针对威胁,可以考虑下列五种备选策略:
- 上报。如果项目团队或项目发起人认为某威胁不在项目范围内,或提议的应对措施超出了项目经理的权限,就应该采用上报策略。被上报的风险将在项目集层面、项目组合层面或组织的其他相关部门加以管理,而不在项目层面。项目经理确定应就威胁通知哪些人员,并向该人员或组织部门传达关于该威胁的详细信息。对于被上报的威胁,组织中的相关人员必须愿意承担应对责任,这一点非常重要。威胁通常要上报给其目标会受该威胁影响的那个层级。威胁一旦上报,就不再由项目团队做进一步监督,虽然仍可出现在风险登记册中供参考。
- 规避。风险规避是指项目团队采取行动来消除威胁,或保护项目免受威胁的影响。它可能适用于发生概率较高,且具有严重负面影响的高优先级威胁。规避策略可能涉及变更项目管理计划的某些方面,或改变会受负面影响的目标,以便于彻底消除威胁,将它的发生概率降低到零。
风险责任人也可以采取措施,来分离项目目标与风险万一发生的影响。规避措施可能包括消除威胁的原因、延长进度计划、改变项目策略,或缩小范围。有些风险可以通过澄清需求、获取信息、改善沟通或取得专有技能来加以规避。
- 转移。转移涉及到将应对威胁的责任转移给第三方,让第三方管理风险并承担威胁发生的影响。采用转移策略,通常需要向承担威胁的一方支付风险转移费用。风险转移可能需要通过一系列行动才得以实现,包括(但不限于)购买保险、使用履约保函、使用担保书、使用保证书等。也可以通过签订协议,把具体风险的归属和责任转移给第三方。
- 减轻。风险减轻是指采取措施来降低威胁发生的概率和(或)影响。提前采取减轻措施通常比威胁出现后尝试进行弥补更加有效。减轻措施包括采用较简单的流程,进行更多次测试,或者选用更可靠的卖方。还可能涉及原型开发(见 5.2.2.8 节),以降低从实验台模型放大到实际工艺或产品中的风险。如果无法降低概率,也许可以从决定风险严重性的因素入手,来减轻风险发生的影响。例如,在一个系统中加入冗余部件,可以减轻原始部件故障所造成的影响。
- 接受。风险接受是指承认威胁的存在,但不主动采取措施。此策略可用于低优先级威胁,也可用于无法以任何其他方式加以经济有效地应对的威胁。接受策略又分为主动或被动方式。最常见的主动接受策略是建立应急储备,包括预留时间、资金或资源以应对出现的威胁;被动接受策略则不会主动采取行动,而只是定期对威胁进行审查,确保其并未发生重大改变。