导语
*
- 什么是风险管理？
[15.1 管理基础](#15.1 管理基础)
- 项目风险概述
  *
- 风险管理的基本概念
  *
  - 风险临界值概念
  - 风险敞口概念
    - 风险敞口结论
- 风险的属性
  - 1、风险事件的随机性
  - 2、风险的相对性
    - 结论
    - [影响风险承受力的因素(考过) ：](#影响风险承受力的因素(考过) ：)
    - 不同类型投资者对风险的态度
  - 3、风险的可变性
- 风险的分类
- 风险的成本
- 发展趋势和新兴实践
  *
[15.2 项目风险管理过程](#15.2 项目风险管理过程)
[15.3 规划风险管理](#15.3 规划风险管理)
[15.4 识别风险](#15.4 识别风险)
[15.5 实施定性风险分析](#15.5 实施定性风险分析)
[15.6 实施定量风险分析](#15.6 实施定量风险分析)
[15.7 规划风险应对](#15.7 规划风险应对)
- 课程目标
- 过程定义
- 数据流向图
- ITTO
  *
  - 残余风险与此生风险
    - 残余风险
    - 次生风险
  - 1、输入
  - 2、工具与技术
    - 专家判断
    - 数据收集
    - 人际关系与团队技能
    - 威胁应对策略
    - 机会应对策略
      - [上报（ Escalate )](#上报（ Escalate ))
      - [开拓（ Exploit )](#开拓（ Exploit ))
        
        什么情况下才算开拓策略(背记)
      - [分享（ Share ）](#分享（ Share ）)
        
        分享措施
      - [提高（ Enhance )](#提高（ Enhance ))
        
        提高概率
        
        提高影响
        
        区分开拓与提高？
      - [接受（ Accept )](#接受（ Accept ))
    - 应急应对策略
      *
    - 整体项目风险应对策略
    - 决策
  - 3、输出
- 核心知识整理
[15.8 实施风险应对](#15.8 实施风险应对)
- 课程目标
- 过程定义
  - 定义
  - 作用
  - 时机
- 数据流向图
- ITTO
  - 1、输入
  - 2、工具与技术
    - 专家判断
    - 人际关系与团队技能
    - [项目管理信息系统（ PMIS ）](#项目管理信息系统（ PMIS ）)
  - 3、输出
    - 变更请求
    - 项目文件更新
- 核心知识整理
[15.9 监督风险](#15.9 监督风险)
[15.10 风险管理示例](#15.10 风险管理示例)
- [" 主要风险清单 " 示例](#“ 主要风险清单 ” 示例)
  *
  - 总结
  - 描述
- [为解决 " 逐渐增加的需求 " 而制订的风险应对计划](#为解决 “ 逐渐增加的需求 ” 而制订的风险应对计划)
本章总结
单词

导语

早期认为项目里的风险是难以识别,难以捉摸,难以管理,难以对抗的,但是随着对项目管理领域认知越来越深,发现其实大部分风险是可以识别,而且可以提前制定一些计划,来减小或者规避风险,提高项目成功率,所以风险管理在各类项目里越来越受重视.
风险管理有7个过程,学习代价跟整合管理差不多,整合管理也有这么多过程.
15.1是对风险管理的一些基本概念.
15.2就是概述一下项目风险管理的七个过程.
15.3一直到15.9就是从规划风险管理一直到监督风险,对每个风险过程详细的解读.
15.10有一个比较简单的示例,就是在IT项目里风险列表怎么写,风险列表里挑某个风险,如何对风险制定应对的计划.

什么是风险管理？

项目风险管理包括规划风险管理、识别风险、开展风险分析、规划风险应对、实施风险应对和监督风险的各个过程.(只要是跟风险相关的那些内容,都是属于风险管理知识领域.)

不管做任何事情,只要是做项目,因为项目是目的性很明确,只要从A地到B地想完成这件事,中间必经历经很多风险,出发之前就知道未来会面临很多风险.
项目风险管理的目标无外乎就是两个,一个就是风险,风险有好的正面风险,也有不好的负负面风险.正面风险怎么办,提高正面风险的概率和影响,对于负面风险,要降低它的概率和影响,因为不论做项目管理的任何一个知识领域,最后都是希望项目成功.就是要提高项目的成功率.

15.1 管理基础

项目风险概述

风险是一种不确定的事件或条件，一旦发生，会对至少一个项目目标造成影响.(没有发生些东西才是风险,只要这件事情已经发生了,就不是风险.)

为什么要关注风险

因为风险一旦发生,会对项目至少一个项目目标造成影响,很可能一个风险对很多目标造成影响,但是至少有一个造成影响,能影响项目的风险,才是项目的风险.不能对你项目造成的风险,不需要关注,只关注能影响你项目目标的这些风险才对.

风险类别

积极的风险被称为机会.
消极的风险被称为威胁.

虽然这两类不确定性都是风险,但是一般来讲大部分情况下管理风险,都是指威胁,机会也属于风险.

单个风险和整体项目风险

单个项目风险是一旦发生，会对一个或多个项目目标产生正面或负面影响的单个不确定事件或条件.(单个项目风险就是个别的风险,风险一旦发生,对你项目产生影响的单个或者某个事件,这叫单个风险.比如做IT项目有经常识别的风险,无外乎就是需求不稳定,客户可能会不断的提变更,是单个风险.IT项目常常遇到的一个风险就是技术部长可能导致轻度延误,IT项目里人员的流动比较大,这也是个风险.)
整体项目风险是不确定性对项目整体的影响，是干系人面临的项目结果正面和负面变异区间。它源于包括单个风险在内的所有不确定性.(整体项目风险就是风险管理大的范围应该属于整合管理,就是不管是单个风险,还是未来项目整体面临的巨大的压力风险,它都可能对项目最终整体造成风险,就是不仅仅是进度成本这些会对整个项目目标造成影响.所以概念就是整体项目风险.)

为什么区分单个风险和整体风险

因为风险管理需要知道到底谁去具体的负责应对或者监控风险,一般来讲,单个项目风险是由团队成员,就是为每个单个项目风险分配一个风险责任人,但是整体项目风险一般来讲是项目经理进行把控的,所以要分一下..

在项目管理中风险不可避免，因此风险管理在项目管理知识体系中占据了非常重要的位置.(是关于风险的最基础的认知,千万不要认为风险可以避免,实际是不可以的.)

项目三大不可避免

整个项目里有三个东西是不可以避免的,在项目里第一个是变更 ,变更在任何项目里都有,即使不是IT项目,传统项目也必然有变更.第二个是冲突 ,人和人之间有冲突也不能避免.第三个就是风险,项目里的风险也不可以避免..
变更/冲突/风险不一定是好事,也不一定是坏事,但是得知道这三个东西必然会出现项目里,而且项目经理必然会管理控制,这三个也是考试的重点.

风险管理的基本概念

风险临界值概念

应根据组织的风险承受水平制定风险临界值。风险临界值反映了组织与项目干系人的风险偏好程度，是项目目标的可接受的变异程度.(项目里组织为你项目设定了一个风险临界值,风险临界值是100万,如果确定100万的话,未来去识别风险,分析风险,得到风险可能造成的综合损失超过100万,项目就别做了,组织养不起此项目,承担不起风险,每个组织都有各自的风险临界值.)

风险敞口概念

风险敞口是指在某个项目、项目集或项目组合中，针对任一特定对象，而适时作出的对所有风险的潜在影响的综合评估.(风险敞口实际上是帮助你计算项目面临多大风险的.
风险敞口最开始是在金融领域,就是金融领域给某个人放贷款,只要钱借出去肯定面临风险,但是实际上银行风险敞口是零,因为银行要求有抵押,一百万房屋甚至二百万的房屋都给抵成一百万,房子压在银行,即使还不上一分钱,房子一卖至少一百万,所以不会面临借贷风险,所以风险敞口是零.风险敞口指没有抵押物进行借款,借给需要钱的个人或组织一百万,就会面临风险,风险敞口就是一百万,可以评估一下借款人跑路了不还账,根据信誉等级跑路了不还的概率是20%,未来综合损失可能是一百乘以百分之二十,是20万.有人把风险全部作为敞口,有人把风险算成敞口乘以收不回来的可能性.算法不一样但是整体而言就是可能面临损失的钱,才叫风险敞口.所以整体来讲,风险敞口越大,风险越大,把所有项目面临的风险值算出来总的风险敞口,如果风险敞口加到一块是80万,就无所谓,因为组织愿意承受一百万的敞口,项目可以继续进行.风险敞口越大,风险越大.)

风险敞口结论

如果风险口超过风险临界值，说明暴露的风险过大，组织无法接受，就要考虑取消受风险影响的项目范围，甚至取消整个项目.(风险敞口如果超过风险临界值,组织没法接受,项目就得取消..)

风险的属性

1、风险事件的随机性

风险事件的发生及其后果都具有偶然性
风险事件是否发生？何时发生？发生之后会造成什么样的后果？
许多事件的发生都遵循一定的统计规律，这种性质叫随机性

就是导致风险的风险事件是有随机性的,很多东西都是未知的,虽然在所有项目里,一千个IT项目甚至一万个IT项目,这些IT项目里进度延误的大概有20个,但整体上符合规律,具体落实到项目,都不知道你的项目会不会延误,什么地方会产生延误,延误之后对其他会有什么影响,都不知道,这种偶然性就是风险的第一个特性风险事件的随机性.

2、风险的相对性

风险总是相对项目活动主体而言的。同样的风险对于不同的主体有不同的影响。(相对性是指不同的人对待风险的态度,他认为风险是大还是小,他认为风险愿意投入多少东西,投入资源大还是小,因人而异,因事件而异,而且不同时间同一个风险的大小也是相对的.)

结论

人们对于风险事件的承受能力因活动、人和时间而异。(就是在不同的时间,对同一个风险态度要完全不一样.)

影响风险承受力的因素(考过) ：

收益的大小 ：收益越大，人们愿意承担的风险也就越大.(收益的大小 :就是干这件事肯定面临风险,但是收益越大.如果收益特别大的时候,就愿意冒着风险特别大.收益越大愿意面临风险越大.)
投入的大小 ：投入得越多，人们对成功的希望也越大，愿意冒的风险也就越小.(投入的大小:倾家荡产想干一件事,希望这件事风险几乎没有,就是投的越大,愿意冒的风险就越小,越谨慎.花两块钱买个彩票几乎不可能中,也愿意掏两块钱,因为投入很小,所以愿意冒的风险大,反之投入风大,愿意承受的风险小.)
地位和拥有的资源 ：地位越高、拥有的资源越多，其风险承受能力也越大.(地位和拥有的资源:地位越高实际上拥有的资源越多,可以承受的风险越大,因为可以通过其他的财富去补偿很小的风险.)

不同类型投资者对风险的态度

人们对风险的态度有很多种,在整体上可以分为三种态度.有一类人是风险中立者,默认大家都是风险中立者.图中蓝线.风险偏好不一样的,有一类人是风险的规避者,图中红线.有一类人喜欢冒险,叫风险追随者.图中绿线.图的x轴是指花出去的精力,就是投资大小,从小的往右到大.图的y轴是指成功的可能性,零是几乎不可能成功,百分之百就是成功..
**风险规避者 :**比较谨慎的红色风险规避者这些人,如果风险规避者他愿意投资,关注他愿意花多少钱投资,风险规避者只有成功概率很高很高的时候,接近于一的时候,他的投资才愿意花钱.换句话说即使是成功概率达到百分之二十,甚至百分之五十,他几乎也不愿意投资,他只愿意投资接近百分之百的情况, 因为他是风险规避者,不愿意冒风险..
**风险追随者 :**绿色线他对投资的态度,即使成功概率百分之十,他也愿意投资很多,成功率达到百分之五十,他几乎愿意倾家荡产,把所有财产都拿出来,这种人叫风险追随者.他喜欢冒险.

3、风险的可变性

当风险因素发生变化时，必然会引起风险的变化。风险的可变性包括：
- 风险性质的变化：包括风险的大小、性质等。(就是风险大小可能发生变化,同一个风险很可能在不同的阶段,性质都会可能发生变化,就属于风险的相对性)
- 风险后果的变化：包括风险的频率、收益或损失大小等.(就是风险后果也可能变化,风险的频率在不同的时期会变化,风险的收益或者损失也会变化,很可能有的风险,在项目早期发现他特别大,但是项目晚期影响特别小,同一个风险可能十年之前,面临1万块钱的损失觉得特别大,但是十年之后,1万块钱对整个项目影响特别小.这叫风险后果.)
- 出现新风险：随着项目或活动的展开，会有新的风险出现.(随着项目进展会出现一些新的风险,这也属于风险的可变性,项目只要没有结束,都可能识别出来新的风险,所以在识别风险过程,识别风险它不是规划的时候执行的,是在整个项目周期之内一直在进行,包括项目收尾的时候,也得识别新风险.)

风险就是总是在变,风险因素包括风险事件本身发生变化时,肯定要引起风险本身的变化,就是风险可变性.

风险的分类

1、按风险后果划分

( 1 ) 纯粹风险。不能带来机会、无获得利益可能的风险。纯粹风险只有两种可能的后果：造成损失（绝对的损失）和不造成损失.(纯粹风险就是坏的风险,它一旦发生了,就会造成损失.希望纯粹风险别发生,因为一旦发生了就会造成损失,不发生就没有损失.)
( 2 ) 投机风险。既可能带来机会、获得利益，又隐含威胁、造成损失的风险。++投机风险有三种可能的后果：造成损失、不造成损失和获得利益++ .纯粹风险和投机风险在一定条件下可以相互转化。必须避免投机风险转化为纯粹风险。(投机风险就是一旦发生,可能带来机会,可能带来威胁,也可能是中性的,投机风险有三种可能的后果,造成损失,不造成损失,获得利益,投机风险有可能的情况下,应该想办法让不好的东西,让威胁变成机会.其实很多风险都应该属于投机风险.)

两个相比,纯粹风险和投机风险相比,纯粹风险不好,所以尽量的避免,投机风险变成最不好是纯粹风险,必须避免投机风险转化为纯粹风险.

2、按风险来源划分

( 1 ) 自然风险。由于自然力的作用，造成财产毁损或人员伤亡的风险。例如，因发生洪水或地震而造成的工程损害，材料和器材损失。(自然风险就是自然力造成的,像地震,雷雨,洪水等自然力造成的财产或者人员的伤亡,这种叫自然风险.)
( 2 ) 人为风险。由于人的活动而带来的风险。又可以细分为++行为、经济、技术、政策和组织风险++ (背记)等。(人为风险就是人的活动带来的风险.人为风险又分为项目里识别或者管理风险,基本上是人为风险分为行为经济技术政策和组织风险等.)

3、按风险是否可管理划分

（ 1 ) 可管理的风险 ：可以预测，并可采取相应措施加以控制的风险.(整个项目管理主要是关注的是可管理风险.)
( 2 ） 不可管理的风险 ：不可预测，或不可采取相应措施加以控制的风险风险能否管理，取决于风险不确定性是否可以消除以及活动主体的管理水平.(不可管理风险分为两类:第一个是根本没法预测就是完全未知的风险.第二个是不可管理可以预测但是不可采取相应措施加以控制的风险,叫不可管理风险.)

整体来讲第一类风险是容易管理的,第二个风险是不太容易管理的,如果管理水平比较强的话,很可能把一些不可管理风险,就是不可采取相应措施加以控制的风险,在一定程度上把它变成可控可管理.

4、按风险影响范围划分(了解)

( 1 ) 局部风险影响的范围小
( 2 ) 总体风险影响的范围大
局部风险和总体风险是相对的

对整个项目影响比较大的是总体,影响比较小的是局部,两个没有绝对的划分,划分是相对的.

5、按风险后果的承担者划分(了解)

项目业主风险、政府风险、承包商风险、投资方风险、设计单位风险、监理单位风险、供应商风险、担保方风险和保险公司风险等。
这样划分有助于合理分配风险，提高项目对风险的承受能力

承担者包括项目业主要承担的风险,业主之外还有还有很多的,像政府机构,保险公司等.

6、按风险的可预测性划分(重要)

（ 1 ）已知风险。是指在认真、严格地分析项目及其计划之后就能够明确的那些经常发生的，而且其后果亦可预见的风险。已知风险发生概率高，但一般后果轻微，不严重。(只要做了认真分析就能够明确识别出风险,经常发生的而且后果可以预见的风险,能预测到风险而且后果也可以预测或者判断,这种风险叫已知风险.因为项目里过去常常发生这类风险,比如说项目里的需求经常变更,就是一个已知风险,因为是可预知后果可知的.)
（ 2 ）可预测风险。是指根据经验，可以预见其发生，但不可预见其后果的风险。这类风险的后果有时可能相当严重。(可预测就是根据经验可以预测其发生仅此而已,但是一旦发生了之后,风险发生的后果或者怎么对抗不太好把握住,这叫做预测,一般可预测风险一旦发生,会比已知风险后果更严重一些.)
（ 3 ）不可预测风险。是指有可能发生，但其发生的可能性即使最有经验的人亦不能预见的风险，有时也称未知风险或未识别的风险。这些风险一般是外部因素作用的结果，例如地震、百年不遇的暴雨、通货膨胀和政策变化等。(不可预测风险可以认为叫未知风险,可能发生但是即使很有经验的项目经理或者团队成员,也不能及时的识别,或者及时的找到,识别都很难,更不可能找到他的解决办法,这种叫不可预测风险,有的资料上叫未知-未知,就是全完全未知的风险,像地震,百年不遇的暴雨等.)

预测性很多时候一些资料都是按角度来分的,这种分法可能更清晰一些

风险的成本

风险事件造成的损失或减少的收益以及为防止发生风险来取预防措施而支付的费用构成了风险成本。包括有形成本、无形成本、预防与控制风险的成本.(风险成本就是风险一旦发生造成成本谁支付,其实风险成本不仅是风险一旦发生,包括前期为了对抗风险采取的行动,也应该属于风险成本,但是知识点里,主要关注是风险发生之后损失的承担,它叫风险成本.)

1、风险损失的有形成本

有形成本包括风险事件造成的直接损失和间接损失。(风险损失的有形成本,又重点提损失这件事,就是风险一旦发生造成损失,有形成本包括两个直接和间接损失.)
- ① 直接损失。直接损失指财产损毁和人员伤亡的价值。例如，压缩空气机房在施工过程中失火，直接损失包括空气压缩机的重置成本、受伤人员的医疗费、休养费工资等。(直接间接:失火造成的这种直接的财产或者人员伤亡的直接的价值.)
- ② 间接损失。间接损失指直接损失以外的其他损失、责任损失以及因此而造成的收益的减少，包括因灭火扑救、停工等发生的成本。(间接损失:不光是灭火消防员,着火之后附近的居民商铺停工,产生的成本,间接损失,都是属于有形的成本.)

2、风险损失的无形成本

无形成本指由于风险所具有的不确定性而使项目主体在风险事件发生之前或之后付出的代价。主要表现在如下3个方面。(无形成本总结出来一共有三个方面,风险 ,因为风险发生,减少了你做很多事情的机会,一旦没产生风险,做这事造成好处,属于无形的成本.生产率的提高 ,因为风险发生阻碍生产率的提高.资源分配不当就是风险造成的资源分配不当,因为应对风险把资源分配到应对抗风险部门,资源分配到其他部门,其他部门可能会给你带来很多的好处.)
- ① 风险损失减少了机会。由于对风险事件没有把握，不能确知风险事件的后果，项目活动的主体不得不事先做出准备。这种准备往往占用大量资金或其他资源，使其不能投入再生产，不能增值，减少了机会。
- ② 风险阻碍了生产率的提高。人们不愿意把资金投向风险很大的新技术产业，阻碍了新技术的应用和推广，阻碍了社会生产率的提高。
- ③ 风险造成资源分配不当。由于担心在风险大的行业或部门蒙受损失，因此人们都愿意把资源投入到风险较小的行业或部门。结果是，应该得到发展的行业或部门，缺乏应有的资源；而已经发展过度的行业或部门，却占用过多的资源，造成了浪费。

3、风险预防与控制的成本

为了预防和控制风险损失，必然要采取各种措施。例如，向保险公司投保、向有关方面咨询、配备必要的人员、购置用于预防和减损的设备、对有关人员进行必要的教育或训练以及人员和设备的维持和维护费用等。这些成本既有直接的，也有间接的。(关注风险的预防与控制成本,就是整体为了预防或者控制风险损失采取的,一般是风险发生之前,提前采取的措施,比如花钱买保险,事先配备必要的消防员.)

风险成本的负担

项目主体负担的那部分为个体负担成本
其他有关方面负担的部分为社会负担成本

风险成本花的钱到底来来自于哪里,谁来花钱呢?

整体来讲一个是项目主体,项目主体就是项目组面临的风险花的钱.比如着火了,着火单位或者个人花的钱,叫个体负担成本.
着火的损失,肯定是商户或者个人,叫个体成本.灭火件事出动消防车,消防员,中间交通也堵塞了,影响别的车辆,别的车辆也得给消防车让路,误工费等这就属于社会负担成本.

发展趋势和新兴实践

概述

大多数项目只关注事件类风险，即作为可能发生或不发生的不确定性未来事件的风险。(新实践越来越把注意力放到非事件风险)

举例

例如：关键卖方可能在项目期间停业，客户可能在设计完成后变更需求，或分包商可能要求对标准化操作流程进行优化.

非事件风险分两类

模糊性风险

定义

模糊性风险 ：对未来可能发生什么，存在不确定性.(模糊性风险就是这件事或者风险可能发生,也可能不能发生,连发不发生都不确定,这种风险叫模糊性风险.)

举例

知识不足可能影响项目达成目标的能力，例如，不太了解需求或技术解决方案的要素法规框架的未来发展，或项目内在的系统复杂性.(因为认识不足,所以风险发不发生根本就不知道,这种叫模糊性风险.)

变异性风险

定义

变异性（variability）风险 ：已规划事件、活动或决策的某些关键方面存在不确定性就导致变异性风险.(变异风险是知道风险可能发生了,但是到底发生或者出现的程度不知道,这种风险叫变异性风险.)

举例

例如，生产率可能高于或低于目标值，测试发现的错误数量可能多于或少于预期，或施工阶段可能出现反常的天气情况.(因为时间关系可以预料到项目里会产生bug,这是个风险,但是到底bug会每周会产生5个还是8个不知道,这就是属于程度不知道,叫变异性的风险.)

项目韧性

概述

随着对所谓"未知-未知"因素的意识的增强，人们也越来越明确地知道确实存在突发性风险。这种风险只有在发生后才能被发现。可以通过加强项目韧性（resilience )来应对突发性风险.(风险管理的新实践是要增强你项目的韧性,韧性对一个项目特别重要,韧性是指一个人或者一个项目在遭受外界的挫折,就是面临外界巨大的打击,突发性的风险发生了打击的时候,能快速的恢复到正常的执行状态,这种能力就叫韧性.韧性就是弹簧一样,弹簧是正常状态,外界给个压力,就是遇到挫折之后,在挫折面前能恢复到正常状态,正常工作,这种能力叫韧性.一般来讲,有钱有充足的资源的话,项目的韧性一定是好的,一定能快速恢复到正常的状态.可以提高对抗风险的一种方法,就是不断地提高项目的韧性.)

如何实现项目韧性？(建议)

除了为已知风险列出具体风险预算，还要为突发性风险预留合理的应急预算和时间.(为突发事件预留一些合理的储备)
采用灵活的项目过程，包括强有力的变更管理，以便在保持朝项目目标推进的正确方向的同时，应对突发性风险.(项目过程遇到外界特殊问题的时候,及时的提议变更,应对种突发的风险.)
授权目标明确且值得信赖的项目团队在商定限制范围内完成工作.(可以依靠团队的能力来抵抗外界不可预测的风险.)
经常留意早期预警信号，以尽早识别突发性风险.(关于预警信号,就是外界可能发生巨大打击的时候,一般来讲,很多巨大的事件都有预警信号,所以要及早的发现.)
明确征求干系人的意见，以明确为应对突发性风险而可以调整项目范围或策略的领域.(可以寻求很多人的帮助以应对突发事件.)

整合式风险管理

概述

项目存在于组织背景中，可能是项目集或项目组合的一部分。在项目、项目集，项目组合和组织这些层面上，都存在风险。应该在适当的层面上承担和管理风险.(整合式风险管理就是不能把项目里的所有风险,作为项目要对抗的风险.因为有的风险不仅影响项目,可能影响所在的项目集,项目组合等,所以从更广的角度来看待风险的影响,就是至少整合到项目组合的程度.就是应对风险,特别是应对威胁,其中有一个应对策略叫上报,就是认为风险能影响你的项目级或者项目组合或者整个企业,上报出去,这样的话就不用你去应对风险.)

双向整合

在较高层面识别出的某些风险，可能授权给项目团队去管理；(整合是双向的.比如在项目组合或者项目级识别的风险,也可以指派某一个项目,或者某个团队成员去做,就是在更广泛的范围内识别或者应对风险.)
而适合在项目之外的管理的风险可能升级给高层去管理.

总结

应该采用协调式企业级风险管理方法，来确保所有层面的风险管理工作的一致性和连贯性.

整合式风险管理示例

15.2 项目风险管理过程

过程概述

项目风险管理过程包括：
- 规划风险管理 ：定义如何实施项目风险管理活动。(会指导后六个过程怎么去做,主要是形成一个风险管理计划.)
- 识别风险 ：识别单个项目风险，以及整体项目风险的来源，并记录风险特征。(识别风险开始重要,风险特征就是把识别出的项目风险以及整体项目风险的来源记录到风险登记册里.)
- 实施定性风险分析 ：通过评估单个项目风险发生的概率和影响以及特征，对风险进行优先级排序，从而为后续分析或行动提供基础.(定性基本上就是比较快速,比较简单的,实际上就是分别去确定每个风险发生的概率,一旦发生,对风险/对项目整体的影响值,影响值不需要定量,就是简单估算就行,此过程就是实施定性风险分析,初步对风险排序,排序靠前的重要风险要执行.)
- 实施定量风险分析 ：就己识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析.(定量就比较贵,会用一些数学的手段或者专用的工具,对风险/对整个项目目标,造成100万的损失,还是50万的损失,把具体的值都得定量的算出来,此过程就是实施定量风险分析.因为东西很贵,所以没有必要对每个风险都定量.)
- 规划风险应对 ：为处理整体项目风险以及应对单个项目风险而制定可选方案、选择应对策略并商定应对行动。(经过定性定量分析之后,对风险有一定的把握,项目经理和团队成员就可以开始规划风险应对,此过程就是为应对每个识别好的风险制定出来,比如核选方案选择应对策略,并商定应对的行动,就是项目还没执行,风险还没发生,事先把每个风险的应对计划写出来,所以此过程主要是形成风险应对计划,物理上可以记录到风险登记策略.)
- 实施风险应对 ：执行商定的风险应对计划。(实施风险应对是在执行过程组,就是一旦项目执行过程中,识别好的风险发生就可以执行,预先确定的风险应对计划.)
- 监督风险 ：在整个项目期间，监督风险应对计划的实施、跟踪己识别风险、识别和分析新风险，以及评估风险管理的有效性。(监督不是控制风险,因为很多风险很难控制,所以只能监督,跟沟通一样,沟通也是监督沟通,因为风险随时可能会出现,所以在全生命周期都得持续识别和分析新新风险,换句话说,项目监督过程中,发现新的风险就可以识别,识别之后马上定性定量分析,所以叫识别和分析新风险.)

风险管理重要的过程都集中在规划过程组,就是从规划风险管理开始一直到开始真正的识别风险,定性分析,定量分析,规划分析,应对这些主体的工作都在规划去做.执行过程组有一个风险应对,监控过程组有一个监督风险.

项目风险管理过程

裁剪时需要考虑的因素

裁剪时应考虑的因素主要包括：
- 项目规模：由预算、进度、范围和人数所体现的项目规模，要求采取更详细的风险管理方法吗？或者项目小到只需用简化的风险管理过程吗？(根据项目的规模不一样,到底采取哪些风险管理过程,每个过程执行到什么程度.)
- 项目复杂性 ：由高水平创新、新技术采用、界面或外部依赖关系导致的项目复杂性提高，是否要求采用更稳健的风险管理方法？或者项目是否简单到只需用简化的风险管理过程？(项目的复杂性特别是IT类项目,可能会涉及一些高水平的创新,或者新技术的应用,这些都会导致项目可能会更加复杂,根据复杂性来确定风险管理过程,或者做到什么程度.)
- 项目重要性 ：项目的战略重要性有多大？项目风险的高级别是因为在创造突破性机会、克服组织经营的重大障碍或涉及重大产品创新吗？(总体来讲肯定是越重要的项目,风险管理的流程越要跟得上.)
- 开发方法 ：瀑布或预测型开发方式，项目的风险管理过程可以按阶段开展，敏捷或适应型开发方法，项目的风险管理过程可以在每个重复过程中开展？(项目具体的开发方法阶段划分,到底是敏捷的还是适应性的,也会决定如何裁剪风险管理.)

所谓所有知识领域裁剪考虑要素都是了解即可,不是重点.

在敏捷或适应型环境中需要考虑的因素

从本质上讲，越是变化的环境就存在越多的不确定性和风险要应对快速变化，就需要采用适应型方法管理项目(不确定性就是风险,风险就是不确定性.因为风险跟采取的开发方法是有关联的,换句话说,项目风险或者变化越大,就越应该采取敏捷或者适应性方法.)

敏捷型项目里如何进行风险管理

通过跨职能项目团队和经常审查增量式工作产品，来加快知识分享，确保对风险的认知和管理。在选择每个选代期的工作内容时，应该考虑风险；在每个迭代期间应该识别、分析和管理风险(因为敏捷项目都是增量是交付的,所以要频繁的审查产品.因为每个增量或者每个过程都可能产生风险,确保对风险的认知和管理.敏捷项目或者适应型项目都是分很多次迭代的.整个项目里有100个用户固执要做,100个功能要做,每次迭代到底选取100个里的哪些去做,要选取优先级高的.除选择优先级高的,还得考虑风险,别把风险非常高的五项工作都统一放到这次迭代,迭代风险太大,得均摊一下.每个迭代都要做风险管理)
应该根据对当前风险口的理解的加深定期更新需求文件，并随项目进展重新排列工作优先级(需求文件就是用户需求的第一个来源,因为需求文件后边会决定的项目的工作,并随项目进展重新排练工作优先级,实际上在敏捷里,有个实践就是工作优先级,不仅来自于用户的阐述这件事价值高,那件事价值低.还有风险来决定,或者风险调整的优先级.在敏捷里把价值就是不太高的,风险非常大的工作优先级要调低,价值很大风险很小的工作,优先级调高.)

15.3 规划风险管理

课程目标

掌握规划风险管理过程的定义
熟悉规划风险管理过程的输入、工具与技术及输出的内容
了解分析技术和规划会议的内容
了解风险管理计划包含的内容
熟悉风险类别以及风险概率和影响的定义.(要求比较高的,要求理解风险类别,风险概率和影响的定义,要求掌握风险分解结构.)

过程定义

定义

定义如何实施项目风险管理活动.(如何实施6个过程.)

作用

确保风险管理的水平、方法和可见度与项目风险程度，以及项目对组织和其他干系人的重要程度相匹配.(风险管理的水平不是越高越好,干任何事情质量水平都不是越高越好,要考虑实际,要考虑投入和收益,要考虑项目的重要性.)

时机

仅开展一次或仅在项目的预定义点开展.

在整个项目的构思阶段或者启动阶段,就开始规划风险管理了,只不过在规划的晚期,才真正的完成规划风险应对这件事.在项目的中后期,就是即使项目已经执行了,甚至已经快结束了,风险管理计划很可能修改,所以项目的中后期,也可能去重新规划风险管理过程,因为可能发生重大的阶段变更了,或者范围显著变化了,或者经过监督风险,发现风险规划或者风险管理计划出问题了需要调整,这些都要重新去规划风险管理,所以它不是一次性的.

数据流向图

最重要的就是会生成一个风险管理计划.

ITTO

主要是用到干系人分析技术,风险规划会议,最后形成风险管理计划.

1.输入

项目章程

项目章程记录了高层级的项目描述和边界、高层级的需求和风险.(项目章程里就已经开始记录,在启动阶段识别出的高层级或者整体风险,这里就有风险了,所以要参考已有的项目管理的子计划,如果有的话都可以参考.)

项目管理计划

在规划项目风险管理时，应该考虑所有已批准的子管理计划使风险管理计划与之相协调：同时，其他项目管理计划组件中所列出的方法论可能也会影响规划风险管理过程

项目文件

项目文件可作为本过程输入的项目文件包括（但不限于）干系人登记册。干系人登记册含项目干系人的详细信息，并概述其在项目中的角色和对项目风险的态度可用于确定项目风险管理的角色和职责，以及为项目设定风险临界值.(项目文件主要是干系人的风险承受力,都是来自于干系人登记册,所以项目文件也要参考.)

事业环境因素

会影响规划风险管理过程的事业环境因素包括由组织或关键干系人设定的整体风险临界值

组织过程资产

会影响规划风险管理过程的组织过程资产包括：
- 组织的风险政策
- 风险类别，可能用风险分解结构来表示
- 风险概念和术语的通用定义
- 风险描述的格式风险管理计划、风险登记册和风险报告的模板
- 角色与职责
- 决策所需的职权级别
- 经验教训知识库，其中包含以往类似项目的信息

事业环境因素和组织过程资产,会对规划风险产生巨大影响,因为风险临界值这件事,就是企业每个项目愿意承担100万的风险,还是500万的风险,风险临界值属于事业环境因素里的.

2、工具与技术

专家判断

应该就以下主题进行专家判断：
- 熟悉组织所采取的管理风险的方法，包括该方法所在的企业风险管理体系
- 裁剪风险管理以适应项目的具体需求
- 在相同领域的项目上可能遇到的风险类型

数据分析

可用于本过程的数据分析技术包括干系人分析。可通过干系人分析确定项目干系人的风险偏好.(要根据干系人登记册里的内容,进行干系人分析,要分析各类干系人特别是客户,还有所在组织的领导,他的风险偏好或者风险承受力,要分析一下.)

会议

风险管理计划的编制可以是项目开工会议上的一项工作，或者可以举办专门的规划会议来编制风险管理计划
参会者应包括干系人代表
会议目的是就风险管理方法的关键方面达成共识并记录到风险管理计划中

3、输出

风险管理计划

风险管理计划是项目管理计划的组成部分，描述如何安排与实施风险管理活动。

风险管理计划内容

风险管理战略(了解)

描述用于管理本项目的风险的一般方法.

方法论(了解)

确定用于开展本项目的风险管理的具体方法、工具及数据来源.

角色与职责(了解)

确定每项风险管理活动的领导者、支持者和团队成员，并明确他们的职责.

资金(了解)

确定开展项目风险管理活动所需的资金，并制定应急储备和管理储备的使用方案.

时间安排(了解)

确定在项目生命周期中实施项目风险管理过程的时间和频率，确定风险管理活动并将其纳入项目进度计划.

风险类别(重要)

定义

风险类别确定对单个项目风险进行分类的方式。通常借助**风险分解结构 ( Risk Breakdown Structure，RBS ）**来构建风险类别。(通过借助于风险结构来绘制,或者来完成风险类别,RBS是关于风险的层级结构.)
风险分解结构RBS是潜在风险来源的层级展现.

小结

整个项目管理体系里要求掌握的四个层级结构,就是BS分解结构,最早的把范围进行分解,分解成WBS (就是work breakdown structure),把工作给分解了,但是可交付物为出发点分解工作,除了WBS之外,把整个项目组分为需求组,研发组,测试组,就是把项目的组成结构用层叠结构表现出来,叫OBS,组织分解结构 .资源管理把识别出来的项目的所有资源估算出来的资源分门别类,就是汇总之后分门别类的绘制出一个层级图,就是总的资源需求,人力资源包括什么,设备资源包括什么,材料资源包括什么,是关于资源的resource的分解结构,叫RBS ,就是把项目里还没识别风险,项目里边可能遇到的风险,跟团队成员分门别类的划出来层叠结构就叫RBS.

风险分解结构有什么作用？

有助于项目团队考虑单个项目风险的全部可能来源，对识别风险或归类已识别风险特别有用.(最早的用途是今后真的领团队成员识别风险的时候,可以参考RBS.)

在什么层级制定风险分解结构？

组织可能有适用于所有项目的通用风险分解结构.(没有也没关系)
也可能针对不同类型项目使用几种不同的风险分解结构框架.(项目没有也行事.)
或者允许项目量身定制专用的风险分解结构.(可以为项目量身定制一个专用的RBS都可以.)

其实无所谓在什么层级制定风险分解结构.先去找组织构成资产,整个企业里就做一类项目,只做IT类项目,很可能就是整个组织或者项目管理办公室制定一个OBS可以参考.

RBS示例

实际样例

风险分解结构是要写到风险管理计划里.

干系人风险偏好

应在风险管理计划中记录项目关键干系人的风险偏好。他们的风险偏好会影响规划风险管理过程的细节.(干系人风险偏好,因为通过分析干系人登记册,把各类干系人特别是重要干系人,把他的风险偏好也要记录到风险管理计划里.)

提示

应该针对每个项目目标，把干系人的风险偏好表述成可测量的风险临界值。(把风险偏好表示或者计算成风险临界值,风险临界值可以分为多个角度,比如成本方面风险临界值,最多可以接受100万的超值.进度方面风险临界值,最多允许延迟一个月.这些东西都要记录到风险管理计划里.)

这些临界值不仅将联合决定可接受的整体项目风险口水平，而且也用于制定概率和影响定义

提示 : 以后将根据概率和影响定义，对单个项目风险进行评估和排序.(以后是指后边的过程,实施定性风险分析过程,就是要真正的根据概率和影响定义,为每个风险就是评估每个风险的概率和影响,把两个值乘到一块对风险进行排序,换句话说,概率和影响的定义是为定性风险分析过程做铺垫.)

风险概率和影响定义

根据具体的项目环境，组织和关键干系人的风险偏好和临界值，来制定风险概率和影响定义.(在风险管理计划的里要写清楚还没有识别的风险,规划的时候要写清楚,未来要识别的风险,把风险的概率分为几个级别,把风险的影响分为几个级别,换句话说,关于概率和影响的级别在规划风险的时候就得写清楚,概率和影响的定义是写到风险管理计划里.)

事例未来把整个项目里的风险的概率分成6个等级,从很高到几乎没有零风险的概率,影响角度分为对风险对目标的影响,从进度时间的角度影响,成本的角度影响,质量角度的影响.
比如进度维度未来识别出一个风险,风险会造成进度延误大于6个月,第二列不应该叫概率,应该叫影响值,风险的值严重性设置成很高的值,成本方面一个风险对成本超支的影响,可能会引起大于500万的一个超支,风险的值严重性设置成很高的值,所以第二列概率不应该是概率,应该是影响.
概率不应该放到这,概率就单独拎出来,风险的影响是一个角度,评估风险影响就行了,另外一个角度也是对每个风险跟团队成员坐到一块,来确定风险发生的概率,发生概率分成几个级别,不用参考量表,即使参考着量表,量表也仅仅是告诉大家发生概率.

概率和影响矩阵

组织可在项目开始前确定优先级排序规则，并将其纳入组织过程资产，或者也可为具体项目量身定制优先级排序规则.(在规划风险管理的过程当中,在项目在风险管理计划里还要制定一个表格,表格叫概率影响矩阵,跟上一个表格不一样,上一个表格是为了定性分析的时候,就是确定每个风险的概率属于很高,高,中,低,确定每个风险的影响很高,高,中,低,还是很低,就是确定.每个风险确定概率确定影响,风险整体对项目的重要性怎么样,还得用概率影响矩阵.)

表格威胁列有两个角度,一个是风险发生的概率值,一个是风险发生的影响值,用概率级别乘以威胁级别,查看乘积的值在威胁的哪个范围中,比如概率P事很低的0.1,消极影响是中等0.20,它们的乘积是0.02,在威胁程度范围是白色的,属于低风险,风险排序靠后.越靠前的,就成绩越大,风险说明它越严重,所以概率影响矩阵也是给未来的定性风险分析过程用的,它是用于确定风险的优先级排序.不管是概率和影响的定义,还有概率影响矩阵,两个表格都是给定性风险分析用的.

报告格式(不重要)

确定将如何记录、分析和沟通项目风险管理过程的结果。在这一部分，描述风险登记册、风险报告以及项目风险管理过程的其他输出的内容和格式.(报告格式就是未来关于风险方面的各种记录或者风险结果,报告怎么写事先定义.)

跟踪

跟踪是确定将如何记录风险活动，以及将如何审计风险的管理过程.(未来如何去记录风险管理的活动,如何跟踪风险管理活动,也写到风险管理计划里.)

整个规划风险管理过程,都是围绕如何去写风险管理计划展开的,风险管理计划跟沟通管理计划很像,这两个子计划细节程度都很强.

核心知识整理

风险是指一旦发生，就会对项目目标产生积极或消极影响的不确定事件或条件.
规划风险管理是定义如何实施项目风险管理活动的过程.
规划风险管理过程应该尽早展开，在项目构思阶段就应开始，并在项目早期完成.(最好在项目构思或者启动阶段就展开了,因为启动阶段就可以识别,虽然规划风险管理是在规划过程组,但是建议启动就开始识别风险,因为启动的时候,就有一些高层次的风险,包括项目章程里就有一些高层次风险.)
风险管理计划是项目管理计划的组成部分，描述如何安排与实施风险管理活动.
风险分解结构 RBS 是按风险类别排列的一种层级结构，有助于项目团队在识别风险.(是要掌握的,可以帮助后来识别风险的顺利进行,因为识别风险一个是要识别,另外一个是要对风险进行分类,都要依靠于RBS.)
概率和影响矩阵把每个风险发生的概率和一旦发生对项目目标的影响映射起来.(因为最后要把概率和影响做一个乘积,乘到一块才能用一个维度排列风险的优先级.)

概率和影响需要分别进行评估.

15.4 识别风险

课程目标

掌握识别风险过程的定义.
熟悉识别风险过程的输入、工具与技术及输出的内容.
掌握数据收集技术在识别风险中的应用.
掌握数据分析技术在识别风险中的应用.
熟悉风险登记册的内容(要熟悉风险登记册,很重要的内容,还有过程除了输出风险登记册,还会生成一个风险报告,注意这是两个不同的文件要区分开.)
了解风险报告的内容.

过程定义

定义

识别单个项目风险以及整体项目风险的来源，并记录风险特征.

作用

记录现有的单个项目风险，以及整体项目风险的来源；同时，汇集相关信息，以便项目团队能够恰当应对已识别的风险.(就是具体是一个风险登记册,一个风险报告,把识别的东西记录到这两个文件里.)

时机

在整个项目期间开展.

提示

应该鼓励所有项目干系人参与单个项目风险的识别工作。项目团队的参与尤其重要，以便培养和保持他们的主人翁意识和责任感.(识别风险不仅仅是项目经理领的项目团队在做,而是要发动所有的干系人,因为不同人从不同角度可以识别出更全面的风险.实际上是所有规划过程,都要鼓励所有团队成员参与.)
识别风险是一个选代的过程。迭代的频率和每次选代所需的参与程度因情况而异，应在风险管理计划中做出相应规定.(识别风险实际上是一个一直存在的一个过程,主动的识别风险,就是大批量的开展识别风险活动,也要记录到风险管理计划里.)

数据流向图

风险的来源特别丰富,所以它的输入要特别多,识别风险过程最重要的两个输出一个是风险登记册,一个是风险报告.

ITTO

1、输入

项目管理计划

可作为本过程输入的项目文件包括：
- 假设日志：所记录的假设条件和制约因素可能引发单个项目风险，还可能影响整体项目风险的级别
- 成本估算：是对项目成本的定量评估，理想情况下用区间表示，区间的大小预示着风险程度。对成本估算文件进行结构化审查，可能显示当前估算不足，从而引发项目风险
- 持续时间估算：是对项目持续时间的定量评估，理想情况下用区间表示，区间的大小预示着风险程度。对持续时间估算文件进行结构化审查，可能显示当前估算不足，从而引发项目风险
- 问题日志：所记录的问题可能引发单个项目风险，还可能影响整体项目风险的级别
- 经验教训登记册：可以查看与项目早期所识别的风险相关的经验教训，以确定类似风险是否可能在项目的剩余时间再次出现
- 需求文件：列明了项目需求，使团队能够确定哪些需求存在风险
- 资源需求：是对项目所需资源的定量评估，理想情况下用区间表示，区间的大小预示着风险程度。对资源需求文件进行结构化审查，可能显示当前估算不足，从而引|发项目风险
- 干系人登记册：规定了哪些个人或小组可能参与项目的风险识别工作，还会详细说明哪些个人适合扮演风险责任人角色

要从所有如果已经形成的子计划参考,如果已经形成的基准三个基准都要参考,从这些内容里挖掘找到中间的矛盾或者风险.

协议

如果需要从外部采购项目资源，协议所规定的里程碑日期、合同类型、验收标准和奖罚条款等，都可能造成威胁或创造机会.

采购文档

如果需要从外部采购项目资源，就应该审查初始采购文档，因为从组织外部采购商品和服务可能提高或降低整体项目风险，并可能引发更多的单个项目风险。随着采购文档在项目期间的不断更新，还应该审查最新的文档，例如卖方绩效报告、核准的变更请求和与检查相关的信息.

事业环境因素

会影响识别风险过程的事业环境因素包括：
- 已发布的材料，包括商业风险数据库或核对单
- 学术研究资料
- 标杆对照成果
- 类似项目的行业研究资料

组织过程资产

会影响识别风险过程的组织过程资产包括：
- 项目文档，包括实际数据
- 组织和项目的过程控制资料
- 风险描述的格式
- 以往类似项目的核对单

2、工具与技术

专家判断

项目经理应该选择相关专家，邀请他们根据以往经验和专业知识来考虑单个项目风险的方方面面，以及整体项目风险的各种来源。项目经理应该注意专家可能持有的偏见。

数据收集

因为识别风险必然要收集很多的信息,所以收集需求些技术都可能用到.

头脑风暴

头脑风暴的目标是获取一份全面的单个项目风险和整体项目风险来源的清单。通常由项目团队开展头脑风暴，同时邀请团队以外的多学科专家参与。可以采用自由或结构化的形式开展头脑风暴，在引导者的指引下产生各种创意
可以用风险类别（如：风险分解结构）作为识别风险的框架。因为头脑风暴生成的创意并不成型，所以应该特别注意对头脑风暴识别的风险进行清晰描述

访谈

可以通过对资深项目参与者、干系人和主题专家的访谈，来识别单个项目风险以及整体项目风险的来源
应该在信任和保密的环境下开展访谈以获得真实可信不带偏见的意见

核对单

核查单是包括需要考虑的项目、行动或要点的清单。

总结

有的书上把checklist翻译成核对单,但是软考高项的官方教程把它翻译成核查单,所以核查单就是核对单,核对单就是核查单是一个 .质量核对单跟风险核对单形式上完全一样,所有核查单技术它的这优缺点都是一样的.关于组织过程资产,项目里没什么经验领着项目团队成员要识别项目风险,第一次做IT项目,就去找你的组织过程资产,因为企业里做过很多项目,组织过程资产里会有过去项目的核对单或者核查单,拿过来就可以了.去从里边找灵感识别项目的风险.所有核查单技术缺点都是统一的不完整,可以让核查单给你提示,但是想通过核查单技术识别所有风险太难了.

核查单的来源

基于从类似项目和其他信息来源积累的历史信息
可基于自己已完成的项目，也可采用特定行业的通用风险核查单

核差单的缺点

核查单不可能穷尽所有风险。
- 必须确保不要用核查单来取代所需的风险识别工作
- 应该注意考察未在核查单中列出的事项

提示 : 应该不时地审查核查单，增加新信息，删除或存档过时信息.(核查单是来自于整个组织的组织构成资产可以参考,项目如果发现新的风险,得记下来把新的核查单更新回组织过程资产给别的项目去用.)

核查单示例

优点是可以帮你快速的识别风险,缺点是不全面.

数据分析

根本原因分析

根本原因分析、常用于发现导致问题的深层原因并制定预防措施可以用问题陈述（如 : 项目可能延误或超支）作为出发点，来探讨哪些威胁可能导致该问题，从而识别出相应的威胁。也可以用收益陈述作为出发点，来探讨哪些机会可能有利于实现该效益，从而识别出相应的机会

假设条件和制约因素分析

开展假设条件和制约因素分析来探索假设条件和制约因素的有效性，确定其中哪些会引发项目风险。从假设条件的不准确、不稳定、不一致或不完整可以识别出威胁，通过清除或放松会影响项目或过程执行的制约因素，可以创造出机会

文件分析

通过对项目文件的结构化审查可以识别出一些风险。可供审查的文件包括舌（但不限于）计划、假设条件、制约因素、以往项目档案、合同、协议和技术文件。项目文件中的不确定性或模糊性以及同一文件内部或不同文件之间的不一致，都可能是项目风险的指示信号

SWOT分析

SWOT分析实际上是对项目内外部条件各方面内容进行综合和概括，进而分析项目的优劣势、面临的机会和威胁的一种方法，通过SWOT可以识别出风险.(对整个项目里的各种条件各方面进行分析,从分析结果里边挖掘出来风险,这种识别风险的技术就叫SWOT分析.在做任何决策之前都可以做SWOT分析,就是这件事对你的好处坏处或者你的能力所长,能力所短,都会影响你最后是不是要做这件事.)

① 首先从项目、组织或一般业务领域的角度识别组织的优势和劣势.
② 通过SWOT分析识别出由组织优势带来的各种项目机会，以及由组织劣势引发的各种威胁.
③ 还可以分析组织优势能在多大程度上克服威胁，组织劣势是否会妨碍机会的产生.

电信行业中

电信行业里做数据分析的时候,从四个角度跟你的竞争对手(就三家运营商),分析出你业务的优势或者劣势,最后决定是否开展某一项新业务.

提示清单

定义

提示清单（ PROMPT LISTS ）是关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单。在采用风险识别技术时，提示清单可作为框架用于协助项目团队形成想法.(和团队成员在识别风险的时候,总得按照某个思路识别,不能核查单的就是风险的,核查单是一种技术,但是还有一种就可以随便识别,比如IT项目硬件环境可能会不稳定,运行不稳定,会影响整个开发.东一个西一个识别出来没有系统性,所以会妨碍更好的识别.识别风险的时候,按照某个思路.比如先识别技术风险,再识别管理类风险,下一个阶段再单独识别外部风险等,最好是按照某个整理好的一种思路,或者大纲来识别,技术就叫提示清单,就是按照提示清单去识别风险.提示清单帮助你按照某个分类去识别风险,就是协助项目团队识别具体风险.)

作用

风险提示清单（prompt lists）只提示到风险类别，而风险核对单（checklists）里的内容是过去出现过的具体风险.(风险清单只到风险的类别而已,核对表里面记载的是具体风险.)

提示

提示 : 清单的内容也可以来自某些常见的战略框架，以此来识别风险

其他模型

PESTLE分析模型

PESTLE分析模型 :是从六个角度来进行整体分析,随着识别风险可以从这六个角度分别识别风险,PESTLE是从六个角度去识别风险,也是一种提示清单.

TECOP分析模型

TECOP分析模型是从五个角度技术,环境,商业运营,政治,去识别风险,也可以做提示清单.

VUCA特征

Volatility : 易变的
Uncertainty : 充满不确定性
Complexity : 充满了复杂性
Ambiguity : 充满了模糊性
VOCA四个角度去识别风险,也可以作为提示清单.

提示清单就是帮你识别风险的一个分类而已.

会议

为了开展风险识别工作，项目团队可能要召开专门的会议（通常称为风险研讨会）在大多数风险研讨会中，都会开展某种形式的头脑风暴

确保适当的人员参加风险研讨会

对于较大型项目，可能需要邀请项目发起人、主题专家、卖方、客户代表或其他项目干系人参加会议；
对于较小型项目，可能仅限部分项目团队成员参加

3、输出

风险登记册

定义

风险登记册记录已识别单个项目风险的详细信息。(识别出来的所有风险有一个算一个,都要记录到一个重要的文件里,叫风险登记册.)

第一个版本风险登记册

识别风险过程填写风险登记册的最初内容，后续风险管理过程的结果也要记录进风险登记册，并且风险信息的种类和数量也会逐渐增加.(随着进行定性定量,或者风险应对都要去修改风险登记册,就是信息会越来越详细.)

最初的风险登记册包含的信息

最初版本就是识别风险之后形成的风险登记册,它要记录每个风险的信息(信息包括以下三项).

已识别风险的清单

在风险登记册中，每项单个项目风险都被赋予一个独特的标识号。可可以使用结构化的风险描述来把风险本身与风险原因及风险影响区分开来.(例如风险登记册采用Excel,至少把500行先列出来500个风险,再进行编号.)

潜在风险责任人

如果已在识别风险过程中识别出潜在的风险责任人，京就要把该责任人记录到风险登记册中。随后将由实施定性风险分析过程进行确认.(因为项目经理不可能有能力,未来去监控分析每个风险,如果某些风险在识别的时候就知道,某人对技术风险把握的比较好,但他不是最终的风险责任人,是公布潜在的风险责任,项目管理方面的风险,潜在的责任可以是另一个人,也不是最终的,所有风险可以不设定风险责任人,因为未来定性风险分析才有真正的风险责任人,是在定性风险分析过程确定的,只是潜在,设不设定无所谓.)

潜在风险应对措施清单

如果已在识别风险过程中识别出某种潜在的风险应对措施，就要把它记录到风险登记册中。随后将由规划风险应对过程进行确认.(潜在应对措施只是识别,有些风险过去你反复用到,而且应对的方案很有效,可以把潜在应对措施写进去,不写也无所谓,规划风险应对过程才真正的确定风险应对措施.)

最基础的要求就是把风险记录到风险登记册就可以了.

风险报告

定义

**风险报告 (Risk Report)**提供关于整体项目风险的信息，以及关于已识别的单个项目风险的概述信息。风险报告的编制是一项渐进式的工作，随着项目进展，其他风险管理过程的结果也需要记录到风险报告中.(就是整体风险和单个风险的概数信息都记录到风险报告里,风险登记册和风险报告都是初步的,未来会逐步更新.)

整体项目风险的来源

说明哪些是整体项目风险口的最重要驱动因素.(风险报告里记录整体项目风险的情况.)

关于已识别单个项目风险的概述信息

例如，已识别的威胁与机会的数量、风险在风险类别中的分布情况测量指标和发展趋势.(单个风险汇总信息记录下来.)

案例分析问题

领导或者其他部门的领导,以及客户关注项目风险,作为项目经理提供关于风险的信息,每周都给他提供风险信息,是给他看风险登记册还是给他看风险报告?

显然是给他们看风险报告,所以报告才是未来真正的向干系人推送出去的信息,项目里有三个重要的报告,一个是工作绩效报告,一个是质量报告,一个是风险报告,三个报告一般是放到周报或者月报里.

项目文件更新

可在本过程更新的项目文件包括：

假设日志：在识别风险过程中，可能做出新的假设，识别出新的制约因素，或者现有的假设条件或制约因素可能被重新审查和修改。应该更新假设日志，记录这些新信息
问题日志：应该更新问题日志，记录发现的新问题或当前问题的变化
经验教训登记册：为了改善后期阶段或其他项目的绩效，而更新经验教训登记册，记录关于行之有效的风险识别技术的信息

假设日志和问题日志因为都是跟风险相关的,所以是很多风险过程的输入和输出.

核心知识整理

识别风险是识别单个项目风险以及整体项目风险的来源，并记录风险特征的过程
应该鼓励所有项目干系人特别是项目团队参与项目风险的识别工作
可用于识别风险的信息收集技术包括头脑风暴、核对单、访谈等
根据以往类似项目和其他来源的历史信息与知识编制风险核对单(属于组织过程资产的)
SWOT分析对项目的内外部优劣势、面临的机会和威胁进行分析的一种方法
提示清单是关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单

15.5 实施定性风险分析

课程目标

掌握实施定性风险分析过程的定义
了解实施定性风险分析过程的目标
熟悉实施定性风险分析过程的输入、工具与技术及输出的内容
掌握概率影响矩阵的用法(概率影响矩阵是在风险管理计划里,但是是在定性风险分析过程使用)
了解本过程中风险登记册更新的内容

过程定义

定义

通过评估单个项目风险发生的概率和影响以及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础.(此过程最关心的就是对单个风险做排序,从而为后续分析定量,重要的才做定量分析.)

作用

重点关注高优先级的风险.

时机

在整个项目期间开展

提示

定性风险分析基于项目团队和其他干系人对风险的感知程度，从而具有主观性.需要认清和管理关键参与者对风险所持的态度，使用引|导技术找出并纠正偏见.(主要是感知 很多情况下,风险发生的概率是高还是中,还是低,很多情况下,就是拍脑袋的,因为没定性,所以没有定量,只是定性,只要是拍脑袋.定性分析就会具有一些主观性,所以项目经理要注意到大家对风险的概率和影响的主观评级,要事先排除渐进的干扰,就是要知道大家可能会有主观性定性和定量,任何时候,任何分析,一般都是先定性,后定量,不排除量变引起质变,但是正常的人的认知,都是先定性,后定量而且很多情况下,定性如果出现差错的话,可能会出现很大的问题.(比如青年人从一个老人手里抢了一个钱包,钱包里有两块钱,这件事如果看他具体的行为,如果定义成抢劫的话,两块钱很可能10年起形起,如果定位成偷盗的话,偷盗这么少很轻微,就是刑事拘留就行了,所以定性很重要.),定性具有一些主观性,所以得想办法排除这种偏见的干扰.)
本过程的一项重要工作是为每个风险识别出风险责任人（ risk owner )，由他们负责规划风险应对措施，并确保应对措施的实施.(**定性风险分析过程做的很重要的一件事,就是为每个风险确定一个风险责任人.**项目经理没有办法继续再监控每个风险,所以为每个风险确定一个风险责任人,负责未来的定量分析,未来制定应对策略,未来监控风险等工作,风险一旦发生,由风险责任人提议变更,就未来的工作都是风险责任人去做,所以风险责任可以帮助项目经理承担风险管理的工作,项目经理可以只关注未来的整体风险,整体风险由项目经理负责,个别风险由风险责任人,项目经理也可以作为某些个别风险的风险责任人,主要看项目安排.)

数据流向图

通过风险登记册 对每个风险概率影响分析,得到多个风险形成排序列表,对列表优先级排序,把定性风险分析的结果更新回风险登记册.汇总信息更新会风险报告.

ITTO

1、输入

项目管理计划

项目管理计划组件包括：
- 风险管理计划：本过程中需要特别注意的是风险管理的角色和职责、预算和进度活动安排，以及风险类别（通常在风险分解结构中定义）、概率和影响定义、概率和影响矩阵和干系人的风险临界值通常已经在规划风险管理过程中把这些内容裁剪成适合具体项目的需要。如果还没有这些内容，则可以在实施定性风险分析过程中编制，并经项目发起人批准之后用于本过程

项目文件

可作为本过程输入的项目文件包括：
- 假设日志：用于识别、管理和监督可能影响项目的关键假设条件和制约因素，它们可能影响对单个项目风险的优先级的评估
- 风险登记册：包括将在本过程评估的、每个已识别的单个项目风险的详细信息
- 干系人登记册：包括可能被指定为风险责任人的项目干系人的详细信息

事业环境因素

能影响实施定性风险分析过程的事业环境因素包括：
- 类似项目的行业研究资料
- 已发布的材料，包括商业风险数据库或核对单

组织过程资产

能够影响实施定性风险分析过程的组织过程资产包括：
- 完成的类似项目的信息

2、工具与技术

专家判断

应考虑具备以下专业知识或接受过相关培训的个人或小组的意见：
- 以往类似项目
- 定性风险分析
专家判断往往可通过引导式风险研讨会或访谈获取。应该注意专家可能持有偏见

数剧收集

适用于本过程的数据收集技术包括访谈结构化或半结构化的访谈。(数据收集里主要是访谈 ,风险概率到底影响怎么样,得通过面对面的请专家,或者请领导来判断,这叫访谈技术.
其实访谈在很多过程都会用到.)
可用于评估单个项目风险的概率和影响，以及其他因素。访谈者应该营造信任和保密的访谈环境，以鼓励被访者提出诚实和无偏见的意见

数据分析

数据质量评估

简要分析

定性分析特有的工具和技术叫数据质量评估,计算机处理数据有一个最基本的原则,就是垃圾进垃圾出.不光是风险的分析做任何事情,如果基础数据混乱,甚至基础数据不准有误导的话,整个出来的结果报告肯定不准.

语言模型存在风险

国内大模型的训练,使用的语料都是从搜索引擎,各种百科,社交网站拿过来的,社交网站或者新闻网站原来可能有10%-20%是粗制滥造出来的瞎编的,现在估计都快40%了,很大一部分已经是由AI产生的.网上铺天盖地的已经是这种垃圾了,用这种垃圾再训练出一个模型,别管算力GPU多么强大,运算的模型多么精确,语料是垃圾,出来模型也不会太好,所以大模型的训练得风险很大.

风险数据质量评估

风险数据是开展定性风险分析的基础

风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性.(因为定性风险分析主要是针对单个风险.)

如何评估风险数据的质量

通过问卷调查了解项目干系人对数据质量的评价（完整性、客观性、相关性和及时性），进而对风险数据的质量进行综合评估.(问卷调查就是向大量的干系人收集信息,一般都用问卷调查,之后做调查的结果,就是对问卷调查之后结果做分析.)
计算加权平均数，作为数据质量的总体分数.(加权的分析其实就是对关注的每一个重要的数据,数据质量好不好调查一下,然后对结果做分析,最后对每一个数据的质量做一个总体的评分,这是数据量评估的过程.)

最坏情况

数据质量不可接受需要重新收集更好的数据.(数据质量最坏的情况就是发现数据质量基础数据完全不可用,得重新去收集各种数据.)

风险概率和影响评估

风险概率和影响评估分别定性地评估风险的两个方面
- 风险概率评估考虑的是特定风险发生的可能性，而风险影响评估考虑的是风险对一项或多项项目目标的潜在影响，影响评估要全面，如进度、成本、质量或绩效.(分别定性的评估风险的两个方面,就是分别评估每个风险的概率是多少,影响是多少,所谓的定性就是听起来说要凭概率,凭影响,好像是定量的.比如大家凑到一块,团队成员下午开个会,,专门针对于风险登记册里的100个风险,每个风险每位同事都拿到一个打印好的风险登记册,第一个风险读一下,风险分为五个等级,就是很高,高,中,等,很低,大家认为第一个风险是哪个等级,大家一拍拍脑袋,大部分一举手认为是中风险,项目经理一勾第一个是中风险风险等级,风险一旦发生,对项目的影响是什么,大家拍脑袋一确定,所以整个过程就是定性的分析,这是评估每个风险的概率和影响.)

注意两点：

① 威胁和机会都要进行概率和影响评估
② 要对每个已识别的单个项目风险进行概率和影响评估.(因为定性风险分析便宜)

如何进行风险评估？

采用访谈或会议的形式.
参加者：项目团队成员和项目外部资深人员.
会议内容：
- 评估每个风险的概率水平及其对每项目标的影响级别.
- 如果存在差异，则应对差异进行探讨.
- 记录相应的说明性细节.(评估如果有争议的话,可以再稍微讨论一下,最后把结果记录下来,包括评估的过程都记录下来.)

评估的结果和评论

每个风险都评估一下,是评估结果,有了评估结果,要去参考概率影响矩阵.

风险概率和影响明显很低的风险可不进行排序而是列入风险登记册中的观察清单，以供未来监控.

概率和影响矩阵

总结

所以整体来讲实施定性风险分析最主要的工作,就是评定每个概率风险,评定每个风险的概率和影响之后,查询概率影响矩阵,最后确定风险的优先级.

其他风险参数评估

为了方便未来分析和行动，在对单个项目风险进行优先级排序时，项目团队可能考虑除概率和影响以外的其他风险特征.

此类特征可能包括：

紧迫性 ：为有效应对风险而必须采取应对措施的时间段。时间短就说明紧迫性高
邻近性 ：风险在多长时间后会影响一项或多项项目目标。时间短就说明邻近性高
潜伏期 ：从风险发生到影响显现之间可能的时间段。时间短就说明潜伏期短
可管理性 ：风险责任人（或责任组织）管理风险发生或影响的容易程度。如果容易管理，可管理性就高
可控性 ：风险责任人（或责任组织）能够控制风险后果的程度。如果后果很容易控制，可控性就高可监测性：对风险发生或即将发生进行监测的容易程度。如果风险发生很容易监测，可监测性就高
连通性 ：风险与其他单个项目风险存在关联的程度大小。如果风险与多个其他风险存在关联，连通性就高
战略影响力 ：风险对组织战略目标潜在的正面或负面影响。如果风险对战略目标有重大影响，战略影响力就大
密切度 ：风险被一名或多名干系人认为要紧的程度。被认为很要紧的风险，密切度就高

要评估每个风险的概率和每个风险的影响,还有每个风险的这些属性或者参数

数据表现

概率和影响矩阵

概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格，用于把单个项目风险划分成不同的优先级组别.(风险概率影响矩阵确定每个风险最后是属于高中,还是低风险.)

接评估的结果和评论

概率影响矩阵实际上就是在风险管理计划里有一个概率影响矩阵,风险数据质量评估的结果就是每个风险把它的评估好的概率和影响,把概率和影响两个值乘到一块,来确定风险是高风险,还是低风险.此工具和技术叫概率和影响矩阵.实际上认为工具应该叫使用概率和影响矩阵来确定风险的等级 ,操作实际就是查表,概率影响矩阵就是一个表格,查完之后回到风险概率及影响评估表,加一列确定风险的排名.

应逐一评估每个项目风险的发生概率及对项目目标的影响，然后使用概率和影响矩阵，为风险分配优先级别

层级图

如果使用了两个以上的参数对风险进行分类，那就不能使用概率和影响矩阵，而需要使用其他图形。(不能用概率向矩阵,就是用气泡图.)
气泡图能显示三维数据。在气泡图中，把每个风险都绘制成一个气泡，并用x轴值、y轴值和气泡大小来表示风险的三个参数.

层级图是可以帮助做定性分析的,实际上图叫气泡图,气泡图实际上本质上就是个散点图,散点图只能表现两个维度的信息,它是用气泡的大小,点的大小表示三维的信息,特殊的散点图叫气泡图,PM指南里叫层级图.
监测性图里x轴是表示表现风险的属性(就是可监测性),越往左这类风险就是越不可监控,越不可预知,越往右风险的可监测性就越好,越高.
y轴是邻近性,邻近性就是跟项目很近,马上会影响项目,往下是邻近性很低,往上是邻近性很高.
一般是每个气泡表示一类风险,气泡的大小表示风险一旦发生对项目的影响,换句话说,气泡大小表示风险的重要性,把所有风险画到一个图里,图就叫气泡图或者叫层级图.
整个层级图里,更加看重右上角风险,右上角风险邻近性是高的,就是马上就会影响项目了,离项目很紧密,邻近性高,这可监测性又高,就是很容易的监测到.邻近性又高,监可监测性又高,这种位置如果是影响非常大的,冲击值非常大的大气泡,肯定要采取措施,不然它一旦很快发生的话,就马上会影响项目,因为它气泡大,影响大,所以这种风险不可接受 .通过观察层级图左下角冲击值小,而且它可监测性又低,不好监测,监测代价大,而且它离项目又很远,就是邻近性又很低,这种风险又不重要.这是属于可接受 .所以通过层级图可以判断如何对各种风险采取什么策略.

人际关系与团队技能

适用于本过程的人际关系与团队技能包括引导开展引导，能够提高对单个项目风险的定性分析的有效性。熟练的引导者可以帮助参会者专注于风险分析任务、准确遵循与技术相关的方法、就概率和影响评估达成共识、找到并克服偏见，以及解决任何可能出现的分歧.(主要是引导,特别是在定性得到结论的时候,要引导大家达成一致.)

风险分类

项目风险可依据风险来源、受影响的项目领域，以及其他实用类别（如项目阶段、项目预算、角色和职责来分类，确定哪些项目领域最容易被不确定性影响；风险还可以根据共同的根本原因进行分类.(每个风险最后要确定风险属于哪个类别,这叫风险分类.)
应该在风险管理计划中规定可用于项目的风险分类方法。
对风险分类，有有助于把注意力和精力集中到风险敞口最大的领域，或针对一组相关的风险制定通用的风险应对措施，从而有利于更有效地开展风险应对.

会议

要开展定性风险分析，项目团队可能要召开专门会议（通常称为风险研讨会）对已识别单个项目风险进行讨论.(确定每个风险概率或者影响,为每个风险排序的时候都可能召开会议,因为不是项目经理一个人能决定的.)

会议目标

审查已识别的风险
评估概率和影响（及其他参数）
对风险进行分类和优先级排序

在实施定性风险分析过程中，要逐一为单个项目风险分配风险责任人。以后，将由风险责任人负责规划风险应对措施和报告风险管理工作的进展情况.(整个实质定性风险分析过程中,不仅要确定每个风险概率和影响还要确定每个风险的责任人,未来风险的管理,都是风险责任人来负责.)

提示 : 可能识别出其他新的风险。应该记录这些风险，供后续分析.(在任何时候包括做定性风险分析的时候,也可能发现新风险,都得去记录并且分析.)

3、输出

项目文件更新

风险登记册

实施定性风险分析之后,要更新的最重要的文件就是风险登记册,就是在每个风险后边追加关于风险新确定的一些信息.

低优先级风险的观察清单或需要进一步分析的风险

进行定性风险分析之后,排序靠前的风险,重要的风险才做定量分析,排序靠后的,又不重要,发生的可能性又小,一旦发生对项目的影响又很小,这种不重要的风险也不能忽略,要把它放到观察清单,观察清单的风险还不能忽略,因为风险项目里不是一成不变的,很可能在项目的初期规划的时候,认为风险很小,不是特别重要,比如有的干系人,初期不重要,他对项目不满意,但是他仅是接头人,不满意是一个风险,进入到风险观察列表,不能把他删掉.因为风险会一直在转化,很可能项目中期,人突然提升了,变成客户领导,如果不重视,认为风险真的没有风险,就死定了,所以所有风险包括前面看起来不重要的风险,都得进行监控而,且是持续监控.

假设日志

在实施定性风险分析过程中可能做出新的假设、识别出新的制约因素，或者现有的假设条件或制约因素可能被重新审查和修改。应该更新假设日志，应记录这些新信息.

问题日志

应该更新问题日志，记录发现的新问题或当前问题的变化.

风险报告

更新风险报告，记录最重要的单个项目风险（通常为概率和影响最高的风险）、所有已识别风险的优先级列表以及简要的结论.

核心知识整理

实施定性风险分析是评估风险发生的概率和影响以及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程.(每个风险必须做定性分析)
本过程的一项重要工作是为每个风险识别出风险责任人，由他们负责规划风险应对措施，并确保应对措施的实施.
风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性
要对每个已识别的单个项目风险进行概率和影响评估
概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格，用于对风险排序
风险概率和影响明显很低的风险可不排序，而是列入观察清单，供将来监控

15.6 实施定量风险分析

课程目标

掌握实施定量风险分析过程的定义
了解实施定量风险分析过程的目标
熟悉实施定量风险分析过程的输入、工具与技术及输出的内容
掌握决策树的分析方法和预期货币值分析的计算
了解敏感性分析和模拟技术在定量风险分析中的应用
了解本过程中风险登记册的更新内容

定义

就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析

作用

量化整体项目风险口，并提供额外的定量风险信息，以支持风险应对规划

时机

并非每个项目必需，但如果采用，它会在整个项目期间持续开展.(并不是每个风险都要做定量风险分析)

费用昂贵

定量风险分析需要高质量的基础数据以及扎实的项目基准，而且会消耗比较大的人力、物力和时间，因此只有重要的风险才进行定量分析.(特别贵要考虑很多东西导致很多项目里,大家没见过定量风险分析的技术.)

什么要做定量分析

大型或复杂的项目
具有战略重要性的项目
合同要求进行定量分析的项目(甲乙双方合同里规定得对某些风险做定量分析,此种特殊要求的情况下,才做定量风险分析.)
主要干系人要求进行定量分析的项目

数据流向图

进度要参考进度的估算依据,成本要参考成本的估算结果和估算依据,定量风险分析实际上要更新两个文件,更新风险登记册,还可能去更新风险报告.

ITTO

敏感性分析技术,决策树分析,影响图只要知道是属于定量风险分析各有的技术,换句话说,看到决策树知道他是在做定量风险分析,看到模拟,或者蒙特卡洛,或者敏感性分析知道是定量的技术就可以.

1、输入

项目文件

可作为本过程输入的项目文件包括：
- 假设日志：如果认为假设条件会引发项目风险，那么就应该把它们列作定量风险分析的输入。在定量风险分析期间，也可以建立模型来分析制约因素的影响
- 估算依据：开展定量风险分析时，可以把用于项目规划的估算依据反映在所建立的变异性模型中。可能包括估算目的、分类、准确性、方法论和资料来源
- 成本估算：提供了对成本变化性进行评估的起始点
- 成本预测：包括项目的完工尚需估算（ETC)、完工估算（EAC）、完工预算(BAC）和完工尚需绩效指数（TCPI）。把这些预测指标与定量成本风险分析的结果进行比较，以确定与实现这些指标相关的置信水平
- 持续时间估算：提供了对进度变化性进行评估的起始点
- 里程碑清单：项目的重大事件决定着进度目标。把这些进度目标与定量进度风险分析的结果进行比较，以确定与实现这些目标相关的置信水平
- 资源需求：提供了对变化性进行评估的起始点
- 风险登记册：包含了用作定量风险分析的输入的单个项目风险的详细信息
- 风险报告：描述了整体项目风险的来源，以及当前的整体项目风险状态
- 进度预测：可以将预测与定量进度风险分析的结果进行比较，以确定与实现预测目标相关的置信水平

项目管理计划

项目管理计划组件包括：
- 风险管理计划：确定项目是否需要定量风险分析，还会详述可用于分析的资源，以及预期的分析频率
- 范围基准：提供了对单个项目风险和其他不确定性来源的影响开展评估的起始点
- 进度基准：提供了对单个项目风险和其他不确定性来源的影响开展评估的起始点
- 成本基准：提供了对单个项目风险和其他不确定性来源的影响开展评估的起始点

事业环境因素

能够影响实施定量风险分析过程的事业环境因素包括：
- 类似项目的行业研究资料
- 已发布的材料，包括商业风险数据库或核对单

组织过程资产

能够影响实施定量风险分析过程的组织过程资产包括：
- 已完成的类似项目的信息

2、工具与技术

专家判断

应该就以下主题进行专家判断：
- 将单个项目风险和其他不确定性来源的信息转化成用于定量风险分析模型的数值输入
- 选择最适当的方式表示不确定性以便为特定风险或其他不确定性来源建立模型
- 用适合项目环境的技术建立模型
- 识别最适用于所选建模技术的工具
- 解释定量风险分析的输出

数据收集

访谈可用于针对单个项目风险和其他不确定性来源，生成定量风险分析的输入。当需要向专家征求信息时，访谈尤其适用。访谈者应该营造信任和保密的访谈环境以鼓励被访者提出诚实和无偏见的意见

人际关系与团队技能

适用于本过程的人际关系与团队技能包括引导。在由项目团队成员和其他干系人参加的专门风险研讨会中，配备一名熟练的引|导者，有助于更好地收集输入数据可以通过阐明研讨会的目的，在参会者之间建立共识，确保持续关注任务，并以创新方式处理人际冲突或偏见来源，来改善引导式研讨会的有效性.(人际关系里的引导技术,其实定性分析也得用引导技术,因为不管是定性还是定量,最后大家都得对结果达成一致.)

不确定性表现方式

要开展定量风险分析，就需要建立能反映单个项目风险和其他不确定性来源的定量风险分析模型，并为之提供输入.(为模型提供输入就是得把各种数据交给模型(就是计算方法),让它帮你计算出一个具体值,定量分析就是算一个值.)

把概率(就是可能性),画出来,一件事情有三个方向,三种可能性,把每种可能性的概率标出来,就叫概率分支图
因为不管是概率分布还是概率分支,概率件事本身它就是蕴含风险,就是一种不确定性,所以两个技术是属于无确定性的表现技术,或者说属于定量风险的分析技术.

数据分析

模拟

模拟是一类技术的统称，是指使用一个模型来模拟单个项目风险和其他不确定性来源的综合影响，以评估它们对项目目标的潜在影响.(风险对整个项目进度的影响,或者成本的影响是多大,此种技术叫模拟技术.就是使用模拟技术来求得风险对整体的影响,包括成本的影响,进度的影响都可以使用技术.)

蒙特卡洛原理

多次计算 ：每次计算时，都从这些变量的概率分布中随机抽取数值作为输入。通过多次计算，得出关于目标值的概率分布直方图.(蒙特卡洛是一种模拟技术,模拟技术属于定量技术,它可以对进度或者成本做定量分析.蒙特卡洛的原理就是多次运算)

活动的成本来得到总成本,怎么通过模型能模拟个别成本,活动成本如何影响项目总成本.
项目由5项活动组成,领导想让你估算总项目的总成本,但是每个活动的成本都不能确切估算出来,换句话说,每个活动成本都没法估算一个具体值,就是每个活动成本都是一个概率分布,第一个活动他花就是0万,0元的钱的可能性很小,花1万,5万,他第一个活动最可能的是花10万,11万,花到20万就不太可能了,每个活动的成本估算都是一个概率分布,领导让你计算总项目成本.几乎不可能算不可能累加,因为没法累加,怎么办,开始用蒙特卡洛,就是5个活动成本第一次蒙特卡洛,根据每个成本他的概率分布模拟随机的在他的概率分布之内随机的选一个值,随机选但是根据概率选,第一个活动随机的概率是随机4.5万,第二个活动成本随机的是6.7,等,把五个值加到一块得22万,作为此次蒙特卡顿的结果,不能只计算一次,得计算1万次,甚至10万次,根据每个成本的概率分布,每次都是随机确定一个成本的值,计算10万次之后,计算出10万个总成本,所以蒙特卡洛的结果也不是一个值,是下图绿色的线,只能给领导看一条线,领导说让你计算总成本,怎么给一条线,你告诉他蒙特卡洛的结果不是一个值,就是一条线,下图中项目在220万之内完成的可能性是23%,因为是一个10万次的累加值,累加成条线,是在245之内完成的概率是82%,领导想坚决让项目完成,让他给280万,在280万之内完成的概率是100%,因为经过前面的反复的模拟,所有的模拟结果都不会超过280万,如果给投280万肯定是能完成,就是模拟或者蒙特卡洛的结果.

模拟图

敏感性分析

定义

敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响。(多个变量影响目标,哪个变量对目标影响最大,排列一下)

作用

它在项目结果的变动与定量风险分析模型中要素的变动之间建立联系

定量风险分析模型

描述

最关心某个项目目标,关心项目的工期或者持续时间,关心指标跟持续时间有影响的因素,八项因素都会影响项目的持续时间,8个变量或者因素哪个对持续时间的影响最大,最大就是最敏感,把它找出来进行控制,想控制项目持续时间就是花最大的精力控制最敏感的那个变量,控制变量就容易控制持续时间了.

解析

影响度实际上采用控制变量法,就是想知道目标影响是多少,比如八个影响因素,假设某个是敏感事件,就把其他七个变量给一个固定或者基准值,对敏感值进行大小调试,看变量对目标的影响值,最后给一个评测指标,不断重复控制七个值,调试一个值,直到找到真正的敏感值,八个因素,要做八次试验,每次试验要用很多基础数据,才得到每个变量如何影响目标值.会得到下图.
图中第一个变量(表格第一行),对整个就是持续时间的影响最大,用橙色表示正向影响,换句话说就是变量越大,它会导致持续时间就越大.第三个影响值/第三个敏感的变量越大,持续时间会越短,所以它是负向影响.有的因素跟目标变量是正相关,有的是负相关.
更简单的情况可以分别计算每个变量对目标值的相关系数,大小长短表示相关系数,换句话说相关系数越大,说明变量越能影响的目标值.

图中展示了定量风险分析模型中的每项要素与项目持续时间之间的相关系数，称为龙卷风图.(龙卷风图是敏感性分析的结果,敏感性分析的结果可以通过龙卷风图展现出来,它就是一个定量分析的技术)

决策树分析(出计算题)

定义

决策树是对所考虑的决策以及采用各种方案可能产生的后果进行描述的一种图解方法。可以利用决策树在若干备选行动方案中选择一个最佳方案.(决策树是用于在多个备选方案里选择一个的一种决策技术,所以叫决策树.)

概念

EMV是预期货币值,预期货币值就是整体而言考虑了各种风险之后,项目能给你创造的收益.

例题

题目要点

现在有一笔钱两个项目,但是只能投资一个项目,到底投资a项目还是b项目,投资决策是一个决策点,要分别计算一下每个项目能给你带来的收益,每个项目收益通过概率表示,所以是一个定量的技术,在做计算题的时候只要发现计算题里有概率两个字或者个百分比都是定量技术.

题目

A项目投资之后,做项目之后成功的可能性70%,能赚500万,失败的可能性30%,失败得亏200万,整体项目做A项目的收益如何?同理分析B项目,整体项目做B项目的收益如何?

计算

做选择的时候,直接选择第二个项目.

小结

决策树算法实际上要结合预期货币值技术,最后要选择预期货币值最大的那个分支.

决策树示例(了解)

备注1：决策树显示了在环境中包含不确定因素（以"机会节点表示"）时，怎样在不同资本策略（以"决策节点"表示）之间制定决策

备注2：本例中，在投资1.2亿美元建设新厂和投资5000万美元改造老厂之间制定决策，两种决策都必须考虑到需求（不确定，因此以"机会节点"表示）。

例如，需求强劲情况下，建设新厂，可带来2亿美元的收入，如改造老厂，则可能由于产能的限制，仅可带来1.2亿美元的收入。两个分支末端都显示了收益减去净效益。两个决策分支中，将所有的效果叠加（见阴影区域），决定决策的整体预期货币价值（ EMV ）。请不要忘记考虑投资成本，阴影区域的计算表明，改造老厂的 EMV 较高（4600美元），整体决策的 EMV 也较高。（这种选择的风险也较小，避免了最差情况下损失3000万美元的可能。

影响图

定义

影响图是不确定条件下决策制定的图形辅助工具。它将一个项目或项目中的一种情境表现为一系列实体、结果和影响，以及它们之间的关系和相互影响.(影响图实际上就是一个特殊的因果图,就是在有风险的种条件下做决策的一种图形技术.图是由实体,结果和影响组成的,三者之间有关系)

影响图

最后关心结果就是利润,关心什么东西会影响项目的利润,市场策略会影响,但是它不是直接影响的,就是此种因果关系,市场策略影响利润,但是又是一种特殊的市场策略会影响价格,价格会影响销量,市场策略又会影响开发成本或者市场成本等,又会影响其他的开发成本影响质量,质量和价格合在一块又影响销量,销量影响收入但是开发成本和市场成本影响成本,收入和成本又最终会影响利润.
把各种实体之间复杂的影响关系画出来,此种图叫影响图

3、输出

项目文件更新

风险报告

除了更新风险报告,肯定要更新风险登记册.定量是分析每个风险最终什么样,对整个项目的影响,到底是影响100万还是影响200万对整个项目,所以把这些结果记录到风险报告.

更新风险报告，反映定量风险分析的结果，通常包括：

对整体项目风险口的评估结果。整体项目风险有两种主要的测量方式：
- 项目成功的可能性。基于已识别的单个项目风险和其他不确定性来源，项目实现其主要目标（例如，既定的结束日期或中间里程碑、既定的成本目标）的概率
- 项目固有的变异性。在开展定量分析之时，可能的项目结果的分布区间
项目详细概率分析的结果。列出定量风险分析的重要输出，如：S曲线、龙卷风图和关键性指标，以及对它们的叙述性解释。定量风险分析的详细结果可能包括：
- 所需的应急储备，以达到实现目标的特定置信水平
- 对项目关键路径有最大影响的单个项目风险或其他不确定性来源的清单
- 整体项目风险的主要驱动因素，即：对项目结果的不确定性有最大影响的因素
单个项目风险优先级清单。根据敏感性分析的结果，列出对项目造成最大威胁或产生最大机会的单个项目风险
定量风险分析结果的趋势。随着在项目生命周期的不同时间重复开展定量风险分析，风险的发展趋势可能逐渐清晰。发展趋势会影响对风险应对措施的规划
风险应对建议。风险报告可能根据定量风险分析的结果，针对整体项目风险口或关键单个项目风险提出应对建议。这些建议将成为规划风险应对过程的输入

核心知识整理

实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程
一般先进行风险的定性分析，对风险相对清晰的认识后，再进行定量分析
定量风险分析需要高质量的基础数据，消耗比较大的人力、物力和时间，只有重要的风险才进行定量分析
蒙特卡洛分析对多个影响因素进行多次模拟，目标结果不是一个具体值，而是一个概率分布(会得到一个概率分布,包括成本的概率分布,或者进度的概率分布.)
敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响
可以利用决策树分析在若干备选行动方案中选择一个最佳方案

15.7 规划风险应对

规划风险应对,识别的所有风险,经过定性定量风险分析之后,要跟团队成员一块来商量每个风险的应对策略,写到风险应对计划里.

课程目标

掌握规划风险应对过程的定义
了解规划风险应对过程的目标
熟悉规划风险应对过程的输入、工具与技术及输出的内容
掌握针对威胁和机会的各种应对策略及其应用
掌握应急计划和弹回计划的含义及作用
了解次生风险和残余风险的概念

过程定义

定义

处理整体项目风险口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动

作用

制定应对整体项目风险和单个项目风险的适当方法；还将分配资源，并根据需要将相关活动添加进项目文件和项目管理计划

时机

在整个项目期间开展

两个重要

第一个重要

一旦完成对风险的识别、分析和排序指定的风险责任人就应该编制计划以应对单个项目风险；(风险责任人:在定性风险分析的时候,要为每个风险指定一个风险责任人,所以现在就是需要.如果是单个风险是由风险责任人来制定对策略或者计划,你项目经理可以指导,可以帮助.但是对于项目整体的风险,可能得需要项目经理制定应对计划.)
项目经理应该思考如何针对整体项目风险的当前级别做出适当的应对.

第二个重要

风险应对方案应该与风险的重要性相匹配、能经济有效地应对挑战、能获得全体在当前项目背景下现实可行、干系人的同意，并由一名责任人具体负责。往往需要从几套可选方案中选出最优的.
(风险应对方案:能经济有效的应对挑战.但最后还得获得相关的干系人的同意,由风险责任人具体负责.

风险重要性相匹配:比如IT项目有50个开发人员,但是其中只有一个开发人员因为家里问题,北京的项目可能家里要搬到广州,预计团队成员可能要离职,只是有一种意向或者风险记录下来,为了应对风险,把整个项目终止,50个团队成员一个都不用,花500万把整个项目外包出去,但是不值得,这种应对方案跟风险的重要性完全不匹配,不匹配是指可能风险特别大,有的时候,用很小的应对方案去解决也不合适,所以要匹配.)

数据流向图

规划风险应对要参考资源日历(就是规划风险应对的计划里边也需要资源,需要参考资源日历.),项目团队派工单,通过提变更请求去更新很多计划或者基准,所有49个过程只有规划风险应对过程执行完之后很动荡,几乎把已有的计划/基准都更新了一遍,因为风险太重要了.(比如为了应对某一个团队成员可能离职风险,在项目开始的时候,因为开始就要应对减轻风险,项目开始在原来原有50个成员的团队成员的基础之上,再从职能经理再调用两个初级程序员,就是为了应对离职.看似简单实则复杂,因为资源得重新去分配,所以得提变更两个资源进来,整个项目的成本追加了,成本基准得改,进度可能会减少,进度基准会改,关于两个团队成员是新成员得培训,就是人力资源管理计划里得追加,也得改得追加培训的内容等,要改很多计划或者基准,只是针对于一个风险应对,要改这么多东西,何况有100个风险都去执行他的应对,计划都要做很多事情),所以规划风险应对过程执行之后,要修改很多很多东西,就是风险管理是很消耗资源.

ITTO

重点要学习的必须理解并且掌握是威胁的5种应对策略,机会的应对策略很简单,整体项目风险的应对策略都很简单,跟威胁的5种应对策略类似.还会了解应急应对策略或者应急计划.

残余风险与此生风险

残余风险

残余风险是指在采取预定应对措施之后仍然存在的风险，以及已经有意接受的风险.(残余风险是指在采取预定的应对措施之后,仍然存在的风险,就是没应对干净的风险,以及已经有意接受的风险,执行完风险应对计划之后,还对项目造成一定的影响的风险.举个例子:有人要离职,采取找人反复沟通谈话就是策略,策略执行之后,风险可能会小一点,但是风险还在,这就是残余风险.)

次生风险

次生风险是执行应对措施直接导致的新风险，即如果不应对前一个风险便不会发生这个风险.(有人要离职进行挽留,直接给人加薪挽留,把薪资一个月2万块钱直接提到4万,很可能员工很高兴,可能离职就是因为薪资不足,给他翻倍之后,他就不离职了,风险解决了,但是很可能造成更大的新风险,别的员工知晓后非常不满意,志气低落,很可能次生风险,对项目的伤害更大.)

在制定风险应对策略时，应该考虑该策略实施后可能出现的残余风险和次生风险，并根据需要制定应对策略.(所以在规划风险应对的时候,既要考虑残余风险,残余风险是否可接受,又要考虑应对方案会产生次生风险,是不是次生风险反而更严重.采取一个措施必然要考虑次生风险.只有考虑残余风险和次生风险,才能更好的选择应对策略.)

1、输入

项目管理计划

项目管理计划组件包括：
- 资源管理计划：有助于确定该如何协调用于风险应对的资源和其他项目资源.
- 风险管理计划：本过程会用到其中的风险管理角色和职责，以及风险临界值.
- 成本基准：包含了拟用于风险应对的应急资金的信息.

项目文件

可作为本过程输入的项目文件包括：
- 经验教训登记册：查看关于项目早期的风险应对的经验教训，确定类似的应对是否适用于项目后期.
- 项目进度计划：可用于确定如何同时规划商定的风险应对活动和其他项目活动.
- 项目团队派工单：列明了可用于风险应对的人力资源.
- 资源日历：确定了潜在的资源何时可用于风险应对.
- 风险报告：风险报告中的项目整体风险口的当前级别，会影响选择适当的风险应对策略。风险报告也可能按优先级顺序列出单个项目风险，并对单个项目风险的分布情况进行了更多分析这些信息都会影响风险应对策略的选择.
- 干系人登记册：列出了风险应对的潜在责任人.

项目文件

规划风险应对过程最重要的参考文件是风险登记册(规划风险应对就是为了针对于风险登记册里的每个风险来确定它的应对方案,所以肯定要参考风险登记册)
- 风险登记册包含了已识别并排序的、需要应对的单个项目风险的详细信息.(风险登记册里应该参考包括的内容)
- 每项风险的优先级有助于选择适当的风险应对措施(风险登记册里已经有关于优先级的信息)
  - 例如，针对高优先级的威胁或机会，可能需要采取优先措施和积极主动的应对策略；而针对低优先级的威胁和机会，可能只需要把它们列入风险登记册的观察清单部分，或者只需要为之增加应急储备，而不必采取主动的管理措施.
- 风险登记册列出了每项风险的指定风险责任人，还可能包含在早期的项目风险管理过程中识别的初步风险应对措施.(风险责任人)
- 风险登记册可能还会提供有助于规划风险应对的、关于已识别风险的其他信息，包括根本原因、风险触发因素和预警信号、需要在短期内应对的风险，以及需要进一步分析的风险.

事业环境因素

能影响规划风险应对过程的事业环境因素包括：
- 关键干系人的风险偏好和风险临界值.

组织过程资产

能够影响规划风险应对过程的组织过程资产包括：
- 风险管理计划、风险登记册和风险报告的模板.
- 历史数据库.
- 类似项目的经验教训知识库.

2、工具与技术

专家判断

应该就以下主题进行专家判断：
- 威胁应对策略
- 机会应对策略
- 应急应对策略
- 整体项目风险应对策略
可以就具体单个项目风险向特定主题专家征求意见，例如在需要专家的技术知识时

数据收集

适用于本过程的数据收集技术包括访谈。单个项目风险和整体项目风险的应对措施可以在与风险责任人的结构化或半结构化的访谈中制定。必要时，也可访谈其他干系人。访谈者应该营造信任和保密的访谈环境，以鼓励被访者提出诚实和无偏见的意见.(数据收集里访谈,访谈就是要跟风险责任人或者其他人去商定应对策略.)

人际关系与团队技能

适用于本过程的人际关系与团队技能包括引导。开展引导，能够提高单个项目风险和整体项目风险应对策略制定的有效性。熟练的引导者可以帮助风险责任人理解风险、识别并比较备选的风险应对策略、选择适当的应对策略以及找到并克服偏见.(引导:最后要对哪个风险的应对策略,应对计划,进行共识.)

威胁应对策略

一般来讲如果是比较严重的风险,可以采取规避或者减轻,比较轻的风险,可以采取转移或者接受.

上报 ( Escalate )

如果项目团队或项目发起人认为某威胁不在项目范围内，或提议的应对措施超出了项目经理的权限，就应该采用上报策略.(整合式风险管理就是项目经理和团队发现,风险是可能会影响到项目,但是有两种情况,一种是会影响到整个项目级,项目组合,以及整个企业,影响范围很大.把上报给受影响的项目级经理就不用管了,记录到风险登记册,连监控都不用监控,这是上报.另外一种情况,就是会影响项目影响很大,但是没有能力去对抗风险,所以上报,让项目级或者更高层的领导去应对,也可以上报.)

威胁上报给谁？

上报给其目标会受该威胁影响的那个层级项目经理确定应就威胁通知哪些人员，并向该人员或组织部门传达关于该威胁的详细信息.(上报给受影响的相应级别负责经理,如果项目级受影响,上报给项目级经理,项目组合受影响,上报给项目组合经理,职能部门受影响,上报给职能经理,结论就是谁受威胁谁才愿意接受或者承担责任.)

对于被上报的威胁，组织中的相关人员必须愿意承担应对责任.

上报之后？

被上报的风险将在项目集层面、项目组合层面或组织的其他相关部门加以管理.
不再由项目团队监督，仍保留在风险登记册中.(项目内部不再由项目团队监督了,只是把它记录到风险登记册保留,连监控都不用监控,这是上报之后,什么都不用管.)

规避风险 ( Avoid )

规避是指项目团队采取行动来消除威胁，或保护项目免受威胁的影响。
它适用于发生概率较高，且具有严重负面影响的高优先级威胁.(如果消除不了威胁,可以想办法让项目不受威胁的影响也行,一般是重大影响的风险,采取规避的策略.)

规避风险的两个思路

规避策略可能涉及变更项目管理计划的某些方面，或改变会受负面影响的目标，以便于彻底消除威胁，将它的发生概率降低到零.(第一种,变更项目管理计划的某些方面:主要是指改范围或者改进度某个方面.比如项目可能会遇到工期延长,就去把整个工期延长.第二个改变受负面影响的目标(目标主要是指范围),整个项目里要开发10个模块,系统做一个无人驾驶车控系统,系统里要做五大功能,一个是导航功能,二是车部内部的功能等,其中第五个功能叫无人驾驶,最后发现无人驾驶面临的风险太大,包括法律法规的风险,即使开发的很好国家不让用也不行,第五个模块还面临很多技术类的风险,如没有精准的地图,项目经理最后决定无人驾驶车控系统削减一个模块,只做4个模块.这样法律对无人驾驶监控风险还在,但是对项目没有影响,所以消除/规避了风险,这就是通过减少范围来进行规避.)
风险责任人也可以采取措施，来分离项目目标与风险万一发生的影响就是将威胁与项目隔离，一旦威胁发生也不会影响项目.(风险责任人也可以采取措施,将威胁项目的事情隔离,其实就是改变项目的目标,一旦威胁发生也不会影响项目.)

规避风险的具体措施(需要背记)

转移 ( Transfer )

定义

转移涉及到将应对威胁的责任转移给第三方，让第三方管理风险并承担威胁发生的影响。采用转移策略，通常需要向承担威胁的一方支付风险转移费用 (威胁还在发生的概率还没变,一旦发生了让第三方管理风险并承担威胁发生的影响,采用转移策略,通常需要向承担威胁的第三方支付风险转移费用.比如买保险就是一个典型的就是转移策略.风险是没变的,但是应对的责任转移了.)

提示

转移风险是把风险管理责任简单地推给另一方，而并非消除风险

例子

购买保险、使用履约保函、使用担保书、使用保证书等.(履约保含就是花钱保证对方执行,就是花钱买延保.)

转移形式(背记)

通过签订协议，把具体风险的归属和责任转移给第三方.(为什么把模块外包出去.就是为了减少风险,或者开发模块技术难度太大,技术风险太大,外包给别人,不浪费自己的人力成本,外包出去又好又便宜,这也是转移了成本风险,所以考试的时候,一切外包活动,都认为是采取这种转移的策略.)

减轻 ( Mitigate )

风险减轻是指采取措施来降低威胁发生的概率或影响。提前采取减轻措施通常比威胁出现后尝试进行弥补更加有效.(风险减轻是指采取措施两种方式,或者降概率,或者降影响,最后都会减轻风险的影响.比如下雨这件事,阴天了,其实打不打伞,对于下雨的概率都不会变,不会因为大家都打伞了,就不下雨了,概率是没变,但是有一把伞可以减轻一旦下雨对你的影响.)

减轻措施之降低概率

采用较简单的流程
进行更多次测试
选用更可靠的卖方
采用原型开发

减轻措施之降低影响

在一个系统中加入余部件，可以减轻原始部件故障所造成的影响.(在关键环节的IT系统里都可以做冗余,冗余原来比较常用的就是主机热备份(或叫双机热备份),就是花两份钱,本来一个主机花15万,同时花30万两台并行运行,但是另外一台是热备份,第一台一旦发生故障,第二台马上接着运行,就是降低影响,但是要多花一份钱.还有现在很多大卡车都是双轮胎设计,每一边轮胎都是双轮胎运行,也是为了防止爆胎造成的影响,因为如果只有一个轮胎爆胎风险太大,大货车在高速上多恐怖,这种增加重复就是减轻影响.)

接受 ( Accept )

定义

风险接受是指承认威胁的存在，但不主动采取措施.(接受基本上就是不决定采取很激烈的提前的措施,就是不准备改各种子计划,改各种基准,只是承认威胁的存在而已,风险就是识别了,只是到这一步,但是怎么应对,不采取主动.)
此策略可用于低优先级威胁，也可用于无法以任何其他方式加以经济有效地应对的威胁.

机会应对策略

上报（ Escalate ) (机会的上报跟威胁的上报完全一样)
开拓（ Exploit ) (机会的开拓相当于威胁的回避)
分享（ Share ）(机会的分享相当于威胁的转移)
提高（ Enhance )(机会的提高相当于威胁的减轻)
接受（ Accept ) (对机会也是被动的,躺平的被动接受,也可以是主动争取美好的未来.)

上报（ Escalate )

如果项目团队或项目发起人认为某机会不在项目范围内，或提议的应对措施超出了项目经理的权限，就应该采用上报策略

机会上报给谁？

上报给其目标会受该机会影响的那个层级.
项目经理确定应就机会通知哪些人员，并向该人员或组织部门传达关于该机会的详细信息.

对于被上报的机会组织中的相关人员必须愿意承担应对责任.

上报之后？

被上报的机会将在项目集层面、项目组合层面或组织的其他相关部门加以管理.
不再由项目团队监督，仍保留在风险登记册中.

开拓（ Exploit )

如果组织想确保把握住高优先级的机会，就可以选择开拓策略此策略将特定机会的出现概率提高到100%，确保其肯定出现，从而获得与其相关的收益.(开拓就是因为是机会,可发生可不发生的情况,想办法非让它发生)

什么情况下才算开拓策略(背记)

把组织中**++最有能力++**的资源分配给项目来缩短完工时间.(比如客户跟乙方的你讲,每提前一天奖励1万块钱这是一个机会,要想办法提前如果多投入10个程序员不是开拓,因为投入的是普通资源,普通资源能力没那么强,很有可能或者有更大的概率能提前,但是不一定,只有投入的是企业的核心资源,最有能力的资源.)
采用**++全新技术或技术升级++**来节约项目成本并缩短项目持续时间.(为了加快进度,把企业的技术总监投入进去,才叫开拓.在项目里使用新技术来缩短工期,这也是一种开拓.)

分享涉及到将应对机会的责任转移给第三方，使其享有机会所带来的部分收益。必须仔细为已分享的机会安排新的风险责任人，让那些最有能力为项目抓住机会的人担任新的风险责任人.(机会就是一件好事,未来有个大的项目盈利非常可观,但是自己好像做不了,所以请一个第三方共同的合作的完成这项任务,就是机会的分享,把机会分享给第三方共同收益.)

采用风险分享策略通常需要向承担机会应对责任的一方支付风险费用.(对于威胁转移,要支付给第三方钱.分享为什么也得支付.就是就是一件好事,一个新的业务,让对方帮你一块来完成,肯定你要支付对方费用,所以分享也是有支付的)

分享措施

建立合伙关系、合作团队、特殊公司或合资企业来分享机会.(双方成立一个合资公司来完成这件事.)

提高（ Enhance )

提高策略用于提高机会出现的概率或影响。提前采取提高措施通常比机会出现后尝试改善收益更加有效.(机会的提高策略就是对于威胁的减轻,提高就是想办法提高这件事的概率,或者想办法加强这件事的影响.)

提高概率

为早日完成活动而增加资源.(一般为了提前完工,投入一般资源,投入10个,20个,100个,属于提高策略.)

提高影响

为抓住二胎政策可能带来的机会，某公司决定扩充婴幼儿奶粉生产线.(比如国家鼓励三胎,四五胎都没人管了,为了抓住二胎政策,生产婴幼儿用品公司,加大规模生产更多奶粉,童车等,就是可以提高影响)

区分开拓与提高？

为抓住机会，增加的是关键资源或利用了新技术，则选择开拓；
如果增加的是普通资源，则选提高.

如何区分开拓和提高这两种策略,就是得区分增加的资源,是关键资源或者新技术才叫开拓,不然的话就是提高.

接受（ Accept )

接受机会是指承认机会的存在，但不主动采取措施。此策略可用于低优先级机会，也可用于无法以任何其他方式加以经济有效地应对的机会.

留时间或者留钱留应急储备,不是想办法让这件事非发生,就是让其有发生可能性的情况下,再花出钱,叫主动接受.

应急应对策略

对于某些风险，如果项目团队相信其发生会有充分的预警信号,那么就应该制定仅在某些预定条件出现时才执行的应对计划.(规划风险管理的时候,要去制定一个计划叫应急应对策略,生产环境下一般叫应急计划.)

触发条件

应该定义并跟踪应急应对策略的触发条件，触发条件是表明风险即将发生的事件或情形，例如，未实现中间的里程碑，或获得卖方更高程度的重视.(预警信号也叫触发条件.触发条件不是事件本身,它是表明风险事件马上要发生的另外的事件或者情景.比如下雨是一个风险,阴天打雷,这就是突发条件或者预警信号.)

有预警信号的风险才能制定应急应对计划(对有预警信号的风险提前制定一个应对计划,就叫应急应对计划,应急应对计划不是在项目管理计划中,它就是一个单独的一个计划,它直接写到风险登记册,因为应急计划东西不一定执行,但是你项目管理计划一定执行应急计划.)

应急计划/弹回计划

制定应急应对计划可以看作一种接受风险的策略。不在项目管理计划中体现，而是单独制定一个文件，称为应急计划或弹回计划，其中包括已识别的、用于启动计划的触发事件、事件发生后应该采取的具体步骤.(弹回计划也叫备用计划/后备计划,就是对于很重要的风险,制定一个A计划叫应急计划,应急计划如果失败的话,可以提前在制定B计划,返回计划就是A计划失败的情况下,B计划才执行,所以实际上A计划都不一定有执行的情境,B计划更不太可能执行,一般重大风险才给一个B计划,B计划就是弹回计划,一般花的是管理储备.)

应急计划示例

风险：下雨
触发条件：阴天、打雷
行动步骤：
- 1、大声喊叫提醒干系人
- 2、纟组织团队收衣服
所需资金：1万元
资金来源：应急储备

解析示例: 现在还没下雨项目开始执行,预计到下雨是一个风险(就是可能下雨),提前写一个应急计划,就是现在连阴天打雷都没有,预计到户外施工项目可能下雨,所以为下雨风险制定一个应急计划,写清楚应急计划内容是什么,就是行动步骤,要大声喊叫提醒干系人,组织大家收衣服,不要等下雨,只要是触发条件发生了,比如是阴天或者是打雷(这叫后发条件或者叫预警信号)发生的时候,就马上执行应急计划,马上把所需的1万块钱应急储备花出去,这叫应急计划,如果整个项目周期之内没有出现阴天或者打雷的触发条件,计划根本就不执行,应急计划就是发生触发条件才执行的计划,因为计划内容不一定执行,所以不要把它放到任何子计划里,因为1万块钱不一定会花出去,所以这1万块钱叫应急储备.应急计划留的钱显然就是应急储备.

整体项目风险应对策略

风险应对措施的规划和实施不应只针对单个项目风险，还应针对整体项目风险用于应对单个项目风险的策略也适用于整体项目风险.(对于威胁怎么去选择五种策略,对于机会怎么选择五种策略,都是针对于单个风险怎么选取策略,如果对于整体风险采取哪些策略,实际上还是五种策略,整体风险一般也是五选一,有时不一定五选一,可能对一个风险同时采取两个策略也行.)

规避

整体项目风险有严重的负面影响，超出临界值，采用规避策略。取消项目范围中的高风险工作，甚至取消项目

开拓

整体项目风险有显著正面影响，超出临界值，采用开拓策略。增加高收益工作或修改项目风险临界值，以便将机会包含在内

转移或分享

整体项目风险级别很高,组织无法有效应对,需要第三方进行管理。负面风险采取转移策略，正面风险采取分享策略.

减轻或提高

变更整体项目风险级别，优化实现目标的可能性。重新规划项目、改变范围和边界、调整优先级、改变资源配置、调整交付时间

接受

无法针对整体项目风险采取主动应对策略，继续推动项目进展。主动接受建立整体应急储备被动接受不采取行动，只定期审查

备选方案分析

对备选风险应对方案的特征和要求进行简单比较，进而确定哪个应对方案最为适用

成本收益分析

如果能够把单个项目风险的影响进行货币量化那么就可以通过成本收益分析来确定备选风险应对策略的成本有效性。把应对策略将导致的风险影响级别变更除以策略的实施成本，所得到的比率，就代表了应对策略的成本有效性比率越高，有效性就越高

决策

决策技术有助于对多种风险应对策略进行优先级排序。多标准决策分析借助决策矩阵，提供建立关键决策标准、评估备选方案并加以评级，以及选择首选方案的系统分析方法

会使用一些决策的技术,就是多标准决策分析,只不过多标准角色是有3个方案可以应对某个风险,到底最后选择哪个方案,看哪个方案的成本好,有效性好,资源利用率低等,最后从三个中选一个,都标准决策.

3、输出

变更请求

规划风险应对后，可能会就成本基准和进度基准，或项目管理计划的其他组件提出变更请求，应该通过实施整体变更控制过程对变更请求进行审查和处理.(风险对整个项目各方面的影响太大,要修改各种子计划基准,所以要提前去提出变更请求,通过变更请求可以修改项目管理计划中的各种子计划和基准.)

项目管理计划更新

项目管理计划的任何变更都以变更请求的形式提出，且通过组织的变更控制过程进行处理可能需要变更的项目管理计划组件包括：
- 进度管理计划：对进度管理计划的变更包括：资源负荷和资源平衡变更，或进度策略更新等
- 成本管理计划：对成本管理计划的变更包括：成本会计、跟踪和报告变更，以及预算策略和应急储备使用方法更新等
- 质量管理计划：对质量管理计划的变更包括：满足需求的方法、质量管理方法，或质量控制过程的变更等
- 资源管理计划：对资源管理计划的变更包括：资源配置变更，以及资源策略更新等
- 采购管理计划：对采购管理计划的变更包括：自制或外购决策或合同类型的更改等
- 范围基准：如果商定的风险应对策略导致了范围变更，且这种变更已经获得批准，那么就要对范围基准做出相应的变更
- 进度基准：如果商定的风险应对策略导致了进度估算变更，且这种变更已经获得批准，那么就要对进度基准做出相应的变更
- 成本基准：如果商定的风险应对策略导致了成本估算变更，且这种变更已经获得批准，那么就要对成本基准做出相应的变更

项目文件更新

可在本过程更新的项目文件包括：
- 假设日志：在规划风险应对过程中，可能做出新的假设、识别出新的制约因素，或者现有的假设条件或制约因素可能被重新审查和修改。应该更新假设日志，记录这些新信息
- 成本预测：可能因规划的风险应对策略而发生变更
- 经验教训登记册：更新经验教训登记册，记录适用于项目的未来阶段或未来项目的风险应对信息
- 项目进度计划：可以把用于执行已商定的风险应对策略的活动添加到项目进度计划中
- 项目团队派工单：一旦确定应对策略，应为每项与风险应对计划相关的措施分配必要的资源，包括用于执行商定的措施的具有适当资质和经验的人员（通常在项目团队中）、合理的资金和时间，以及必要的技术手段
- 风险报告：更新风险报告，记录针对当前整体项目风险口和高优先级风险的经商定的应对措施，以及实施这些措施之后的预期变化

风险登记册

需要更新风险登记册，记录选择和商定的风险应对措施。(肯定要修改的是风险登记册.因为商定对于每个风险的应对计划,都是写到风险登记册里,所以就是规划风险应对过程的所有决定都更新进风险登记册.包括每个风险你识别出来的残余风险和次生风险,都写到风险登记册里.)
风险登记册的更新可能包括：
- 商定的应对策略
- 实施所选应对策略所需要的具体行动
- 风险发生的触发条件、征兆和预警信号
- 实施所选应对策略所需要的预算和进度活动
- 应急计划，以及启动该计划所需的风险触发条件
- 弹回计划，供风险发生且主要应对措施不足以应对时使用
- 在采取预定应对措施之后仍然存在的残余风险，以及被有意接受的风险
- 由实施风险应对措施而直接导致的次生风险

核心知识整理

规划风险应对是为处理整体项目风险口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程
威胁有五种应对策略，包括上报、规避、转移、减轻和接受
机会的应对策略也有五种，包括上报、开拓、提高、分享和接受
升级风险将在项目集、项目组合或组织层面加以管理，不再由项目团队监督，仍保留在风险登记册中.(团队就不用监督,只是留在风险登记册里而已,监督都不需要做好)
规避适用于发生概率较高，且具有严重负面影响的高优先级威胁
接受分为主动或被动方式，主动接受建立应急储备，被动接受不主动采取行动
应急计划是接受风险的一种策略，所花成本属于应急储备(其实就是主动接受,因为在应急计划里有应急储备.)
风险应对措施不应只针对单个项目风险，还应针对整体项目风险

15.8 实施风险应对

实施风险应对是处于执行过程组的一个过程.

课程目标

掌握实施风险应对过程的定义
了解实施风险( Risk Management ) 应对的目标
熟悉实施风险应对过程的输入、工具与技术及输出的内容

过程定义

定义

执行商定的风险应对计划

作用

确保按计划执行商定的风险应对措施，来管理整体项目风险口、最小化单个项目威胁，以及最大化单个项目机会.(威胁要最小化,机会让它最大化.)

时机

在整个项目期间开展

只有风险责任人以必要的努力去实施商定的应对措施，项目的整体风险口和单个威胁及机会才能得到主动管理.(关于风险责任人,从定性风险分析开始之后,关于风险的主体责任就落到风险责任人,只有风险责任人以必要的努力,就是风险责任得有主观能动性,去实施商定的应对措施,项目的整体风险敞口和单个威胁及机会,才能得到主动管理.换句话说,就是真正在风险管理过程中,发挥主动作用的是风险责任人.)

数据流向图

主要是参考还是识别风险的(就是风险登记册和风险报告),因为商定的风险应对计划,都是记录到风险登记策略一旦风险发生了,决定去执行某个风险计划或者执行某一个应急计划,这些都要提变更请求,所以会有变更请求.

ITTO

实施风险应对过程跟几乎所有的执行过程都一样,要花很多精力去做,但是因为主要是按照计划,去走执行计划里的东西,所以任务量不太大.

1、输入

项目管理计划

项目管理计划组件包括风险管理计划。
风险管理计划列明了与风险管理相关的项目团队成员和其他干系人的角色和职责。应根据这些信息为已商定的风险应对措施分配责任人。风险管理计划还会定义适用于本项目的风险管理方法论的详细程度，还会基于关键干系人的风险偏好规定项目的风险临界值。风险临界值代表了实施风险应对所需实现的可接受目标

执行风险应对计划的时候,要参考项目管理计划里所有子计划,风险管理计划是最重要的

项目文件

可作为本过程输入的项目文件包括：
- 经验教训登记册：项目早期获得的与实施风险应对有关的经验教训可用于项目后期提高本过程的有效性
- 风险登记册：记录了每项单个风险的商定风险应对措施，以及负责应对的指定责任人
- 风险报告：包括对当前整体项目风险口的评估，以及商定的风险应对策略，还会描述重要的单个项目风险及其应对计划

要参考跟风险相关的各种文件,包括风险登记册,风险报告.

组织过程资产

能够影响实施风险应对过程的组织过程资产包括：
- 已完成的类似项目的经验教训知识库，其中会说明特定风险应对的有效性

2、工具与技术

专家判断

在确认或修改（如必要）风险应对措施，以及决定如何以最有效率和最有效果的方式加以实施时，应征求具备相应专业知识的个人或小组的意见

人际关系与团队技能

适用于本过程的人际关系与团队技能包括影响力。有些风险应对措施可能由直属项目团队以外的人员去执行，或由存在其他竞争性需求的人员去执行这种情况下，负责引导风险管理过程的项目经理或人员就需要施展影响力，去鼓励指定的风险责任人采取所需的行动

人际关系团队技能,软技能里的影响力,不光是执行风险应对,执行任何事情可能都得需要影响力,这影响力特别强调一件事,去执行应对计划对付风险的时候,团队成员或者说项目经理,执行计划过程中,无法指导或者领导其他职能部门的人帮你应对风险,没有权利走投无路,只能用影响力.(竞争性需求就是别的部门正在用).

项目管理信息系统（ PMIS ）

项目管理信息系统可能包括进度、资源和成本软件，用于确保把商定的风险应对计划及其相关活动，连同其他项目活动一并纳入整个项目

跟风险应对活动相关的很多信息,需要用技术手段去记录.

3、输出

变更请求

实施风险应对后，可能会就成本基准和进度基准，或项目管理计划的其他组件提出变更请求。应该通过实施整体变更控制过程对变更请求进行审查和处理.(风险一旦发生或者风险的预警信号一旦发生,决定去执行措施,执行之前要走变更流程,执行工作可能会变更进度成本,进度基准,成本基准,也应该包括范围基准,都得去变更.)

项目文件更新

可在本过程更新的项目文件包括：
- 问题日志：作为实施风险应对过程的一部分，已识别的问题会被记录到问题日志中
- 经验教训登记册：更新经验教训登记册，记录在实施风险应对时遇到的挑战、本可采取的规避方法，以及实施风险应对的有效方式
- 项目团队派工单：一旦确定风险应对策略，应为每项与风险应对计划相关的措施分配必要的资源，包括用于执行商定的措施的具有适当资质和经验的人员、合理的资金和时间，以及必要的技术手段
- 风险登记册：可能需要更新风险登记册，反映开展本过程所导致的对单个项目风险的已商定应对措施的任何变更.(风险应对计划来自于风险登记册,然后实施风险应对之后,然后你要去更新回风险登记册,执行结果也要记录风险登记册.)
- 风险报告：可能需要风险报告，反映开展本过程所导致的对整体项目风险口的已商定应对措施的任何变更.(风险报告和风险登记册,两个文件都是同时更新的,风险报告,干系人/领导一般是只关注每周或者每个月给他提交关于风险方面的风险报告.拿到风险报告他应该看到上个月发生了几个风险,怎么应对的,风险应对花了多少钱,这些东西都应该体现在风险报告里,所以实施风险应对过程要去更新风险报告.)

核心知识整理

实施风险应对是执行商定的风险应对计划，由风险责任人发挥主动性.(整体风险责任人就是项目经理)
有些风险应对措施可能由团队以外的人员去执行，项目经理应施展影响力鼓励与引导.(应该施展影响力去进行鼓励和引导)
实施风险应对后，可能会就成本基准、进度基准，或项目管理计划的其他组件提出变更请求，应走整体变更流程

15.9 监督风险

仅仅是监督风险,不是控制风险,因为不是所有风险都能控制的.

课程目标

掌握监督风险过程的定义.
理解监督风险过程的目标.
熟悉监督风险过程的输入、工具与技术及输出的内容.
理解储备分析在监督风险过程的作用.(在监督风险过程当中,有个工具和技术叫储备分析,但是储备分析得彻底理解,它跟规划的储备分析不太一样.)
理解风险审计的作用.

过程定义

定义

在整个项目期间，监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性

作用

使项目决策都基于关于整体项目风险口和单个项目风险的当前信息.(项目做任何的决定都要考虑风险,包括单个风险,整体风险,因为是一个监控过程,所以要在整个项目期间开展.)

时机

在整个项目期间开展.

应持续监控

应该通过监督风险过程对项目工作进行持续监督，来发现新出现、正变化和已过时的单个项目风险.(监督风险这件事应该对风险持续的监控,因为每个风险都是动态变化的,小风险随着项目进展会变成大风险,但原来认为很大的风险会变成小风险,而且随着对项目的认知越来越细,有的原来是风险,随着项目进展,不能称其为风险了,有的风险没发现,随着项目进展发现了,所以要准时去监控.)

监控风险目的是确定如下事项(为什么要进行风险的监控)

实施的风险应对是否有效
整体项目风险级别是否已改变
已识别单个项目风险的状态是否已改变
是否出现新的单个项目风险
风险管理方法是否依然适用
项目假设条件是否仍然成立
风险管理政策和程序是否已得到遵守
成本或进度应急储备是否需要修改(预留的应急储备,包括成本或者进度方面的应急储备是否需要释放或者追加.)
项目策略是否仍然有效(项目的风险方面的政策是否有效,是否能正常的对抗风险.)

数据流向图

主要参考风险登记册.

ITTO

考试的重点几乎都落到工具和技术, 基本上来如果一个过程里,工具和技术比较简单,基本上可以认为过程比较简单.

1、输入

项目管理计划

项目管理计划组件包括风险管理计划。
风险管理计划规定了应如何及何时审查风险，应遵守哪些政策和程序，与本监督过程有关的角色和职责安排以及报告格式。

项目文件

可作为本过程输入的项目文件包括：
- 问题日志：用于检查未决问题是否已更新，并对风险登记册进行必要更新
- 经验教训登记册：在项目早期获得的与风险相关的经验教训可用于项目后期阶段
- 风险登记册：主要内容包括；已识别单个项目风险、风险责任人商定的风险应对策略，以及具体的应对措施。它可能还会提供其他详细信息，包括用于评估应对计划有效性的控制措施、风险的症状和预警信号、残余及次生风险，以及低优先级风险观察清单
- 风险报告：包括对当前整体项目风险口的评估，以及商定的风险应对策略，还描述重要的单个项目风险及其应对计划和风险责任人

工作绩效数据

工作绩效数据包含关于项目状态的信息，例如，已实施的风险应对措施、已发生的风险、仍活跃及已关闭的风险

工作绩效报告

工作绩效报告是通过分析绩效测量结果而得到的能够提供关于项目工作绩效的信息，包括偏差分析结果、挣值数据和预测数据。在监督与绩效相关的风险时，需要使用这些信息

2、工具与技术

数据分析

技术绩效分析

开展技术绩效分析，把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较。
它要求定义关于技术绩效的客观的、量化的测量指标，以便据此比较实际结果与计划要求。
技术绩效测量指标可能包括：重量、处理时间、缺陷数量、储存容量等。
实际结果偏离计划的程度可以代表威胁或机会的潜在影响

解析

技术绩效分析,技术叫技术的测量分析,它都关注关注测量的结果数量,什么缺陷等

问题解析: 技术绩效分析工具和技术应该放到质量知识领域,它是一个质量方面考虑,为什么放到监督风险呢?

技术绩效的分析放到监控风险过程,因为在任何项目里最大的风险都是可交付的质量风险,因为质量一旦出问题,就要返工,返工是最坏或者缺陷补救是最坏的一种情况,不仅会影响项目的进度成本资源,更重要的处影响的信誉,所以绝对不能让产品质量出现缺陷,在监督风险的时候,最大的风险就是质量出问题,通过技术技术测量分析手段去监控质量的好坏.

储备分析

在整个项目执行期间，可能发生某些单个项目风险对预算和进度应急储备产生正面或负面的影响。
储备分析是指在项目的任一时点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理。可以用各种图形（如燃尽图）来显示应急储备的消耗情况。 (在规划就是估算活动的持续时间,或者估算成本制定预算的时候,在规划的时候考虑到未来的风险,为哪个活动多留钱多留时间叫储备分析,没问题就是根据风险的大小,计算出每个风险留的具体的钱数和时间是储备分析,在监督风险也要做储备分析,不光是控制进度,控制成本,其他的也都应该做储备分析,在做同一件事随着项目进展,剩下些风险和剩下的钱或者时间是不是匹配,如果不匹配了,如果未来的风险依旧很大,但钱会花光,提变更追加应急储备,如果是现在快做完了风险没有了,还留了一堆应急储备,要及时的提变更质,释放应急储备.)

审计

风险审计用于评估风险管理过程的有效性.(一般的审计都不是针对于可交付结果,都是针对于过程. 在管理质量知识领域,管理质量也要做一个审计,它叫质量审计,质量审计关注整个项目里质量管理的流程是不是合理,是不是有非增值的过程,把它砍掉,所以审计都是关注流程的.风险审计用于评估项目风险管理过程的有效性.)
项目经理负责确保按项目风险管理计划所规定的频率开展风险审计.(关于风险审计的规定,应该很早以前进入到风险管理计划.)

审计形式

日常项目审查会
风险审查会
专门的风险审计会

日常看项目状态的时候,顺便对风险过程做一个审计,也可以是专门的风险审查会.也可以更严格一些,由第三方来参与.

整个项目里一般是要求大家理解三个审计,一个是质量审计,一个是风险审计,还有一个采购审计(就是对整个采购流程进行审计).

会议

应该定期安排风险审查会，来检查和记录风险应对在处理整体项目风险和已识别单个项目风险方面的有效性

审查会上其他内容

识别新的单个项目风险（包括 : 次生风险）
重新评估当前风险
关闭已过时风险
讨论风险发生所引|发的问题
总经关于风险的经验教训

3、输出

工作绩效信息

工作绩效信息是经过比较单个风险的实际发生情况和预计发生情况，所得到的关于项目风险管理执行绩效的信息。它可以说明风险应对规划和应对实施过程的有效性.(因为监督风险过程是一个子的监控过程,所以要输出工作绩效信息.)

变更请求

执行监督风险过程后，可能会就成本基准和进度基准，或项目管理计划的其他组件提出变更请求，应该通过实施整体变更控制过程对变更请求进行审查和处理
变更请求可能包括：建议的纠正与预防措施以处理当前整体项目风险级别或单个项目风险.(关于风险的各方面的信息,监督风险,也可能会提出各种变更,各种基准各种子计划都可以变更,几乎所有的监控过程,都可能提出变更.)

项目管理计划更新

项目管理计划的任何变更都以变更请求的形式提出，且通过组织的变更控制过程进行处理。项目管理计划的任何组件都可能受本过程的影响

组织过程资产更新

可在本过程更新的组织过程资产包括：
- 风险管理计划、风险登记册和风险报告的模板
- 风险分解结构

项目文件更新

可在本过程更新的项目文件包括：
- 假设日志：在监督风险过程中，可能做出新的假设、识别出新的制约因素，或者现有假设条件或制约因素可能被重新审查和修改。需要更新假设日志，记录这些新信息
- 问题日志：作为监督风险过程的一部分，已识别的问题会记录到问题日志中
- 经验教训登记册：更新经验教训登记册，记录风险审查期间得到的任何与风险相关的经验教训，以便用于项目的后期阶段或未来项目
- 风险登记册：更新风险登记册，记录在监督风险过程中产生的关于单个项目风险的信息，可能包括添加新风险、更新已过时风险或已发生风险，以及更新风险应对措施等等
- 风险报告：应该随着监督风险过程生成新信息，而更新风险报告，反映重要单个项目风险的当前状态，以及整体项目风险的当前级别。风险报告还可能包括有关的详细信息，诸如最高优先级单个项目风险、已商定的应对措施和责任人，以及结论与建议。风险报告也可以收录风险审计给出的关于风险管理过程有效性的的结论

监督风险过程更新了风险登记册和风险报告,因为监督风险可能会不断识别出新风险,识别的新风险和分析结果,也得记录到这两个文件.

核心知识整理

监督风险是在整个项目期间，监督商定的风险应对计划的实施，跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性的过程
技术绩效分析把技术成果与计划进行比较，偏差可以表明威胁或机会的潜在影响(因为技术方面偏差会引起质量问题,质量问题是大的风险,所以供技术设放到监督风险里.)
储备分析点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理(重点比较剩余应急储备与剩余风险量,从而确定剩下的储备是否仍然合理)
风险审计用于评估风险管理过程的有效性
监督风险期间应不断识别新风险、重新评估当前风险、关闭已过时风险、讨论风险发生所引发的问题，以及总结经验教训(开各种风险审查会记录风险方面的经验教训)

15.10 风险管理示例

风险登记册的风险清单的角度介绍了一下,所谓的风险登记册应该长什么样.

" 主要风险清单 " 示例

所谓的风险登记册叫主要风险清摊,如果是完整的风险登记册清单里很可能有几百个甚至上千个风险,每个风险都列出来,是做不到的,所以一般做监控,不太可能监控每个风险,所以要挑主要的实时进行监控,所以叫主要风险清单.

解析

图中每一行是一个风险,在IT项目里风险需求的逐渐增加肯定是一个常规的风险,肯定识别出来,因为他官方教程只给出了一个就是风险应对计划,其实每个重要风险都应该给一个风险应对计划,风险应对计划可以单独写一个小文件,对每个风险单独都写了几页对风险怎么应对,每个风险的应对计划,可以写到风险登记册对应风险的格子加一列就行了,每个风险的应对策略要写到单独一个小文件也可以.
每次只监控最重要的八个风险,就是项目里监控最重要的.图中本周就是风险的重要性排在第一位,上周风险的排序也是第一,连续两周风险,需求的逐渐增加风险就是排名第一.
有的风险排序可能会下降. 第三个风险发布的软件质量低风险上周重要性排第二周排到第三,下降了.
周数应该是上榜的次数.

风险	风险解决情况
需求的逐渐增加	用原型法来收集高质量的需求,可以减少需求逐渐增加的风险, 用原型法可以让客户从开始就不断的细化需求,让他就能说清楚需求,未来逐渐增加的可能性就比较小.

总结

主要风险清单实际上是可以认为是在监控的时候,就是最高排名的风险的实时的状态的一个表.

描述

项目组应当在开始需求分析之前初步列出风险清单，直到项目结束前不断更新。
项目经理、风险管理负责人和项目经理的领导应该定期（比如 : 每隔一周）回顾清单，给这些风险排优先顺序，并更新风险应对情况，可以帮助对这些风险的严重程度和变化情况保持警惕。(管理团队应该定期,一般是每周都更新清单,看看每个风险的重要性排名上升了还是下降了,风险的解决情况,如果是某个风险彻底解决了,下周就不会出现在主要风险清单里.)

为解决 " 逐渐增加的需求 " 而制订的风险应对计划

**为什么 :**只针对某个需求,为需求制定的风险应对计划,制定的应对计划写出来就是要制定计划,换句话说,风险很重要.
**怎么做 :**总体的应对风险的方向.
**什么方法 :**具体的方法就是为了解决问题解决风险.
**谁来做 :**就是风险负责人是谁.
何时做 : 为了做上面的几个步骤,时间怎么安排的,何时做
所需代价 : 为了应对风险肯定要付出成本或者资源,针对某个风险的应对计划,但随着时间进展,确实执行了这些工作.

本章总结

实际上风险管理一共有7个过程.
规划风险管理就是要求在项目的早期规划的时候,就要考虑到今后如何去管理风险,如何指导后边的几个过程,其中生成的结果风险管理计划特别重要,在计划里要考虑未来风险的概率分几个级别,影响分几个级别,还要画一个表叫概率影响矩阵,还要把未来项目可能遇到的风险进行分类,形成风险分解结构指导后边的过程.
识别风险:要求从所有干系人特别是要发动团队,在所有的方面识别所有风险,记录到风险登记册,风险登记册是关于每一条风险的情况,整个项目的风险总体情况,要记录到另外一个文件叫风险报告,是两个不同的文件,识别完风险之后,对所有每个风险都得进行定性的风险分析.
定量风险分析主要是确定每个风险概率影响之后,对风险进行总体的排序,排序靠前的重要的风险,才做定量风险分析,定量风险分析有很多技术.敏感性分析,模拟里的蒙特卡洛,都是定量的技术,定量有一个技术需要掌握就是决策树,实际上就是计算每个分支点的预期货币值是需要掌握的.
定性/定量分析之后.就是规划风险应对,才是具体的对每个风险制定它的应对的策略,应对策略是五种威胁和机会.
整体风险就是五种策略,但有些风险可能是有预警信号,这些风险可以为这些风险制定应急计划,如果应急计划不生效的话,失败的话可以制定备用计划或者弹回计划,应急计划叫a计划,弹回计划叫b计划,两个计划都是提前制定的.

单词

序号	单词	简写	翻译
1	variability		变异性风险
2	resilience		项目韧性
3	Risk Breakdown Structure	RBS	风险分解结构
4	strengths	S	优势
5	weakness	W	劣势
6	opportunity	O	机会
7	threats	T	威胁
8	Prompt Lists		提示清单
9	checklists		风险核对单
10	Volatility	V	易变的
11	Uncertainty	U	充满不确定性
12	Complexity	C	充满了复杂性
13	Ambiguity	A	充满了模糊性
14	Political	P	政治
15	Economic	E	经济
16	Social	S	社会
17	Technological	T	技术
18	Legal	L	法律
19	Environmental	E	环境
20	Commercial	C	商业
21	Operational	O	运营
22	Risk Report		风险报告
23	risk owner		风险责任人
24	Escalate		上报
25	Avoid		规避
26	Transfer		转移
27	Mitigate		减轻
28	Accept		接受
29	Exploit		开拓
30	Share		分享
31	Enhance		提高
32	Risk Management		实施风险

第十五章 风险管理(2025年详细解析版)

导语

什么是风险管理？

15.1 管理基础

项目风险概述

为什么要关注风险

风险类别

单个风险和整体项目风险

为什么区分单个风险和整体风险

项目三大不可避免

风险管理的基本概念

风险临界值概念

风险敞口概念

风险敞口结论

风险的属性

1、风险事件的随机性

2、风险的相对性

结论

影响风险承受力的因素(考过) ：

不同类型投资者对风险的态度

3、风险的可变性

风险的分类

1、按风险后果划分

2、按风险来源划分

3、按风险是否可管理划分

4、按风险影响范围划分(了解)

5、按风险后果的承担者划分(了解)

6、按风险的可预测性划分(重要)

风险的成本

1、风险损失的有形成本

2、风险损失的无形成本

3、风险预防与控制的成本

风险成本的负担

风险成本花的钱到底来来自于哪里,谁来花钱呢?

发展趋势和新兴实践

概述

举例

非事件风险分两类

模糊性风险

定义

举例

变异性风险

定义

举例

项目韧性

概述

如何实现项目韧性？(建议)

整合式风险管理

概述

双向整合

总结

整合式风险管理示例

15.2 项目风险管理过程

过程概述

项目风险管理过程

裁剪时需要考虑的因素

在敏捷或适应型环境中需要考虑的因素

敏捷型项目里如何进行风险管理

15.3 规划风险管理

课程目标

过程定义

定义

作用

时机

数据流向图

ITTO

1.输入

项目章程

项目管理计划

项目文件

事业环境因素

组织过程资产

2、工具与技术

专家判断

数据分析

会议

3、输出

风险管理计划

风险管理计划内容

风险管理战略(了解)

第十五章风险管理(2025年详细解析版)