识别风险是识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程。本过程的主要作用是,记录现有的单个项目风险,以及整体项目风险的来源;同时,汇集相关信息,以便项目团队能够恰当应对已识别的风险。本过程需要在整个项目期间开展。图 11-6 描述本过程的输入、工具与技术和输出。图 11-7 是本过程的数据流向图。
图 11-7识别风险:数据流向图
识别风险时,要同时考虑单个项目风险,以及整体项目风险的来源。风险识别活动的参与者可能包括:项目经理、项目团队成员、项目风险专家(若已指定)、客户、项目团队外部的主题专家、最终用户、其他项目经理、运营经理、相关方和组织内的风险管理专家。虽然这些人员通常是风险识别活动的关键参与者,但是还应鼓励所有项目相关方参与单个项目风险的识别工作。项目团队的参与尤其重要,以便培养和保持他们对已识别单个项目风险、整体项目风险级别和相关风险应对措施的主人翁意识和责任感。
应该采用统一的风险描述格式,来描述和记录单个项目风险,以确保每一项风险都被清楚、明确地理解,从而为有效的分析和风险应对措施制定提供支持。可以在识别风险过程中为单个项目风险指定风险责任人,待实施定性风险分析过程确认。也可以识别和记录初步的风险应对措施,待规划风险应对过程审查和确认。
在整个项目生命周期中,单个项目风险可能随项目进展而不断出现,整体项目风险的级别也会发生变化。因此,识别风险是一个迭代的过程。迭代的频率和每次迭代所需的参与程度因情况而异,应在风险管理计划中做出相应规定。
除了过程组,过程还可以按知识领域进行分类。知识领域指按所需知识内容来定义的项目管理领域,并用其所含过程、实践、输入、输出、工具和技术进行描述。
虽然知识领域相互联系,但从项目管理的角度来看,它们是分别定义的。本指南确定了大多数情况下大部分项目通常使用的十个知识领域。本指南描述的十个知识领域包括:
- 项目整合管理包括为识别、定义、组合、统一和协调各项目管理过程组的各个过程和活动而开展的过程与活动。
- 项目范围管理包括确保项目做且只做所需的全部工作以成功完成项目的各个过程。
- 项目进度管理包括为管理项目按时完成所需的各个过程。
- 项目成本管理包括为使项目在批准的预算内完成而对成本进行规划、估算、预算、融资、筹资、管理和控制的各个过程。
- 项目质量管理包括把组织的质量政策应用于规划、管理、控制项目和产品质量要求,以满足相关方的期望的各个过程。
- 项目资源管理包括识别、获取和管理所需资源以成功完成项目的各个过程。
- 项目沟通管理包括为确保项目信息及时且恰当地规划、收集、生成、发布、存储、检索、管理、控制、监督和最终处置所需的各个过程。
- 项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程。
- 项目采购管理包括从项目团队外部采购或获取所需产品、服务或成果的各个过程。
- 项目相关方管理包括用于开展下列工作的各个过程:识别影响或受项目影响的人员、团队或组织,分析相关方对项目的期望和影响,制定合适的管理策略来有效调动相关方参与项目决策和执行。
某些项目可能需要一个或多个其他的知识领域,例如,建造项目可能需要财务管理或安全与健康管理。表 1-4 列出了项目管理过程组和知识领域。第 4 章至第 13 章详细说明了各个知识领域。该表格概述了第 4 章至第 13章所描述的基本过程。
表 1-4项目管理过程组与知识领域
可用作本过程的数据分析技术包括(但不限于):
- 备选方案分析。备选方案分析用于比较不同的资源能力或技能水平、进度压缩技术(见 6.5.2.6节)、不同工具(手动和自动),以及关于资源的创建、租赁和购买决策。这有助于团队权衡资源、成本和持续时间变量,以确定完成项目工作的最佳方式。
- 储备分析。储备分析用于确定项目所需的应急储备量和管理储备。在进行持续时间估算时,需考虑应急储备(有时称为“进度储备”),以应对进度方面的不确定性。应急储备是包含在进度基准中的一段持续时间,用来应对已经接受的已识别风险。应急储备与“已知 — 未知”风险相关,需要加以合理估算,用于完成未知的工作量。应急储备可取活动持续时间估算值的某一百分比或某一固定的时间段,亦可把应急储备从各个活动中剥离出来并汇总。随着项目信息越来越明确,可以动用、减少或取消应急储备,应该在项目进度文件中清楚地列出应急储备。
也可以估算项目进度管理所需要的管理储备量。管理储备是为管理控制的目的而特别留出的项目预算,用来应对项目范围中不可预见的工作。管理储备用来应对会影响项目的“未知-未知”风险,它不包括在进度基准中,但属于项目总持续时间的一部分。依据合同条款,使用管理储备可能需要变更进度基准。
成本估算包括对完成项目工作可能需要的成本、应对已识别风险的应急储备,以及应对计划外工作的管理储备的量化估算。成本估算可以是汇总的或详细分列的。成本估算应覆盖项目所使用的全部资源,包括(但不限于)直接人工、材料、设备、服务、设施、信息技术,以及一些特殊的成本种类,如融资成本(包括利息)、通货膨胀补贴、汇率或成本应急储备。如果间接成本也包含在项目估算中,则可在活动层次或更高层次上计列间接成本。
见 6.4.3.2 节。资源估算所需的支持信息的数量和种类,因应用领域而异。但不论其详细程度如何,支持性文件都应该清晰完整地说明资源估算是如何得出的。
资源估算的支持信息可包括:
- 估算方法;
- 用于估算的资源,如以往类似项目的信息;
- 与估算有关的假设条件;
- 已知的制约因素;
- 估算范围;
- 估算的置信水平;
- 有关影响估算的已识别风险的文件。
11.7 监督风险 — 在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。
风险管理计划是项目管理计划的组成部分,描述如何安排与实施风险管理活动。风险管理计划可包括以下部分或全部内容:
- 风险管理战略。描述用于管理本项目的风险的一般方法。
- 方法论。确定用于开展本项目的风险管理的具体方法、工具及数据来源。
- 角色与职责。确定每项风险管理活动的领导者、支持者和团队成员,并明确他们的职责。
- 资金。确定开展项目风险管理活动所需的资金,并制定应急储备和管理储备的使用方案。
- 时间安排。确定在项目生命周期中实施项目风险管理过程的时间和频率,确定风险管理活动并将其纳入项目进度计划。
- 风险类别。确定对单个项目风险进行分类的方式。通常借助风险分解结构 (RBS)来构建风险类别。风险分解结构是潜在风险来源的层级展现(示例见图 11-4)。风险分解结构有助于项目团队考虑单个项目风险的全部可能来源,对识别风险或归类已识别风险特别有用。组织可能有适用于所有项目的通用风险分解结构,也可能针对不同类型项目使用几种不同的风险分解结构框架,或者允许项目量身定制专用的风险分解结构。如果未使用风险分解结构,组织则可能采用某种常见的风险分类框架,既可以是简单的类别清单,也可以是基于项目目标的某种类别结构。
图 11-4风险分解结构(RBS)示例
- 相关方风险偏好。应在风险管理计划中记录项目关键相关方的风险偏好。他们的风险偏好会影响规划风险管理过程的细节。特别是,应该针对每个项目目标,把相关方的风险偏好表述成可测量的风险临界值。这些临界值不仅将联合决定可接受的整体项目风险敞口水平,而且也用于制定概率和影响定义。以后将根据概率和影响定义,对单个项目风险进行评估和排序。
- 风险概率和影响定义。根据具体的项目环境,组织和关键相关方的风险偏好和临界值,来制定风险概率和影响定义。项目可能自行制定关于概率和影响级别的具体定义,或者用组织提供的通用定义作为出发点。应该根据拟开展项目风险管理过程的详细程度,来确定概率和影响级别的数量,即:更多级别(通常为五级)对应于更详细的风险管理方法,更少级别(通常为三级)对应于更简单的方法。表 11-1 针对三个项目目标提供了概率和影响定义的示例。
通过将影响定义为负面威胁(工期延误、成本增加和绩效不佳)和正面机会(工期缩短、成本节约和绩效改善),表格所示的量表可同时用于评估威胁和机会。
表 11-1概率和影响定义示例
- 概率和影响矩阵。见 11.3.2.6 节。组织可在项目开始前确定优先级排序规则,并将其纳入组织过程资产,或者也可为具体项目量身定制优先级排序规则。在常见的概率和影响矩阵中,会同时列出机会和威胁;以正面影响定义机会,以负面影响定义威胁。概率和影响可以用描述性术语(如很高、高、中、低和很低)或数值来表达。如果使用数值,就可以把两个数值相乘,得出每个风险的概率 - 影响分值,以便据此在每个优先级组别之内排列单个风险相对优先级。
图 11-5 是概率和影响矩阵的示例,其中也有数值风险评分的可能方法。
图 11-5概率和影响矩阵示例(有评分方法)
- 报告格式。确定将如何记录、分析和沟通项目风险管理过程的结果。在这一部分,描述风险登记册、风险报告以及项目风险管理过程的其他输出的内容和格式。
- 跟踪。跟踪是确定将如何记录风险活动,以及将如何审计风险的管理过程。
在整个项目生命周期中,单个项目风险可能随项目进展而不断出现,整体项目风险的级别也会发生变化。因此,识别风险是一个迭代的过程。迭代的频率和每次迭代所需的参与程度因情况而异,应在风险管理计划中做出相应规定。
会影响识别风险过程的事业环境因素包括(但不限于):
会影响识别风险过程的组织过程资产包括(但不限于):
适用于本过程的数据收集技术包括(但不限于):
- 头脑风暴。头脑风暴(见 4.1.2.2 节)的目标是获取一份全面的单个项目风险和整体项目风险来源的清单。通常由项目团队开展头脑风暴,同时邀请团队以外的多学科专家参与。可以采用自由或结构化的形式开展头脑风暴,在引导者的指引下产生各种创意。可以用风险类别(如风险分解结构)作为识别风险的框架。因为头脑风暴生成的创意并不成型,所以应该特别注意对头脑风暴识别的风险进行清晰描述。
- 核对单。核对单是包括需要考虑的项目、行动或要点的清单。它常被用作提醒。基于从类似项目和其他信息来源积累的历史信息和知识来编制核对单。编制核对单,列出过去曾出现且可能与当前项目相关的具体单个项目风险,这是吸取已完成的类似项目的经验教训的有效方式。组织可能基于自己已完成的项目来编制核对单,或者可能采用特定行业的通用风险核对单。虽然核对单简单易用,但它不可能穷尽所有风险。所以,必须确保不要用核对单来取代所需的风险识别工作;同时,项目团队也应该注意考察未在核对单中列出的事项。此外,还应该不时地审查核对单,增加新信息,删除或存档过时信息。
- 访谈。可以通过对资深项目参与者、相关方和主题专家的访谈,来识别单个项目风险以及整体项目风险的来源。应该在信任和保密的环境下开展访谈(见 5.2.2.2 节),以获得真实可信、不带偏见的意见。
适用于本过程的数据分析技术包括(但不限于):
- 根本原因分析。根本原因分析(见 8.2.2.2 节)常用于发现导致问题的深层原因并制定预防措施。可以用问题陈述(如项目可能延误或超支)作为出发点,来探讨哪些威胁可能导致该问题,从而识别出相应的威胁。也可以用收益陈述(如提前交付或低于预算)作为出发点,来探讨哪些机会可能有利于实现该效益,从而识别出相应的机会。
- 假设条件和制约因素分析。每个项目及其项目管理计划的构思和开发都基于一系列的假设条件,并受一系列制约因素的限制。这些假设条件和制约因素往往都已纳入范围基准和项目估算。开展假设条件和制约因素分析,来探索假设条件和制约因素的有效性,确定其中哪些会引发项目风险。从假设条件的不准确、不稳定、不一致或不完整,可以识别出威胁,通过清除或放松会影响项目或过程执行的制约因素,可以创造出机会。
- SWOT 分析。这是对项目的优势、劣势、机会和威胁 (SWOT) 进行逐个检查。在识别风险时,它会将内部产生的风险包含在内,从而拓宽识别风险的范围。首先,关注项目、组织或一般业务领域,识别出组织的优势和劣势;然后,找出组织优势可能为项目带来的机会,组织劣势可能造成的威胁。还可以分析组织优势能在多大程度上克服威胁,组织劣势是否会妨碍机会的产生。
- 文件分析。见 5.2.2.3 节。通过对项目文件的结构化审查,可以识别出一些风险。可供审查的文件包括(但不限于)计划、假设条件、制约因素、以往项目档案、合同、协议和技术文件。
项目文件中的不确定性或模糊性,以及同一文件内部或不同文件之间的不一致,都可能是项目风险的指示信号。
根据风险管理计划规定的风险登记册格式,可能还要记录关于每项已识别风险的其他数据,包括:简短的风险名称、风险类别、当前风险状态、一项或多项原因、一项或多项对目标的影响、风险触发条件(显示风险即将发生的事件或条件)、受影响的 WBS组件,以及时间信息(风险何时识别、可能何时发生、何时可能不再相关,以及采取行动的最后期限)。
风险报告提供关于整体项目风险的信息,以及关于已识别的单个项目风险的概述信息。在项目风险管理过程中,风险报告的编制是一项渐进式的工作。随着实施定性风险分析、实施定量风险分析、规划风险应对、实施风险应对和监督风险过程的完成,这些过程的结果也需要记录在风险登记册中。在完成识别风险过程时,风险报告的内容可能包括(但不限于):
可在本过程更新的项目文件包括(但不限于):
- 假设日志。见 4.1.3.2 节。在识别风险过程中,可能做出新的假设,识别出新的制约因素,或者现有的假设条件或制约因素可能被重新审查和修改。应该更新假设日志,记录这些新信息。
- 问题日志。见 4.3.3.3 节。应该更新问题日志,记录发现的新问题或当前问题的变化。
- 经验教训登记册。见 4.4.3.1 节。为了改善后期阶段或其他项目的绩效,而更新经验教训登记册,记录关于行之有效的风险识别技术的信息。
实施定性风险分析,使用项目风险的发生概率、风险发生时对项目目标的相应影响以及其他因素,来评估已识别单个项目风险的优先级。这种评估基于项目团队和其他相关方对风险的感知程度,从而具有主观性。所以,为了实现有效评估,就需要认清和管理本过程关键参与者对风险所持的态度。风险感知会导致评估已识别风险时出现偏见,所以应该注意找出偏见并加以纠正。如果由引导者来引导本过程的开展,那么找出并纠正偏见就是该引导者的一项重要工作。同时,评估单个项目风险的现有信息的质量,也有助于澄清每个风险对项目的重要性的评估。
可在本过程更新的项目文件包括(但不限于):
- 假设日志。见 4.1.3.2 节。在实施定性风险分析过程中,可能做出新的假设、识别出新的制约因素,或者现有的假设条件或制约因素可能被重新审查和修改。应该更新假设日志,应记录这些新信息。
- 问题日志。见 4.3.3.3 节。应该更新问题日志,记录发现的新问题或当前问题的变化。
- 风险登记册。见 11.2.3.1 节。用实施定性风险分析过程生成的新信息,去更新风险登记册。
风险登记册的更新内容可能包括:每项单个项目风险的概率和影响评估、优先级别或风险分值、指定风险责任人、风险紧迫性信息或风险类别,以及低优先级风险的观察清单或需要进一步分析的风险。
- 风险报告。见 11.2.3.2 节。更新风险报告,记录最重要的单个项目风险(通常为概率和影响最高的风险)、所有已识别风险的优先级列表以及简要的结论。
风险登记册列出了每项风险的指定风险责任人,还可能包含在早期的项目风险管理过程中识别的初步风险应对措施。风险登记册可能还会提供有助于规划风险应对的、关于已识别风险的其他信息,包括根本原因、风险触发因素和预警信号、需要在短期内应对的风险,以及需要进一步分析的风险。
监督风险是在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。本过程的主要作用是,使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。本过程需要在整个项目期间开展。图 11-20 描述本过程的输入、工具与技术和输出。图 11-21 是本过程的数据流向图。
可用作本过程输入的项目文件(尤其在初始规划之后)包括(但不限于):
- 假设日志。见 4.1.3.2 节。假设日志中关于假设条件和制约因素的信息,可能与特定相关方相关联。
- 变更日志。见 4.6.3.3 节。变更日志记录了对原始项目范围的变更。变更通常与具体相关方相关联,因为相关方可能是:变更请求的提出者,变更请求的审批者,或受变更实施影响者。
- 问题日志。见 4.3.3.3 节。为了管理和解决问题日志中的问题,需要与受影响的相关方进行额外沟通。
- 项目进度计划。见 6.5.3.2 节。进度计划中的活动可能需要与具体相关方相关联,即把特定相关方指定为活动责任人或执行者。
- 风险登记册。见 11.2.3.1 节。风险登记册包含项目的已识别风险,它通常会把这些风险与具体相关方相关联,即把特定相关方指定为风险责任人或受风险影响者。
- 相关方登记册。见 13.1.3.1 节。相关方登记册提供项目相关方的清单,以及分类情况和其他信息。
项目管理知识领域是管理各种项目时需普遍使用的专业知识领域。每个知识领域都是项目管理中的一个特定主题,以及与该主题相关的一组过程。这10大知识领域在大多数时候适用于大多数项目。某类特定项目可能需要额外的知识领域。这 10 大知识领域包括:
- 项目整合管理项目整合管理包括为识别、定义、组合、统一和协调各项目管理过程组的各种过程和活动而开展的过程与活动。
- 项目范围管理项目范围管理包括确保项目做且只做所需的全部工作,以成功完成项目的各个过程。
- 项目进度管理项目进度管理包括为管理项目按时完成所需的各个过程。
- 项目成本管理项目成本管理包括为使项目在批准的预算内完成而对成本进行规划、估算、预算、融资、筹资、管理和控制的各个过程。
- 项目质量管理项目质量管理包括把组织的质量政策应用于规划、管理、控制项目和产品质量要求,以满足相关方的期望的各个过程。
- 项目资源管理项目资源管理包括识别、获取和管理所需资源以成功完成项目的各个过程。
- 项目沟通管理项目沟通管理包括为确保项目信息及时且恰当地规划、收集、生成、发布、存储、检索、管理、控制、监督和最终处置所需的各个过程。
- 项目风险管理项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程。
- 项目采购管理项目采购管理包括从项目团队外部采购或获取所需产品、服务或成果的各个过程。
- 项目相关方管理项目相关方管理包括用于开展下列工作的各个过程:识别影响或受项目影响的人员、群体或组织,分析相关方对项目的期望和影响,制定合适的管理策略来有效调动相关方参与项目决策和执行。
识别风险是识别单个项目风险,以及整体项目风险的来源,并记录风险特征的过程。本过程的主要作用是,记录现有的单个项目风险,以及整体项目风险的来源。本过程还汇集相关信息,以便项目团队能够恰当应对已识别风险。本过程需要在整个项目期间开展。图 3-20 描述了本过程的输入和输出。
监督风险是在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。本过程的主要作用是,使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。本过程需要在整个项目期间开展。图 5-11 描述了本过程的输入和输出。