项目管理/PMBOK/风险管理

风险管理的目标是提高正面风险的影响和可能性，并降低负面风险的影响和可能性。关键点不仅在于避免失败，还在于创造机会。时间和精力可以花在避免、转移给第三方和减轻潜在失败上。它们同样可以花在接受、与第三方分享和增强机会上。风险管理的任务是确定应该投入多少时间和精力来避免失败和促进机会。

风险管理在PMBOK理论中包括六个主要过程^[1]。这些是风险管理规划、风险识别、定性风险分析、定量风险分析、风险应对计划和风险监控与控制。

在风险管理规划过程中，确定如何执行项目的风险管理活动。风险管理的程度需要与整个项目的风险和重要性相一致。这样，资源就可以在这个阶段得到合理的分配。

风险规划通常是规划阶段最后一个完成的项目管理过程，因为需要总体计划和范围才能找出风险管理任务的分配位置。

PMBOK模型中包含四个输入^[2]。企业环境因素包括组织制定的态度和政策，这些政策确定了被认为可以接受的风险水平和容忍度。组织过程资产是组织制定的可能的预定义风险管理方法。这些可能包括模板、角色、授权级别、风险类别和定义。最后两个输入是范围说明书（来自项目范围管理）和项目管理计划（来自项目整合管理）。

项目团队召开会议，制定整个项目风险管理的基本计划。这些包括预算成本、计划时间、分配的责任和已建立的风险模板。建立风险模板包括定制风险类别和定义，以组织风险级别、概率和影响。

风险管理规划过程的输出包括方法、角色和责任、预算、进度、风险类别（可能包括风险分解结构）、风险概率风险影响的定义（这些可以是数字的或相对的“非常不可能”）、概率和影响矩阵、修改后的利益相关者容忍度、任何报告的格式以及项目风险管理方面的跟踪方式的文档。

风险规划的目标是确定如何对项目进行整体风险管理。在这个过程中，应该确定投入的时间、角色和责任以及报告的模板格式。完成初步工作后，就可以识别、分析和调整风险。

风险识别有助于尽可能避免风险，以及在必要时对其进行控制。如果您不知道从哪里开始，一种可能性是关注已知和可预测的风险，例如：产品规模、业务影响、流程定义、开发环境、待构建的技术以及人员规模和经验。

在确定项目风险时，有一些策略或技术。最简单的策略是基于情景的策略。该策略涉及使用创造性的头脑风暴想法，在项目的范围内提出正面和负面风险。

基于情景的策略的一个例子是：“如果我们超过了时间规划阶段预算的时间限制会发生什么？”

确定项目中正面和负面风险的第二种策略是相关经验策略。在这里，风险是通过关联过去的项目和经验并调整它们以适合当前项目的范围来确定的。

相关经验策略的一个例子是，假设在您的项目中，团队成员不可用存在问题。如果这种情况再次发生会怎样？

项目管理中还存在第三种确定风险的策略。这被称为基于目标的情景。该策略遵循与情景策略和关联过去经验策略相同的想法，但不是编造情景或使用过去经验，而是根据项目的目标和预期成果来确定风险。这种策略最适合于寻找项目中的正面风险，而不是负面风险。

完成风险管理需要一些工具，从上面提到的三种策略开始。最大的工具是计算风险等级的公式。风险管理可以然后以专业的方式格式化为专业报告，以便提交给客户。

定性风险评估依赖于判断和经验。新项目经理应该从组织的知识管理系统（提示，提示）中寻找经验教训，或者向经验丰富的项目经理征求意见。您可以通过向自己或参与项目的头脑风暴团队提出理论性问题来引导对潜在风险的思考，例如

• 如果山姆离开或生病会发生什么 - 假设山姆是一位拥有独特技能的关键贡献者？
• 所有关于平台、语言和流程方法的重要决策是否已经做出？
• 所有利益相关者是否理解并同意项目目标？
• 如果分包商X失败怎么办？
• 成本和进度是否考虑了新员工或新技术的学习曲线？
• 进度依赖关系 - 请参阅“如何创建和使用预测性项目进度安排” - 是否显示任何任务，如果失败会导致整个工作失败？

风险管理的最后一种策略是用于确定风险等级的便捷公式。该公式需要两个变量，一个用于风险发生的可能性，另一个用于风险发生时的影响。您可以对这些变量进行评级，例如，满分 5 星。然后，该公式要求将第一个变量添加到第二个变量，然后除以可能的总星数，即 10 星。一旦所有风险都得到了该计算的答案，这些风险就会按其答案从高到低排序。

一旦风险被创建，就必须按照从最重要到最不重要的顺序进行排序。确定风险等级的一种方法是使用简单的数学公式。在按从高到低的顺序对风险进行排序后，必须为风险制定处理或规避策略。风险规划的最后一步至关重要，因为如果将来项目发生风险，团队将已经知道如何解决风险或阻止风险发生。

项目经理会集思广益并收集所有正面和负面风险。需要注意的是，此风险清单并非所有可能发生的事件，而是可能发生事件的类别。例如，考虑建造房屋的项目。要考虑的风险包括进度缓慢、材料不足、资金不足、计划变更。并非是跑不出木材或房屋着火。风险规划的目的是制定如何应对某种类型风险的计划，而不是找出所有可能的风险。因此，当风险实现并成为问题时，团队会知道评估和应对的步骤。然后将这些风险输入报告，并附上每个风险的可能性、影响和等级。

风险管理的最后输入将是针对每个风险的控制/处理计划，以防风险在项目时间线上发生。风险监控和控制流程是对风险进行诊断并制定处理和控制计划。团队还检查范围项以确保它们不受负面风险的影响。

在确定并对项目的所有正面和负面风险进行排序后，团队可以参考并熟悉所有风险或仅熟悉排名最高的风险，以防止这些风险在项目生命周期内发生。如果风险发生，团队将知道如何根据风险管理文档中概述的处理计划进行应对。风险规划不当是项目失败的主要因素。它是PMBOK理论中容易被忽视的部分。

1. ^ PMBOK，第 237 页。
2. ^ PMBOK，第 242 页。
3. ^ PMBOK，第 202 页。