项目经理应该知道,项目中的大多数风险(甚至90%的风险)都可以预测和管理。
风险即包括威胁,也包括机会。对“风险”这个词,必须根据上下文判断其真实内涵。
“风险”这个词,前面没有任何修饰语,通常指单个项目风险,除非上下文另有要求。
风险总是与不确定性联系在一起的,既可能发生,也可能不发生。风险总是与目标联系在一起的。如果发生,会对项目范围,进度,成和质量的任何一个方面有积极或消极影响。如果是没有影响,,就不是项目风险,而只是一个纯粹的不确定性事件。
只有先管理好整体项目风险,管理单个项目风险才有意义。
在进行项目设计,确定项目范围和其他目标时,就必须考虑与此有关的整体项目风险。只有整体项目风险处于合理程度的项目,才应该被正式启动。
整体项目风险的大小,也取决于事业环境因素和组织过程资产。
只有把整体项目风险控制在可接受的区间内,管理单个项目风险才有意义。
风险会涉及事件,原因,后果和可能性。这四者合在一起,可称为风险的四要素。
把绝对不可控变成相对可控。
在上述风险四要素中,原因又是由风险起因和风险条件联合构成的。风险起因是某个或某些风险得以存在的“土壤”。风险条件则是引发风险事件的“催化剂”。
在上述风险的四要素中,可能性和后果联合决定了风险敞口(RiskExposure)。如果把可能性和后果都量化,那么两者的乘积就是风险敞口。风险敞口越大,风险就越严重。
可以用不同的标准,把项目风险分成不同的类别,以便有效的管理。可以用风险分解结构来展示风险的类别,为进一步识别风险提供基础。常见的风险类别:
未知未知风险通常无法预防,只能通过提高项目韧性来减轻万一发生的后果。提高项目韧性的办法包括:在预算中预留足够的管理储备,采用能够灵活变通的项目管理过程,赋予项目团队灵活应变的权利和能力,在项目范围中留出应变的余地。
在编制项目预算时,应该把已知已知风险可能造成的损失直接列入项目“直接成本”,把已知未知风险可能造成的损失列入“应急储备”,把未知未知风险可能造成的损失列入“管理储备”。
对已知已知风险,必须加以利用。对已知未知的风险,必须加以管理,以便降低威胁。对于未知未知的风险,只能听之任之,待实际发生后再来处理。
风险态度,风险偏好,风险承受力和风险临界值这四个词,既有联系又有区别。
风险态度是指个人或组织认为自己应该冒多大的风险。
风险承受力是指个人或组织能承受的最高风险程度。如果实际风险水平超出风险承受力,个人或组织就会破产。
风险临界值是必须采取措施的起点,风险偏好是愿意冒的风险程度,风险承受力是能够承受的最大风险。通常,风险临界值最低,风险偏好中间,风险承受力最高。
项目风险管理的实现过程包括规划风险管理,识别风险,实施定性风险分析,实施定量风险分析,规划风险应对,实施风险应对和监督风险。
编制风险管理计划。
因为项目方方面面都存在可能影响项目目标的不确定性事件,所以识别风险过程的输入其实是非常多。识别出来的风险及其特性,都应写入风险登记册,并汇编进风险报告。
对于外包出去的工作,协议和采购文档有助于识别与采购有关的风险。
对前一个过程得到的风险登记册中的所有风险都进行定性分析。定性分析的结果,应该写入风险登记册。更新后的风险登记册和风险报告都属于项目文件更新。
对前一个过程得到的风险登记册中的某些风险进行定量分析,然后根据结果以及其他信息,对整体项目风险进行定量分析。定量分析结果应该汇编进风险报告。
制定风险应对策略和措施。应对策略和措施,必须与资源管理计划中用于应对风险的资源相对应,必须与成本基准中用于风险应对的资金相对应。
规划风险应对过程的结果,应该记入风险登记册和风险报告。
风险责任人负责执行单个项目风险应对策略和措施,项目经理执行整体项目风险应对策略和措施。
风险责任人监督单个项目风险的应对侧率和措施的实施情况,项目经理监督整体项目风险的应对策略和措施的实施情况。
后六个过程的最主要的输入是项目管理计划中的风险管理计划,以及前一个过程所得到的风险登记册和风险报告,最主要的输出则是完整程度不等的风险登记册和风险报告。
本过程旨在对将来的风险管理工作做出安排,包括如何识别风险,如何进行风险分析,如何制定应对策略和措施,如何实施风险应对计划以及如何监控风险。
风险管理计划应该包括如下主要内容:
识别出来的全部单个风险都需要写入风险登记册。全部单个项目风险的概述情况应该写入风险报告。
在启动项目时就应该搞清楚整体项目风险的情况,并记进项目章程。项目进入规划阶段后,还需要用风险报告进一步说明整体项目风险的情况。风险登记册只用于记录单个项目风险的情况。
本过程是对所有已识别的单个项目风险进行主观定性分析,评估其可能性,后果和其他情况,并据此进行风险排序,决定哪些风险需要进一步定量分析,哪些风险可以直接进行风险应对规划,哪些只需要列入观察清单。
即便使用一些数字,是要是主观分析,依然是定性分析。所以,不能以是否用到数字来判断是定量还是定性。
每个单个项目风险的责任人,在识别风险过程总预选,在定性分析过程中正式指定。
虽然没有明确指定本过程需要对整体项目做定性分析,但是这种分析事实上需要做的。
本过程需要做两件事。一是对被定性分析确认为严重且可量化的单个项目风险做客观的定量分析。而是以这些定量分析的结果和全部其他不确定性的情况作为输入的数据,对整体项目风险进行定量分析,并据此确定整个项目所需的应急储备。
对所有项目以及已识别的全部单个项目风险,都要进行定性分析,但不是都要进行定量分析。
定量分析的结果主要包括:
实施定性风险分析过程的落脚点是单个项目风险,实施定量风险分析的落脚点则是整体项目风险。
规划风险应对过程的结果,需要写入风险登记册和风险报告,从而导致两份项目文件的更新。风险登记册更新的主要内容包括:
应该定期或者不定期对风险应对策略和措施进行审查和更新,以确保有效性。
在本过程中,监督整体项目风险和单个项目风险的应对策略和措施的实施情况,跟踪整体项目风险和已识别的单个项目风险的变化,监测残余风险,识别和分析新风险,并评价风险管理的有效性,提出变更请求。
风险登记册和风险报告的内容都要通过各个风险管理过程来不断更新和逐渐完善。
数据分析,会议,专家判断。
头脑风暴,核对单,访谈,数据收集。文件分析,SWOT分析。
专家判断,会议,人际关系与团队技能。
虽然概率和影响矩阵通常是由数字构成,但却是实施定性风险分析过程的工具。
专家判断,引导。
最常用的模拟技术是蒙特卡洛模拟。即在电脑上模拟项目实施成千上万次,看有多少次是在多少天多少成本之内完成的。
敏感性分析。
决策树分析。
专家判断,访谈。引导。
针对威胁,可以采取5种应对策略:
对于整个项目的应急储备,如果没有任何可靠的依据,就按项目总成本的10%计算。这是一个经验式规则。
针对机会,也可以采取5种应对策略:
实际工作中,威胁,机会和整体项目风险的应对策略并不能截然分开,往往是交叉在一起的。
专门开展的新风险识别工作,如定期召开风险识别会议,那是识别风险过程的工作。在监督风险过程中,则是附带开展识别新风险的工作。
龙卷风图。
应急管理计划是事先制定的风险应急计划,以便在风险发生或出现某种规定情况时采用,是风险的主应急计划。弹回计划是为风险制定的备用应急计划,以便在主应急计划不起作用时启用。而权变措施是针对已经发生的坏风险而紧急采取的,原来未计划过的应急措施。采用权变措施,属于纠偏,也要先经过实施整体变更控制过程的中和评估和审批。当然,由于情况紧急,这种评估和审批必须很快完成。