风险管理的核心概念

风险来源于不确定性,包括负面的威胁和正面的机会。风险有两个属性:概率和影响。

风险管理是通过识别、分析和应对风险来提高正面机会的概率和影响,降低负面威胁的概率和影响。

风险敞口

风险敞口是未加保护的风险,也称“风险暴露”,是指对风险未采取任何防范措施而可能导致出现损失的部分。

例如,即便项目是按客户要求交付的,仍然可能有 10% 的项目尾款因各种原因收不回来,那么对于这个项目而言,就存在着 10% 的风险敞口。

已知风险的风险敞口是零到该风险产生的最大损失之间,未知风险的风险敞口是从零到无穷大。

单个项目风险与整体项目风险

只关注单个项目风险,而忽略整体项目风险;只关注项目局部风险,而忽略项目全局风险;只关注项目短期风险,而忽略项目长期风险;只关注项目战术风险,而忽略项目战略风险,这些都是风险近视症的表现。

比如一个互联网金融 P2P 项目,代码 Bug、系统安全漏洞、服务器宕机、项目团队骨干离职都是单个项目风险,而国家出台政策限制 P2P 业务就是整体项目风险。

变异性风险

如果项目所依赖的关键条件或制约因素出现异常改变,就会导致变异性风险,例如我们常说的“黑天鹅时间” “草根逆袭” 等一切不按常理出牌的局面。

我们可以通过模拟技术,如果蒙特卡洛技术进行风险定量分析,来评估变异性风险的概率和影响。

模糊性风险

模糊性风险意味着人们不确定未来可能会发生什么。知识不足可能影响团队达成项目目标的能力,例如,无法预测技术发展的方向和速度、政策法规的未来变化、快速变化的用户需求等。团队可采取迭代开发、增量开发及适应型(敏捷型)开发模式,提高对此类风险的适应能力。

项目韧性

项目韧性是指当项目遭遇风险或收到干扰时,整合项目团队还能保持维持状态的能力、迅速恢复的能力,以及应对未来不确定的能力。

整合式风险管理

整合式风险管理是指在项目、项目集、项目组合及项目所在组织进行多层次的风险统筹管理。有些风险应该授权下放,有些风险超出了项目管理者的能力范围或影响多个项目,应上报给合适的高级管理层。企业应将风险管理贯通至项目管理各个层次,形成一个有机、动态的风险管理系统。

规划风险管理(规划)

风险的分类

1. 已知风险和未知风险

已知风险是指人们事先能够识别和分析概率及影响的风险。

未知风险是指人们事先无法识别和分析概率及影响的风险。

2. 内部风险和外部风险

内部风险与外部风险的区别是内部风险在项目团队的控制和影响范围内,外部风险则超出了这个范围。

3. 商业风险和可保险风险

商业风险是指正常的经营、技术、市场等风险。项目可能带来盈利,也可能带来损失。项目团队应将主要精力放在对商业风险的管理上。

可保险风险是指只会带来损失的风险,例如,有火灾、洪水、地震、塌方等自然灾害带来的财产损失,或由停工、人员伤亡而带来的损失,可通过购买保险、签订合同等手段将风险转移出去。

风险分解结构

风险分解结构(RBS)是指将识别出来的风险分类、分级并编号,按照编码录入项目管理信息系统,方便与工作分解结构(WBS)中的单元对应。

相关方对风险的态度

相关方表现出来的对风险的态度通常与风险偏好和风险承受力有关。风险偏好是指为了预期的回报,相关方愿意承受不确定的程度,属于主观意愿;风险承受力是指相关方能承受的风险程度或数量,属于客观能力。

我们通常用风险临界值来表示相关方对风险的态度:如果风险低于临界值,相关方会接受风险;如果风险高于临界值,相关方会拒绝风险。

识别风险(规划)

识别风险是判断哪些风险可能影响项目并记录其特征的过程。

本过程的主要作用是对已有风险进行文档化,并为项目团队预测未来事件积累知识和技能。

识别风险的工具和技术

1. 头脑风暴法

2. 德尔菲法:特点是专家们始终不见面,也不知道其他专家是谁,从而最大限度地避免了由于个别专家的偏见而误导其他专家的判断的情况发生。

3. 根本原因分析:一种结构化的问题处理法,用于逐步找出问题的根本原因并加以解决,而不是仅仅关注问题的特征。

4. 核对单分析

5. 假设分析

6. 鱼骨图

7. 系统或过程流程图

8. 专家判断

9. 假设条件和制约因素分析

10. SWOT 分析

实施定性风险分析(规划)

实施定性风险分析是评估并综合分析风险发生的概率和影响,对风险进行优先级排序,从而为后续分析或行动提供参考的过程。

本过程的主要作用是使项目经理能够梳理项目风险的级别,并重点关注高优先级的风险。

实施定量风险分析(规划)

实施定量风险分析是就已识别的风险对项目整体目标的影响进行定量分析的过程。

本过程的主要作用是产生量化风险信息,支持决策制定,降低项目的不确定性。

蒙特卡洛模拟

蒙特卡洛模拟方法的原因是当问题或对象本身具有概率特征时,可以用计算机模拟的方法产生抽样结果,再根据抽样计算或者参数的值。随意模拟次数的增加,我们可以通过对各次统计量或参数的估计值求平均的方法得到稳定的结论。

规划风险应对(规划)

规划风险应对是针对项目目标制定提高机会、降低威胁的方案和措施的过程。

本过程的主要作用是根据风险的优先级来制定应对措施,并把风险应对所需的资源或活动加进项目的预算、进度计划和管理计划中。

风险应对方法

1. 原计划

2. 应急计划:针对某些特定事件而提前设计的一套应对计划,俗称“B计划”,是只有在某些预定条件发生时才能实施的应对计划。

3. 弹回计划:指提前预备的一套行动方案,以便在应对计划因风险或其他问题而废弃时采用。也就是说,当项目目标被放弃或项目发生重大改变时,弹回计划就是以最小损失收尾或过度的方案,或成为“保底方案”。

4. 权变计划:指在未事先制定应对措施或事先制定的应对措施无效时,针对已发生的威胁而采取的随机应变的措施。一般在权变措施实施前,项目仍需要经过变更控制程序。只有在人命关天或者确定来不及走程序的情况下,才可以先采取权变措施。这种权变措施被称为自动权变。

风险应对策略

1. 规避:修改甚至放弃项目计划,以避免已识别出来的风险可能带来的损失。

2. 转移:把不擅长做的或没有能力做的工作分包给第三方合作伙伴,这相当于同时也把这部分工作的风险转移出去了。常见的方法包括(但不限于)保险、分包、履约保函、担保书和保证书等。

3. 减轻:通过事先消除或干预风险发生的条件来降低风险发生的概率,或采取防范措施减轻风险发生时造成的损失。例如,采用更简单的工艺、更可靠的流程,增加设计冗余,进行更多的测试,或者选用更熟悉的供应商。

控制风险(执行)

控制风险是在整合项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险,以及评估风险过程有效性的过程。

本过程的主要作用是在整个项目生命周期中提高应对风险的效率、不断优化风险应对过程。

监督风险(监控)

监督风险是在整个项目期间监督风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。

本过程的主要作用是使项目决策都基于整体项目风险敞口和单个项目风险的当前信息。本过程需要在整个项目期间开展。