自学考试 项目风险管理规划

自学考试 项目风险管理规划

2.1 项目风险管理规划概述 2.1.1 项目管理风险规划的内涵（识记） 在较为早期的项目风险管理研究中，风险管理规划重点关注风险 控制环节，并没有把项目风险管理规划作为风险管理生命周期的起点。 近年来，随着风险管理理论与实践的逐步成熟，尤其是全面风险管理 理论的盛行，风险管理规划阶段已经提前至项目未启动或者项目启动 初期。项目风险管理规划是从全局的角度对风险管理过程（包括风险 识别、估计、评价、应对、监控等）进行的一个总体规划。 2.1.2 项目风险管理规划的目标和内容（识记） 目标：项目风险管理规划的目标是制定详细的项目风险管理行动 方案。 （1）明确项目风险管理的目标。 （2）确保风险管理的基本原则应用于项目风险管理全过程。 （3）对项目全生命周期或某阶段的风向管理工作进行整体策划，说 明要进行的管理过程和管理范围，包括项目风险应对过程需采取的风 险策略的应用对象和应用范围。 （4）明确项目风险的分类要求、等级标准、评价准则及评价范围。 （5）制定系统的、综合的、迭代的项目风险管理计划和资源计划。 （6）明确项目风险管理计划的实施办法，落实各级风险管理职责。 （7）规定风险管理文件和报告的编制要求，建立风险报告制度。 项目风险管理规划的内容： （1）风险管理策略是否正确、可行。 （2）实施的管理策略和手段是否符合总目标。 （3）项目风险管理过程的阶段有哪些。 （4）每个阶段的工作、任务、责任和结果是什么。 （5）谁来执行项目风险管理过程。 （6）有哪些技能要求。 （7）是否需要额外的培训。 （8）项目风险管理将会如何影响企业级的工作。 （9）项目团队将会使用哪类工具和方法。 （10）用什么工具来对项目风险进行分级和评估。 （11）项目风险应该如何分级。 （12）意外事件和风险计划应该怎样创建和执行。 （13）怎样将风险控制工作集成到整体项目计划中。 (14)团队成员将负责哪些工作来管理风险。 (15)团队和项目领导该如何交流风险状况。 （16）应该如何监控进展。 （17）使用哪类基础设施(数据库、工具、知识库)来支持项目风 险管理过程。 （18）项目风险管理的风险是什么。 （19）项目风险管理有哪些可用资源。 （20）在进度表中，哪些时间对实现风险管理是最重要的。 (21)是谁发起项目风险管理。 (22)项目风险管理的预算和资金来源。 2.1.3 规划的依据 1、项目管理计划；2、项目章程；3、干系人登记册；4、事业环 境因素：事业环境因素是指项目团队不能控制的，将对项目产生影响、 限制或指令作用的各种条件。能够影响规划风险管理过程的事业环境 因素包括（但不限于）组织的风险态度、临界值、承受力它们描述了 组织愿意并能够承受的风险程度。5、组织过程资产。 2.2 项目风险管理规划的程序 2.2.1 项目风险管理规划的前期准备 1.分析项目内外部环境 项目风险管理规划初期一项最重要的工作是分析项目的内外部环 境。 内部环境： (1)在资源和知识方面的能力。 (2)信息系统、信息流和决策过程。 (3)内部利益相关者。 (4)方针、目标、以及现有的实现目标的策略。 (5)认知、价值观和文化。 (6)组织采用的标准和参考模型。 (7)组织结构(如治理结构、任务和责任)。 外部环境 (1)国际的、国内的、地区的或当地的文化、政治、法律、法规、 金融、技术、经济、自然环境和竞争环境。 (2)影响到组织目标的关键推动因素和趋势。 (3)外部利益相关者的认知和价值观。 3.确定项目风险可接受准则 风险可接受性准则( risk acceptance criteria )是指在规定时 间内或系统某一行为阶段内项目可接受的风险等级，它是风险估计、 风险评价和制定风险应对措施的直接依据。项目的风险可接受准则的 确定，需要通过分析组织风险偏好与风险容忍度来确定。 风险偏好（可接受的风险的数量） 是指为了实现目标，组织或个体投资者在承担风险的种类、大小 等方面的基本态度。从广义上看，风险偏好是指组织或个人在实现其 目标过程中愿意接受的风险的数量。 风险厌恶者：选择资产的态度是当预期收益率相同时，偏好于具 有低风险的资产；而对于具有同样风险的资产，则钟情于具有高预期 收益率的资产。 风险喜好者：与风险规避者恰恰相反，风险喜好者通常主动追求 风险，喜欢收益的动荡胜于喜欢收益的稳定。他们选择资产的原则是： 当预期收益相同时，选择风险大的，因为这会给他们带来更大的效用。 风险中立者：通常既不规避风险，也不主动追求风险。他们选择 资产的唯一标准是预期收益的大小，而不管风险状况如何。 风险容忍度（可接受的程度） 也称风险忍耐度、风险胃口，是指在目标实现过程中对差异的可 接受程度，是组织在风险偏好的基础上设定的对相关目标实现过程中 所出现差异的可容忍限度。风险容忍度较大，说明组织承受风险能力 较强。在容忍度范围内的小风险可以采取通常应对措施。 a 激进的风险承担者 b.温和的风险承担者 c.保守的风险承担者 尽管风险容忍度与风险偏好有密切的联系，但是两者说明的是完 全不同的问题。风险容忍度说明的是风险承担者，尤其是作为风险厌 恶者的投资者对风险的忍耐程度，它实际上描述的是投资者对风险承 担的意愿和能力，本身并不直接说明对风险爱好或厌恶的程度，因为 决定投资者风险忍耐度的因素除了主观的风险偏好因素（投资者的风 险厌恶程度）以外，还有一些决定投资者风险承担能力的客观因素， 主要是资本金规模和管理风险的能力. 4.确定风险管理成本 风险管理成本是指在风险管理过程中发生的成本，是公司（项目） 经营成本的一部分。风险管理成本有两种分类方式。 (1)以风险为基点进行分类 a.预防成本: 指为了防止风险的发生，而在组织内部采取目标制 定、跟踪监督、事项识别和应对防范措施所花费的成本费用，以及因 此增加了控制和管理环节而降低了业务效率所造成的直接和间接损 失。 b.损失成本:风险发生后对组织带来的直接的、间接的、有形的、 无形的、经济的、社会的、短期的、长远的、现实的和潜在的经济损 失。 (2)以风险管理为基点进行分类 a.进入成本:指为建立风险管理的能力而付出的代价。这种成本主 要是为了技术、工具，以及训练而发生的。 b.维持成本: 为了有效维持组织风险管理的能力，保持风险程序 在最新状态而发生的成本。例如，增补训练以保持和发展员工的技巧。 c.评估成本: 在风险管理过程中对事项识别、风险评估发生的成 本，包括在风险识别讨论会或访谈中所消耗的时间与资源、执行风险 评估与分析、参加风险审查撰写风险报告等付出的代价 d.处置成本:涵盖执行风险管理计划的行动成本，这些行动原本不 在项目计划中，但被认为是必要的，以便切实地应付被辨识出的风险。 5.明确项目风险管理的战略和目标 项目风险管理目标就是在对比风险管理成本与收益的基础上，确 保风险成本的 最小化和价值（收益）最大化。 VS 风险管理的目标风险管理的目标就是要以最小的成本获得最 大的安全保障。 广义: 从广义的角度讲，风险管理组织是指风险主体为实现风险管理目 标而设置的内部管理层次及管理机构，包括有关风险管理组织结构、 组织活动及两者相互关系的规章度。 (2)狭义 从狭义的角度讲，风险管理组织主要是指实现风险管理目标的组 织结构，具体包括组织机构、管理体制和领导机构。本书中主要采用 狭义的风险管理组织定义。 6.明确项目风险管理组织 风险管理组织的特点 (1)集中性: 因为风险的利害关系影响着整个风险主体，所以风险 管理具有集中性。 (2)相对分散性:相对分散性则突出表现为在实行高度专业分工和 普通分权的情况下，风险主体范围内众多的风险都存在于组成风险主 体的各部门和环节。 项目成员的角色和责任 (1)高层项目中的高层管理者应该是风险管理坚定的领导者和一 切措施实施的决策者。 (2)中层: 中层管理者一般不直接领导风险管理，主要起“上情下 达”的作用。 （3）基层:基层人员是实际运行项目风险管理过程的主力军。 2.3 项目风险管理规划的理论(理解) 早期的项目风险管理研究中，管理规划重点关注风险控制方面。 主要有 Barry Boehm(巴利·玻姆)和 CRM(continuous risk management) 持续风险管理模型。随着全面项目管理理论的发展，风 险规划开始从全生命周期的角度统筹考虑，主要理论有 Riskit、IEEE、 CMMI、PMBOK 风险管理模型。 2.3.1Barry Boehm 风险管理模型 1988 年，巴利玻姆正式发表了软件系统开发的“螺旋模型”，它 将瀑布模型和快速原型模型结合起来，强调了其他模型所忽视的风险 分析，特别适用于大型复杂的系统。1991 年，Boehm 在其螺旋模型基 础上提出了一种风险管理模型，被称为 Barry Boehm 模型。 两个基本步骤： 风险评估：包括风险识别、风险分析和风险排序 风险控制：包括风险管理计划、风险应对和风险监控。 十大风险列表（Barry Boehm 风险管理模型的核心是维护和更新 十大风险列表） （1）人员短缺。 （2）不切实际的工期和预算。 （3）不合时宜的需求。 （4）开发了错误的软件功能。 （5）开发了错误的用户界面 （6）过高的非实质性能要求。 （7）接连不断的需求改变。 （8）可外购部件不足。 （9）外部已完成任务不及时。 （10）实时性能过低或计算机能力有限。 3、实施步骤三部分 （1）通过定义建立十个处理普遍风险最为有效的风险管理技 术。 （2）为每个风险项目制定一份风险管理计划。 （3）合并所有单份的风险管理计划，形成一个全局风险管理 规划。 2.3.2 持续风险管理模型（CRM） 1.两个逻辑部分： 风险评估：包括风险识别和风险分析 风险控制：包括风险计划、风险跟踪和风险应对。 2、五个步骤：风险识别、风险分析、风险跟踪、风险计划、风险 控制 2.3.3 Riskit 风险管理模型 1、七个步骤：（1）要求定义（2）目标审查（3）风险识别（4） 风险分析（5）风险控制计划（6）风险控制（7）风险监控 2、主要特点 （1）提供精确且明确的风险定义。 （2）对影响项目的目标、约束和其他驱动因素进行明确定义。 （3）采用图形化的工具 Riskit 分析图对风险建模，定性记录风 险。 （4）能够使用比率度量和顺序度量的风险级别信息来将风险排序。 （5）使用效率损失的概念对与风险相关的损失进行分级。 （6）专门针对不同的干系人观点具有明确的模型。 （7）具有可操作的定义和培训支持。 2.3.4 IEEE 风险管理模型 强调在项目生命周期内进行持续的风险管理，并强调对风险管理 过程的评估和改进.包括制定风险管理决策、计划风险管理、实施风 险管理、风险分析、评估风险五个步骤。 2.3.5 CMMI 风险管理模型 该模型也认为风险管理是一个持续的过程，而且认为风险管理是 商业和技术管理过程的重要部分。CMMI 风险管理模型提出了非常重 要的极限值的概念，通过极限值来决定是否可以接受、风险的优先级、 管理活动是否被触发等。包括风险管理准备、风险识别和分析、处理 已识别风险、制度化已定义的过程共四个步骤。 2.3.6 PMBOK 风险管理模型 美国项目管理协会自 1996 年出版 PMBOK 以来，分别于 2000 年、2004 年、2008 年和 2013 年进行 4 次修订，出版了 2/3/4/5 版。每一版都对风险管理模型进行完善和优化。 2.4 项目风险管理规划技术与方法(应用) 项目风险管理规划的技术与方法包括专家判断、风险规划会议、 工作分解结构、风险分解结构。 2.4.3 工作分解结构 工作分解结构（WBS）以可交付成果为导向的工作层级分解。 风险分解结构（RBS）是按风险类别和子类别来排列已识别的项目 风险的一种层级结构图，用来显示潜在风险的所属领域和产生原因。 RBS 是在 WBS 的基础上，专门针对项目在各层级的风险因素而进行归 纳的方法。 2.5 项目风险管理规划的结果 项目风险管理规划的交付物是项目风险管理战略性的和全生命周 期的指导性纲领，其重要交付物是项目风险管理计划。 项目风险管理计划：制定风险识别、风险分析、风险应对策略， 确定风险管理的职责，为项目的风险管理提供完整的行动纲领。它是 确定如何在项目中进行风险管理活动，以及制订项目风险管理计划的 过程 2.5.1 项目风险管理计划的内涵 项目风险管理计划主要是用来描述将如何安排与实施项目风险管 理，它是项目管理计划的子计划。这份计划应该描述以下内容： （1）如何识别风险；（2）如何对风险进行定性和定量分析；（3） 采取何种方式应对风险 （4）采取何种方式对风险进行监视和控制等；（5）规划相对充 足的可用资源 项目风险管理计划一般应包括以下内容： （1）方法论: 确定项目风险管理将使用的方法、工具及数据来源。 （2）角色与职责：确定项目风险管理计划中每项活动的领导者和 支持者，以及风险管理团队的成员，并明确其职责。 （3）预算: 预算主要是为了分配资源，估算风险管理所需的资金， 将其纳入成本绩效基准，并建立应急储备的使用方案。 （4）时间安排：确定在项目生命周期中实施风险管理过程的时间 和频率，建立进度应急储备的使用方案，确定应纳入项目进度计划的 风险管理活动。 （5）风险类别: 风险类别提供了一个框架，确保在同一细节水平 上全面、系统地识别各种风险，并提高识别风险过程的效果和质量。 （6）风险概率和影响的定义: 需要对风险的概率和影响划分层次， 来确保实施定性风险分析过程的质量和可信度。 （7）概率影响矩阵: 应该根据风险可能对项目目标产生的影响， 对风险进行优先排序。进行风险优先排序的典型方法是，使用查询表 或概率影响矩阵。 （8）修订的项目利益相关者风险容忍度:可在规划风险管理过程 中对项目利益相关者的风险容忍度进行修订，以适应具体项目的情况。 （9）报告格式: 包括风险登记册的内容和格式，以及所需的其他 风险报告的内容和格式，用于规定将如何对风险管理过程的结果进行 记录、分析和沟通。 （10）跟踪: 应该规定将如何记录风险活动。 2.5.2 项目风险管理计划的形成过程（理解） 步骤如下： （1）理解风险管理工作；（2）定义具体项目；（3）征求其他人 的意见；（4）分析风险事件；（5）移出无效；（6）列出已识别的 风险因素；（7）估计风险发生的概率；（8）估计风险产生的后果； （9）确定每一个因素的风险大小；（10）划分风险等级 （11）计算项目的总风险；（12）制定风险预防策略；（13）制订应 急计划（14）预防策略、应急计划有效性分析；（15）计算有效风险； （16）风险监控 2.5.3 项目风险管理计划模板（应用） 1、项目风险管理计划的目标 项目风险管理计划是一个控制文件，包含了目标、策略，以及对 项目进行风险管理的方法。项目风险管理计划描述了风险识别、风险 估计、风险评价和风险控制的全过程。制订本计划的目的是要确定如 果运用有限的成本进行风险管理的具体思路和方法。 2、项目风险管理的角色与任务分配 责任人 风险管理责任 角色分配 项目经理 项目经理负责项目风险管理计划的实施，并向项目发起人汇 报。具体任务如下：1)项目经理负责任命一名项目风险官， 并在项目的组织结构图中对其进行描述。2)项目经理和项目 管理团队的其他成员（列出具体姓名或角色）应该负责并审 核项目所有已识别风险的缓解状况（每两周跟踪风险具体状 况和处理建议等）。3)审査所有新增风险的评估情况 张三 项目风险官 项目风险官具体权利和义务如下：1)协调风险识别和分析活 动。2)维护项目风险清单。3)关注项目管理中新的风险事件。 4)向项目经理汇报风险解决状况 注：风险官一般情况下不能由项目经理担任 李四 获得风险管理 任务分配的项 目成员 项目风险官负责把每一个新识别的风险分配给项目成员， 该成员的权利和义务如下：1)负责评估风险及其发生的概 率，并把分析结果向项目风险官汇报。2)被分配任务的项目 成员负责按步骤执行风险缓解计划，并每两周向项目风险官 汇报一次 小红 小明 3、项目风险管理相关记录 （1）风险清单：把识别的风险因素和管理策略罗列在一个风险列 表中，描述风险因素所处的具体状态。风险评估得到的估计值最高的 前十个风险事件被称为项目风险清单的前十大风险源。 （2）风险数据项：1)风险的 ID、分类、描述、可能性、后果;2) 风险暴露性;3)风险因素转变成风险事件前的最早征兆;4)风险缓解 途径、负责人、限制日期; 5)应急计划、应急计划触发器等 （3）关闭风险: 当一个风险项符合某些标准时，可以考虑关闭风 险项。例如，计划的应急行动已经实施，估计发生的可能性和产生的 后果已经降低到非常小。 4、项目风险管理过程和活动 风险管理活动 风险管理的任务描述 负责人（参与 者） 风险 分析 和排 序 风险识 别 风险识别是在项目最初或项目执行过程中，用来识别风险因素的过 程。这个过程中，在项目的每一个里程碑阶段可能需要一个正式的风 险评估讨论会、一个头脑风暴会议，或者一次专题访谈等 项目团队成 员，或重要的 利益相关 者 风险估 风险官把每一个风险因素分配给独立的项目成员，由他来估计风险发 获得风险管 计 生的可能性（用 0~1 之间的数字表示）和可能产生的影响后果（用 1 〜10 之间的数字表示) 理任务分配 的项目成员 风险评 价 单一的风险因素分析结束后，如果必要的话，将被收集、复审和调整。 风险因素清单将会被按照风险暴露度（发生的概率和后果）大小进行 排序 项目风险官 风险 管理 计划 风险管 理计划 的制订 与实施 风险评价后，位于前 10 位、风险暴露度相对比较大的风险，将被分 配给独立的项目成员来负责制订并执行相应的风险应急计划 项目风险官 风险管 理计划 实施效 果反馈 对于每一项被分配的风险因素，推荐采取的行动计划不仅会降低风险 发生的概率，还会降低风险产生的后果。把应急计划的实施效果反馈 给项目风险官 获得风险管 理任务分配 的项目成员 风险清 单更新 通过风险应急计划的实施，分析风险清单的前 10 项风险的管理效果， 并对风险清单进行更新 项目风险官 风险应对计划 每一位负责执行风险应急计划的人完成应急行动 获得风险管 理任务分配 的项目成员 风险监控 5、项目风险管理计划执行日志 记录名称 责任人 审批人 数据来源 风险清单 风险经理 项目发起人 内部团队网站 项目风险评估与管理表 风险类型 风险描述 风险 概率 风险影响 风险优先级 风险承担者 项目管理风险 项目定义不清楚 项目范围不确定 中度 中度 中度 项目团队成员