12 风险管理
2026-06-28 新建
4.78 风险定性分析
核心定义
实施定性风险分析(11.3) :评估每个已识别风险的发生概率和影响程度,按重要性排序,确定哪些风险需要优先关注和进一步分析。
⚡ 一句话 :定性分析 = 排序 (谁重要谁次要),定量分析 = 算数(具体多少钱/多少天)。定性在先,定量在后。
定性 vs 定量
| 维度 | 定性分析(11.3) | 定量分析(11.4) |
|---|---|---|
| 做什么 | 排序、分级 | 算具体数值 |
| 输出 | 高/中/低 优先级 | 概率分布、金额、天数 |
| 工具 | 概率影响矩阵、数据质量评估 | 蒙特卡洛、EMV、龙卷风 |
| 是否必做 | 每个项目都要做 | 只对复杂/大型项目 |
| 输入 | 风险登记册(11.2产出) | 定性后的高优先级风险 |
风险概率和影响矩阵
定义:二维矩阵,纵轴=概率,横轴=影响,把每个风险投到对应的格子里。
影 响
低 中 高
┌──────────┬──────────┬──────────┐
高 │ 🔴 高优先级 │ 🔴 高优先级 │ 🔴 高优先级 │ ← 高概率+高影响
│ │ │ 必须处理 │ = 高风险
├──────────┼──────────┼──────────┤
中 │ 🟡 中优先级 │ 🔴 高优先级 │ 🔴 高优先级 │
│ │ │ │
├──────────┼──────────┼──────────┤
低 │ 🟢 低优先级 │ 🟡 中优先级 │ 🟡 中优先级 │ ← 低概率+低影响
│ 观察清单 │ │ │ = Watch List
└──────────┴──────────┴──────────┘
概
率解读:
| 区域 | 含义 | 处理 |
|---|---|---|
| 🔴 高概率+高影响 | 高风险 | 必须制定应对方案,是短名单的重点 |
| 🟡 中概率或中影响 | 中等风险 | 需要保持关注,视情况制定应对 |
| 🟢 低概率+低影响 | 低风险 | 放入观察清单(Watch List),持续监控但暂不主动应对 |
短名单(Shortlist)
定义 :定性分析后筛选出的高优先级风险清单------只留下必须重点管理的风险。
识别风险(11.2) 定性分析(11.3)
│ │
▼ ▼
全部风险清单 ──────────► 概率×影响排序
(可能几十上百条) │
┌────────┴────────┐
▼ ▼
短名单 观察清单
(高优先级,必须管) (低优先级,看着就行)
│
▼
定量分析(11.4) + 规划应对(11.5)⚡ 为什么用短名单:几十上百个风险不可能全部深度分析,把资源集中在最关键的少数上。
观察清单(Watch List)
定义 :低优先级风险的清单------不做主动应对,但持续监控以防升级。
| 特点 | 说明 |
|---|---|
| 放什么 | 低概率+低影响的风险 |
| 做不做应对 | 不主动应对,不需要制定应急计划 |
| 要不要关注 | 要! 定期审查,万一概率或影响了得升级 |
| 考试关键词 | "放在观察清单上"、"低优先级"、"持续监控" |
⚡ 考试陷阱:观察清单 ≠ 丢弃不管。环境变了,低风险可能变成高风险,需要从观察清单升级到短名单。
风险数据质量评估
定义 :在定性排序之前,先检查用于分析的数据是否可靠。
| 检查维度 | 问题 |
|---|---|
| 准确性 | 数据来源可靠吗? |
| 完整性 | 有没有遗漏重要信息? |
| 时效性 | 数据是最新的吗? |
| 可信度 | 谁提供的数据?有没有偏见? |
⚡ 核心原则:垃圾进垃圾出(Garbage In Garbage Out)。数据不准,排序就不准。
定性分析完整流程
11.2 风险登记册(已识别风险清单)
│
▼
① 评估每个风险的概率(0-1或高/中/低)
② 评估每个风险的影响(对成本/进度/质量的冲击)
│
▼
③ 风险数据质量评估 ← 检查数据是否可靠
│
▼
④ 概率影响矩阵 ← 二维排序
│
┌─────┴─────┐
▼ ▼
短名单 观察清单
(高优先级) (低优先级)
│
▼
11.4 定量分析(如果需要对短名单做)
11.5 规划风险应对常见错误
| 陷阱 | 正解 |
|---|---|
| 定性分析=算具体金额 × | 定性=排序分级,定量才是算数 |
| 观察清单上的风险不用管 × | 要持续监控,条件变了需升级 |
| 所有风险都要定量 × | 只有高优先级风险才做定量分析 |
| 概率×影响=EMV × | 概率×影响是对风险排序的方法,EMV=概率×影响金额,是定量工具 |
| 数据不准也能排序 × | 必须先做数据质量评估,GIGO |
4.79 风险定量分析
核心定义
实施定量风险分析(11.4) :对定性分析筛选出的高优先级风险,用数学模型量化其影响------算出具体概率、金额、工期偏差。
⚡ 前提:定性分析(11.3)筛选出短名单 → 只对短名单中的高风险做定量分析。
什么时候做定量
| 条件 | 说明 |
|---|---|
| 重要项目 | 大型、复杂、战略级项目------值得投入定量分析资源 |
| 高风险领域 | 定性后发现高影响的风险需要精确量化 |
| 决策需要 | 需要数据说服干系人追加储备或改变策略 |
| 小型简单项目 | ❌ 不一定做------时间和资源有限,定性就够了 |
⚡ 考试关键词:定量分析不是每个项目必做。题目出现"大型复杂项目"、"需要精确预测" → 定量分析。
定量分析工具总览
定量分析三大工具(详见 4.79~4.81)
4.79 蒙特卡洛模拟 → 概率分布:多大把握按时/按预算?
4.80 敏感性分析 → 龙卷风图:哪个因素影响最大?
4.81 决策树分析 → EMV 值:选哪个方案期望最高?蒙特卡洛模拟
定义:用计算机模拟成千上万次"如果...会怎样",输出概率分布,预测项目完工日期或总成本的可能范围。
蒙特卡洛工作原理:
输入:每个风险的概率分布(不是单一值!)
活动A:乐观5天/最可能7天/悲观12天 → 三角分布
活动B:乐观2天/最可能3天/悲观6天
...
过程:计算机随机抽取值 → 模拟一次项目 → 记录结果
重复 1000次、10000次、100000次...
输出:概率分布图
完工日期
│ ┌─┐
│ ┌┤ ├┐
│ ┌┤ │ ├┐
│ ┌┤ │ │ ├┐
│┌┤ │ │ │ ├┐
└┴┴─┴─┴─┴─┴──► 天数
80 90 100 110 120
解读:"项目有 85% 概率在 105 天内完成"
"项目有 50% 概率在 95 天内完成(中位数)"⚡ 关键点 :蒙特卡洛输出的是概率分布(不是单点值),告诉你"有多大把握在某个时间/预算内完成"。
影响图
定义:用图形化方法展示变量之间的因果影响关系和时间顺序。
影响图示意:
┌─────────┐ ┌─────────┐
│ 天气状况 │─────→│ 施工进度 │
└─────────┘ └────┬────┘
│ ┌─────────┐
├────────→│ 项目成本 │
│ └─────────┘
┌─────────┐ │
│ 市场价格 │───────────┘
└─────────┘
圆形/椭圆 = 不确定性(风险因素)
箭头 = 影响关系(A影响B)⚡ 用途:影响图一般画在决策树之前------先理清因果关系,再用决策树算数值。
常见错误
| 陷阱 | 正解 |
|---|---|
| 所有项目都要做蒙特卡洛 × | 只在大型复杂项目做,小项目定性就够了 |
| 蒙特卡洛给出确定日期 × | 输出的是概率分布("85%概率完成"),不是单点 |
4.82 风险应对工具
核心定义
风险应对(11.5 规划风险应对):为已识别的高优先级风险制定具体的行动方案和配套工具。
威胁/机会的具体应对策略详见 4.84 (负面风险)和 4.85 (正面风险),4.82 聚焦应对的工具层面。
三级计划体系
┌────────────────────────────────────┐
│ 风险应对计划体系 │
│ │
│ ① 主应对计划 ── 常规做法,优先执行 │
│ │ │
│ ▼ │
│ ② 应急计划 ── Plan B │
│ (Contingency) 主计划失败时启用 │
│ │ │
│ ▼ │
│ ③ 弹回计划 ── Plan C │
│ (Fallback) 应急计划也失败时用 │
└────────────────────────────────────┘应急计划(Plan B)
定义 :当风险真的发生了(触发器被激活)时,立即执行预先制定好的应急预案。
| 特点 | 说明 |
|---|---|
| 什么时候用 | 风险触发后,主应对措施失效或不充分 |
| 是否提前准备 | ✅ 提前制定好,但不提前执行 |
| 资金来源 | 用应急储备(Contingency Reserve) |
| 考试关键词 | "如果发生...则启动..."、"应急预案" |
弹回计划(Plan C)
定义 :应急计划失败后的备用方案------兜底的兜底。
例:
风险:关键服务器宕机
├── 主应对:定期维护、监控告警
├── 应急计划:自动切换到备用服务器(Plan B)
└── 弹回计划:切换到手动备份+临时租用云服务(Plan C,应急也失败时用)权变(应急储备)
定义:为应对"已知-未知"风险预留的时间或预算。PM 有权直接使用。
| 对比 | 应急储备(Contingency) | 管理储备(Management) |
|---|---|---|
| 应对什么 | 已知-未知(identified risks) | 未知-未知(unforeseen) |
| 谁管 | PM 有权直接动用 | 需向上级申请 |
| 在基准内吗 | ✅ 在成本/进度基准内 | ❌ 不在基准内 |
| 用途 | 应急计划、弹回计划的花费 | 完全意外的黑天鹅 |
常见错误
| 陷阱 | 正解 |
|---|---|
| 应急计划=风险还没发生就开始执行 × | 应急计划是触发器激活后才执行的 |
| 弹回计划=应急计划的另一个名字 × | 弹回是 Plan C,应急失败后才用的备用 |
| 应急储备能应对所有意外 × | 应急只应对已知-未知,管理储备才应对未知-未知 |
4.80 风险定量分析------敏感性分析
核心定义
敏感性分析(Sensitivity Analysis) :找出对项目结果影响最大 的单个因素,按影响力排序。用龙卷风图展示结果。
龙卷风图
影响项目总成本的各因素:
采购价格波动 ┃████████████████████████████████████████
┃ ← 影响力最大,摆在最顶上
人工费率 ┃████████████████████
汇率波动 ┃██████████████
设计变更 ┃████████
材料损耗 ┃██████
┃ ← 像龙卷风形状| 特点 | 说明 |
|---|---|
| 目的 | 知道哪个因素对结果影响最大 → 重点管控最上面那几个 |
| 输出 | 排序图(不是概率,是影响力排名) |
| 与蒙特卡洛区别 | 蒙特卡洛看整体概率分布,敏感性看单个因素影响力 |
常见错误
| 陷阱 | 正解 |
|---|---|
| 敏感性分析=风险排序 × | 是对影响因素排序,不是对风险排序 |
4.81 风险定量分析------决策树
核心定义
决策树(Decision Tree) :用树状图展示不同方案的可能结果,计算每个方案的预期货币价值(EMV),辅助选择最优方案。
EMV 公式
EMV = 概率 × 影响金额
威胁:概率30%,发生损失200万 → EMV = 0.3 × 200 = 60万
机会:概率40%,收益500万 → EMV = 0.4 × 500 = 200万决策树示例
┌─ 成功 (60%) ── 收益 +500万
│
方案一 ────┤
(投入100万)│
└─ 失败 (40%) ── 损失 -300万
EMV(方案一) = 100 + 0.6×500 + 0.4×(-300)
= 100 + 300 - 120 = 280万常见错误
| 陷阱 | 正解 |
|---|---|
| EMV=概率×影响 是定性分析 × | EMV 算钱,是定量分析工具 |
| 决策树只看钱 × | 也结合非货币因素辅助判断 |
4.83 风险和资源的关系及风险应对流程
风险与资源的关系
| 维度 | 关系 |
|---|---|
| 资源不足 | 本身就是风险源------人手不够直接威胁进度 |
| 资源应对 | 很多应对策略需要投入额外资源(雇专家、买保险、加冗余) |
| 资源储备 | 应急储备和管理储备本身就是预留的资源 |
| 资源优先级 | 高风险任务需要优先分配最强资源 |
风险应对流程
11.3 定性分析 → 排出风险优先级
│
▼
11.4 定量分析 → 量化高风险(蒙特卡洛/EMV/敏感性)
│
▼
11.5 规划应对 ← 逐风险制定应对方案
│
┌────┼──────────┐
▼ ▼ ▼
上报 威胁应对 机会应对
│ │
┌────┼────┐ ┌──┼──┐
▼ ▼ ▼ ▼ ▼ ▼
规避 转移 减轻 开拓 分享 提高 接受
│
▼
指定风险责任人
制定应急计划(Plan B)+弹回计划(Plan C)
预留应急储备
│
▼
11.6 实施应对 → 风险责任人执行应对措施
│
▼
11.7 监督风险 → 跟踪状态、审计、储备分析4.84 风险应对策略------负面风险(威胁)
五大应对策略
| 策略 | 英文 | 做法 | 一句记 | 举例 |
|---|---|---|---|---|
| 上报 | Escalate | 超出 PM 权限,报给上级 | 管不了,交出去 | 政策风险报发起人 |
| 规避 | Avoid | 消除威胁,不让它发生 | 绕开,不碰 | 换方案、取消高风险活动 |
| 转移 | Transfer | 转给第三方承担 | 买保险/外包 | 买保险、签FFP合同 |
| 减轻 | Mitigate | 降低概率或减少影响 | 减伤害但避不了 | 加冗余、原型验证 |
| 接受 | Accept | 承认,不主动应对 | 认了,备后手 | 留应急储备金 |
减轻的两种方向
减轻:
├── 降概率 → 多培训降低出错率
├── 降影响 → 冗余备份(坏了一台还有另一台)
└── 两者都降 → 原型验证(降概率)+ 分散部署(降影响)4.85 风险应对策略------正面风险(机会)
五大应对策略
| 策略 | 英文 | 做法 | 一句记 | 举例 |
|---|---|---|---|---|
| 上报 | Escalate | 超出权限,报给上级抓住 | 交上级去抓 | 战略机会报PMO |
| 开拓 | Exploit | 确保机会 100% 发生 | 派最强资源锁定 | 派最优专家、优先做 |
| 分享 | Share | 与合作方共同利用 | 联手共赢 | 技术合作、联合投标 |
| 提高 | Enhance | 增加发生概率或正面影响 | 推它一把 | 追加投入、提前启动 |
| 接受 | Accept | 不主动追,来了就抓住 | 等它来 | 观察,不专门行动 |
威胁 vs 机会 策略对照
| 威胁策略 | ↔ | 机会策略 |
|---|---|---|
| 规避(消除) | ↔ | 开拓(确保发生) |
| 转移(给别人) | ↔ | 分享(合作共赢) |
| 减轻(降低) | ↔ | 提高(增加) |
| 接受 | ↔ | 接受 |
⚡ 核心:威胁=减少/消除,机会=增加/确保。对称但方向相反。
4.86 选择应对策略时的影响因素
六大影响因素
| # | 因素 | 说明 |
|---|---|---|
| 1 | 风险优先级 | 高优先级先处理,低优先级的观察即可 |
| 2 | 成本效益 | 应对成本 vs 风险发生后损失------应对成本应小于预期损失 |
| 3 | 资源可用性 | 有没有钱/人/时间执行应对措施 |
| 4 | 干系人风险态度 | 保守型→选规避/转移;激进型→选接受 |
| 5 | 次生风险 | 应对措施会不会引入新风险(副作用多大) |
| 6 | 残余风险 | 应对后还剩多少风险------是否在可接受范围内 |
策略决策速判
有风险 → 先问三个问题:
① 我能管吗? ──→ 管不了 → 上报(Escalate)
② 能消除吗? ──→ 能 → 规避(Avoid)
③ 能转移吗? ──→ 能 → 转移(Transfer) / 分享(Share)
──→ 不能 → 减轻(Mitigate) / 提高(Enhance)
──→ 都不行 → 接受(Accept)常见错误
| 陷阱 | 正解 |
|---|---|
| 规避一定比接受好 × | 规避有时代价太高,接受可能更合理 |
| 所有风险都要主动应对 × | 低优先级风险放观察清单即可 |
| 选策略只看成本 × | 还要看资源、干系人态度、次生风险 |
4.87 管理项目问题
核心定义
| 概念 | 一句记 | 本质区别 |
|---|---|---|
| 风险(Risk) | 还没发生,可能发生 | 未来的不确定性 |
| 问题(Issue) | 已经发生了 | 当下的既成事实 |
⚡ 最高频考点 :风险没发生=记录在风险登记册;风险发生了=变成问题 →记录在问题日志(Issue Log)。
问题管理流程
风险发生了(最担心的事成真了)
│
▼
① 识别并记录 --- 记入问题日志
│
▼
② 评估影响 --- 对范围/进度/成本/质量的影响
│
▼
③ 确定责任人 --- 指定谁来解决
│
▼
④ 制定行动计划 --- 怎么解决?什么时候解决?
│
▼
⑤ 跟踪至关闭 --- 解决了吗?关闭并记录经验教训上报路径
PM 能自己解决吗?
│
├── 能 → PM 分配责任人、跟踪解决
│
└── 不能(超出权限)
│
├── 影响范围/进度/成本基准 → 走变更控制(4.6)
│
└── 需要组织层面决策 → 上报发起人/CCB/PMO谁负责
| 角色 | 职责 |
|---|---|
| PM | 记录问题、评估影响、分配责任人、跟踪到关闭 |
| 问题责任人 | 制定和执行解决方案,定期汇报进展 |
| 团队成员 | 及时上报问题(不要瞒报),执行解决方案 |
| 发起人/CCB | 解决PM权限以外的重大问题 |
| 干系人 | 报告发现的问题,配合解决 |
问题日志(Issue Log)
| 字段 | 说明 |
|---|---|
| 问题ID | 唯一编号 |
| 描述 | 发生了什么事 |
| 优先级 | 高/中/低 |
| 对目标的影响 | 范围/进度/成本(具体数值) |
| 责任人 | 谁负责解决 |
| 行动计划 | 做什么、什么时候完成 |
| 状态 | 待处理/进行中/已解决/已关闭 |
| 解决方案 | 怎么解决的 |
| 经验教训 | 下次如何避免 |
常见错误
| 陷阱 | 正解 |
|---|---|
| 问题和风险是一回事 × | 风险=没发生的;问题=已发生的。关键区别是时间 |
| 问题解决了就行不用记 × | 必须记问题日志,形成经验教训 |
| 有问题PM自己扛 × | 超出权限必须上报,走变更控制 |
| 小问题不用管 × | 小问题不处理可能滚雪球变成大风险 |