〘 8-1 〙软考高项 | 第15章：项目风险管理（上）

💡 点赞・能量加载| 🌐 关注・持续更新

📎 收藏・方便回看| ✨ 评论・互动交流

目录

1.项目风险管理概述

1.1 项目风险定义

1.2 风险的属性

1.3 风险的分类

1.4 风险成本

1.5 风险管理新实践

1.5.1 非事件类风险

1.5.2 项目韧性

1.5.3 整合式风险管理

2.风险管理过程

2.1 规划风险管理

2.1.1 本过程含义

2.1.2 输入&输出

2.1.2.1 输出：风险管理计划

2.1.3 工具与技术

2.1.3.1 工具1：风险分解结构（RBS ）

2.1.3.2 工具2：概率和影响矩阵

2.1.3.3 工具3：风险概率量表

2.1.3.4 工具4：风险影响量表

2.2 识别风险

2.2.1 本过程含义

2.2.2 输入&输出

2.2.2.1 输出1：风险登记册

2.2.2.2 输出2：风险报告

2.2.3 工具与技术

2.2.3.1 工具1：核查单

2.2.3.2 工具2：SWOT分析

2.2.3.3 工具3：提示清单

2.3 实施定性风险分析

2.3.1 本过程含义

2.3.2 输入&输出

2.3.2.1 输出：项目文件更新

2.3.3 工具与技术

2.3.3.1 工具1：概率和影响矩阵

2.3.3.2 工具2：风险的概率和影响评估

2.3.3.3 工具3：风险数据质量评估

2.3.3.4 工具4：其他风险参数评估

2.3.3.5 工具5：风险分类

2.3.3.6 工具6：层级图

🔥 感谢有你，我的创作才更有意义！🔥

1.项目风险管理概述

1.1 项目风险定义

项目风险：就是不确定的事或情况，一旦真的发生，会对项目目标带来好的或坏的影响。

• 要看它发生的概率和影响程度
• 风险分坏的风险和好的风险

每个项目都有两个层面的风险：

• 单个风险：会影响项目完成目标的单个风险
• 整体项目风险：由单个风险和其他不确定因素共同造成的整体项目风险

项目风险管理的过程，会同时管这两层风险。

1.2 风险的属性

1. 风险事件的随机性：风险事件会不会发生、造成什么结果，都是偶然的。

2. 风险的可变性：风险的性质会变、后果会变，还可能出现新的风险。

3. 风险的相对性

• 预期收益越大，愿意承担的风险越大
• 投入的成本越多，愿意承担的风险越小
• 拥有的资源越多，承受风险的能力就越强

1.3 风险的分类

1. 按风险后果划分
   （1）纯粹风险：只会带来损失，没有任何获利机会的风险。
   （2）投机风险：既可能带来机会、获得利益，也可能造成损失的风险。有三种结果：损失、没损失、获利。
   纯粹风险和投机风险在一定条件下能互相转化，要防止投机风险变成纯粹风险。
   风险不是一方亏一方赚的零和游戏，很多时候相关各方都会受损，没有赢家。

2. 按风险来源划分
   （1）自然风险：由自然力量导致的财产损毁、人员伤亡的风险，比如：地震。
   （2）人为风险：由人的活动带来的风险，可细分为行为、经济、技术、政策和组织风险等。

3. 按风险是否可管理划分
   （1）可管理风险：可以预测，并且能采取措施控制的风险。
   （2）不可管理风险：无法预测、难以控制的风险。
   风险能不能管理，取决于能否消除不确定性以及管理水平。随着信息增加、管理水平提高，有些不可管理风险可以变成可管理风险。

4. 按风险影响范围划分
   （1）局部风险：影响范围小
   （2）总体风险：影响范围大
   局部风险和总体风险是相对的。项目管理团队要重点关注总体风险。

5. 按风险后果的承担者划分
   按承担风险后果的主体分：项目业主、政府、承包商、投资方、设计单位、监理单位、供应商、担保方、保险公司等风险。

6. 按风险的可预测性划分
   （1）已知风险（可预见的：风险+后果）：通过认真分析项目和计划就能确定，经常发生、后果也能预见的风险。比如：项目目标不明确、进度计划过于乐观、设计或施工变更、材料价格波动。
   （2）可预测风险（可预见的风险：不可预计的后果）：能预见会发生，但后果无法提前确定的风险。比如：业主不能及时审批、分包商不能按时完工、施工机械故障、无法提前预料的地质条件。
   （3）不可预测风险（不可预见的：风险+后果）：有可能发生，但就算最有经验的人也无法提前预见的风险。比如：地震、百年一遇暴雨、通货膨胀、政策变化。

总结：

1.4 风险成本

1.5 风险管理新实践

1.5.1 非事件类风险

（1）变异性风险：已经定好的目标、活动或决策中，有些关键内容会上下波动，不确定。比如：生产率可能比目标值高或低，测试出的问题可能比预想的多或少。可以用蒙特卡洛分析来处理：用概率分布表示波动的可能情况，再想办法缩小波动范围。

（2）模糊性风险：不清楚未来会发生什么，存在不确定性。因为知识不够，可能影响项目完成目标。比如：对需求、技术方案、未来法规、项目内部系统的复杂程度了解不足。

1.5.2 项目韧性

突发性风险：有些风险是突发的，只有发生了才知道。可以靠提高项目韧性来应对这类风险。
具体要求项目做到：
（1）除了给已知风险留预算，还要给突发风险准备合理的应急预算和时间；
（2）用灵活的项目流程，做好变更管理，保证项目方向不变，同时应对突发风险；
（3）给目标清楚、靠谱的团队授权，在规定范围内自主处理工作；
（4）关注早期预警信号，尽早发现突发风险；
（5）主动征求干系人意见，明确哪些项目范围或策略可以调整，用来应对突发风险。

1.5.3 整合式风险管理

项目、项目集、项目组合、组织这几个层级，都存在风险。
要在合适的层级去承担和管理风险。
（1）较高层级发现的风险，可以下放给项目团队管理；
（2）较低层级发现的风险，可以上报给高层级管理。
要用组织层面的风险管理方法，保证各个层级的风险管理一致、连贯。

2.风险管理过程

包括以下七大过程（红框）：本文1~3。

2.1 规划风险管理

2.1.1 本过程含义

• 做什么：定义如何实施项目风险管理活动。本过程在项目立项阶段要开始，在项目早期完成，后期必要时重新开展本过程。
• 有什么用：确保风险管理的水平、方法和可见度与项目风险程度相匹配，与对组织和其他干系人的重要程度相匹配。

一句话：本过程要在项目立项后尽早确定风险管理的实施方式，使其与项目风险和重要程度匹配，必要时可重新开展。

2.1.2 输入&输出

2.1.2.1 输出：风险管理计划

• 做什么：制定风险管理计划，明确怎么安排和执行项目风险管理，它是项目管理计划的一部分。
• 有什么用：为项目风险管理提供统一、规范的执行依据。

一句话：明确项目风险管理的策略、方法、分工、资源、分类、标准等全部执行规则。

风险管理计划的内容：

• 风险管理策略：说明本项目管理风险的总体思路。
• 方法论：确定风险管理用的具体方法、工具和数据来源。
• 角色与职责：明确各项风险管理工作的负责人、支持人、成员及职责。
• 资金：安排风险管理所需的资金。
• 时间安排：规划风险管理相关工作的时间。
• 风险类别：用风险分解结构（RBS）对项目风险分类。
• 干系人风险偏好：把干系人对风险的态度转化为可衡量的临界值，用于定义概率和影响。
• 风险概率和影响：设定风险发生可能性和影响的标准。（下图）
• 概率和影响矩阵：按风险对项目目标的影响排序。（下图）
• 报告格式：规定风险相关报告的格式。
• 跟踪：明确如何记录、跟踪风险相关活动。

2.1.3 工具与技术

2.1.3.1 工具1：风险分解结构（RBS ）

如上图：

• RBS 最底端是风险类别（如上图红框）
• 风险分解结构（RBS ）：列出项目里可能出现的典型风险分类和子分类，帮团队全面考虑风险来源，方便识别风险、给已识别的风险归类。
• 使用方式：组织可以有通用的 RBS，不同项目也能用不同的 RBS，项目还能自己定制专用的 RBS。

2.1.3.2 工具2：概率和影响矩阵

• 定义概率 - 影响表里，概率量表的0.7 不是风险真实发生概率为 0.7，只是代表某一概率区间的等级分值。
• 用1、3、5…这类数字表示概率或影响等级，可以。这些都是自定义的标识而已。

2.1.3.3 工具3：风险概率量表

2.1.3.4 工具4：风险影响量表

2.2 识别风险

2.2.1 本过程含义

• 做什么？找出项目里单个风险和整体项目风险的来源，并把风险的特点记录下来。
• 有什么用？把已有的单个风险和整体风险的来源都记下来；把信息汇总好，让团队能针对性地处理这些风险。

一句话：识别并记录项目单个与整体风险，整理信息方便后续应对。

识别风险的注意事项：

• 识别风险时，要同时考虑单个项目风险和整体项目风险的来源。
• 要用统一的风险描述格式记录风险，保证大家理解清晰一致。
• 项目进行中，单个风险和整体项目的风险等级都可能发生变化。
• 识别风险是迭代过程，在项目期间持续开展，迭代频率和参与程度在风险管理计划明确规定。

2.2.2 输入&输出

2.2.2.1 输出1：风险登记册

风险登记册：详细记录已经识别出来的项目（单个）风险，核心包含三类信息：

• 已识别风险的清单：把所有识别出的项目风险逐一列出来，形成完整风险清单。

• 潜在风险责任人：标注出每项风险对应的潜在负责人员，明确后续跟进主体。

• 潜在风险应对措施清单：同步记录针对各项风险，初步拟定的潜在应对办法。

示例：风险登记册

2.2.2.2 输出2：风险报告

• 做什么：风险报告主要提供两类信息：一是整体项目风险的相关情况，二是所有已识别单个项目风险的概述汇总。
• 有什么用：
  整体项目风险来源：点明导致项目整体风险的最关键因素。
  单个风险汇总：展示已识别风险的整体图景，比如：威胁和机会的数量、按类别分布情况、相关测量指标及发展趋势等。

一句话：风险报告是项目风险的 “全景体检报告”，既看整体病灶，也汇总单个风险。

2.2.3 工具与技术

2.2.3.1 工具1：核查单

• 做什么：核查单是列出要考虑的项目、行动或要点的清单。
• 有什么用：辅助风险识别，但不能代替正式的风险识别工作。

一句话：核查单只是参考清单，不能替代风险识别。

2.2.3.2 工具2：SWOT分析

S（Strength）：优势
W（Weakness）：劣势
O（Opportunity）：机会
T（Threat）：威胁

2.2.3.3 工具3：提示清单

• 做什么：提示清单是预先列出的清单、可能引发项目风险的风险类别清单。
• 有什么用：作为风险识别的框架，帮助项目团队产生思路的提示，来识别单个风险。

一句话：可以用风险分解结构最底层的风险类别作为提示清单，来识别项目单个风险。

2.3 实施定性风险分析

2.3.1 本过程含义

• 做什么：评估单个项目风险的概率、影响和其他特征，对风险排序，为后续工作打基础。
• 有什么用：聚焦高优先级风险。

一句话：定性分析风险有主观性，还会为每个风险指定责任人。

2.3.2 输入&输出

2.3.2.1 输出：项目文件更新

可能需要更新的项目文件（但不限于）：

• 风险登记册：风险概率与影响评估、优先级 / 风险分值、风险责任人、风险紧迫性 / 类别、低优先级风险观察清单、待进一步分析的风险。

• 风险报告：最重要的单个项目风险、全部已识别风险的优先级列表、简要结论。

• 假设日志：记录并更新项目相关的假设条件与制约因素。

• 问题日志：记录、跟踪和解决项目中出现的问题。

2.3.3 工具与技术

2.3.3.1 工具1：概率和影响矩阵

概率和影响矩阵是定性风险分析的工具。

然后将发生的概率值和影响的值填入风险登记册，如：

概率：0.10、0.30、0.50、0.70、0.90
影响：0.05、0.10、0.20、0.40、0.80

2.3.3.2 工具2：风险的概率和影响评估

• 概率评估：评估特定风险发生可能性大小。

• 影响评估：评估风险对进度、成本、质量、绩效等项目目标的潜在影响；其中，威胁是负面影响，机会是正面影响。

• 不同风险区域应对
  高风险区域：重点采取积极主动的应对策略。
  低风险区域：列入观察清单或分配应急储备，不采取额外主动管理措施。

2.3.3.3 工具3：风险数据质量评估

做什么：

• 风险数据是定性风险分析的基础。
• 风险数据质量评估：评价单个项目风险数据的准确性和可靠性。
• 通过问卷调查，收集项目干系人对风险数据在完整性、客观性、相关性、及时性四个维度的评价，进而综合评估风险数据质量，并计算加权平均数作为总体质量分数。

有什么用：

• 保证风险分析基于可信、高质量的数据，避免误判。

一句话：先评估风险数据的准确可靠与完整及时，再做定性风险分析。

2.3.3.4 工具4：其他风险参数评估

注意：在评估风险优先级时，通常会综合看这些指标。

2.3.3.5 工具5：风险分类

• 做什么：可按风险来源、受影响的项目区域等分类，也可按共同根本原因分类，找出最容易受不确定因素影响的项目领域。
• 有什么用：明确项目哪些部分最容易受不确定性影响。
• 风险分类方法：要在风险管理计划里提前规定好。

一句话：对风险进行分类，然后找出最容易受不确定因素影响的领域。

2.3.3.6 工具6：层级图

• 做什么：用两个以上参数分类风险时，不能简单的用概率和影响矩阵。要用其他图形，比如：气泡图可显示三维数据。
• 有什么用：适配多参数风险分类，更直观展示多维风险信息。

一句话：多参数分类风险不用概率影响矩阵，改用气泡图等能展示多维数据的图形。

🔥 感谢有你，我的创作才更有意义！🔥