风险管理概念

项目风险是一种不确定的事件或条件，一旦发生，会对项目目标产生某种正面或负面的影响。项目风险既包括对项目目标的威胁，也包括促进项目目标的机会。

风险源于项目之中的不确定因素，项目在不同阶段会有不同的风险。风险会随着项目的进展而变化，不确定性也会随着项目进展而逐渐减少。最大的不确定性存在于项目的早期。

项目风险管理旨在识别和管理未被项目计划及其他过程所管理的风险。如果不妥善管理，这些风险有可能导致项目偏离计划，无法达成既定的项目目标。因此，项目风险管理的目的在于降低风险不利影响，提高项目成功的可能性。

项目风险管理过程是个持续的不断迭代的过程。

风险管理基础

项目风险概述

每个项目都在两个层面上存在风险，一是每个项目都有会影响项目达成目标的单个风险；二是由单个风险和不确定性的其他来源联合导致的整体项目风险，相关管理过程要同时兼顾者两个层面的风险。
项目风险会对项目目标产生正面或者负面影响，也就是机会与风险。项目风险管理旨在强化正面风险，规避或减轻负面风险。负面风险可能会引发各种问题，如工期延误、成本超支、绩效不佳或者声誉受损等。

风险的属性

• 风险事件的随机性

• 风险的相对性：风险总是相对活动主体而言的，同样的风险对于不同的主体有不同的影响。影响人们风险承受能力的因素主要包括：

  • 收益的大小：收益越大，人们愿意承受的风险就越大
  • 投入的大小：投入越大，人们原因承受的风险就越小
  • 项目活动主体的地位和拥有的资源：级别高的管理人员比级别低的管理人员能够承担的风险相对要到
    

• 风险的可变性：

  • 风险性质的变化
  • 风险后果的变化
  • 出现新风险

风险的分类

• 按风险后果划分：
  • 纯粹风险：不能带来机会，无获得利益可能得风险
  • 投机风险：既可能带来机会获得利益，又隐含威胁的风险。投机风险有三种可能的后果：造成损失、不造成损失和获得利益
    纯粹风险和投机风险在一定条件下可以相互转化，要避免投机风险转化为纯粹风险。
    风险不是零和游戏，很多情况下，涉及风险的各个方面都要蒙受损失，无一幸免。
• 按风险来源划分
  • 自然风险：如洪水、地震等
  • 人为风险：由于人的活动而带来的风险，可以细分为行为、经济、技术、政策和组织风险等。
• 按风险是否可管理划分
  • 可管理：指可以预测，并采取相应措施加以控制的风险
  • 不可管理：取决于风险是否可以消除，以及活动主体的管理水平
• 按风险影响范围划分：局部与总体是相对的
  • 局部风险，如关键路径上活动延期属于整体风险，其他非关键路径上的活动延期属于局部风险
  • 总体风险
• 按风险后果的承担者划分：项目业主风险、政府风险、承包商风险、投资方风险、设计单位风险、建立单位风险、供应商风险、担保方风险和保险公司风险等。。。有利于合理分配风险，提供项目风险的承受能力。
• 按风险的可预测性划分
  • 已知风险：经常发生，后果可以预见。已知风险发生概率高，但一般后果轻微、不严重。如项目目标不明确、过分乐观的进度计划、设计或施工变更、材料价格波动等
  • 可预测风险：可以预见其发生，不可预见其后果的风险。如业主不能及时审查，分包商不能及时交工、不可预见的地质条件等
  • 不可预测风险：有可能发生，无法预见发生的可能性。也称为未知风险或未识别风险。如地震、百年不遇的暴雨、通货膨胀、政策变化等。

风险成本及其负担

风险事件造成的损失或减少的收益以及为防止发生风险采取预防措施而支付的费用，都构成了风险成本。包括有形成本、无形成本以及预防与控制风险的成本。

• 风险损失的有形成本：风险事件造成的直接损失和间接损失
  • 直接损失：财产损毁和人员伤亡的价值。如压缩空气机房失火，直接损失包括空气压缩机成本、受伤人员医疗费、休养费、工资等
  • 间接损失：直接损失以外的其他损失、责任损失，如停工等发生的成本
• 风险损失的无形成本
  • 减少了机会：由于准备应对风险投入资源，导致没有可用资源投入其他机会
  • 阻碍了生产率提高：人们不愿意把资金投向风险更大的新技术产业，阻碍了新技术的应用和推广
  • 资源分配不当：人们愿意把资金投入到风险较小的行业和部门，导致应该得到发展的行业和部门缺乏应有的资源
• 风险预防与控制的成本：为了预防控制风险，采取的各种措施。例如：
  • 向保险公司投保
  • 向有关方面咨询
  • 配备必要的人员
  • 购置用于预防和减损的设备
  • 对有关人员进行必要的教育和训练
  • 设备维护费用
• 风险成本的负担：风险成本不单由项目主体负担，与项目活动相关的其他方面，客观上也要负担一部分风险成本。项目主体负担部分为个体负担成本，其他方面负担为社会负担成本。
  • 如压缩空气机房失火，施工单位的损失就是个体负担成本，赶来灭火的消防队的开销就是社会负担成本，消防车在急救现场，行人与其他车辆因躲避而影响工作的损失也是社会负担成本。

风险管理新实践

项目风险管理的关注面正在扩大，其发展趋势和新兴实践主要包括：

非事件类风险

• 变异性风险：已规划的目标、活动或决策的某些关键方面存在不确定性。如生产率可能高于或低于目标值，测试发现的问题数量可能多于或少于预期。变异性风险可通过蒙特卡洛分析加以处理，即：用概率分布表示变异的可能区间，然后采取行动缩小可能结果的区间。
• 模糊性风险：对未来可能发生什么存在不确定性，知识不足可能影响项目达成目标的能力。如不了解需求或技术解决方案的要素、法规框架的未来发展，或项目内在的系统复杂性。模糊性风险需要先定义认知或理解不足之处，进而通过外部专家意见或以最佳实践为标杆来填补差距。也可以采用增量开发、原型搭建或模拟等方法来处理模糊性风险

项目韧性

有一种风险只有在发生后才能被发现，这种风险被称为突发性风险。可以通过加强项目韧性来应对这种风险。要求每个项目：

• 为已知风险列出预算，为突发性风险预留合理应急预算和时间
• 采用灵活的项目过程，包括强有力的变更管理，以便在保持朝项目目标推进的正确方向的同时，应对突发性风险。
• 授权目标明确且值得信赖的项目团队在商定限制范围内完成工作
• 留意早期预警信号，以尽早识别突发性风险
• 明确征求干系人意见，为应对突发性风险而可以调整项目范围或策略的领域

整合式风险管理

项目存在于组织背景中，可能是项目集或项目组合的一部分。在项目、项目集、项目组合和组织这些层面上，都存在风险。应该在适当的层面上承担和管理风险。。如较高层面识别到的风险，可以授权给项目团队去管理；在较低层面识别出的某些风险，也可以交给较高层面去管理。

应该利用组织级的风险管理方法，来确保所有层面的风险管理工作的一致性和连贯性，这样能够使项目集和项目组合的结构具有风险控制的效率，有利于在给定的风险忍受程度下创造最大的整体价值。

风险管理过程

输入输出汇总一张表

1、规划风险管理

规划风险管理是定义如何实施项目风险管理活动的过程。

主要作用是：确保风险管理的水平、方法和可见度与项目风险程度相匹配。

规划风险管理过程在项目立项阶段就应开始，并在项目早期完成。在重大变化、范围显著变化、或者对风险管理有效性审查后需要调整时，可能需要重新开展规划风险管理过程。

数据流向图

输入说明

• 项目章程：项目的总体描述和边界、总体的需求和风险
• 项目管理计划：规划风险时，应考虑所有已批准的项目管理子计划，使风险管理计划与各计划相协调
• 项目文件：项目干系人登记册，概述了干系人在项目中的角色和对风险的态度，为项目设定的风险临界值
• 事业环境因素：组织或干系人设定的整体风险的临界值。
• 组织过程资产：组织风险政策；风险类别；风险概念和术语；角色与职责；风险登记册和风险报告的模版。

工具及技术说明

• 专家判断：咨询专家意见
• 会议：编制风险管理计划可以作为项目开工会议上的一项工作。参会者可包含项目经理、项目团队成员、关键干系人等
• 数据分析：干系人分析法，通过干系人分析确定项目干系人的风险偏好。

输出说明

• 风险管理计划，风险管理计划内容主要包括：

  • 风险管理策略

  • 方法论：具体方法、工具及数据来源。

  • 角色与职责：每项风险管理活动的领导者、支持者和团队成员，并明确职责

  • 资金：风险管理活动所需资金，制定应急储备和管理储备使用方案

  • 时间安排：生命周期中实施风险管理过程的时间和频率。

  • 风险类别：确定风险分类的方式。通常借助风险分解结构（RBS）来构建风险类别。风险分解结构有助于项目团队考虑单个项目风险的全部可能来源，对识别风险和归类已识别风险特别有用。一般采用组织风险分解结构模版
    

  • 干系人风险偏好：应该针对每个项目目标，把干系人的风险偏好表述成可测量的风险临界值。这些临界值将联合决定可接受的整体项目风险忍受水平，也用于制定概率和影响定义。以后将根据概率和影响定义，对单个风险进行评估和排序

  • 风险概率和影响：根据干系人风险偏好和临界值，制定风险概率和影响。项目可自行定义概率和影响级别，也可使用组织统一定义作为基础来制定。应根据拟开展项目风险管理过程的详细程度，来确定概率和影响级别的数量，更多级别（通常为五级）对应更详细的风险管理方法；更少级别（通常为三级）对应更简单的方法。下表提供了概率和影响定义的示例：
    
    通常影响定义为负面威胁（工期延误、成本增加和绩效不佳）和正面机会（工期缩短、成本节约和绩效改善）

  • 概率和影响矩阵：项目开始前确定优先级排序规则。同时列出机会和威胁；以证明影响定义机会，负面影响定义威胁。概率和影响可以用描述性术语（如很高、高、中、低和很低）或数值来表达。如果使用数值，把概率和影响相乘，得出每个风险的概率-影响分值，以便在每个优先级组别之内排列单个风险相对优先级。概率和影响矩阵示例如下图：
    

  • 报告格式：如何记录、分析和沟通项目风险管理过程的结果，描述风险登记册、风险报告以及项目风险管理过程的其他输出的内容和格式。

  • 跟踪：确定如何记录风险活动，以及如何审计风险的管理过程。

2、识别风险

识别风险是识别单个项目风险以及整体项目风险的来源，并记录风险特征的过程。

主要作用：

• 记录现有的单个项目风险，以及整体项目风险的来源
• 汇总相关信息，以便项目团队能够恰当地应对已识别的风险

数据流向图

鼓励所有项目干系人参与项目风险的识别工作，项目团队的参与尤其重要，以便培养和保持他们对已识别单个项目风险、整体项目风险级别和相关风险应对措施的主人翁意识和责任感。

输入说明

• 项目管理计划
  • 需求管理计划：指出特别有风险的项目目标
  • 进度管理计划：可能列出了受不确定性或模糊性影响的一些进度领域
  • 成本管理计划：可能列出了受不确定性和模糊性影响的一些成本领域
  • 质量管理计划：可能列出了受不确定性和模糊性影响的一些质量领域
  • 资源管理计划：可能列出了受不确定性和模糊性影响的一些资源领域
  • 风险管理计划：规定了风险管理的角色和职责，说明了如何将风险管理活动纳入预算和进度计划，并描述了风险类别
  • 范围基准：可交付成果及其验收标准，可能引发风险；可用作风险识别工作的框架
  • 进度基准：找出存在不确定性或模糊性的里程碑日期和可交付成果交付日期
  • 成本基准：找出存在不确定性或模糊性的成本估算或资金需求
• 项目文件
  • 假设日志：所记录的假设条件和制约因素可能引发单个项目风险，还可能影响整体风险的级别
  • 干系人登记册：哪些个人或小组参与项目的风险识别工作
  • 需求文件：列明了项目需求，使团队能确定哪些需求存在风险
  • 持续时间估算：对项目持续时间的定量评估，理想情况下用区间表示，区间大小预示着风险程度。
  • 成本估算：对项目成本的定量评估，理想情况下用区间表示，区间大小预示着风险程度。
  • 资源需求：对项目所需资源的定量评估，理想情况下用区间表示，区间大小预示着风险程度。
  • 问题日志：所记录问题可能引发单个项目风险，还可能影响整体项目风险级别
  • 经验教训登记册：项目早期所识别的风险相关的经验教训
• 采购文档：如果需要在外部采购项目资源，就应该审查初始采购文档，识别风险
• 协议：如果从外部采购项目资源，协议所规定的里程碑日期、合同类型、验收标准和奖罚条款等，都可能造成威胁或创造机会
• 事业环境因素：商业风险数据库；学术研究资料；标杆对照成果
• 组织过程资产：项目文档，风险描述的格式，以往类似项目的核对单

工具及技术说明

• 专家判断：咨询专家意见
• 会议：风险研讨会中，开展头脑风暴
• 数据收集：
  • 头脑风暴：在组织者的指引下产生各种创意，可以用风险类别作为识别风险的框架。因为头脑风暴生成的创意并不成型，所以应特别注意对头脑风暴识别的风险进行清晰描述
  • 核查单：包括需要考虑的项目、行动或要点的清单。常被用作提醒。可基于已完成的项目来编制核查单，也可采用特定行业的通用风险核查单。
  • 访谈：通过对资深项目参与者、干系人和主题专家的访谈，来识别项目风险的来源。应该在信任和保密的环境下开展访谈，以获得真实可信、不带偏见的意见。
• 数据分析
  • 根本原因分析：常用于发现导致问题的深层原因并制定预防措施
  • 假设条件和制约因素分析：每个项目及其项目管理计划的构思和开发都基于一系列的假设条件，并受一系列制约因素的限制。从假设条件的不准确、不稳定、不一致或不完整，可以识别出威胁；通过消除或放松会影响项目过程执行的制约因素，可以创造出机会。
  • SWOT分析：对项目的优势、劣势、机会和威胁进行逐个检查， 将内部风险包含在内，从而拓宽识别风险的范围。首先关注项目、组织或一般业务领域，识别出组织的优势和劣势；然后，找出组织优势可能为项目带来的机会和组织劣势可能造成的威胁。
  • 文件分析：通过对项目文件的结构化审查，可以识别出一些风险。可供审查的文件主要包括计划、假设条件、制约因素，以往项目档案、合同、协议和技术文件。项目文件中的不确定性和模糊性，以及不同文件之间的不一致，都是风险的提示信号。
• 人际关系与团队技能：帮助参会者专注于风险识别任务
• 提示清单：关于可能引发项目风险来源的风险类别的预设清单，可作为风险识别的框架协助团队形成想法。常见的战略框架如外部影响（政策、经济、社会、技术、法律、环境）、内部影响（技术、环境、商业、运营、政治）和性质（易变性、不确定性、复杂性、模糊性）

输出说明

• 风险登记册：记录已识别项目风险的详细信息。当完成识别风险过程时，风险登记册的内容主要包括：
  • 已识别风险的清单
  • 潜在的风险责任人：如果风险识别过程中识别出潜在的风险责任人，就要把该责任人记录到风险登记册，随后由定性风险分析过程进行确认
  • 潜在的风险应对措施清单：如果识别出潜在的风险应对措施，就记录下来，随后由风险应对规划过程进行确认
    一般包括内容：简短的风险名称、风险类别、当前风险状态、原因、对目标的影响、触发条件、受影响的WBS组件以及时间信息（何时识别、何时发生、何时不再相关以及采取行动的最后期限）
• 风险报告：提供关于整体项目风险的信息，以及关于已识别的单个项目风险的概述信息。风险报告的编制是一项渐进式的工作，随着实施定性风险分析、定量风险分析、规划风险应对、实施风险应对和监督风险过程的晚餐，这些过程的结果也需要记录在风险登记册中。完成风险识别过程时，风险报告内容主要包括：
  • 整体项目风险来源：哪些是整体项目风险的最重要因素
  • 已识别单个风险的概述信息，例如：已识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势
• 项目文件更新
  • 假设日志：识别风险过程，可能做出新假设
  • 问题日志：记录发现的新问题
  • 经验教训登记册：记录有用的风险识别技术

3、实施定性风险分析

实施定性风险分析时通过评估单个项目风险发生的概率和影响及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程。

主要作用：关注高优先级的风险。

数据流向图

实施定性风险分析，使用项目风险发生的概率、风险发生时对项目目标的影响以及其他因素，评估对已识别单个项目风险的优先级。这种评估基于项目团队和其他干系人对风险的感知程度，具有主观性。

风险主观意识会导致评估已识别风险时出现偏见，应找出偏见并加以纠正。

实施定性风险分析会为每个风险识别出责任人，以便由他们负责规划风险应对措施，并确保应对措施的实施。

如果需要开展定量分析，定性分析也能为其奠定基础。

输入说明

• 项目管理计划：风险管理计划，特别注意风险管理的角色和职责、预算和进度活动安排，以及风险类别、概率和影响定义、概率和影响矩阵、干系人风险临界值。。（这些信息需要经过发起人批准）
• 项目文件
  • 假设日志：假设条件和制约因素，可能影响对项目风险优先级的评估。
  • 风险登记册：待分析的风险列表
  • 干系人登记册：被指定为风险责任人的干系人详细信息
• 事业环境因素：商业风险数据库和核查单等
• 组织过程资产：已完成的类似项目的信息

工具及技术说明

• 专家判断：征求专家意见，往往通过引导式风险研讨会或访谈获取，应该注意专家可能持有偏见。

• 会议：审查已识别的风险、评估概率和影响、对风险进行分类和优先级排序。实施定性风险过程中，要逐一为单个项目风险分配风险责任人，之后由风险责任人负责规划风险应对措施和报告风险管理工作的进展情况。会议可从审查和确认拟使用的概率和影响量表开始。在会议讨论中，也可能识别出其他风险，应记录这些风险，供后续分析。

• 数据收集：访谈，访谈者应该营造信任和保密的访谈环境，以鼓励被访者提出诚实和无偏见的意见。

• 数据分析

  • 风险数据质量评估：风险数据时开展定性风险分析的基础，风险数据质量评估旨在评价关于单个项目风险的数据准确性和可靠性。可通过问卷调查了解项目干系人对数据质量各方面的评价，包括风险数据的完整性、客观性、相关性和及时性，进而对风险数据的质量进行综合评估。可通过计算加权平均数，将其作为数据质量的总体分数。
  • 风险概率和影响评估：风险概率评估是特定风险发生的可能性，而风险影响评估是风险对一项或多项目标的潜在影响，如进度、成本、质量或绩效。风险评估可采用访谈或会议的形式，评估每个风险的概率水平及其对每项目标的影响级别。应采用风险管理计划中的概率和影响定义，来评估风险概率和影响。低概率和影响的风险将被列入风险登记册中的观察清单，以供未来监控。
  • 其他风险参数评估，可考虑如下风险特征
    • 紧迫性：为有效应对风险必须采取应对措施的时间段，时间段则紧迫性高
    • 临近性：多久后会影响项目目标，时间短说明临近性高
    • 潜伏期：风险发生到影响显现之间可能的时间段，时间短说明潜伏期短
    • 可管理性：风险责任人管理风险发生或影响的容易程度，如果容易管理，可管理性就高
    • 可控性：风险责任人能够控制风险后果的程度
    • 可检测性：对风险发生进行检测的容易程度
    • 连通性：风险与其他单个项目风险存在关联的程度大小
    • 战略影响力：风险对组织战略目标潜在的正面或负面影响
    • 密切度：风险别一名或多名干系人认为要紧的程度

• 数据表现

  • 概率影响矩阵：把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。基于风险的概率和影响，对风险进行优先级排序，以便未来进一步分析并制定应对措施。采用风险管理计划中定义的风险概率和影响定义，逐一对单个项目风险发生概率及对目标影响进行评估，基于得到的概率和影响组合，使用概率和影响矩阵，为单个项目风险分配优先级。根据定性的概率和影响评估，参考概率影响矩阵得到一个数值，用来优先级排序
  • 层级图：如果使用了两个以上的参数对风险进行分类，就不能使用概率和影响矩阵，而需要使用其他图形，如气泡图显示三维数据，把每个风险绘制成一个气泡，用x轴、y轴和气泡大小表示风险的3个参数。示例如下
    

• 风险分类：根据风险管理计划中规定的分类方法进行分类。对风险进行分类，有助于把注意力和精力集中到风险可能发生的最大的领域，或针对一组相关的风险制定通用的风险应对措施，从而更有效的开展风险应对。

• 人际关系与团队技能：引导，通过引导提高对单个项目风险定性分析的有效性。熟练的引导者可以帮助与会者专注于风险分析任务、准确遵循与技术相关的方法、就概率和影响评估达成共识、找到并克服偏见，以及解决任何可能出现的分歧。

输出说明

项目文件更新

• 假设日志：可能识别出新的假设和制约因素，或者现有的假设因素和制约因素被重新审查和修改
• 问题日志：记录发现的新问题或当前问题的变化
• 风险登记册：更新内容可能包括：风险概率和影响评估、优先级别或风险分值、风险责任人、风险紧迫性或风险类别等
• 风险报告：记录最重要的单个项目风险、所有已识别风险的优先级列表及简要的结论。

4、实施定量风险分析

实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。

作用：

• 量化整体项目风险最大可能性
• 提供额外的定量风险信息，以支持风险应对规划

数据流向图

并非所有项目都需要实施定量风险分析。项目管理计划会规定是否需要使用定量风险分析。定量分析适用于大型复杂项目，具有战略重要性的项目，合同要求进行定量分析的项目和主要干系人要求定量分析的项目。

能否开展稳健的定量分析取决于是否有单个项目风险和其他不确定性来源的高质量数据，以及与范围、进度和成本项目的扎实的项目基线。

定量风险分析通常需要专门的风险分析软件，以及编制和解释风险模式的专业知识，还需要额外时间和成本投入。

实施定量风险分析过程中，要使用被定性风险分析过程评估为对项目目标存在重大潜在影响的单个项目风险的信息。

输入说明

• 项目管理计划
  • 风险管理计划：确定是否需要定量风险分析，描述可用于分析的资源，以及预期的分析频率
  • 范围基准：提供了对单个项目风险的影响开展评估的起点
  • 进度基准：提供了对单个项目风险的影响开展评估的起点
  • 成本基准：提供了对单个项目风险的影响开展评估的起点
• 项目文件
  • 假设日志：建立模型分析分析制约因素的影响
  • 里程碑清单：项目的重要阶段决定着进度目标，把进度目标与定量进度风险分析的结果进行比较，以确定实现这些目标的置信水平
  • 进度预测：将预测结果与定量进度风险分析的结果进行比较，以确定实现预测目标相关的置信水平。
  • 资源需求：提供了变化性进行评估的起点
  • 估算依据：可能包括估算目的、分类、准确性、方法论和资料来源
  • 持续时间估算：提供了对进度变化性进行评估的起点
  • 成本估算：提供了成本变化性进行评估的起点
  • 成本预测：包括ETC、EAC、BAC和TCP（完工尚需绩效指数），把这些预测指标与定量成本风险分析的结果进行比较，以确定实现这些指标相关的置信水平
  • 风险登记册：记录了定量风险分析输入的单个风险的详细信息
  • 风险报告：描述了整个项目风险的来源，以及当前的整体项目风险状态
  • 进度预测
• 事业环境因素：如商业风险数据库或核对单等
• 组织过程资产：已完成的类似项目的信息

工具及技术说明

• 专家判断：征求专家意见；用适合项目环境的技术建立模型；识别最适用于所选建模技术的工具；解释定量风险分析的输出等
• 会议
• 数据收集：访谈，访谈者应营造信任和保密的访谈环境，以鼓励被访者提出诚实和无偏见的意见。
• 人际关系与团队技能：引导，风险研讨会上，配备一名熟练的引导者，有助于更好的收集输入数据。
• 不确定性表现方式：要开展定量风险分析，就需要建立能反映单个项目风险和其他不确定性来源的定量风险分析模型，并为之提供输入。如果活动持续时间、成本和资源等需求是不确定的，就可以在模型中用概率分布来表示其数值可能区间。概率分布有多重形式，常见的有三角分布、正态分布、对数正态分布、贝塔分布、均匀分布或离散分布，应谨慎选择概率分布形式
• 数据分析
  • 模拟：使用模型来模拟单个项目风险和其他不确定性来源的综合影响，以评估他们对项目目标的潜在影响。通常采用蒙特卡洛分析。。对成本风险进行蒙特卡洛分析时，使用成本估算作为模拟的输入；对进度风险进行蒙特卡洛分析时，使用进度网络图和持续时间估算作为模拟的输入。。开展定量成本和进度综合风险分析时，同时使用以上两种输入，输出就是定量风险分析模型。。1）用计算机软件数千次迭代运行定量风险分析模型，2）每次运行都随机选择输入值，3）运行的输出构成了项目可能结果的区间。。。4）典型输出包括：表示模拟得到特定结果的次数的直方图；表示获得等于或小于特定数值的结果的累积概率分布曲线（S曲线）。蒙特卡洛成本风险分析所得到的S曲线示例如下图：
    

定量进度风险分析中，还可以执行关键性分析，以确定风险模型的哪些活动对项目关键路径的影响最大，对风险模型中的每一项活动计算关键性指标，即全部模拟中，该活动出现在关键路径上的频率，通常以百分比表示。通过关键性分析，项目团队能够重点针对那些对项目整体进度绩效存在最大潜在影响的活动，进行规划风险应对措施了

• 敏感性分析：确定单个项目风险对项目结果的潜在影响。分析结果用龙卷风图表示，图中标出定量风险分析模型中的每项要素与其能影响的项目结果之间的关联系数，这些要素可包括单个项目风险、易变的项目活动；每个要素按关联强度降序排列，想成典型的龙卷风形状，如下图
  

• 决策树分析：在若干备选行动方案中选择一个最佳方案。决策树中，不同分支代表不同的决策或事件，即项目的备选路径，每个决策或事件都有相关的成本和单个项目风险。决策树分支的终点表示沿特定路径发展的最后结果，可以是负面或正面的结果。决策树分析中，通过计算每条分支的预期货币建筑，就可以选择出最有的路径。示例如下：
  

• 影响图：不确定条件下进行决策的图形辅助工具。表示一系列试图、结果和影响以及他们之间的关系和相互影响。如果因为存在单个项目风险而影响图中某些要素的不确定性，就在影响图中以区间和概率分布的形式表示这些要素，然后借助模拟技术（如蒙特卡洛）分析哪些要素对结果影响最大。

输出说明

项目文件更新：定量风险分析过程输出的项目文件是风险报告，更新风险报告可以反映定量风险分析的结果。具体如下：
1）对整体项目风险最大可能性的评估结果

• 项目成功的可能性：实现目标的概率
• 项目固有的变化性：可能的项目结果分布区间

2）项目详细概率分析的结果：定量风险分析的重要输出如S曲线、龙卷风图和关键性指标

• 所需的应急储备
• 对项目关键路径有最大影响的单个项目风险的清单
• 整体项目风险的主要驱动因素

3）单个项目风险优先级清单，根据敏感性分析结果，列出对项目造成最大威胁或产生最大机会的单个项目风险

4）定量风险分析结果的趋势：不同时间重复开展定量风险分析，梳理发展趋势，可能影响风险应对措施的规划

5）风险应对建议：根据定量风险分析结果，针对整体风险最大可能性或单个风险提出应对建议，作为规划应对过程的输入

5、规划风险应对

规划风险应对措施是为了应对项目风险，而制定可选方案、选择应对策略并商定应对行动的过程。

主要作用：

• 制定应对整体项目风险和单个项目风险的适当方法
• 分配资源，并根据需要将相关活动添加进项目文件和项目管理计划中

有效和适当的风险应对可以最小化威胁、最大化机会，并降低风险发生的可能性。

风险应对方案应该与风险的重要性相匹配，并且能够经济有效地应对挑战，同时在当前项目背景下切实可行，获得全体干系人同意，并由一名责任人具体负责。往往需要从几套可选方案中选出最优的风险应对方案，可以采用结构化决策技术来选择；也可能需要以数学模型或实际方案分析为基础，进行备选风险应对策略经济分析。

需要识别次生风险，即实施风险应对措施直接导致的风险。

数据流向图

输入说明

• 项目管理计划
  • 资源管理计划：协调风险应对所需的资源
  • 风险管理计划：风险角色和职责、风险临界值
  • 成本基准：拟用于风险应对的应急资金的信息
• 项目文件
  • 干系人登记册
  • 风险登记册：已识别并排序的单个项目风险的详细信息
  • 风险报告：最大可能风险的级别，影响风险策略的选择。
  • 资源日历：潜在资源何时可用于风险应对
  • 项目团队派工单：可用于风险应对的人力资源
  • 项目进度计划：如何规划风险应对活动
  • 经验教训登记册：查看早期的风险应对的经验教训，是否可用于后期
• 事业环境因素：干系人风险偏好和风险林接着
• 组织过程资产：风险管理计划、风险报告的模板；历史数据库；历史类似项目的经验教训知识库等；

工具及技术说明

• 专家判断：就具体单个项目风险向特定主题专家征求意见等

• 数据收集：访谈，风险应对措施可以在与风险责任人进行结构化访谈中制定

• 人际关系与团队技能：引导。开展引导能够提高项目风险应对策略制定的有效性。熟练的引导者可以帮助风险责任人理解风险、识别并比较备选风险应对策略，选择适当的应对策略，并克服偏见，

• 威胁应对策略

  • 上报：不在项目范围内，或超出了项目经理的权限
  • 规避：消除威胁原因、延长进度计划、改变项目策略或缩小范围
  • 转移：转移给第三方，如买保险、担保书等
  • 减轻：如系统加入冗余组件
  • 接受：如预留时间、资和资源应对出现的威胁

• 机会应对策略：

  • 上报：不在项目范围内，或超出了项目经理的权限
  • 开拓：如果组织向确保把握住高优先级的机会，就可以选择开拓策略。此策略将特定机会的出现概率提高到100%，确保其肯定出现。开拓策略可能包括把组织中最有能力的资源分配给项目来缩短工期；或采用全新技术来节约项目成本并缩短持续时间
  • 分享：将应对机会的责任转移给第三方，使其享有机会所带来的部分收益。如建立合伙关系、合作团队、特殊公司和合资企业分享机会
  • 提高：用于提高机会出现的概率和影响。措施包括为早日完成活动而增加资源。
  • 接受：承认机会的存在，此策略可用于低优先级机会，分为主动接受策略和被动接受策略。主动接受策略包括建立应急储备；被动接受不会主动采取行动，只是定期进行审查，确保未发生重大改变。

• 应急应对策略：特定事件发生才采取的应对措施。如未实现中间的里程碑，或获得卖方更高程度的重视。采用此技术制定的风险应对计划通常为应急计划。

• 整体项目风险应对策略：风险应对措施的规划和实施不应只针对单个项目风险，还应针对整体的项目风险。

  • 规避：严重负面影响，超出商定的风险临界值时采用；如取消范围中的高风险工作
  • 开拓：显著正面影响，已超出商定的风险临界值时采用。如范围中增加高效益工作，以提高干系人价值或效益；或者修改风险临界值，以便将机会包含在内
  • 转移或分享：整体风险级别高，组织无法有效应对。如分包工作
  • 减轻或提高：减轻适用负面整体风险，提高适用正面整体风险。一般包括重新规划项目、改变项目范围和边界、调整项目优先级、改变资源配置、调整交付时间等
  • 接受：整体项目风险已超出商定的临界值，无法采取主动应对策略。分为主动接受和被动接受，主动接受策略包括建立应急储备；被动策略不会主动采取行动，只做定期审查，确保不发生重大改变

• 数据分析

  • 备选方案分析
  • 成本效益分析：把应对策略将导致的风险影响级别变更除以策略的实施成本得到的比率，代表了成本有效性

• 决策：多标准决策分析，风险应对策略的选择标准主要包括

  • 应对成本
  • 应对策略在改变概率和影响方面的预计有效性
  • 资源可用性
  • 时间限制
  • 风险发生的影响级别
  • 应对措施对相关风险的作用
  • 导致的次生风险

输出说明

• 变更请求：成本基准、进度基准或其他项目管理计划组件更新
• 项目管理计划更新
  • 进度管理计划：资源负荷和资源平衡变更、进度策略更新等
  • 成本管理计划：成本会计、跟踪和报告变更
  • 质量管理计划：满足需求的方法、质量管理方法和质量控制过程的变更
  • 资源管理计划：资源策略更新
  • 采购管理计划：自制外购、合同类型变更等
  • 范围基准：若范围变更获得批准
  • 进度基准：若进度变更获得批准
  • 成本基准：若成本变更获得批准
• 项目文件更新
  • 假设日志
  • 成本预测
  • 经验教训登记册
  • 项目进度计划
  • 项目团队派工单
  • 风险登记册：商定的应对策略；实施所选应对策略需要的具体行动；风险发生处罚条件；应急计划启动的风险触发条件；回退计划；采取应对措施之后扔存在的残余风险；实施应对措施产生的次生风险
  • 风险报告：更新当前整体项目高优先级风险的经商定的应对措施，以及实施之后的预期变化。

6、实施风险应对

实施风险应对是执行商定的风险应对计划的过程。

主要作用：

• 确保按计划执行商定的风险应对措施
• 管理整体项目风险入口、最小化单个项目威胁，最大化单个项目机会

数据流向图

输入说明

• 项目管理计划：风险管理计划
• 项目文件
  • 经验教训登记册
  • 风险登记册：记录了每个风险的应对措施，并制定责任人
  • 风险报告：整体项目风险入口的评估，以及商定的风险应对策略，还会描述重要的单个项目风险及其应对计划
• 组织过程资产：类似项目的经验教训知识库

工具及技术说明

• 专家判断：决定如何以最有效率和最有效果的方式加以实施，应征求专家意见
• 人际关系与团队技能：影响力，有些应对措施可能有项目团队以外的人员执行，或存在竞争性需求的人员执行，此时需要施展影响力，鼓励风险责任人采取所需的行动
• 项目管理信息系统：可能包括进度、资源和成本软件，用于把商定的风险应对计划及其相关活动，连同其他项目活动，一并纳入整个项目

输出说明

• 变更请求
• 项目文件更新
  • 经验教训登记册：记录实施风险应对遇到的挑战，以及有效方式
  • 问题日志：识别的新问题记录
  • 项目团队派工单：一旦商定风险应对策略，应为应对措施分配必要的资源，包括具有资质和经验的人员
  • 风险登记册：本过程导致的已确定应对措施的任何变更
  • 风险报告：本过程导致的已确定应对措施的任何变更

7、风险监督

监督风险应对计划的实施，并跟踪已识别风险、识别和分析新风险，以评估风险管理有效性的过程。

主要作用：保证项目决策是在整体项目风险和单个项目风险当前信息的基础上进行。

确保项目团队和关键干系人了解当前的风险级别。

监督风险过程采用项目执行期间生成的绩效信息，以确定：

• 实施的风险应对是否有效
• 整体项目风险级别是否已改变
• 已识别单个项目风险的状态是否已改变
• 是否出现新的单个项目风险
• 风险管理方法是否依然适用
• 项目假设条件是否扔仍然成立
• 风险管理政策和程序是否已得到遵守
• 成本或进度应急储备是否需要修改
• 项目测量是否仍然有效等

数据流向图

输入说明

• 项目管理计划：风险管理计划，应如何及时审查风险，应遵守哪些政策和程序
• 项目文件
  • 问题日志：检查未决问题是否更新，并对风险登记册进行必要更新
  • 经验教训登记册：早期获得的与风险相关的经验教训可用于后期阶段
  • 风险登记册：单个项目风险详情
  • 风险报告：整体项目风险入口的评估，以及商定的应对策略。
• 工作绩效信息
• 工作绩效报告

工具及技术说明

• 数据分析
  • 技术绩效分析：定义关于技术绩效的客观的、量化的测量指标，以便据此比较实际结果与计划要求。可以包括处理时间、缺陷数量和储存容量等。实际偏离计划程度可代表威胁或机会的潜在影响
  • 储备分析：指在项目的任一时点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理。可以采用燃尽图显示应急储备的消耗情况。
• 审计：风险审计是一种审计类型，用于评估风险管理过程的有效性。项目经理负责确保按项目风险管理计划所规定的频率开展风险审计。可在日常项目审查会和风险审查会上开展，也可以召开专门的风险审计会。实施审计前，应明确定义风险审计的程序和目标。
• 会议：风险审查会，定期安排审查，记录风险应对在处理整体项目风险和已识别单个项目风险方面的有效性。审查过程还可能识别出新风险、重新评估当前风险、关闭已过时风险、讨论风险发生所引发的问题，以及及时总结经验教训。。

输出说明

• 工作绩效信息：关于风险管理执行绩效的信息，可以说明风险应对规划和应对实施过程的有效性。
• 变更请求：监督风险过程可能会就成本基准和进度基准或项目管理计划子计划提出变更请求，通过整体变更控制进行审查和处理。。。变更请求包括建议的纠正与预防措施
• 项目管理计划更新：项目管理计划的任何子计划都可能受本过程影响
• 项目文件更新
  • 假设日志：做出新的假设，识别新的制约因素，或对现有假设重新审查修改
  • 问题日志：新问题记录
  • 经验教训登记册：记录风险审查期间得到的任何与风险相关的经验教训，以便用于后期阶段或未来项目
  • 风险登记册：可能添加新风险，更新已过时风险或已发送风险，以及更新风险应对策略
  • 风险报告：反映单个项目风险状态，以及整体项目风险级别。。。收录风险审计给出的关于风险管理过程有效性的结论
• 组织过程资产更新：风险管理计划、风险登记册和风险报告模版，风险分解结构

风险管理示例

主要风险清单

说明（个人理解）：本周指本周对应风险个数，上周指上周对应风险个数，周数指第几周识别到的风险

单个风险应对计划示例（5W2H）