， 用来显示潜在风险的所属领域和产生原因。RBS有助于项目团队考虑单个项目风险的全部可能来源，对识别风 险或归类已识别风险特别有用。 组织可能有适用于所有项目的通用RBS，也可能针对不同类型项目使用几种不同的RBS，或者允许项目量身定制专用的RBS 。如果未使用RBS， 组织则可能采用某种常见的风险分类框架，既可以是简单的类别清单，也可以是基于项目 目标的某种类别结构。

​ 采用RBS的好处是提醒识别风险的人员 ，风险产生的原因是多种多样的。 在实际工作中， RBS的第一层可以进行如下的分解：

（1）技术风险包括使用不成熟的最新技术或过时的技术 、不现实的性能目标、 不现实的质量要求和需求不明确等。

（2）管理风险：包括估算不准确、 糟糕的资源配置、 较差的项目管理计划和项目管理技能运用不足等。

（3）商业风险：包括各项目之间具有依赖关系、 缺少项目优先级、 项目所需的资源供应不足和融资中断， 以及与其他项目的资源冲突等。

（4）外部风险：包括法律、税务、环境、 劳工问题、国家政策风险、市场风险、 原材料供应、通货膨胀、天气和不可抗力等。

三、风险管理的概念

​ 项目风险管理旨在识别和管理未被其他项目 管理过程所管理的风险。如果不妥善管理， 这些风险有可能导致项目偏离计划，无法达成既定的项目目标。

1.项目风险的两个层面

每个项目都在两个层面上存在风险，项目风险管理过程同时兼顾这两个层面的风险:

（1）单个项目风险：一旦发生，会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。管理单个项目风险旨在利用或强化正面风险（机会），规避或减轻负面风险（威胁）。未妥善管理的威胁可能引发各种问题，例如，工期延误、成本超支、绩效不佳或声誉受损。把握好机会则能够获得众多好处，例如，工期缩短、成本节约、绩效改善或声誉提升。

（2）整体项目风险：不确定性对项目整体的影响，是相关方面临的项目结果正面和负面变异区间。它源于包括单个风险在内的所有不确定性。整体项目风险也有正面或负面之分。管理整体项目风险旨在通过削弱负面变异的驱动因素，加强正面变异的驱动因素，以及最大化实现整体项目目标的概率，把项目风险敞口保持在可接受的范围之内。

2.风险管理的发展趋势

​ 目前，随着项目风险管理的关注面正在扩大，以便确保考虑所有类型的风险，并在更广泛的背景中理解项目风险。在项目风险管理实践中，也有一些新的的发展趋势，包括非事件类风险、项目韧性和整合式风险管理。

（1） 非事件类风险。大多数项目只关注作为可能发生或不发生的不确定性未来事件的风险。例如，关键卖方可能在项目期间停业，客户可能在设计完成后变更需求，或分包商可能要求对标准化操作流程进行优化。不过，识别并管理非事件类风险的意识正在不断加强。非事件类风险有两种主要类型：

变异性风险。已规划事件、活动或决策的某些关键方面存在不确定性，就导致变异性风险。例如，生产率可能高于或低于目标值，测试发现的错误数量可能多于或少于预期，或施工阶段可能出现反常的天气情况。

模糊性风险。对未来可能发生什么，存在不确定性。知识不足可能影响项目达成目标的能力，例如，不太了解需求或技术解决方案的要素、法规框架的未来发展，或项目内在的系统复杂性。

变异性风险可通过蒙特卡洛分析加以处理，即用概率分布表示变异的可能区间，然后采取行动去缩小可能结果的区间。管理模糊性风险，则需要先定义认知或理解不足之处，进而通过获取外部专家意见或以最佳实践为标杆来填补差距。也可以采用增量开发、原型搭建或模拟等方法来处理模糊性风险。

（2）项目韧性。随着对所谓“未知-未知”因素的意识的增强， 人们也越来越明确地知道确实存在突发性风险。这种风险只有在发生后才能被发现。 可以通过加强项目韧性来应对突发性风险 。这就要求每个项目：

• 除了为已知风险列出具体风险预算， 还要为突发性风险预留合理的应急预算和时间；
• 采用灵活的项目过程， 包括强有力的变更管理， 以便在保持朝项目 目标推进的正确方向的时，应对突发性风险；授权目标明确且值得信赖的项目 团队在商定限制范围内完成工作；
• 经常留意早期预警信号， 以尽早识别突发性风险；
• 明确征求相关方的意见， 以明确为应对突发性风险而可以调整项目范围或策略的领域。

（3）整合式风险管理。在项目、项目集、 项目组合和组织这些层面上， 都可能存在风险。 在较高层面识别出的某些风险，将被授权给项目团队去管理； 而在较低层面识别出的某些风险， 又可能上交给较高层面去管理 （如果在项目之外管理最有效）。 组织应该采用协调式企业级风险管理方法 ，来确保所有层面的风险管理工作的 一致性和连贯性。这样就能使项目集和项目组合的结构具有风险效率， 有利于在给定的风险敞口水平下创造最大的整体价值。

四、风险管理的过程

​ 项目，风险管理的目标在于提高项目积极事件的概率和影响，降低项目消极事件的概率和影响。要想取得成功，组织应致力于在整个项目期间积极、持续地开展风险管理。在整个项目过程中，组织的各个层级都必须有意地积极识别并有效管理风险。项目从构思那一刻起，就存在风险。在项目推进过程中，如果不积极进行风险管理，实际发生的风险就可能给项目造成严重影响，甚至导致项目失败。

​ 项目风险管理包括规划风险管理、识别风险、实施定性风险分析、实施定量风险分析、规划风险应对、实施风险应对和监督风险等七个过程。项目风险管理的各过程如表1所示。

表1 项目风险管理的各过程

项目风险管理各过程的输入、输出、工具与技术如表2所示。

表2 项目风险管理各过程的输入、输出、工具与技术

​ 因为风险会在项目生命周期内持续发生， 所以， 项目风险管理过程也应不断迭代开展。 因为每个项目都是独特的， 所以在实际项目中， 可以对上述过程进行裁剪。 裁剪时应主要考虑项目规模、 项目复杂性、项目重要性、开发方法等因素，根据这些因素来裁剪项目 风险管理过程也是规划风险管理过程的一部分工作， 裁剪结果将记录在风险管理计划中。

​ 从本质上讲，越是变化的环境就存在越多的不确定性和风险。要应对快速变化， 就需要采用敏捷方法管理项目，即通过跨职能项目团队和经常审查增量式工作产品， 来加快知识分享， 确保对风险的认知和管理。此外， 应该根据对 当前风险敞口的理解的加深， 定期更新需求文件， 并随项目进展重新排列工作优先级。