PMP

《PMBOK》V6:第十一章 项目风险管理(学习笔记)

2020-08-01 /

项目风险管理过程包括
1)规划风险管理
2)识别风险
3)开展风险分析
4)规划风险应对
5)实施风险应对
6)监督风险
风险要素:风险事件、风险概率、风险影响。
风险管理的目的:提高机会,降低威胁。
单个项目风险:一旦发生,会对一个或多个项目目标产生正面或负面影响的不确定事件或条件。
整体项目风险:是不确定性对项目整体的影响,是相关方面临的项目结果正面和负面变异区间。
非事件类风险:大多数项目只关注作为可能发生或不发生的不确定性未来事件的风险。包括:
1)变异性风险:已规划事件、活动或决策的某些关键方面存在不确定性,导致变异性风险。
※通过蒙特卡罗分析加以处理。
2)模糊性风险:对未来可能发生什么,存在不确定性。知识不足可能影响项目达成目标的能力。
※通过专家判断、标杆对照、增量开发、原型法或模拟加以处理。
项目韧性:通过加强项目韧性可以应对突发性风险,要求每个项目:
※列出已知风险预算,预留合理的应急预算和时间。
※采用灵活的项目过程。
※授权目标明确且具备值得信赖的项目团队。
※注意早期预警信号,尽早识别突发性风险。
※明确征求相关方意见,明确面对突发性风险可以调整的项目范围和领域。
整合式风险管理:采用协调式企业级风险管理方法,来确保所有层面的风险管理工作的一致性和连贯性。
风险敞口:通常用可测量的风险临界值来定义。风险临界值反映了组织与项目相关方的风险偏好程度,是项目目标可接受的变异程度。
风险应对策略:针对威胁和机会两种风险,可供使用的应对方法,是在风险发生前使用的战略。
应急应对策略(Contingent Response Strategies):指当已知的未知风险发生时采取的具体应对办法。
※注意应急应对策略与权变措施的区别。
弹回计划(Fallback Plans):包括一组备用的行动和任务,以便在主计划因问题、风险或其他原因而需要被废弃时采用。
※注意应急计划与弹回计划和应对策略的关系。

次生风险(Secondary Risk):应对策略应对风险后导致的新的风险。
残余风险(Residual Risk):在使用应对策略应对风险后,大部分风险可能已经消失,仍然存在的不确定性。
权变措施(Work Around):针对以往未曾识别或被动接受的、目前正在发生的风险而采取的未经事先计划的应对措施。
应急储备:应对已知的未知准备的财务费用。
管理储备:应对未知的未知准备的财务费用。

规划风险管理
本过程的主要作用:确保风险管理的水平、方法和可见度与项目风险程度及项目对组织和其他相关方的重要程度相匹配。
本过程的开展时间:本过程仅开展一次或仅在项目的预定义点开展。
风险管理计划(Risk Management Plan):风险管理计划是项目管理计划的组成部分,描述如何安排与实施风险管理活动;包括:
1)风险类别:风险类别确定对单个项目风险进行分类的方式。
2)风险概率和影响定义:根据具体的项目环境,组织和关键相关方的风险偏好和临界值,来制定风险概率和影响定义。
3)概率和影响矩阵(Probability and Impact Matrix):概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格,以便于对单个风险进行优先级排序。

风险管理计划不涉及某一具体风险的应对,而是对某一类别的风险提出应对;具体风险的应对措施记录在风险登记册中。

识别风险
本过程的主要作用:记录现有的单个项目风险,以及整体项目风险的来源;同时,汇集相关信息,以便项目团队能够恰当应对已识别的风险。
本过程的开展时间:本过程需要在整个项目期间开展。
工具与技术要点
1)核对单(Checklists):核对单是包括需要考虑的项目、行动或要点的清单,它常被用作提醒。
※参考
※核对单简单易用,但无法穷尽所有风险,必须确保不要用核对单来取代所需的风险识别工作。
2)SWOT分析:SWOT分析是对项目的优势(Strength)、劣势(Weakness)、机会(Opportunity)和威胁(Threat)进行逐个检查的技术。在识别风险时,它会将(组织)内部产生的风险包含在内,从而拓宽识别风险的范围。
3)提示清单:提示清单是关于可能引发单个项目风险,以及可作为整体项目风险来源的风险类别的预设清单。
※注意提示清单与核对单的区别:提示清单包含整体风险和单个风险,基于RBS最后一级分类或基于商业成熟的预设清单;核对单只包含单个风险,基于历史经验。

实施定性风险分析
本过程的主要作用:重点关注高优先级的风险。
本过程的开展时间:本过程需要在整个项目期间开展。
风险登记册(Risk Register)
1)已识别风险的清单
2)潜在风险责任人
3)潜在风险应对措施清单

风险报告(Risk Report):包含整体项目风险的信息,以及关于已识别的单个项目风险的概述信息,是一项渐进式的工作。
※注意风险登记册和风险报告的区别:风险登记册记录了每项详细的单项风险,包括威胁和机会。风险报告包含了整体项目风险的信息;同时包含风险登记册信息的基础上,进行归纳汇总后得到的相关信息。
工具与技术要点
1)风险概率和影响评估:风险概率评估考虑的是特定风险发生的可能性,而风险影响评估考虑的是风险对一项或多项项目目标的潜在影响,如进度、成本、质量或绩效。
2)其他风险参数评估:风险的其他特征会影响风险的优先级排序,这些特征参数包括:紧迫性、邻近性、潜伏期、可管理性、可控性、可监测性、连通性、战略影响力、密切度。
3)层级图:如果使用了两个以上的参数对风险进行分类,那就不能使用概率和影响矩阵,而需要使用其他图形。
4)风险数据质量评估(Risk Data Quality Assessment):该指标考察对风险的理解程度以及信息的质量和可靠性。
5)风险分类(Risk Categorization)
风险分解结构(Risk Breakdown Structure,RBS)

实施定量风险分析
本过程的主要作用:量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划。
本过程的开展时间:本过程需要在整个项目期间开展。
工具与技术要点:
1)敏感性分析——龙卷风图(Sensitivity Analysis):有助于确定哪些风险对项目具有最大的潜在影响。有助于理解项目目标的变化和各种不确定因素之间存在怎样的关联。
※处理单个变量的影响,假定其他条件不变时,某一因素的影响范围。
※逐一分析每个变量的单位变化对项目影响的程度,发现并关注最敏感变量。
※只能显示影响范围,不能显示预期发生的概率。
2)模拟:使用模型来模拟单个项目风险和其他不确定性来源的综合影响,以评估它们对项目目标的潜在影响。
①蒙特卡罗分析(Monte Carlo Analysis):模拟通常采用蒙特卡罗分析,该方法是随机地从每个不确定因素中抽取样本,之后进行一次整个项目计算,重复进行成百上千次,模拟各式各样的不确定组合,获得各种组合下的成百上千种结果。

②关键性分析:关键性分析通过计算各个活动出现在关键路径上的频率来识别那些对整体进度绩效存在最大潜在影响的活动,以便规划风险应对措施。
3)决策树分析(Decision Tree Analysis):用决策树在若干备选行动方案中选择一个最佳方案。在决策树中,用不同的分支代表不同的决策或时间,即项目的备选路径。在决策树分析中,通过计算每条分支的预期货币价值(Expected Money Value,EMV),就可以选出最优路径。
EMV=概率*影响[成本或进度]

规划风险应对
本过程的主要作用:制定应对整体项目风险和单个项目风险的适当方法。
本过程的开展时间:本过程需要在整个项目期间开展。
工具与技术要点
1)威胁应对策略(Strategies for Threats)
①上报(Escalate):被上报的风险将在项目集层面、项目组合层面或组织的其他相关部门加以管理,而不在项目层面。
适用场景:如果项目团队或项目发起人认为某威胁不在项目范围内,或提议的应对措施超出了项目经理的权限,就应该采用上报策略。
应对措施:对于被上报的威胁,组织中的相关人员必须愿意承担应对责任。威胁一旦上报,就不再由项目团队做进一步监督。
②规避(Avoid):指项目团队采取行动来消除威胁,或保护项目免受威胁的影响。
适用场景:发生概率较高,且具有严重负面影响的高优先级威胁。
应对措施:消除威胁的原因、延长进度计划、改变项目策略或缩小范围等。
③转移(Transference):转移涉及将应对威胁的责任转移给第三方,让第三方管理风险并承担威胁发生的影响。
适用场景:自己不愿意或者没有能力承担威胁所造成的的影响。
应对措施:采用转移策略,通常需要向承担威胁的一方支付风险转移费用;通过签订协议,把具体的风险归属和责任转移给第三方。
④减轻(Mitigate):指采取措施来降低威胁发生的概率和影响。
适用场景:无法完全消除风险的时候可以采用这种策略。
应对措施:降低概率和减轻影响。
⑤接受(Acceptance):指承认威胁的存在,但不主动采取措施。
适用场景:此策略可用于低优先级威胁,也可用于无法以任何其他方式加以经济有效地应对的威胁。
应对措施:主动接受策略是建立应急储备,包括预留时间、资金或资源以应对出现的威胁。被动接受策略不会主动采取行动,只是定期对威胁进行审查,确保其并未发生重大改变。
2)机会应对策略(Strategies for Opportunities)
①上报(Escalate):被上报的机会将在项目集层面、项目组合层面或组织的其他相关部门加以管理,而不在项目层面。
适用场景:如果项目团队或项目发起人认为某机会不在项目范围内,或提议的应对措施超出了项目经理的权限,就应该采用上报策略。
应对措施:对于被上报的机会,组织中的相关人员必须愿意承担应对责任。机会一旦上报,就不再由项目团队做进一步监督。
②开拓(Exploit):此策略将特定机会的出现概率提高到100%,确保其肯定出现,从而获得与其相关的收益。
适用场景:组织想确保把握住高优先级的机会的情况。
应对措施:可能包括把组织中最有能力的资源分配给项目来缩短完工时间,或采用全新技术或技术升级来节约项目成本并缩短项目持续时间。
③分享(Share):分享涉及将应对机会的责任转移给第三方,使其享有机会所带来的部分收益。必须仔细为已分享的机会安排新的风险责任人,让那些最有能力为项目抓住机会的人担任新的风险责任人。
适用场景:希望分享集会所带来的收益;自己没有能力抓住机会,需要与其他方合作抓住机会。
应对措施:采用这种策略,通常需要向承担机会应对责任的一方支付风险费用。分享措施包括建立合伙关系、合作团队、特殊公司或合资企业来分享机会。
④提高(Enhance):提高策略用于提高机会出现的概率和影响。
适用场景:不能确保抓住机会的情况下,应该设法提高抓住机会的概率和一旦抓住之后增加机会的收益。
应对措施:通过关注其原因,可以提高机会出现的概率;措施包括增加资源。
⑤接受(Acceptance):指承认机会的存在,但不主动采取措施。
适用场景:适用于低优先级机会,也可用于无法以任何其他方式加以经济有效地应对的机会。
应对措施:主动接受策略是建立应急储备,包括预留时间、资金或资源,以便在机会出现时加以利用。被动接受策略不会主动采取行动,只是定期对机会进行审查,确保其并未发生重大改变。

实施风险应对
本过程的主要作用:确保按计划执行商定的风险应对措施。
本过程的开展时间:本过程需要在整个项目期间开展。
工具与技术要点
影响力:负责引导风险管理过程的项目经理或人员需要施展影响力,去鼓励指定的风险责任人采取所需的行动。

监督风险
本过程的主要作用:使项目决策都给予关于整体项目风险敞口和单个项目风险的当前信息。
本过程的开展时间:本过程需要在整个项目期间开展。
工具与技术要点
1)风险审计(Audits):风险审计是一种审计类型,可用于评估风险管理过程的有效性。风险审计可以在日常项目审查会上开展,团队也可以召开专门的风险审计会。风险审计针对的对象是风险管理过程,包括规划、识别、分析、规划应对、实施和监督等过程。
2)风险审查会(Meetings):识别新的单个项目风险(包括已商定应对措施所引发的次生风险),重新评估当前风险,关闭已过时风险,同时总结可用于当前项目后续阶段或未来类似项目的经验教训。

考点:风险发生那一刻要做的事?
1)查看或更新风险登记册
2)执行应急计划
3)执行弹回计划
4)提交变更请求