系统集成项目管理工程师教程精品全集

小说推荐《系统集成项目管理工程师教程》是作者“全国计算机与软件专业技术资格”诚意出品的一部燃情之作，全国计算机与软件专业技术资格全国计算机与软件专业技术资格两位主角之间故事值得细细品读，主要讲述的是：综上所述，风险一词包括了两方面的内涵：一是风险意味着出现了损失，或者是未实现预期的目标；二是指这种损失出现与否是一种不确定性随机现象，可以用概率表示出现的可能程度，但不能对出现与否作出确定性判断。2.风险的特征通过对风险含义的分析，可以概括出风险的以下特征。（1）风险是损失或损害。（2）风险是一种不...

第22章

项目风险管理

在项目管理中，任何活动都不可避免地存在不确定性，因而也就存在着各种各样的风险。所以，项目管理的理论研究和社会实践者们甚至认为：项目管理其实就是风险管理，项目经理的目标和任务就是与各种各样的风险做斗争。

18.1 风险和风险管理

18.1.1 风险的含义及其特征

1.风险的含义

风险（Risk）一词，我们在日常生活中经常谈论，但要从理论角度对风险下一个科学的定义并不容易。风险一词在字典中的解释是“损失或伤害的可能性”或“可能发生的危险”，通常人们对风险的理解是“可能发生的问题”。但不同的学者有不同的观点：

以研究风险问题著称的美国学者A.H.威雷特认为：“风险是关于不愿发生的事件发生的不确定性之客观体现。”

美国经济学家F.H.奈特认为：“风险是可测定的不确定性。”

台湾地区学者郭明哲认为：“风险是指决策面临的状态为不确定性产生的结果”。

比较经典的风险定义是美国人韦氏（Webster）给出的“风险是遭受损失的一种可能性。”

还有的观点认为“风险指损失发生的确定性（或称可能性），它是不利事件发生的概率及其后果的函数。风险是人们因对未来行为的决策及客观条件不确定而可能引起的后果与预定结果发生多种负偏离的综合”。

综上所述，风险一词包括了两方面的内涵：一是风险意味着出现了损失，或者是未实现预期的目标；二是指这种损失出现与否是一种不确定性随机现象，可以用概率表示出现的可能程度，但不能对出现与否作出确定性判断。

2.风险的特征

通过对风险含义的分析，可以概括出风险的以下特征。

（1）风险是损失或损害。

（2）风险是一种不确定性。

（3）风险是针对未来的。

（4）风险是客观存在，不以人的意志为转移的，风险的度量不涉及决策人的主观效用和时间偏好。

（5）风险是相对的，尽管风险是客观存在的，但它却依赖于决策目标，同一方案不同的决策目标会带来不同的风险。

（6）风险是预期和后果之间的差异，是实际后果偏离预期结果的可能性。

3.风险的影响

项目风险是一种不确定事件或状况，一旦发生，会对至少一个项目目标（例如时间、费用、范围或质量目标）产生积极或消极影响。风险的起因可能是一种或多种，风险一旦发生，会产生一项或多项影响。例如，原因之一可能是项目需要申请环境许可证，或者是分配给项目的设计人员有限。而风险事件则是许可证颁发机构颁发许可证需要的时间比原计划长，或者所分配的设计人员不足以完成任务。这两个不确定事件无论发生哪一个，都会对项目的成本、进度或者绩效产生影响。风险状况则可包括项目环境或组织环境中可能促成项目风险的各个方面，例如，项目管理方式欠佳、缺乏整合的管理系统、并行开展多个项目或者过分依赖无法控制的外单位参与者。

18.1.2 风险管理的含义

风险普遍存在，对企业或项目影响很大，加强风险管理格外重要，但在大多数人的眼中，风险是一种偶然性，在风险事件发生以前难以验证，而且风险管理还是一种消极性努力，由此人们对风险的管理往往持消极的态度。因此，风险管理首先要解决态度问题，充分认识风险管理的重要作用。

风险管理起源于第一次世界大战中战败的德国，德国较早建立了风险管理的系统理论，20世纪50年代起，一些公司发生的重大损失使高层决策者认识到了风险管理的重要性。至20世纪60年代初，美国的风险管理研究逐步趋向系统化、专业化，发展成为管理领域中一门独立的学科专业。项目风险管理是一种综合性的管理活动，其理论和实践涉及自然科学、社会科学、工程技术和系统科学等多种学科。

随着经济的全球化和社会活动的大型化，各行业正面对着高不确定性的环境条件，面临着不同层面的风险，风险管理已成为当今社会的热门话题。

所谓风险管理，就是要在风险成为影响项目成功的威胁之前，识别、着手处理并消除风险的源头。项目风险管理就是项目管理班子通过风险识别、风险估计和风险评价，并以此为基础合理地使用多种管理方法、技术和手段对项目活动涉及的风险实行有效的控制，采取主动行动，创造条件，尽量扩大风险事件的有利结果，妥善地处理风险事故造成的不利后果，以最少的成本保证安全、可靠地实现项目的总目标。简单地说，项目风险管理就是指对项目风险从识别到分析、评价乃至采取应对措施等一系列过程，它包括将积极因素所产生的影响最大化和使消极因素产生的影响最小化两方面的内容。

随着科学技术和社会生产力的迅猛发展，项目的规模化以及技术和组织管理的复杂化突出了项目管理的复杂性和艰巨性。作为项目管理的重要一环，项目风险管理对保证项目实施的成功具有重要的作用和意义。

（1）项目风险管理能促进项目实施决策的科学化、合理化，降低决策的风险水平。

（2）项目风险管理能为项目组织提供安全的经营环境。

（3）项目风险管理能够保障项目组织经营目标的顺利实现。

（4）项目风险管理能促进项目组织经营效益的提高。

（5）项目风险管理有利于资源分配达到最佳组合，有利于提高全社会的资金使用效益。

（6）项目风险管理有利于社会的稳定发展。

（7）项目的风险来源、风险的形成过程、风险潜在的破坏机制、风险的影响范围及风险的破坏力错综复杂，单一的管理技术或单一的工程、技术、财务、组织、教育和程序措施都有局限性，都不能完全奏效。必须综合运用多种方法、手段和措施，才能以最少的成本将各种不利后果减少到最低程度。因此，项目风险管理是一种综合性的管理活动，其理论和实践涉及到自然科学、社会科学、工程技术、系统科学和管理科学等多种学科。项目风险管理在风险估计和风险评价中使用概率论、数理统计乃至随机过程的理论和方法。

18.1.3 风险管理的主要活动和流程

项目风险管理过程，一般由若干主要阶段组成，这些阶段不仅其间相互作用，而且与项目管理其他管理区域也互相影响，每个风险管理阶段的完成都可能需要项目风险管理人员的努力。

美国软件工程研究所（SEI）把风险管理的过程主要分成风险识别（Identify）、风险分析（Analyze）、风险计划（Plan）、风险跟踪（Track）、风险控制（Control）和风险管理沟通（Communicate）6个环节。

项目风险管理就是对项目寿命周期中可能遇到的风险进行预测、识别、评估、分析，并在此基础上有效地处置风险，以最低成本实现最大的安全保障。其中多数过程在整个项目期间都需要更新。项目风险管理的目标在于增加积极事件的概率和影响，降低消极事件的概率和影响。

项目风险管理过程包括如下内容。

（1）风险管理规划：决定如何进行、规划和实施项目风险管理活动。

（2）风险识别：判断哪些风险会影响项目，并以书面形式记录其特点。

（3）定性风险分析：对风险概率和影响进行评估和汇总，进而对风险进行排序，以便于随后的进一步分析或行动。

（4）定量风险分析：就识别的风险对项目总体目标的影响进行定量分析。

（5）应对计划编制：针对项目目标制订提高机会、降低威胁的方案和行动。

（6）风险监控：在整个项目生命周期中，跟踪已识别的风险、监测残余风险、识别新风险，实施风险应对计划，并对其有效性进行评估。

上述过程不仅彼此交互作用，而且还与其他知识领域的过程交互作用。根据项目需要，每个过程可能需要一人或多人或者几个团队一起工作。每个过程在每个项目中至少出现一次，并在项目一个或多个阶段（如果项目划分为阶段）中出现。虽然在本章中，过程被描述成界线泾渭分明的独立组成部分，但在实践中，它们却可能交迭和相互作用。风险管理过程是一个反复迭代的过程，其管理的过程如图18-1所示。

图18-1 项目风险管理过程流程图

18.2 制定风险管理计划

风险在人类的大多数活动中存在，并随时间的变化而变化，但风险是可以通过人类的活动来改变其形式和程度的，因而风险是可以管理的。制定风险管理计划就是为了实现对风险的管理而制定一份结构完备、内容全面且互相协调的风险管理策略文件，以尽可能消除风险或尽量降低风险危害。风险管理计划对于能否成功进行项目风险管理、完成项目目标至关重要。

18.2.1 风险管理计划的内容

风险管理计划描述如何安排与实施项目风险管理，它是项目管理计划的从属计划。

1.风险管理计划的基本内容

（1）方法论。确定实施项目风险管理可使用的方法、工具及数据来源。

（2）角色与职责。确定风险管理计划中每项活动的领导、支援与风险管理团队的成员组成。为这些角色分配人员并澄清其职责。

（3）预算。分配资源，并估算风险管理所需费用，将之纳入项目成本基线。

（4）计时法。确定在项目整个生命周期中实施风险管理过程的次数和频率，并确定应纳入项目进度计划的风险管理活动。

（5）风险分类。风险分类为确保系统地、持续一致地、有效地进行风险识别提供了基础，为风险管理工作提供了一个框架。组织可使用先前准备的典型风险分类。风险分解结构（Resources Breakdown Structure，RBS）是提供该框架的方法之一，如图18-2所示。不过该结构也可通过简单列明项目的各个方面表述出来。在风险识别过程中需对风险类别进行重新审核，较好的做法是在风险识别过程之前，先在风险管理规划过程中对风险类别进行审查。在将先前项目的风险类别应用到现行项目之前，可能需要对原有风险类别进行调整或扩展来适应当前情况。

图18-2 风险分解结构示例

（6）风险概率和影响的定义。为确保风险定性分析过程的质量和可信度，要求界定不同层次的风险概率和影响。在风险计划制定过程中，通用的风险概率水平和影响水平的界定将依据个别项目的具体情况进行调整，以便在风险定性分析过程应用。

可使用概率相对比例，例如，从“十分不可能”到“几乎确定”，或者也可分配某数值表示常规比例（例如0.1、0.3、0.5、0.7、0.9）。测定风险概率的另外一种方法是，描述与风险相关的项目状态（例如项目设计成熟度水平等）。

（7）概率和影响矩阵。根据风险可能对实现项目目标产生的潜在影响，进行风险优先排序。风险优先排序的典型方法是借用对照表或概率和影响矩阵形式。通常由组织界定哪些风险概率和影响组合是具有较高、中等或较低的重要性，据此可确定相应风险应对规划。在风险管理规划过程可以进行审查并根据具体项目进行调整。

（8）修改的利害关系者承受度。可在风险管理规划过程中对利害关系者的承受水平进行修订，以适用于具体项目。

（9）汇报格式。阐述风险登记单的内容和格式，以及所需的任何其他风险报告。界定如何对风险管理过程的成果进行记录、分析和沟通。

（10）跟踪。说明如何记录风险活动的各个方面，以便供当前项目使用，或满足未来需求或满足经验教训总结过程的需要。说明是否对风险管理过程进行审计、如何审计。

2.风险管理计划的其他内容

风险管理计划的其他内容包括角色和职责、风险分析定义、低风险、中等风险和高风险的风险限界值、进行项目风险管理所需的成本和时间。

很多项目除了编制风险管理计划之外，还有应急计划和应急储备。

（1）应急计划。是指当一项可能的风险事件实际发生时项目团队将采取的预先确定的措施。例如，当项目经理根据一个新的软件产品开发的实际进展情况，预计到该软件开发成果将不能及时集成到正在按合同进行的信息系统项目中时，他们就会启动应急计划，例如采用对现有版本的软件产品进行少量的必要更动的措施。

（2）应急储备。是指根据项目发起人的规定，如果项目范围或者质量发生变更，这一部分资金可以减少成本或进度风险。例如，如果由于员工对一些新技术的使用缺乏经验，而导致项目偏离轨迹，那么项目发起人可以从应急储备中拨出一部分资金，雇佣外部的顾问，为项目成员使用新技术提供培训和咨询。

18.2.2 制定风险管理计划的工具与技术

制定项目风险计划需要利用一些专门的技术和工具，如项目工作分解结构 WBS 和风险核对表技术、风险管理表格、风险数据库模式等。工作分解结构技术已在本书前面的章节介绍，下面仅就风险核对表法、风险管理表格和风险数据库模式作简单介绍。

（1）风险核对表法。

核对表是基于以前类比项目信息及其他相关信息编制的风险识别核对图表。核对表一般按照风险来源排列。利用核对表进行风险识别的主要优点是快而简单，缺点是受到项目可比性的限制。

人们考虑问题有联想习惯。在过去经验的启示下，思想常常变得很活跃，浮想联翩。风险识别实际是关于将来风险事件的设想，是一种预测。如果把人们经历过的风险事件及其来源罗列出来，写成一张核对表，那么，项目管理人员看了就容易开阔思路，容易想到本项目会有哪些潜在的风险。核对表可以包含多种内容，例如以前项目成功或失败的原因、项目其他方面规划的结果（范围、成本、质量、进度、采购与合同、人力资源与沟通等计划成果）、项目产品或服务的说明书、项目班子成员的技能及项目可用资源等。还可以到保险公司去索取资料，认真研究其中的保险例外，这些东西能够提醒还有哪些风险尚未考虑到。

（2）风险管理表格。

风险管理表格记录着管理风险的基本信息。风险管理表格是一种系统地记录风险信息并跟踪到底的方式。

（3）风险数据库模式。

风险数据库表明了识别风险和相关的信息组织方式，它将风险信息组织起来供人们查询、跟踪状态、排序和产生报告。一个简单的电子表格可作为风险数据库的一种实现，因为它能自动完成排序、报告等。风险数据库的实际内容不是计划的一部分，因为风险是动态的，并随着时间的变化而改变。

18.2.3 制定风险管理计划的输入、输出

1.制定风险管理计划的输入

（1）企业环境因素。

组织及参与项目的人员的风险态度和风险承受度将影响项目管理计划。风险态度和承受度可通过政策说明书或行动反映出来。

（2）组织过程资产。

组织可能设有既定的风险管理方法，例如风险分类、概念和术语的通用定义、标准模板、角色和职责、决策授权水平。

（3）项目范围说明书。

（4）项目管理计划。

2.制定风险管理计划的输出

风险管理计划

18.3 风险识别

风险识别就是确定风险的来源、风险产生的条件、描述其风险特征和确定哪些风险事件有可能影响本项目，并将其特性记载成文的管理活动。

18.3.1 风险事件和风险识别含义

1.风险事故

风险事故是造成损失的直接或外在的原因，是损失的媒介物，即风险只有通过风险事故的发生才能导致损失。

就某一事件来说，如果它是造成损失的直接原因，那么它就是风险事故；而在其他条件下，如果它是造成损失的间接原因，它便成为风险因素。

风险识别是项目风险管理的基础和重要组成部分，通过风险识别，可以将那些可能给项目带来危害和机遇的风险因素识别出来，把风险管理的注意力集中到具体的项目上来。

2.项目风险识别的特点

（1）全员性。项目风险的识别不只是项目经理或项目组个别人的工作，而是项目组全体成员参与并共同完成的任务。因为每个项目组成员的工作都会有风险，每个项目组成员都有各自的项目经历和项目风险管理经验。

（2）系统性。项目风险无处不在，无时不有，决定了风险识别的系统性，即项目寿命期过程中的风险都属于风险识别的范围。

（3）动态性。风险识别并不是一次性的，在项目计划、实施甚至收尾阶段都要进行风险识别。根据项目内部条件、外部环境以及项目范围的变化情况，适时、定期进行项目风险识别是非常必要和重要的。因此，风险识别在项目开始、每个项目阶段中间、主要范围变更批准之前进行。它必须贯穿于项目全过程。

（4）信息依赖性。风险识别需要做许多基础性工作，其中重要的一项工作是收集相关的项目信息。信息的全面性、及时性、准确性和动态性决定了项目风险识别工作的质量和结果的可靠性与精确性，项目风险识别具有信息依赖性。

（5）综合性。风险识别是一项综合性较强的工作，除了在人员参与、信息收集和范围等方面具有综合性特点外，风险识别过程中还要综合应用各种风险识别的技术和工具。

3.风险识别的参与者

风险识别是一项反复过程。随着项目生命周期的推进，新风险可能会不断出现。风险识别反复的频率以及谁参与识别过程都会因项目而异。风险识别不是一次就可以完成的事，应当在项目的整个生命周期自始至终定期进行。参加风险识别的人员通常可包括项目经理、项目团队成员、风险管理团队（如有）、项目团队之外的相关领域专家、顾客、最终用户、项目相关干系人和风险管理专家。虽然上述人员是风险识别过程的关键参与者，但应鼓励所有项目人员参与风险的识别。值得特别强调的是，项目团队应自始至终全过程参与风险识别过程，以便针对风险及其应对措施的形成保持一种责任感。

18.3.2 用于风险识别的方法

1.分析识别的步骤

风险识别一般可分三步进行。

（1）收集资料。资料和数据能否到手、是否完整必然会影响项目风险损失的大小。能帮助我们识别风险的资料包括项目产品或服务的说明书；项目的前提、假设和制约因素；与本项目类似的案例。

（2）风险形势估计。风险形势估计是要明确项目的目标、战略、战术、实现项目目标的手段和资源以及项目的前提和假设，以正确确定项目及其环境的变数。

（3）根据直接或间接的症状将潜在的风险识别出来。

风险识别首先需要对制定的项目计划、项目假设条件和约束因素、与本项目具有可比性的已有项目的文档及其他信息进行综合汇审。风险的识别可以从原因查结果，也可以从结果反过来找原因。

2.风险识别的具体方法

在具体识别风险时，需要综合利用一些专门技术和工具，以保证高效率地识别风险并不发生遗漏，这些方法包括德尔菲法、头脑风暴法、检查表法、SWOT技术、检查表和图解技术等。现将方法简要介绍如下。

（1）德尔菲技术。

德尔菲技术是众多专家就某一专题达成一致意见的一种方法。项目风险管理专家以匿名方式参与此项活动。主持人用问卷征询有关重要项目风险的见解，问卷的答案交回并汇总后，随即在专家之中传阅，请他们进一步发表意见。此项过程进行若干轮之后，就不难得出关于主要项目风险的一致看法。德尔菲技术有助于减少数据中的偏倚，并防止任何个人对结果不适当地产生过大的影响。

（2）头脑风暴法。

头脑风暴法的目的是取得一份综合的风险清单。头脑风暴法通常由项目团队主持，虽然也可邀请多学科专家来实施此项技术。在一位主持人的推动下，与会人员就项目的风险进行集思广益。可以以风险类别作为基础框架，然后再对风险进行分门别类，并进一步对其定义加以明确。

（3）SWOT分析法。

SWOT 分析法是一种环境分析方法。所谓的 SWOT，是英文 Strength（优势）、Weakness（劣势）、Opportunity（机遇）和Threat（挑战）的简写。

SWOT分析一般分成如下5步。

① 列出项目的优势和劣势，可能的机会与威胁，填入道斯矩阵的I、II、III、IV区，如表18-1所示。

② 将内部优势与外部机会相组合，形成SO策略，制定抓住机会、发挥优势的战略，填入道斯矩阵的V区。

③ 将内部劣势与外部机会相组合，形成WO策略，制定利用机会克服弱点的战略，填入道斯矩阵VI区。

④ 将内部优势与外部威胁相组合，形成ST策略，制定利用优势减少威胁战略，填入道斯矩阵VII区。

⑤ 将内部劣势与外部挑战相组合，形成 WT 策略，制定弥补缺点、规避威胁的战略，填入道斯矩阵VIII区。

（4）检查表。

检查表（Checklist）是管理中用来记录和整理数据的常用工具，如表18-2所示。用它进行风险识别时，将项目可能发生的许多潜在风险列于一个表上，供识别人员进行检查核对，用来判别某项目是否存在表中所列或类似的风险。检查表中所列都是历史上类似项目曾发生过的风险，是项目风险管理经验的结晶，对项目管理人员具有开阔思路、启发联想、抛砖引玉的作用。一个成熟的项目公司或项目组织要掌握丰富的风险识别检查表工具。

（5）图解技术。

图解技术包括如下内容。

① 因果图。又被称作石川图或鱼骨图，用于识别风险的成因。

② 系统或过程流程图。显示系统的各要素之间如何相互联系以及因果传导机制。

③ 影响图。显示因果影响。

18.3.3 风险识别的输入、输出

1.风险识别的输入

（1）企业环境因素。

在风险识别过程中，可依据公布的信息，例如商业数据库、学术研究、基准参照或其他行业研究作用。

（2）组织过程资产。

可从先前项目的项目档案中获得相关信息，包括实际数据和经验教训。

（3）项目范围说明书。

通过项目范围说明书可查到项目假设条件信息。有关项目假设条件的不确定性，应作为项目风险的潜在成因进行评估。

（4）风险管理计划。

风险管理计划向风险识别过程提供的主要依据信息包括角色和职责的分配、预算和进度计划中纳入的风险管理活动因素、风险类别。风险类别有时可用风险分解结构形式表示。

（5）项目管理计划。

风险识别过程也要求对项目管理计划中的进度、成本和质量管理计划有所了解。应对其他知识领域过程的成果进行审查，以确定跨越整个项目的可能风险。

2.风险识别的输出

风险识别的输出是风险登记单。

风险识别过程的主要成果形成项目管理计划中风险登记单的最初记录。最终，风险登记单也将包括其他风险管理过程的成果。风险登记单的编制始于风险识别过程，其中记录的信息也可供其他项目管理过程和项目风险管理过程使用。所记录的主要信息如下。

（1）已识别风险清单。在此对已识别风险进行描述，包括其根本原因、不确定的项目假设等。风险可涉及任何主题和方面，例如关键路线上的几项重大活动具有很长的超前时间。港口的劳资争议将延迟交货，并将拖延施工期的完成。一项项目管理计划中假设由10人投入项目，但实际仅有6人参与。资源匮乏将影响完成工作所需的时间，同时相关活动将被拖延。

（2）潜在应对措施清单。在风险识别过程，可识别风险的潜在应对措施。如此确定的风险应对措施可作为风险应对规划过程的依据。

（3）风险基本原因。指可导致已识别风险的基本状态或事件。

（4）风险类别更新。在识别风险的过程中，可能会识别新的风险类别，进而将新风险类别纳入风险类别清单中。基于风险识别过程的成果，可对风险管理规划过程中形成的风险分解结构进行修改或完善。

18.4 定性风险分析

定性风险分析指通过考虑风险发生的概率，风险发生后对项目目标及其他因素（即费用、进度、范围和质量风险承受度水平）的影响，对已识别风险的优先级进行评估。

通过概率和影响级别定义以及专家访谈，可有助于纠正该过程所使用的数据中的偏差。相关风险行动的时间紧迫性可能会夸大风险的严重程度。对目前已掌握的项目风险信息的质量进行评估，有助于理解有关风险对项目重要性的评估结果。

18.4.1 定性风险分析的方法

定性风险分析的技术方法有风险概率与影响评估法、概率和影响矩阵、风险紧迫性评估等。

1.风险概率与影响评估

风险概率分析指调查每项具体风险发生的可能性。风险影响评估旨在分析风险对项目目标（如时间、费用、范围或质量）的潜在影响，既包括消极影响或威胁，也包括积极影响或机会。可通过挑选对风险类别熟悉的人员，采用召开会议或进行访谈等方式对风险进行评估。其中，包括项目团队成员和项目外部的专业人士。组织的历史数据库中关于风险方面的信息可能寥寥无几，此时，需要专家做出判断。由于参与者可能不具有风险评估方面的任何经验，因此需要由经验丰富的主持人引导讨论。

在访谈或会议期间，对每项风险的概率级别及其对每项目标的影响进行评估。其中，也需要记载相关的说明信息，包括确定概率和影响级别所依赖的假设条件等。根据风险管理计划中给定的定义，确定风险概率和影响的等级。有时，风险概率和影响明显很低，此种情况下，不会对之进行等级排序，而是作为待观察项目列入清单中，供将来进一步监测。

2.概率和影响矩阵

根据评定的风险概率和影响级别，对风险进行等级评定。通常采用参照表的形式或概率和影响矩阵（如表18-3所示）的形式，评估每项风险的重要性及其紧迫程度。概率和影响矩阵形式规定了各种风险概率和影响组合，并规定哪些组合被评定为高重要性、中重要性或低重要性。

对目标的影响（比率标度，如费用、时间或范围）每一风险按其发生概率及一旦发生所造成的影响评定级别。矩阵中所示组织规定的低风险、中等风险与高风险的临界值确定了风险的得分。

组织应确定哪种风险概率和影响的组合可被评定为高风险（红灯状态）、中等风险（黄灯状态）或低风险（绿灯状态）。在黑白两种色彩组成的矩阵中，这些不同的状态可分别用不同深度的灰色代表，如表18-3所示，深灰色（数值最大的区域）代表高风险，中度灰色区域（数值最小）代表低风险，而浅灰色区域（数值介于最大和最小值之间）代表中等程度风险。通常，由组织在项目开展之前提前界定风险等级评定程序。

风险分值可为风险应对措施提供指导。例如，如果风险发生会对项目目标产生不利影响（即威胁），并且处于矩阵高风险（深灰色）区域，可能就需要采取重点措施，并采取积极的应对策略。而对于处于低风险区域（中度灰色）的威胁，只需将之放入待观察风险清单或分配应急储备额外，不需采取任何其他立即直接管理措施。

同样，对于处于高风险（深灰色）区域的机会，最容易实现而且能够带来最大的利益，所以，应先以此为工作重点。对于低风险（中度灰色）区域的机会，应对之进行监测。

3.风险分类

可按照风险来源（使用风险分解矩阵）、受影响的项目区域（使用工作分解结构）或其他分类标准（例如项目阶段）对项目风险进行分类，以确定受不确定性影响最大的项目区域。根据共同的根本原因对风险进行分类，有助于制定有效的风险应对措施。

4.风险紧迫性评估

需要近期采取应对措施的风险可被视为亟需解决的风险。实施风险应对措施所需的时间、风险征兆、警告和风险等级都可作为确定风险优先级或紧迫性的指标。

18.4.2 定性风险分析的输入、输出

1.定性风险分析的输入

（1）组织过程资产。

在进行风险定性分析过程中，可借用先前项目的风险数据及经验教训知识库。

（2）项目范围说明书。

常见或反复性的项目对风险事件发生概率及其后果往往理解比较透彻。而采用最新技术或创新性技术的项目或者极其复杂的项目，其不确定性往往要大许多。可通过检查项目范围说明书对此进行评估。

（3）风险管理计划。

风险管理计划中用于风险定性分析的关键元素包括风险管理角色和职责、风险管理预算和进度活动、风险类别、概率和影响的定义以及概率和影响矩阵及相关干系人承受度。在风险管理规划过程中，通常按照项目具体情况对这些元素进行调整。如果这些元素不存在，可在风险定性分析过程中建立这些元素。

（4）风险登记单。

就风险定性分析而言，来自于风险登记单的一项关键依据是已识别风险的清单。

2.定性风险分析的输出

定性风险分析的输出是风险登记单（更新）。风险登记单是在风险识别过程中形成的，并根据风险定性分析的信息进行更新，将更新后的风险登记单纳入项目管理计划之中。依据风险定性分析对风险登记单进行更新的内容如下。

（1）项目风险的相对排序或优先度清单。可使用风险概率和影响矩阵，根据风险的重要程度进行分类。项目经理可参考风险优先度清单，集中精力处理高重要性的风险，以获得更好的项目成果。如果组织更关注其中一项目标，则可分别为成本、进度、范围和质量目标单独列出风险优先度。对于被评定为对项目十分重要的风险而言，应对其风险概率和影响的评定基础和依据进行描述。

（2）按照类别分类的风险。进行风险分类，可揭示风险的共同原因或特别需要关注的项目领域。在发现风险集中的领域之后，可提高风险应对的有效性。

（3）需要在近期采取应对措施的风险清单。需要采取紧急应对措施的风险和可在今后某些时候处理的风险应分入不同的类别。

（4）需要进一步分析与应对的风险清单。有些风险可能需要进一步分析，包括风险定量分析以及采取风险应对措施。

（5）低优先度风险观察清单。在风险定性分析过程中把评定为不重要的风险放入观察清单中，进行进一步监测。

（6）风险定性分析结果的趋势。在分析重复进行后，特定风险的分析结果可能出现某种明显趋势，从而使采取应对措施或者进一步进行分析变得比较紧迫或者比较重要。

18.5 定量风险分析

定量风险分析是指对定性风险分析过程中识别出的对项目需求存在潜在重大影响而排序在先的风险进行的量化分析，并就风险分配一个数值。风险定量分析是在不确定情况下进行决策的一种量化的方法。该项过程采用蒙特卡洛模拟与决策树分析等项技术，以便：

（1）对项目结果以及实现项目结果的概率进行量化。

（2）评估实现具体项目目标的概率。

（3）通过量化各项风险对项目总体风险的影响，确定需特别重视的风险。

（4）在考虑项目风险的情况下，确定可以实现的切合实际的成本、进度或范围目标。

（5）在某些条件或结果不确定时，确定最佳的项目管理决策。

18.5.1 数据收集和表示的方法及应用

1.期望货币值

期望货币值（EMV）是一个统计概念，用以计算在将来某种情况发生或不发生情况下的平均结果（即不确定状态下的分析）。机会的期望货币价值一般表示为正数，而风险的期望货币价值一般被表示为负数。每个可能结果的数值与其发生概率相乘之后加总，即得出期望货币价值。这种分析最通常的用途是用于决策树分析。决策树是对所考虑的决策以及采用这种或者那种现有方案可能产生的后果进行描述的一种图解方法（如图18-3所示）。它综合了每项可用选项的成本和概率以及每条事件逻辑路径的收益。当所有收益和后续决策全部量化之后，由决策树的求解过程可得出每项方案的预期货币价值（或组织关心的其他衡量指标）。

图18-3 决策树分析

2.计算分析因子

人们通常按照高、中、低来描述风险概率或者结果。为了量化风险的概率和后果，国防系统管理学院（美）开发了一项技术，用于计算风险因子——代表各种具体事件的整体风险的数字（基于其发生的概率和对项目造成的结果）。这项技术使用概率和影响矩阵显示风险发生的概率或可能性，以及风险的影响或结果。

3.计划评审技术

PERT是利用网络分析制定计划以及对计划予以评价的技术。它能协调整个计划的各道工序，合理安排人力、物力、时间和资金，加速计划的完成。PERT 网络是一种类似流程图的箭线图。它描绘出项目包含的各种活动的先后次序，标明每项活动的时间或相关的成本。对于PERT网络，项目管理者必须考虑要做哪些工作，确定时间之间的依赖关系，辨认出潜在的可能出问题的环节，借助PERT还可以方便地比较不同行动方案在进度和成本方面的效果。

PERT 首先是建立在网络计划基础之上的，其次是工程项目中各个工序的工作时间不肯定，过去通常对这种计划只是估计一个时间，到底完成任务的把握有多大，决策者心中无数，工作处于一种被动状态。在工程实践中，由于人们对事物的认识受到客观条件的制约，通常在PERT中引入概率计算方法，由于组成网络计划的各项工作可变因素多，不具备一定的时间消耗统计资料，因而不能确定出一个肯定的单一的时间值。

在PERT中，假设各项工作的持续时间服从β分布，近似地用三时估计法估算出三个时间值，即最短、最长和最可能持续时间，再加权平均算出一个期望值作为工作的持续时间。在编制PERT网络计划时，把风险因素引入到PERT中，人们不得不考虑按PERT网络计划在指定的工期下完成工程任务的可能性有多大，即计划的成功概率，也就是计划的可靠度，这就必须对工程计划进行风险估计。

在绘制网络图时必须将非肯定型转化为肯定型，把三时估计变为单一时间估计，其计算公式为：

式中 T——被估算工作的平均持续时间；

To——被估算工作最短持续时间（亦称乐观估计时间）；

Tp——被估算工作最长持续时间（亦称悲观估计时间）；

Tm——被估算工作正常持续时间，可由施工定额估算。

具体内容请参见8.5.2节。

4.蒙特卡罗（Monte Carlo）分析

也称为随机模拟法，其基本思路是首先建立一个概率模型或随机过程，使它的参数等于问题的解，然后通过对模型或过程的观察计算所求参数的统计特征，最后给出所求问题的近似值，解的精度可以用估计值的标准误差表示。其基本步骤如下。

（1）针对现实问题建立一个简单且便于实现的概率统计模型，使所求的解恰好是所建立模型的概率分布或其某个数字特征，例如是某个事件的概率或者是该模型的期望值。

（2）对模型中的随机变量建立抽样方法，在计算机上进行模拟试验，抽取足够的随机数，并对相关的事件进行统计。

（3）对模拟结果加以分析，给出所求解的估计及其方差的估计，必要时改进模型以提高估计精度和模拟计算的效率。

在这种模拟中，项目模型经过多次计算（叠加），其随机依据值来自于根据每项变量的概率分布，为每个迭加过程选择的概率分布函数（例如项目元素的费用或进度活动的持续时间），据此计算概率分布（例如总费用或完成日期）。对于成本风险分析，模拟可用传统的项目工作分解结构或成本分解结构作为模型。对于进度风险分析，可用优先顺序图法（PDM）进度。图18-4所示为成本风险模拟的结果。

图18-4 成本风险模拟结果

18.5.2 定量风险分析的输入、输出

1.定量风险分析的输入

定量风险分析的输入有如下5项。

（1）组织过程资产。

组织过程资产包括先前完成的类似项目的信息、风险专家对类似项目的研究以及行业或专有渠道获得的风险数据库。

（2）项目范围说明书。

（3）风险管理计划。

就风险定量分析而言，来自于风险管理计划的关键要素包括风险管理角色和职责、风险管理预算和进度活动、风险类别、风险分解结构和修改的利害关系者风险承受度。

（4）风险登记单。

就风险定量分析而言，来自于风险登记单的关键项目包括已识别风险列表、项目风险的相对排序或优先度表以及按照类别归类的风险。

（5）项目管理计划。

项目管理计划包括：

① 项目进度管理计划。项目进度管理计划为项目进度的制定和控制规定了格式和标准。

② 项目费用管理计划。项目费用管理计划为项目费用的规划、架构、估算、预算和控制规定了格式和标准。

2.定量风险分析的输出

定量风险分析的输出是风险登记单（更新）。风险登记单在风险识别过程中形成，并在风险定性分析过程中更新。在风险定量分析过程中会进一步更新。风险登记单是项目管理计划的组成部分。此处的更新内容主要包括：

（1）项目的概率分析。项目潜在进度与成本结果的预报，并列出可能的竣工日期或项目工期与成本及其可信度水平。该项成果（通常以累积分布表示）与利害关系者的风险承受度水平结合在一起，以对成本和时间应急储备金进行量化。需要把应急储备金将超出既定项目目标的风险降低到组织可接受的水平。

（2）实现成本和时间目标的概率。采用目前的计划以及目前对项目所面临的风险的了解，可用风险定量分析方法估算出实现项目目标的概率。

18.6 应对风险的基本措施（规避、接受、减轻、转移）

通过对项目风险识别、估计和评价，把项目风险发生的概率、损失严重程度以及其他因素综合起来考虑，可得出项目发生各种风险的可能性及其危害程序，再与公认的安全指标相比较，就可确定项目的危险等级，从而决定应采取什么样的措施以及控制措施应采取到什么程度。风险应对就是对项目风险提出处置意见和办法。

项目风险的应对包括对风险有利机会的跟踪和对风险不利影响的控制。因此，风险应对规划策略可分为以下三种。

1.消极风险或威胁的应对策略

通常，使用三种策略应对可能对项目目标存在消极影响的风险或威胁。这些策略分别是回避、转嫁与减轻。

（1）规避。

规避风险是指改变项目计划，以排除风险或条件，或者保护项目目标，使其不受影响，或对受到威胁的一些目标放松要求。例如，延长进度或减少范围等。但是，这是相对保守的风险对策，在回避风险的同时，也就彻底放弃了项目带给我们的各种收益和发展机会。

规避风险的另一个重要的策略是排除风险的起源，即利用分隔将风险源隔离于项目进行的路径之外。事先评估或筛选适合于本身能力的风险环境进入经营，包括细分市场的选择、供货商的筛选等，或选择放弃某项环境领域，以准确预见并有效防范完全消除风险的威胁。

我们经常听到的项目风险管理 20/80 规律告诉我们，项目所有风险中对项目产生80%威胁的只是其中的20%的风险，因此我们要集中力量去规避这20%的最危险的风险。

（2）转移。

转移风险是指设法将风险的后果连同应对的责任转移到他方身上。转移风险实际只是把风险损失的部分或全部以正当理由让他方承担，而并非将其拔除。对于金融风险而言，风险转移策略最有效。风险转移策略几乎总需要向风险承担者支付风险费用。转移工具丰富多样，包括但不限于利用保险、履约保证书、担保书和保证书。出售或外包将自己不擅长的或自己开展风险较大的一部分业务委托他人帮助开展，集中力量在自己的核心业务上，从而有效地转移了风险。同时，可以利用合同将具体风险的责任转移给另一方。在多数情况下，使用费用加以成合同可将费用风险转移给买方，如果项目的设计是稳定的，可以用固定总价合同把风险转移给卖方。有条件的企业可运用一些定量化的风险决策分析方法和工具，来精算优化保险方案。

（3）减轻。

减轻是指设法把不利的风险事件的概率或后果降低到一个可接受的临界值。提前采取行动减少风险发生的概率或者减少其对项目所造成的影响，比在风险发生后亡羊补牢进行的补救要有效得多。例如，采用不太复杂的工艺，实施更多的测试，或者选用比较稳定可靠的卖方都可减轻风险。它可能需要制作原型或者样机，以减少从试验室工作台模型放大到实际产品中所包含的风险。如果不可能降低风险的概率，则减轻风险的应对措施是应设法减轻风险的影响，其着眼于决定影响的严重程度的连接点上。例如，设计时在子系统中设置冗余组件有可能减轻原有组件故障所造成的影响。

2.接受

采取该策略的原因在于很少可以消除项目的所有风险。采取此项措施表明，已经决定不打算为处置某项风险而改变项目计划，无法找到任何其他应对良策的情况下，或者为应对风险而采取的对策所需要付出的代价太高（尤其是当该风险发生的概率很小时），往往采用“接受”这一措施。针对机会或威胁，均可采取该项策略。该策略可分为主动或被动方式。最常见的主动接受风险的方式就是建立应急储备，应对已知或潜在的未知威胁或机会。被动地接受风险则不要求采取任何行动，将其留给项目团队，待风险发生时视情况进行处理。

3.积极风险或机会的应对策略

通常，使用三种策略应对可能对项目目标存在积极影响的风险。这些策略分别是开拓、分享和提高。

（1）开拓。如果组织希望确保机会得以实现，可就具有积极影响的风险采取该策略。该项策略的目的在于通过确保机会肯定实现而消除与特定积极风险相关的不确定性。直接开拓措施包括为项目分配更多的有能力的资源，以便缩短完成时间或实现超过最初预期的高质量。

（2）分享。分享积极风险是指将风险的责任分配给最能为项目的利益获取机会的第三方，包括建立风险分享合作关系，或专门为机会管理目的的形成团队、特殊目的项目公司或合作合资企业。

（3）提高。该策略旨在通过提高积极风险的概率或其积极影响，识别并最大程度发挥这些积极风险的驱动因素，致力于改变机会的“大小”。通过促进或增强机会的成因，积极强化其触发条件，提高机会发生的概率，也可着重针对影响驱动因素以提高项目机会。

18.7 风险监控

当人们认识事物的存在、发生和发展的原因和规律时，事物就基本上是可控的。项目风险也是这样，通过项目风险的识别与度量，人们已识别出项目的绝大多数风险，只要能够在此基础上得到足够的有关项目风险的信息，就可以采取正确的项目风险应对措施，实现对项目风险的有效控制。风险控制就是为了改变项目管理组织所承受的风险程度，采取一定的风险处置措施，以最大限度地降低风险事故发生的概率和减小损失幅度的项目管理活动。

风险监控就是要跟踪风险，识别剩余风险和新出现的风险，修改风险管理计划，保证风险计划的实施，并评估消减风险的效果，从而保证风险管理能达到预期的目标，它是项目实施过程中的一项重要工作。

监控风险实际上是监视项目的进展和项目环境，即项目情况的变化。其目的是：核对风险管理策略和措施的实际效果是否与预见的相同；寻找机会发送和细化风险规避计划，获取反馈信息，以便将来的决策更符合实际。在风险监控过程中，及时发现那些新出现的以及预先制定的策略或措施不见效或性质随着时间的推延而发生变化的风险，然后及时反馈，并根据对项目的影响程度，重新进行风险规划、识别、估计、评价和应对，同时还应对每一风险事件制定成败标准和判据。

18.7.1 风险监控的目的和主要工作内容

1.风险监控的目的

风险监控的基本目的是以某种方式驾驭风险，保证项目可靠、高效地完成项目目标。由于项目风险具有复杂性、变动性、突发性和超前性等特点，风险监控应该围绕项目风险的基本问题，制定科学的风险监控标准，采用系统的管理方法，建立有效的风险预警系统，做好应急计划，实施高效的项目风险监控。

2.执行风险管理计划和风险管理流程

风险应对控制包括执行风险管理计划和风险管理流程，以应对风险事件。执行风险管理过程是指确保风险意识是一项在整个项目过程中，全部由项目团队成员执行的不间断的活动。项目风险管理并不会停留在最初的风险分析上，识别的风险也许并不真的发生。先前识别的风险，也可能被确定有更大的发生概率，或更高的损失估计值。

实施单独的风险管理计划包括根据规定的里程碑监督风险、制定风险决策与风险减轻策略。

3.采取应急措施

当风险有征兆时，采取制定好的应急活动。

4.采取权变措施

对风险事件未计划的风险事件会使用权变措施。

18.7.2 用于风险监控的技术、方法

1.系统的项目监控方法

风险监控技术方法可分为两大类：一类用于监控与项目、产品有关的风险；另一类用于监控与过程有关的风险。

风险监控，从过程的角度来看，处于项目风险管理流程的末端，但这并不意味着项目风险控制的领域仅此而已，风险控制应该面向项目风险管理全过程。项目预定目标的实现，是整个项目管理流程有机作用的结果，风险监控是其中一个重要环节。

风险监控应是一个连续的过程，它的任务是根据整个项目（风险）管理过程规定的衡量标准，全面跟踪并评价风险处理活动的执行情况。有效的风险监控工作可以指出风险处理活动有无不正常之处，哪些风险正在成为实际问题，掌握了这些情况，项目管理组就有充裕的时间采取纠正措施。建立一套项目监控指标系统，使之能以明确易懂的形式提供准确、及时而关系密切的项目风险信息，是进行风险监控的关键所在。

2.风险预警系统

由于项目的创新性、一次性、独特性及其复杂性，决定了项目风险的不可避免性；风险发生后的损失难以弥补性和工作的被动性决定了风险管理的重要性。传统的风险管理是一种“回溯性”管理，属于亡羊补牢，对于一些重大项目，往往于事无补。风险监控的意义就在于实现项目风险的有效管理，消除或控制项目风险的发生或避免造成不利后果。因此，建立有效的风险预警系统，对于风险的有效监控具有重要作用和意义。

风险预警管理，是指对于项目管理过程中有可能出现的风险，采取超前或预先防范的管理方式，一旦在监控过程中发现有发生风险的征兆，及时采取校正行动并发出预警信号，以最大限度地控制不利后果的发生。因此，项目风险管理的良好开端是建立一个有效的监控或预警系统，及时觉察计划的偏离，以高效地实施项目风险管理过程。

3.风险监控的具体方法

风险监控的具体方法如下。

（1）风险再评估。风险监控过程通常要求使用本章介绍的过程对新风险进行识别并对风险进行重新评估。应安排定期进行项目风险再评估。项目团队状态审查会的议程中应包括项目风险管理的内容。重复的内容和详细程度取决于项目相对于目标的进展情况。例如，如果出现了风险登记单未预期的风险或“观察清单”未包括的风险，或其对目标的影响与预期的影响不同，规划的应对措施可能将无济于事，则此时需要进行额外的风险应对规划以对风险进行控制。

（2）风险审计。风险审计在于检查并记录风险应对策略处理已识别风险及其根源的效力以及风险管理过程的效力。

（3）变差和趋势分析。应通过绩效信息对项目实施趋势进行审查。可通过实现价值分析和项目变差和趋势分析的其他分析方法，对项目总体绩效进行监控。分析的结果可以揭示项目完成时在成本与进度目标方面的潜在偏离。与基准计划的偏差可能表明威胁或机会的潜在影响。

（4）技术绩效衡量。技术绩效衡量将项目执行期间的技术成果与项目计划中的技术成果进度进行比较。如出现偏差，例如在某里程碑处未实现计划规定的功能，有可能意味着项目范围的实现存在风险。

（5）储备金分析。在项目实施过程中可能会发生一些对预算或进度应急储备金造成积极或消极影响的风险。储备金分析是指在项目的任何时点将剩余的储备金金额与剩余风险量进行比较，以确定剩余的储备金是否仍旧充足。

（6）状态审查会。项目风险管理可以是定期召开的项目状态审查会的一项议程。该议程项目所占用的会议时间可长可短，这取决于已识别的风险、风险优先度以及应对的难易程度。风险管理开展得越频繁，“状态审查会”方法的实施就越加容易。经常就风险进行讨论，可促使有关风险（特别是威胁）的讨论更加容易、更加准确。

综上所述，风险监控的关键在于培养敏锐的风险意识，建立科学的风险预警系统，从“救火式”风险监控向“消防式”风险监控发展，从“挽狂澜于既倒”向“防范于未然”发展。

小说《系统集成项目管理工程师教程》试读结束，继续阅读请看下面！！！