mapanguan

导航

PMP:10.项目采购管理

项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监 督风险的各个过程。
项目风险管理的目标在于提高正面风险的概率和(或)影响,降低负面风险的 概率和(或)影响,从而提高项目成功的可能性。 
 
核心概念:
既然项目是为交付收益而开展的、具有不同复杂程度的独特性工作, 那自然就会充满风险。 
开展项目,不仅要面对各种约因素和假设条件,而且还要应对可能相互冲突和不断变化的相关方期望。
组织应该目的地以可控方式去冒项目风险,以便平衡风险和回报,并创造价值。
 
项目风险管理旨在识别和管理未被其他项目管理过程所管理的风险。 
 
 
每个项目都在两个层面上存在风险。每个项目都有会影响项目达成目标的单个风险,以及由单个项目风险和不确定性的其他来源联合导致的整体项目风险。
    uu单个项目风险是一旦发生,会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。 
    uu整体项目风险不确定性对项目整体的影响是相关方面临的项目结果正面和负面变异区间它源于包括单个风险在内的所有不确定性。
 
项目风险管理旨在利用或强化正 面风险(机会),规避或减轻负面风险(威胁)。
 
管理整体项目风险旨在通过削弱负面变异的驱动因素, 加强正面变异的驱动因素,以及最大化实现整体项目目标的概率,把项目风险敞口保持在可接受的范围之内。
 
因为风险会在项目生命周期内持续发生,所以,项目风险管理过程也应不断迭代开展。
在项目规划期间,就应该通过调整项目策略对风险做初步处理。
接着,应该随着项目进展,监督和管理风险, 确保项目处于正轨,并且突发性风险也得到处理。
 
为有效管理特定项目的风险,项目团队需要知道,相对于要追求的项目目标,可接受的风险敞口究竟是多大。这通常用可测量的风险临界值来定义。
风险临界值反映了组织与项目相关方的风险偏好程度,是项目目标的可接受的变异程度。
应该明确规定风险临界,并传达给项目团队,同时反映在项目的风险影响级别定义中。
 
趋势和新兴实践:
{
    uu非事件类风险。大多数项目只关注作为可能发生或不发生的不确定性未来事件的风险。例如: 关键卖方可能在项目期间停业,客户可能在设计完成后变更需求,或分包商可能要求对标准化 操作流程进行优化。不过,识别并管理非事件类风险的意识正在不断加强。非事件类风险有两种主要类型:
    {
           nu变异性风险。 已规划事件、活动或决策的某些关键方面存在不确定性, 就导致变异性风 险。 例如, 生产率可能高于或低于目标值, 测试发现的错误数量可能多于或少于预期, 或施工阶段可能出现反常的天气情况。
            nu模糊性风险。 对未来可能发生什么, 存在不确定性。 知识不足可能影响项目达成目标的能力,例如,不太了解需求或技术解决方案的要素、法规框架的未来发展,或项目内在的 系统复杂性。
 
        变异性风险可通过蒙特卡洛分析加以处理,即:用概率分布表示变异的可能区间,然后采取行动去缩小可能结果的区间。
        管理模糊性风险,则需要先定义认知或理解不足之处,进而通过获取外部专家意见或以最佳实
    }
    uu项目韧性。随着对所谓“未知-未知”因素的意识的增强,人们也越来越明确地知道确实存在 突发性风险。这种风险只有在发生后才能被发现。可以通过加强项目韧性来应对突发性风险。 这就要求每个项目:
    {
        nu除了为已知风险列出具体风险预算,还要为突发性风险预留合理的应急预算和时间;
        nu采用灵活的项目过程, 包括强有力的变更管理, 以便在保持朝项目目标推进的正确方向的 同时,应对突发性风险; 
        nu授权目标明确且值得信赖的项目团队在商定限制范围内完成工作;
        nu经常留意早期预警信号,以尽早识别突发性风险; 
        nu明确征求相关方的意见,以明确为应对突发性风险而可以调整项目范围或策略的领域。
    }
 uu整合式风险管理
    项目存在于组织背景中,可能是项目集或项目组合的一部分。
    在项目、项目集、项目组合和组织这些层面上,都存在风险。
    应该在适当的层面上承担和管理风险。
    在较高层面识别出的某些风险,将被授权给项目团队去管理;
    而在较低层面识别出的某些风险,又可能上交给较高层面去管理(如果在项目之外管理最有效)。
    应该采用协调式企业级风险管理方法,来确保所有层面的风险管理工作的一致性和连贯性。
    这样就能使项目集和项目组合的结构具有风险效率,有利于在给定的风险敞口水平下创造最大的整体价值。
}
剪裁时需要考虑的因素:
{
    项目规模
    项目复杂性
    项目重要性
    开发方法
}
 
敏捷或适应型环境中需要考虑的因素:
通过跨职能项目团队和经常审查增量式工作产品,来加快知识分享,确保对风险的认知和管理。
在选择每个迭代期的工作内容时,应该考虑风险;
在每个迭代期间应该识别、 分析和管理风险。
此外, 应该根据对当前风险敞口的理解的加深, 定期更新需求文件, 并随项目进展重新排列工作优先级。
 
 
11.1 规划风险管理 — 定义如何实施项目风险管理活动的过程。
本过程的主要作用是,确保风险管理的水平、方法和可见度与项目风险程度,以及项目对组织和其他相关方的重要程度相匹配。
本过程仅开展一次或仅在项目的预定义点开展。
 
 
规划风险管理过程项目构思阶段就应开始,并在项目早期完成。
在项目生命周期的后期,可能有必要重新开展本过程,例如,在发生重大阶段变更时,在项目范围显著变化时,或者后续对风险管理有效性进行审查且确定需要调整项目风险管理过程时。
 
输入:
项目章程:项目章程记录了高层级的项目描述和边界、高层级的需求和风险。
项目管理计划:所有组件
    在规划项目风险管理时,应该考虑所有已批准的子管理计划,使风险管理计划与之 相协调;
    同时,其他项目管理计划组件中所列出的方法论可能也会影响规划风险管理过程。
相关文件:相关方登记册
    相关方登记册包 含项目相关方的详细信息,并概述其在项目中的角色和对项目风险的态度;
    可用于确定项目风险管 理的角色和职责,以及为项目设定风险临界值。
事业环境因素:由组织或关键相关方设定的整体风险临界值。
组织过程资产:
{
    uu组织的风险政策; 
    uu风险类别,可能用风险分解结构来表示; 
    uu风险概念和术语的通用定义; 
    uu风险描述的格式; 
    uu风险管理计划、风险登记册和风险报告的模板; 
    uu角色与职责; 
    uu决策所需的职权级别; 
    uu经验教训知识库,其中包含以往类似项目的信息。
}
 
工具与技术:
专家判断:
{
    uu熟悉组织所采取的管理风险的方法,包括该方法所在的企业风险管理体系; 
    uu裁剪风险管理以适应项目的具体需求; 
    uu在相同领域的项目上可能遇到的风险类型。
}
数据分析:相关方分析,可通过相关方分析 确定项目相关方的风险偏好。
会议:
    风险管理计划的编制可以是项目开工会议上的一项工作,或者可以举办专门的规划会议来编制风 险管理计划。
    参会者可能包括项目经理、指定项目团队成员、关键相关方,或负责管理项目风险管 理过程的团队成员;
    如果需要,也可邀请其他外部人员参加,包括客户、卖方和监管机构。
    熟练的会议引导者能够帮助参会者专注于会议事项,就风险管理方法的关键方面达成共识,识别和克服偏 见,以及解决任何可能出现的分歧。
    在此类会议上确定开展风险管理活动的计划,并将其记录在风险管理计划
 
 
输出:
风险管理计划:描述如何安排与实施风险管理活动。 风险管理计划可 包括以下部分或全部内容:
    uu风险管理战略。描述用于管理本项目的风险的一般方法。 
    uu方法论。确定用于开展本项目的风险管理的具体方法、工具及数据来源。 
    uu角色与职责。确定每项风险管理活动的领导者、支持者和团队成员,并明确他们的职责。 
    uu资金。确定开展项目风险管理活动所需的资金,并制定应急储备和管理储备的使用方案。 
    uu时间安排。确定在项目生命周期中实施项目风险管理过程的时间和频率确定风险管理活动并将其纳入项目进度计划。 
    uu风险类别。确定对单个项目风险进行分类的方式。风险分解结构是潜在风险来源的层级展现(示例见图 11-4)。风险分解结构有助于项目 团队考虑单个项目风险的全部可能来源, 对识别风险或归类已识别风险特别有用。 组织可能有适用于所有项目的通用风险分解结构, 也可能针对不同类型项目使用几种不同的风险分解结构框架, 或者允许项目量身定制专用的风险分解结构。 如果未使用风险分解结构, 组织则可能采用某种常见的风险分类框架, 既可以是简单的类别清单, 也可以是基于项目目标的某种类别结构。
    
    uu相关方风险偏好。应在风险管理计划中记录项目关键相关方的风险偏好。他们的风险偏好会影 响规划风险管理过程的细节。特别是,应该针对每个项目目标,把相关方的风险偏好表述成可测量的风险临界值。这些临界值不仅将联合决定可接受的整体项目风险敞口水平,而且也用于制定概率和影响定义。以后将根据概率和影响定义,对单个项目风险进行评估和排序。
 
    uu风险概率和影响定义。 根据具体的项目环境, 组织和关键相关方的风险偏好和临界值,来制定风险概率和影响定义。 项目可能自行制定关于概率和影响级别的具体定义, 或者用组织提供的通用定义作为出发点。 应该根据拟开展项目风险管理过程的详细程度, 来确定概率和影响级别的数量, 即:更多级别(通常为五级)对应于更详细的风险管理方法更少级别(通常为三级)对应于更简单的方法。表 11-1 针对三个项目目标提供了概率和影响定义的示例。 通过将影响定义为负面威胁(工期延误、成本增加和绩效不佳)和正面机会(工期缩短、成 本节约和绩效改善),表格所示的量表可同时用于评估威胁和机会。
    uu概率和影响矩阵。见 11.3.2.6 节。组织可在项目开始前确定优先级排序规则,并将其纳入组织过程资产,或者也可为具体项目量身定制优先级排序规则。在常见的概率和影响矩阵中,会同时列出机会和威胁;以正面影响定义机会, 以负面影响定义威胁。 概率和影响可以用描述性术语(如很高、高、中、低和很低)或数值来表达。如果使用数值,就可以把两个数值相乘, 得出每个风险的概率 - 影响分值,以便据此在每个优先级组别之内排列单个风险相对优先级。 图 11-5 是概率和影响矩阵的示例,其中也有数值风险评分的可能方法。
    uu报告格式。确定将如何记录、分析和沟通项目风险管理过程的结果。在这一部分,描述风险登 记册、风险报告以及项目风险管理过程的其他输出的内容和格式。
 
    uu跟踪。跟踪是确定将如何记录风险活动,以及将如何审计风险的管理过程。
 
 
11.2 识别风险 — 识别单个项目风险,以及整体项目风险的来源,并记录风险特征的过程。 
本过程的主要作用是,记录现有的单个项目风险,以及整体项目风险的来源;同时,汇集相关信息,以便项目团队能够恰当应对已识别的风险。
本过程需要在整个项目期间开展。
 
 
项目团队的参与尤其重要,以便培养和保持他们对已识别单个项目风险、整体项目风险级别和相关风险应对措施的主人翁意识和责任感。
 
应该采用统一的风险描述格式,来描述和记录单个项目风险,以确保每一项风险都被清楚、明确地理解,从而为有效的分析和风险应对措施制定提供支持。
可以在识别风险过程中为单个项目风险指定风险责任人,待实施定性风险分析过程确认。
也可以识别和记录初步的风险应对措施,待规划风险应对过程审查和确认。
 
在整个项目生命周期中,单个项目风险可能随项目进展而不断出现,整体项目风险的级别也会发生变化。因此,识别风险是一个迭代的过程。迭代的频率和每次迭代所需的参与程度因情况而异, 应在风险管理计划中做出相应规定。
 
输入:
项目管理计划:
{
    需求管理计划:可能指出了特别有风险的项目目标。
    进度管理计划:受不确定性或模糊性影响的一些领域
    成本管理计划:同上
    质量管理计划:同上关键假设可能引发风险的一些领域
    资源管理计划同上关键假设可能引发风险的一些领域
    风险管理计划:规定了风险管理的角色和职责,说明了如何将风险管理活动纳入预算和进度计划,并描述了风险类别(可用风险分解结构表述)。
    范围基准:包括可交付成果及其验收标准,其中有些可能引发风险; 还包括工作分解结构,可用作安排风险识别工作的框架。
    进度基准:找出存在不确定性或模糊性的里程碑日期和可交 付成果交付日期
    成本基准:找出存在不确定性或模糊性的成本估算或资金需求
}
项目文件:
{
    假设日志:
    成本估算:理想情况下用区间表示,区间的大小预示着风险程度对成本估算文件进行结构化审查,可能显示当前估算不足,从而引发 项目风险。
    持续时间估算:区间的大小预示着风险程度
    问题日志:
    经验教训登记册:
    需求文件:使团队能够确定哪些需求存在风险
    资源需求:是对项目所需资源的定量评估,理想情况下用区间表示, 区间的大小预示着风险程度
    相关方登记册:规定了哪些个人或小组可能参与项目的风险识别工作,还会详细说明哪些个人适合扮演风险责任人角色。
}
协议:协议所规定的里程碑日期、合同类型、验收标准和 奖罚条款等,都可能造成威胁或创造机会
采购文档:如果需要从外部采购项目资源,就应该审查初始采购文档,因为从组织外部采购商 品和服务可能提高或降低整体项目风险,并可能引发更多的单个项目风险。随着采购文档在项目期间 的不断更新,还应该审查最新的文档,例如,卖方绩效报告、核准的变更请求和与检查相关的信息。
事业环境因素:
{
    uu已发布的材料,包括商业风险数据库或核对单; 
    uu学术研究资料; 
    uu标杆对照成果; 
    uu类似项目的行业研究资料。
}
组织过程资产:
{
    uu项目文档,包括实际数据; 
    uu组织和项目的过程控制资料; 
    uu风险描述的格式; 
    uu以往类似项目的核对单。
}
 
 
工具与技术:
专家判断:
数据收集:
{
    头脑风暴:头脑风暴的目标是获取一份全面的单个项目风险和整体项目风险来 源的清单。
        通常由项目团队开展头脑风暴,同时邀请团队以外的多学科专家参与。
        可以采用自由或结构化的形式开展头脑风暴,在引导者的指引下产生各种创意。
        可以用风险类别(如风险 分解结构)作为识别风险的框架。
        因为头脑风暴生成的创意并不成型,所以应该特别注意对头脑风暴识别的风险进行清晰描述。
    核对单:核对单是包括需要考虑的项目、行动或要点的清单。它常被用作提醒。
        基于从类似项 目和其他信息来源积累的历史信息和知识来编制核对单。
        编制核对单,列出过去曾出现且可能 与当前项目相关的具体单个项目风险,这是吸取已完成的类似项目的经验教训的有效方式。
        组 织可能基于自己已完成的项目来编制核对单,或者可能采用特定行业的通用风险核对单。
        虽然 核对单简单易用,但它不可能穷尽所有风险。
        所以,必须确保不要用核对单来取代所需的风险识别工作;
        同时,项目团队也应该注意考察未在核对单中列出的事项。
        此外,还应该不时地审查核对单,增加新信息,删除或存档过时信息。
    访谈:应该在信任和保密的环境下开展访谈,以获得真实可信、 不带偏见的意见。
}
数据分析:
{
    根本原因分析:
    假设条件和制约因素分析:
        每个项目及其项目管理计划的构思和开发都基于一系列的假设条件, 并受一系列制约因素的限制。 
        这些假设条件和制约因素往往都已纳入范围基准和项目估算。
        开展假设条件和制约因素分析,来探索假设条件和制约因素的有效性,确定其中哪些会引发项目风险。
        从假设条件的不准确、不稳定、不一致或不完整,可以识别出威胁;
        通过清除或放松会影响项目或过程执行的制约因素,可以创造出机会。
    SWOT分析:对项目的优势、劣势、机会和威胁 (SWOT) 进行逐个检查。
    文件分析:
        通过对项目文件的结构化审查,可以识别出一些风险。
        可供审查的 文件包括(但不限于)计划、假设条件、制约因素、以往项目档案、合同、协议和技术文件。     
        项目文件中的不确定性或模糊性,以及同一文件内部或不同文件之间的不一致,都可能是项目风险的指示信号。
}
人际关系与团队技能:引导
提示清单:
    提示清单是关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单。
    在采用风险识别技术时,提示清单可作为框架用于协助项目团队形成想法。
    可以用风险分解结构底层的风险类别作为提示清单,来识别单个项目风险。
    某些常见的战略框架更适用于识别整体项目风险 的来源,如 
        PESTLE(政治、经济、社会、技术、法律、环境)、
        TECOP(技术、环境、商业、运营、 政治),
        VUCA(易变性、不确定性、复杂性、模糊性)
会议:风险研讨会(某种形式的头脑风暴,引导)
 
输出:
风险登记册册:风险登记册记录已识别单个项目风险的详细信息。 
随着实施定性风险分析、规划风险应对、实施风险应对和监督风险等过程的开展,这些过程的结果也要记进风险登记册。取决于具体的项目变量(如规模和复杂性),风险登记册可能包含有限或广泛的风险信息。
当完成识别风险过程时,风险登记册的内容可能包括(但不限于):
{
    uu已识别风险的清单。在风险登记册中,每项单个项目风险都被赋予一个独特的标识号。要以所 需的详细程度对已识别风险进行描述,确保明确理解。可以使用结构化的风险描述,来把风险 本身与风险原因及风险影响区分开来。
    uu潜在风险责任人。如果已在识别风险过程中识别出潜在的风险责任人,就要把该责任人记录到 风险登记册中。随后将由实施定性风险分析过程进行确认。
    uu潜在风险应对措施清单。如果已在识别风险过程中识别出某种潜在的风险应对措施,就要把它 记录到风险登记册中。随后将由规划风险应对过程进行确认。
}
根据风险管理计划规定的风险登记册格式, 可能还要记录关于每项已识别风险的其他数据, 包括:
{
    简短的风险名称、
    风险类别、
    当前风险状态、
    一项或多项原因、
    一项或多项对目标的影响、
    风险触发条件(显示风险即将发生的事件或条件)、
    受影响的 WBS组件,
    以及时间信息(风险何时识别、可能何时发生、何时可能不再相关,以及采取行动的最后期限)。
}
 
风险报告:风险报告提供关于整体项目风险的信息, 以及关于已识别的单个项目风险的概述信息。 
在项目风险管理过程中,风险报告的编制是一项渐进式的工作。
随着实施定性风险分析、实施定量风险分析、规划风险应对、实施风险应对和监督风险过程的完成,这些过程的结果也需要记录在风险登记册中。
在完成识别风险过程时,风险报告的内容可能包括(但不限于):
{
    uu整体项目风险的来源。说明哪些是整体项目风险敞口的最重要驱动因素。 
    uu关于已识别单个项目风险的概述信息。例如,已识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势。
}
根据风险管理计划中规定的报告要求,风险报告中可能还包含其他信息。
 
项目文件更新:
{
    假设日志:识别出新的制约因素,或者现有的假设条件或制约因素可能被重新审查和修改。
    问题日志:记录发现的新问题或当前问题的变化。
    经验教训登记册:
}
 
11.3 实施定性风险分析 — 通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。 
本过程的主要作用是重点关注高优先级的风险。 
本过程需要在整个项目期间开展。
 
 
实施定性风险分析, 使用项目风险的发生概率、风险发生时对项目目标的相应影响以及其他因素, 来评估已识别单个项目风险的优先级。 
这种评估基于项目团队和其他相关方对风险的感知程度,从而具有主观性。
所以,为了实现有效评估,就需要认清和管理本过程关键参与者对风险所持的态度。
风险感知会导致评估已识别风险时出现偏见,所以应该注意找出偏见并加以纠正。
如果由引导者来引导本过程的开展,那么找出并纠正偏见就是该引导者的一项重要工作。
同时,评估单个项目风险的现有信息的质量,也有助于澄清每个风险对项目的重要性的评估。
 
本过程会为每个风险 识别出责任人,以便由他们负责规划风险应对措施,并确保应对措施的实施。
如果需要开展实施定量风险分析过程,那么实施定性风险分析也能为其奠定基础。
根据风险管理计划的规定,在整个项目生命周期中要定期开展实施定性风险分析过程。
敏捷开发环境中,实施定性风险分析过程通常要在每次迭代开始前进行。
 
输入:
项目管理计划:风险管理计划
    本过程中需要特别注意的是风险管理的角色和职责、预算和进度活动安排,以及风险类别(通常在风险分解结构中定义)、 概率和影响定义、概率和影响矩阵和相关方的风险临界值。
    通常已经在规划风险管理过程中把这些 内容裁剪成适合具体项目的需要。
    如果还没有这些内容,则可以在实施定性风险分析过程中编制, 并经项目发起人批准之后用于本过程。
 
项目文件:
{
    假设日志:
    风险登记册:
    相关方登记册:它包括可能被指定为风险责任人的项目相关方的详细信息。
}
事业环境因素:
{
    uu类似项目的行业研究资料; 
    uu已发布的材料,包括商业风险数据库或核对单。
}
组织过程资产:组织过程资产包括(但不限于)已完成的类似项目的信息。
 
工具与技术:
专家判断:
{
    uu以往类似项目; 
    uu定性风险分析。 
    专家判断往往可通过引导式风险研讨会或访谈获取。应该注意专家可能持有偏见。
}
数据收集:访谈
数据分析:
{
    风险数据质量评估:风险数据是开展定性风险分析的基础。 
        风险数据质量评估旨在评价关于 单个项目风险的数据的准确性和可靠性。
        可以开展问卷调 查,了解项目相关方对数据质量各方面的评价, 包括数据的完整性、客观性、相关性和及时 性, 进而对风险数据的质量进行综合评估。 
        可以计算这些方面的加权平均数, 将其作为数据质量的总体分数。
    风险概率和影响评估:风险概率评估考虑的是特定风险发生的可能性,而风险影响评估考虑的 是风险对一项或多项项目目标的潜在影响,如进度、成本、质量或绩效。
        风险评估 可以采用访谈或会议的形式,参加者将依照他们对风险登记册中所记录的风险类型的熟悉程度 而定。
        在访谈或会议期间,评估每个 风险的概率水平及其对每项目标的影响级别。
        如果相关方对概率水平和影响级别的感知存在差 异,则应对差异进行探讨。
        此外,还应记录相应的说明性细节,例如,确定概率水平或影响级别所依据的假设条件。
        应该采用风险管理计划中的概率和影响定义(表11-1),来评估风险的概率和影响。
        低概率和影响的风险将被列入风险登记册中的观察清单,以供未来监控。
}
 
    其他风险参数评估:
    {
        nu紧迫性。为有效应对风险而必须采取应对措施的时间段。时间短就说明紧迫性高。 
        nu邻近性。风险在多长时间后会影响一项或多项项目目标。时间短就说明邻近性高。 
        nu潜伏期。从风险发生到影响显现之间可能的时间段。时间短就说明潜伏期短。 
        nu可管理性。 风险责任人(或责任组织)管理风险发生或影响的容易程度。 如果容易管理,可管理性就高。 
        nu可控性。 风险责任人(或责任组织)能够控制风险后果的程度。 如果后果很容易控制,可控性就高。 
        nu可监测性。 对风险发生或即将发生进行监测的容易程度。 如果风险发生很容易监测, 可监测性就高。 
        nu连通性。 风险与其他单个项目风险存在关联的程度大小。 如果风险与多个其他风险存在关联,连通性就高。 
        nu战略影响力。 风险对组织战略目标潜在的正面或负面影响。 如果风险对战略目标有重大影响,战略影响力就大。 
        nu密切度。风险被一名或多名相关方认为要紧的程度。被认为很要紧的风险,密切度就高。
}
 
人际关系与团队技能:引导,够提高 对单个项目风险的定性分析的有效性。
风险分类:对风险进行分类,有助于把注意力和精力集中到风险敞口最大的领域,或针对一组相关的风险制定通用的风险应对措施,从而有利于更有效地开展风险应对。
数据表现:
{
    概率与影响矩阵:
    
    层级图:如果使用了两个以上的参数对风险进行分类, 那就不能使用概率和影响矩阵, 而 需要使用其他图形。 例如, 气泡图能显示三维数据。
    
}
会议:要开展定性风险分析,项目团队可能要召开专门会议(通常称为风险研讨会),对已识别单个项目风险进行讨论。会议的目标包括审查已识别的风险、评估概率和影响(及其他可能的风险参数)、对风险进行分类和优先级排序。
    在实施定性风险分析过程中,要逐一为单个项目风险分配风险责任人。 
    以后,将由风险责任人负责规划风险应对措施和报告风险管理工作的进展情况。
    会议可从审查和确认拟使用的概率和影响量表开始。
    在会议讨论中,也可能识别出其他风险。
    应该记录这些风险,供后续 分析。
    配备一名熟练的引导者能够提高会议的有效性。
 
输出:
项目文件更新:
{
    假设日志:
    问题日志:
    风险登记册:风险登记册的更新内容可能包括:
        {
            每项单个项目风险的概率和影响评估、
            优先级别或风险分值、指定风险责任人、
            风险紧迫性信息或风险类别, 
            以及低优先级风险的观察清单或需要 进一步分析的风险。
        }
    风险报告:更新风险报告,记录最重要的单个项目风险(通常为概率和影响最 高的风险)、所有已识别风险的优先级列表以及简要的结论。
}
 
11.4 实施定量风险分析 — 就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析的过程。 
本过程的主要作用是,量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划。
本过程并非每个项目必需,但如果采用,它会在整个项目期间持续开展。
 
 
并非所有项目都需要实施定量风险分析。
能否开展稳健的分析取决于是否有关于单个项目风险和其 他不确定性来源的高质量数据,以及与范围、进度和成本相关的扎实项目基准。
定量风险分析通常需要运用专门的风险分析软件,以及编制和解释风险模式的专业知识,还需要额外的时间和成本投入。 
{
    项目风险管理计划会规定是否需要使用定量风险分析,
    定量分析最可能适用于大型或复杂的项目、 
    具有战略重要性的项目、
    合同要求进行定量分析的项目,
    或主要相关方要求进行定量分析的项目。 
}
通过评估所有单个项目风险和其他不确定性来源对项目结果的综合影响,定量风险分析就成为评估整体项目风险的唯一可靠的方法。
在实施定量风险分析过程中,要使用被定性风险分析过程评估为对项目目标存在重大潜在影响的单个项目风险的信息。
实施定量风险分析过程的输出,则要用作规划风险应对过程的输入,特别是要据此为整体项目风险和关键单个项目风险推荐应对措施。
定量风险分析也可以在规划风险应对过程之后开展,以分析已规划的应对措施对降低整体项目风险敞口的有效性。
 
输入:
项目管理计划:
{
    风险管理计划:确定项目是否需要定量风险分析,还会详述可用 于分析的资源,以及预期的分析频率。
    范围基准:提供了对单个项目风险和其他不确定性来源的影响开展评估 的起始点。
    进度基准:同上
    成本基准:同上
}
项目文件:
{
    假设日志:如果认为假设条件会引发项目风险,那么就应该把它们列作定量风险 分析的输入。在定量风险分析期间,也可以建立模型来分析制约因素的影响。
    估算依据:开展定量风险分析时,可以把用于项目规划的估算依据反 映在所建立的变异性模型中。可能包括估算目的、分类、准确性、方法论和资料来源。
    成本估算:提供了对成本变化性进行评估的起始点。
    成本预测:把这些预测指标与定量成本风险分析的结果进行比较,以确定与实现这些指标相关的置信水平。
    持续时间估算:提供了对进度变化性进行评估的起始点。
    里程碑清单:把这些进度目标与定量进度风险 分析的结果进行比较,以确定与实现这些目标相关的置信水平。
    资源需求:提供了对变化性进行评估的起始点。
    风险登记册:
    风险报告:
    进度预测:可以将预测与定量进度风险分析的结果进行比较,以确定与实现预测目标相关的置信水平。
}
事业环境因素:uu类似项目的行业研究资料; uu已发布的材料,包括商业风险数据库或核对单。
组织过程资产:组织过程资产包括已完成的类似项目的信息。
 
工具与技术:
专家判断:
{
    uu将单个项目风险和其他不确定性来源的信息转化成用于定量风险分析模型的数值输入; 
    uu选择最适当的方式表示不确定性,以便为特定风险或其他不确定性来源建立模型; 
    uu用适合项目环境的技术建立模型; uu识别最适用于所选建模技术的工具; 
    uu解释定量风险分析的输出。
}
数据收集:访谈,当需要向专家征求信息时,访谈尤其适用。
人际关系与技能团队:引导
不确定性表现方式:
要开展定量风险分析, 就需要建立能反映单个项目风险和其他不确定性来源的定量风险分析模 型,并为之提供输入。
如果活动的持续时间、成本或资源需求是不确定的, 就可以在模型中用概率分布来表示其数值 的可能区间。
概率分布可能有多种形式,最常用的有三角分布、正态分布、对数正态分布、贝塔分 布、均匀分布或离散分布。
应该谨慎选择用于表示活动数值的可能区间的概率分布形式。
单个项目风险可以用概率分布图表示,或者,也可以作为概率分支包括在定量分析模型中。
在后一种情况下,应在概率分支上添加风险发生的时间和(或)成本影响,以及在特定模拟中风险发生的概率情况。
如果风险的发生与任何计划活动都没有关系,就最适合将其作为概率分支。
如果风险 之间存在相关性,例如有某个共同原因或逻辑依赖关系,那么应该在模型中考虑这种相关性。
其他不确定性来源也可用概率分支来表示,以描述贯穿项目的其他路径。
 
数据分析:
{
    模拟:在定量风险分析中,使用模型来模拟单个项目风险和其他不确定性来源的综合影响,以评估它们对项目目标的潜在影响。模拟通常采用蒙特卡洛分析。在定量进度风险分析中,还可以执行关键性分析,以确定风险模型的哪些活动对项目关键路径 的影响最大。
        
 
    敏感性分析:敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响。它在项目结果变异与定量风险分析模型中的要素变异之间建立联系。敏感性分析的结果通常用龙卷风图来表示。
        
    决策树分析:用决策树在若干备选行动方案中选择一个最佳方案。 在决策树中, 用不同的分 支代表不同的决策或事件, 即项目的备选路径。每个决策或事件都有相关的成本和单个项目 风险(包括威胁和机会)。 决策树分支的终点表示沿特定路径发展的最后结果, 可以是负面 或正面的结果。在决策树分析中,通过计算每条分支的预期货币价值,就可以选出最优的路径。
        
    影像图:它将一个项目或项目中的一种情境表现为一系列实体、结果和影响,以及它们之间的关系和相互影响。影响图分析,可以得出类似于其他定量风险分析的结果,如 S 曲线图和龙卷风图。
}
 
输出:
风险报道:
{
    uu对整体项目风险敞口的评估结果。整体项目风险有两种主要的测量方式:
        nu项目成功的可能性。 基于已识别的单个项目风险和其他不确定性来源, 项目实现其主要目 标(例如,既定的结束日期或中间里程碑、既定的成本目标)的概率。 
        nu项目固有的变异性。在开展定量分析之时,可能的项目结果的分布区间。
 
    uu项目详细概率分析的结果。列出定量风险分析的重要输出,如 S 曲线、龙卷风图和关键性指 标,以及对它们的叙述性解释。定量风险分析的详细结果可能包括:
        nu所需的应急储备,以达到实现目标的特定置信水平; 
        nu对项目关键路径有最大影响的单个项目风险或其他不确定性来源的清单; 
        nu整体项目风险的主要驱动因素,即:对项目结果的不确定性有最大影响的因素。
 
    uu单个项目风险优先级清单。根据敏感性分析的结果,列出对项目造成最大威胁或产生最大机会 的单个项目风险。
        uu定量风险分析结果的趋势。随着在项目生命周期的不同时间重复开展定量风险分析,风险的发 展趋势可能逐渐清晰。发展趋势会影响对风险应对措施的规划。
        uu风险应对建议。风险报告可能根据定量风险分析的结果,针对整体项目风险敞口或关键单个项 目风险提出应对建议。这些建议将成为规划风险应对过程的输入。
}
 
11.5 规划风险应对 — 为处理整体项目风险敞口,以及应对单个项目风险,而制定可选方案、选择应对策略并商定应对行动的过程。
本过程的主要作用是, 制定应对整体项目风险和单个项目风险的适当方法;
本过程还将分配资源,并根据需要将相关活动添加进项目文件和项目管理计划。
本过程 需要在整个项目期间开展。
 
 
有效和适当的风险应对可以最小化单个威胁,最大化单个机会,并降低整体项目风险敞口;
一旦完成对风险的识别、分析和排序,指定的风险责任人就应该编制 计划,以应对项目团队认为足够重要的每项单个项目风险。
项目经理也应该思考如何针对整体项目风险的当前级别做出适当的应对。
 
风险应对方案应该与风险的重要性相匹配、能经济有效地应对挑战、在当前项目背景下现实可行、能获得全体相关方的同意,并由一名责任人具体负责。
往往需要从几套可选方案中选出最优的 风险应对方案。
应该为每个风险选择最可能有效的策略或策略组合。
可用结构化的决策技术来选择 最适当的应对策略。
对于大型或复杂项目,可能需要以数学优化模型或实际方案分析为基础,进行 更加稳健的备选风险应对策略经济分析。
 
要为实施商定的风险应对策略, 包括主要策略和备用策略(若必要), 制定具体的应对行动。 
如果选定的策略并不完全有效,或者发生了已接受的风险,就需要制定应急计划(或弹回计划)。 
同时,也需要识别次生风险。
次生风险是实施风险应对措施而直接导致的风险。
往往需要为风险分 配时间或成本应急储备,并可能需要说明动用应急储备的条件。
 
输入:
项目管理计划:
{
    资源管理计划:资源管理计划有助于确定该如何协调用于风险应对的资源和 其他项目资源。
    风险管理计划:本过程会用到其中的风险管理角色和职责,以及风险临界值。
    成本基准:成本基准包含了拟用于风险应对的应急资金的信息。
}
项目文件:
{
    经验教训登记册
    项目进度计划:进度计划可用于确定如何同时规划商定的风险应对活动和其 他项目活动。
    项目团队派工单:项目团队派工单列明了可用于风险应对的人力资源。
    资源日历:资源日历确定了潜在的资源何时可用于风险应对。
    风险登记册:
        风险登记册包含了已识别并排序的、需要应对的单个项目风险 的详细信息。 
        每项风险的优先级有助于选择适当的风险应对措施。 
        例如, 针对高优先级的威 胁或机会, 可能需要采取优先措施和积极主动的应对策略;
        而针对低优先级的威胁和机会,可能只需要把它们列入风险登记册的观察清单部分, 或者只需要为之增加应急储备, 而不必 采取主动的管理措施。
        风险登记册列出了每项风险的指定风险责任人, 还可能包含在早期的项目风险管理过程中识别的初步风险应对措施。 
        风险登记册可能还会提供有助于规划风险应对的、关于已识别风险 的其他信息, 包括根本原因、风险触发因素和预警信号、需要在短期内应对的风险, 以及需 要进一步分析的风险。
 
    风险报告:
        风险报告中的项目整体风险敞口的当前级别,会影响选择适当的风 险应对策略。
        风险报告也可能按优先级顺序列出了单个项目风险,并对单个项目风险的分布情 况进行了更多分析;
    相关方登记册:风险应对的潜在责任人。
}
事业环境因素:事业环境因素包括(但不限于)关键相关方的风险偏好和风险临界值。
组织过程资产:
{
    uu风险管理计划、风险登记册和风险报告的模板; 
    uu历史数据库; 
    uu类似项目的经验教训知识库。
}
 
工具与技术:
专家判断:
{
    uu威胁应对策略; 
    uu机会应对策略; 
    uu应急应对策略; 
    uu整体项目风险应对策略。 
    可以就具体单个项目风险向特定主题专家征求意见
}
数据收集:访谈,单个项目风险和整体项 目风险的应对措施可以在与风险责任人的结构化或半结构化的访谈
人际关系与技能团队:引导
威胁应对策略:
{
    uu上报。如果项目团队或项目发起人认为某威胁不在项目范围内,或提议的应对措施超出了项目 经理的权限,就应该采用上报策略。
    uu规避。风险规避是指项目团队采取行动来消除威胁,或保护项目免受威胁的影响。它可能适用 于发生概率较高,且具有严重负面影响的高优先级威胁。规避策略可能涉及变更项目管理计划 的某些方面,或改变会受负面影响的目标,以便于彻底消除威胁,将它的发生概率降低到零。 风险责任人也可以采取措施,来分离项目目标与风险万一发生的影响。规避措施可能包括消除 威胁的原因、延长进度计划、改变项目策略,或缩小范围。有些风险可以通过澄清需求、获取 信息、改善沟通或取得专有技能来加以规避。
    uu转移。 转移涉及到将应对威胁的责任转移给第三方, 让第三方管理风险并承担威胁发生的影 响。采用转移策略,通常需要向承担威胁的一方支付风险转移费用。风险转移可能需要通过一 系列行动才得以实现,包括(但不限于)购买保险、使用履约保函、使用担保书、使用保证书 等。也可以通过签订协议,把具体风险的归属和责任转移给第三方。
    uu减轻。风险减轻是指采取措施来降低威胁发生的概率和(或)影响。提前采取减轻措施通常比 威胁出现后尝试进行弥补更加有效。减轻措施包括采用较简单的流程,进行更多次测试,或者 选用更可靠的卖方。还可能涉及原型开发(见 5.2.2.8 节),以降低从实验台模型放大到实际工 艺或产品中的风险。如果无法降低概率,也许可以从决定风险严重性的因素入手,来减轻风险 发生的影响。例如,在一个系统中加入冗余部件,可以减轻原始部件故障所造成的影响。
    uu接受。风险接受是指承认威胁的存在,但不主动采取措施。此策略可用于低优先级威胁,也可 用于无法以任何其他方式加以经济有效地应对的威胁。接受策略又分为主动或被动方式。最常 见的主动接受策略是建立应急储备,包括预留时间、资金或资源以应对出现的威胁;被动接受 策略则不会主动采取行动,而只是定期对威胁进行审查,确保其并未发生重大改变。
}
机会应对策略:
{
    uu上报:同威胁 
    uu开拓。(规避)如果组织想确保把握住高优先级的机会,就可以选择开拓策略。此策略将特定机会的出现概率提高到 100%,确保其肯定出现,从而获得与其相关的收益。开拓措施可能包括:把组 织中最有能力的资源分配给项目来缩短完工时间,或采用全新技术或技术升级来节约项目成本 并缩短项目持续时间。
    uu分享。(转移)分享涉及到将应对机会的责任转移给第三方,使其享有机会所带来的部分收益。必须仔 细为已分享的机会安排新的风险责任人,让那些最有能力为项目抓住机会的人担任新的风险责 任人。采用风险分享策略,通常需要向承担机会应对责任的一方支付风险费用。分享措施包括 建立合伙关系、合作团队、特殊公司或合资企业来分享机会。
    uu提高。(减轻)提高策略用于提高机会出现的概率和(或)影响。提前采取提高措施通常比机会出现后 尝试改善收益更加有效。 通过关注其原因, 可以提高机会出现的概率;如果无法提高概率, 也许可以针对决定其潜在收益规模的因素来提高机会发生的影响。机会提高措施包括为早日完 成活动而增加资源。
    uu接受。同威胁
 
}
应急应对策略:
可以设计一些仅在特定事件发生时才采用的应对措施。 
对于某些风险, 如果项目团队相信其发生会有充分的预警信号, 那么就应该制定仅在某些预定条件出现时才执行的应对计划。 
应该定义并跟踪应急应对策略的触发条件, 例如,未实现中间的里程碑, 或获得卖方更高程度的重视。 
采用此技术制定的风险应对计划, 通常称为应急计划或弹回计划, 其中包括已识别的、用于启动计 划的触发事件。
 
整体项目风险应对策略:
{
    规避:此策略涉及采取集中行动, 弱化不确定性对项目整体的负面影响, 并将项目拉回 到临界值以内。 例如, 取消项目范围中的高风险工作, 就是一种整个项目层面的规避措施。 如果无法将项目拉回到临界值以内, 则可能取消项目。 这是最极端的风险规避措施, 仅适用于威胁的整体级别在当前和未来都不可接受。
    开拓:例如, 在项 目范围中增加高收益的工作, 以提高项目对相关方的价值或效益;或者, 也可以与关键相关 方协商修改项目的风险临界值,以便将机会包含在内。
    转移或分享:整体项目风 险的转移和分享策略包括(但不限于):建立买方和卖方分享整体项目风险的协作式业务结 构、成立合资企业或特殊目的公司,或对项目的关键工作进行分包。
    减轻或提高:减轻或提高策略包括 重新规划项目、改变项目范围和边界、调整项目优先级、改变资源配置、调整交付时间等。
    接受:最常见 的主动接受策略是为项目建立整体应急储备,包括预留时间、资金或资源,以便在项目风险超 出临界值时使用;被动接受策略则不会主动采取行动,而只是定期对整体项目风险的级别进行 审查,确保其未发生重大改变。
}
 
数据分析:
{
备选方案分析
成本效益分析:如果能够把单个项目风险的影响进行货币量化, 那么就可以通过成本收益分析来确定备选风险应对策略的成本有效性。把应对策略将导致的风险影响级 别变更除以策略
}
决策:多标准决策分析,风险应对策略的选择标准可能包括(但不限于):
{
    应对成本、
    应对策略在改 变概率和(或)影响方面的预计有效性、
    资源可用性、
    时间限制(紧迫性、邻近性和潜伏期)、
    风险发生的影响级别、
    应对措施对相关风险的作用、
    导致的次生风险等。
 
    如果原定的应对策略被证明 无效,可在项目后期采取不同的应对策略。
}
 
输出:
变更请求:
项目管理计划更新:
{
    进度管理计划:资源负荷和资源平衡变更,或进度策略更新等。
    成本管理计划:成本会计、跟踪和报告变更,以及预算策略和应急储备使用方法更新等。
    质量管理计划:满足需求的方法、质量管理方法, 或质量控制过程的变更等。
    资源管理计划:资源配置变更, 以及资源策略更新等。
    采购管理计划:自制或外购决策或合同类型的更改等。
    范围基准
    进度基准
    成本基准
}
项目文件更新:
{
    假设日志
    成本预测
    经验教训登记册
    项目进度计划
    项目团队派工单:一旦确定应对策略,应为每项与风险应对计划相关的措施分配 必要的资源,包括用于执行商定的措施的具有适当资质和经验的人员(通常在项目团队中)、 合理的资金和时间,以及必要的技术手段。
    风险登记册:
    {
        nu商定的应对策略; 
        nu实施所选应对策略所需要的具体行动; 
        nu风险发生的触发条件、征兆和预警信号; 
        nu实施所选应对策略所需要的预算和进度活动; 
        nu应急计划,以及启动该计划所需的风险触发条件; 
        nu弹回计划,供风险发生且主要应对措施不足以应对时使用; 
        nu在采取预定应对措施之后仍然存在的残余风险,以及被有意接受的风险; 
        nu由实施风险应对措施而直接导致的次生风险。
    }
    风险报告:记录针对当前整体项目风险敞口和高优先级风险的 经商定的应对措施,以及实施这些措施之后的预期变化。
}
 
 
11.6 实施风险应对 — 执行商定的风险应对计划的过程。 
本过程的主要作用是,确保按计划执行商定的风险应对措施,来管理整体项目风险敞口、最小化单个项目威胁,以及最大化单个项目机会。
本过 程需要在整个项目期间开展。
 
 
 
适当关注实施风险应对过程,能够确保已商定的风险应对措施得到实际执行。
 
 
输入:
项目管理计划:风险管理计划
项目文件:
{
    经验教训登记册
    风险登记册:适当关注实施风险应对过程,能够确保已商定的风险应对措施得到实际执行。
    风险报告:风险报告包括对当前整体项目风险敞口的评估,以及商定的风险 应对策略,还会描述重要的单个项目风险及其应对计划。
}
组织过程资产:经验知识
 
工具与技术:
专家判断:在确认或修改(如必要)风险应对措施,以及决定如何以最有效率和最有效果的方 式加以实施时,应征求具备相应专业知识的个人或小组的意见。
人际关系与团队技能:影响力, 有些风险应对措施可能由直属 项目团队以外的人员去执行, 或由存在其他竞争性需求的人员去执行。 这种情况下, 负责引导风 险管理过程的项目经理或人员就需要施展影响力
项目管理信息系统
 
输出:
变更请求:
项目文件更新:
{
    问题日志
    经验教训登记册
    项目团队派工单
    风险登记册
    风险报告
}
 
 
 
11.7 监督风险 — 在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。
本过程的主要作用是,使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。
本过程需要在整个项目期间开展。
 
 
为了确保项目团队和关键相关方了解当前的风险敞口级别,应该通过监督风险过程对项目工作进 行持续监督,来发现新出现、正变化和已过时的单个项目风险。监督风险过程采用项目执行期间生 成的绩效信息,以确定: 
    uu实施的风险应对是否有效; 
    uu整体项目风险级别是否已改变; 
    uu已识别单个项目风险的状态是否已改变; 
    uu是否出现新的单个项目风险; 
    uu风险管理方法是否依然适用; 
    uu项目假设条件是否仍然成立; 
    uu风险管理政策和程序是否已得到遵守; 
    uu成本或进度应急储备是否需要修改; 
    uu项目策略是否仍然有效。
 
输入:
项目管理计划:风险管理计划,风险管理计 划规定了应如何及何时审查风险,应遵守哪些政策和程序,与本监督过程有关的角色和职责安排, 以及报告格式。
项目文件:
{
    问题日志
    经验教训登记册
    风险登记册
    风险报告
}
工作绩效数据:工作绩效数据包含关于项目状态的信息,例如,已实施的风险应对措施、已发生的 风险、仍活跃及已关闭的风险。
工作绩效报告:工作绩效报告是通过分析绩效测量结果而得到的,能够提供关于项目工作绩效的信 息,包括偏差分析结果、挣值数据和预测数据。在监督与绩效相关的风险时,需要使用这些信息。
 
工具与技术:
数据分析:
{
绩效数据分析:实际结 果偏离计划的程度可以代表威胁或机会的潜在影响。
储备分析:在整个项目执行期间,可能发生某些单个项目风险,对预算和进度 应急储备产生正面或负面的影响。 储备分析是指在项目的任一时点比较剩余应急储备与剩余 风险量, 从而确定剩余储备是否仍然合理。 可以用各种图形(如燃尽图)来显示应急储备的 消耗情况。
}
审计:风险审计是一种审计类型, 可用于评估风险管理过程的有效性。 项目经理负责确 保按项目风险管理计划所规定的频率开展风险审计。
会议:风险审查会
 
输出:
工作绩效信息:工作绩效信息是经过比较单个风险的实际发生情况和预计发生情况,所得到的关于 项目风险管理执行绩效的信息。它可以说明风险应对规划和应对实施过程的有效性。
变更请求:变更请求可能包括:建议的纠正与预防措施,以处理当前整体项目风险级别或单个项目风险。
项目管理计划更新:任何组件
项目文件更新:
{
    假设日志
    问题日志
    经验教训登记册
    风险登记册
    风险报告:应该随着监督风险过程生成新信息,而更新风险报告,反映重要单 个项目风险的当前状态, 以及整体项目风险的当前级别。
}
组织过程资产更新:uu风险管理计划、风险登记册和风险报告的模板; uu风险分解结构。
 

posted on 2019-01-10 09:25  mapanguan  阅读(951)  评论(0编辑  收藏  举报