风险是一种不确定的事件或条件,一旦发生,会对项目目标产生某种正面或负面的影响。项目风险既包括对项目目标的威胁,也包括促进项目目标的机会。风险源于所有项目之中的不确定因素。
已知风险是那些已经经过识别和分析风险。对于已知风险,进行相应计划是可能的。
风险的属性:随机性、相对性、可变性
按风险后果划分:纯粹风险和投机风险。投机风险有三种可能的后果:造成损失、不造成缺失和获得利益。
按风险来源划分:自然风险和人为风险。
按风险是否管理划分:可管理风险和不可管理风险。
按风险影响范围划分:局部风险和总体风险。
按风险的可预测性划分:已知风险、可预测风险(可预见其发生,但不可预见其后果)和不可预测风险(有可能发生,但即使最有经验的人亦不能预见的风险,如地震、百年不遇的暴雨、通货膨胀、政策变化)。
风险损失的有形成本:直接损失、间接损失
风险损失的无形成本:风险损失减少了机会、风险阻碍了生产率的提高、风险造成资源分配不当。
一般来讲,只有当风险事件的不利后果超过为项目风险管理而付出的代价时,才有必要进行风险管理。
风险成本不但要由项目主体来负担。在许多情况下,与项目活动有关的其他方面也要负担一部分风险成本。(例如压缩空气机房在施工过程中失火,施工单位的损失是个体负担成本,赶来灭火的消防队的开销由社会负担,消防车辆在急驰火灾现场时,行人和其他车辆因躲避而影响工作的损失都是社会负担成本)
风险管理计划编制:决定了如何动手处理、规划和实施项目的风险管理活动
风险识别:决定了哪些风险会对项目造成影响,并记录下这些风险的属性
定性风险分析:对项目的风险进行优先级排序,以便进行后续的深入分析、或者根据对风险概率和影响的评估采取适当的措施。
定量风险分析:测量风险出现的概率和结果,并评估它们对项目目标的影响。
风险应对计划编制:开发一些应对方案和措施以提高项目成功的机会、降低项目失败的威胁。
风险监控:在项目的整个生命周期内,监视残余风险,识别新的风险,执行风险应对计划,以及评估这些工作的有效性。
项目章程(启动过程组)
项目范围说明书(启动过程组)
项目管理计划(整体管理的计划过程组)
项目团队举行规划会议制订风险管理计划,这些会议的参与者可以包括项目经理、项目团队负责人、组织中任何有责任管理风险计划编制和执行活动的人、关键项目干系人、根据实际需要也可以是任何其他人。
就是风险管理计划
风险管理计划描述在项目中如何组织和执行风险管理,作为项目管理计划的一部分,它包含以下部分:(不作为重点)
方法论(定义项目中实施风险管理的方法、工具和可用的数据)
角色与职责
制订时间表
风险类别
风险概率和影响力的定义
风险识别是确定何种风险可能会对项目产生影响,并将这些风险的特征形成文档。由于在项目进展中很可能再发现新的风险,所以风险识别是一个不断重复的过程。项目风险识别是一项贯穿于项目全过程的项目风险管理工作。风险识别还应该识别和确认项目风险是属于项目内部因素造成的风险,还是属于项目外部因素造成的风险(识别哪些是内部的、哪些是外部的。SWOT分析,内部的叫优势、劣势,外部的叫机遇、威胁)。
风险识别是项目风险管理中的首要工作。项目风险识别的主要内容包括以下几个方面:
识别并确定项目有哪些潜在的风险(有哪些风险)
识别引起这些风险的主要因素(因素是什么·因)
识别项目风险可能引起的后果(有哪些后果·果)
风险管理计划(先答)
项目章程
项目范围说明书
项目管理计划
组织过程资产
环境及组织因素
文档评审(对项目文档[项目计划、假设条件、历史项目的文档]采取一些结构化的评审。)
信息收集技术(主要掌握三个:头脑风暴法[大家集思广议]、德尔菲法[匿名参加会议,有助于减少数据方面的偏见,避免个人因素对结果产生的不适当的影响]、访谈法、SWOT分析[SWOT不是风险分析的方法,是风险识别的方法])
图解技术(因果图[用于确定风险的原因;既适用于风险,也适用于质量]、流程图[反映某一系统内部各要素之间是如何相互联系的,并反映发生因果关系的机制]、影响图[一种图解表示问题的方法,反映了变量和结果之间因果关系的相互作用、事件的时间顺序及其他关系],要掌握)
检查表(从以往类似项目和某些其他信息来源中积累的历史信息和知识,可用于编制风险识别信息检查表。)
假设分析(每一个项目都是从一系列假设、设想、推测中孕育和发展而来;从不准确、不连贯、不完整的假设中识别项目的风险。)
记忆方法:首先要明确,是要做“风险识别”,那么它的方法分成两组来记;第一组,假设分析,文档评审、检查表,这应该是一些比较“静态”的信息;第二组就是信息收集技术(头脑风暴法、德尔菲法、访谈法、SWOT分析法)、图解技术(因果分析图[注重原因]、流程图[注重过程]、影响图[注重变量和结果的关系])
风险记录(已经识别出的风险列表、风险征兆或警告信号、潜在的风险应对方法列表、风险的根本原因、更新的风险分类)
更新的项目管理计划
定性风险分析是对优先级进行排序、定量分析是算数,定性分析不算数值,只排出优先级。风险的定性分析的输入是风险管理计划及风险识别过程的输出。
项目管理计划(包括风险管理计划、风险记录)
工作绩效信息(在项目的早期,不可能识别出所有风险,但随着项目的进展就可以识别出很多风险;如果定性风险分析在项目生命周期的中间阶段进行,则来自该过程的工作绩效信息和绩效报告一起作为项目状态的度量信息)
项目范围说明书
组织过程资产
风险概率及影响评估(风险概率及影响的级别划分为“非常低”、“低”、“中”、“高”、“非常高”)(应该只是个清单,要不然就和“概率及影响矩阵”重复了)
概率及影响矩阵(通过颜色,对于高风险,要采用优先行动及积极应对策略;对低风险,除了把它放在监视列表并安排一定的应急储备外,不用采取主动的措施)
风险种类(可以按照风险源分类,也可按照影响范围分类)
风险紧急度评估(需要越早做出响应的风险源具有越高的紧急程度)
风险数据质量评估(定性风险分析的可信度要求精确无偏的数据,用低质量的风险数据进行定性分析对项目没有任何好处。)
记忆方法:首先明确风险定性分析的目的是要对已经识别的风险进行排序,其方法分为三组来记,第一组,是风险概率与影响评估、概率和影响矩阵,我认为,这两者的区别在于风险概率与影响评估是一群人开会交流,然后得到一个类似于清单的东西,而概率和影响矩阵则是将概率和量化的影响结合进行相乘得到的结果,因此我觉得,概率和影响矩阵是风险概率和影响评估的升级版本;第二组是风险类别、风险紧急程度;第三组是风险数据质量评估,说实话,我对第三组不理解,所以分到了第三组(或许风险数据质量评估是风险概率和影响评估的一个前提)。
更新的风险记录(按照优先级排列的项目风险、按风险源种类进行分组的风险源、近期需要做出响应的风险源)
就是算数。定量风险分析过程就是定量地分析风险对项目目标的影响。它也使我们在面对很多不确定因素时提供了一种量化的方法,以作出尽可能恰当的决策。定量风险分析的结果是对风险响应计划的输入。
风险记录
项目管理计划
组织过程资产
数据收集和表示技术(访谈、概率分布、专家判断)
定量风险分析和建模技术(灵敏度分析(龙卷风图Tornado Diagram)、期望货币值分析EMV,是对未来不确定性输出的统计平均;决策树分析,发生的情况与发生的概率相乘;建模和仿真,项目模型中的决定因子多次取多个可能的值,得出结果)
记忆方法:明确的一点就是尽可能的量化的计算出风险对项目目标的影响。一种是借助于人,另一种是借助于科学计算方法。借助于人有两种:访谈、专家判断;借助于科学计算,有三种:图、树、模型。图就是灵敏度分析,例如龙卷风图;树就是概率分布、期望货币价值分析(EMV)、决策树分析;模型就是建模和仿真。
更新的风险记录(项目可能性分析[在某种信心水平上,对项目的进度和成本的输出进行估计,并列出可能的完成日期和成本]、实现成本和进度目标的可能性、已量化的风险优先级列表、定量风险分析结果中的趋势)
这一部分是最重要的。风险应对是这样一个过程,它通过开发备用的方法、制定某些措施以提高项目成功的机会,同时降低失败的威胁。它跟随在定性风险分析和定量风险分析之后。
风险管理计划
风险记录
负面风险(威胁)的应对策略(回避[修改项目计划以消除相应的威胁、隔离项目目标免受影响、放宽项目目标]、转移和减轻[通过降低风险的概率和影响程度,使之达到一个可接受的范围。例如,在一个子系统中增加冗余设计,可以减少由于原系统的失效而带来的影响])
正向风险的应对策略(开拓[目的是创造条件使机会确实发生,减少不确定性。直接的做法包括分配更多的资源给项目,使之可以提供比原计划更好的成果]、分享[将相关重要信息提供给一个能够更加有效利用该机会的第三方,使项目得到更大的好处]和强化[通过增加可能性和积极的影响来改变机会的“大小”])
同时适用威胁和机会的应对策略
就是接受。因为避免来自项目的所有风险通常是不可能的,所以有时要采取一种风险接受策略。
应急响应策略(只有在特定事件发生后才采用)
也可以直接说“风险的应对计划”
风险记录(更新)
风险相关的合同协议
风险监控跟踪已识别的危险,监测残余风险和识别新的风险,保证风险计划的执行,并评价这些计划对减轻风险的有效性。
项目管理计划(风险管理计划、风险记录)
工作绩效信息
批准的变更请求
风险评估(风险监控常常需要使用相应的程序来识别并重新评估新的风险)
风险审计和定期的风险评审(风险审计与财务审计不同,风险审计是找经验教训的,不是找你的事儿的,而财务审计是找你的事儿的)
差异和趋势分析(通过对项目绩效数据的分析,可以看出项目发展的趋势。)
技术的绩效评估(通过比较项目执行过程的技术成果和原始计划的差别来完成的。)
预留管理(在项目的执行过程中,总有可能发生某些风险,这会对预算和时间的应急会务产生正面或负面的影响。通过比较剩余的预留储备和剩余的风险,可以看出预留储备是否合适。)
记忆方法:明确一点就是风险监控就是监视风险现在的情况,与风险管理计划进行对比,找出差异,然后进行控制。因此,属于监视的有风险评估、风险审计和定期的风险评审;找出差异是技术绩效评估、差异和趋势分析;控制就是加钱,查看预留的钱够不够(预留管理)。
风险记录(更新)
建议的纠正措施
变更申请
组织过程资产(更新)
一般来说,审计是由独立的第三方进行,一般叫审计的只有风险审计、采购审计、质量审计,其他没有这种叫法了。评审是对任何方案的评审。评审可以事先,而审计都是事后。
最最重要的风险识别的SWOT、德尔菲、风险应对中的负向、正向风险的应对策略
原文:http://lsieun.blog.51cto.com/9210464/1702323