信息系統(tǒng)項目管理師考試必過筆記---第十五章項目風險管理

1、第十五章 項目風險管理項目風險管理各過程的輸入、輸出和技術(shù)/工具/方法 管理過程輸入輸出技術(shù)/工具/方法風險管理計劃編制項目章程項目管理范圍說明書項目管理計劃組織過程資產(chǎn)環(huán)境和組織因素風險管理計劃計劃會議WBS風險核對表風險管理表格風險數(shù)據(jù)庫風險識別項目章程項目范圍說明書風險管理計劃組織過程資產(chǎn)環(huán)境和組織因素風險記錄項目管理計劃（更新）文檔評審信息收集技術(shù)（頭腦風暴法、Delphi法、訪談法、SWOT分析）檢查表假設分析圖解技術(shù)（因果圖、流程圖、影響圖）風險定性分析風險管理計劃組織過程資產(chǎn)工作績效信息項目范圍說明書風險記錄風險記錄（更新）風險概率及影響評估概率及影響矩陣風險數(shù)據(jù)質(zhì)量評估風險分類

2、風險緊急評估風險定量分析項目范圍說明書風險管理計劃組織過程資產(chǎn)風險記錄項目管理計劃風險記錄（更新）數(shù)據(jù)收集和表示技術(shù)（風險信息訪談、概率分布、專家判斷）定量風險分析和建模技術(shù)（靈敏度分析、期望貨幣價值分析EMS、決策樹分析、建模和仿真）風險應對計劃編制風險管理計劃風險記錄風險記錄（更新）與風險相關(guān)的合同協(xié)議負面風險（威脅）的應對策略正向風險（機會）的應對策略同時適用威脅和機會的應對策略應急響應策略風險監(jiān)控風險管理計劃風險記錄工作績效信息批準的變更請求建議的糾正措施變更申請風險記錄（更新）組織過程資產(chǎn)（更新）風險再評估風險審計和定期的風險評審差異和趨勢分析技術(shù)績效評估預留管理（儲備金分析）權(quán)變措

3、施狀態(tài)審查會風險管理的目的就是要最小化風險對項目目標的負面影響，抓住風險帶來的機會，增加項目干系人的收益。作為項目經(jīng)理，必須評估項目中的風險，制定風險應對策略，有針對性地分配資源，制定計劃，保證項目順利進行。風險的含義：（1） 風險同人們有目的的活動有關(guān)。（2） 風險同將來的活動和事件有關(guān)。（3） 如果活動或項目的后果不理想，甚至是失敗，人們總是要想：能否改變以往的行 為方式或路線，把以后的活動或項目做好？另外，當客觀環(huán)境，或者人們的思想、 方針或行動路線發(fā)生變化時，活動或項目的結(jié)果也會發(fā)生變化。這樣，風險還與 上述變化有關(guān)。風險的屬性：（1） 風險事件的隨機性（2） 風險的相對性：對不同項目

4、活動主體有不同的影響。（3） 風險的可變性。后果1、 純粹風險：不能帶來機會、無獲得利益可能的風險。2、 投機風險：既可能帶來機會、獲得利益，又隱含威脅、造成損失的風險。1、 自然風險：2、人為風險：來源1、可管理風險：可預測，并可采取相應措施加以控制的風險。2、不可管理風險：不可預測風險。是否可管理風險分類影響范圍1、局部風險：2、總體風險：項目業(yè)主風險、政府風險、承包商風險、投資方風險、設計單位風險、監(jiān)理單位風險、擔保方風險、保險公司風險等。后果承擔者：1、 已知風險：在認真、嚴格地分析項目及其計劃之后就能夠明確的那些經(jīng)常發(fā)生的， 而且是后果可預見的風險。2、可預測風險：根據(jù)經(jīng)驗，可以預見

5、其發(fā)生，但不可預見其后果的風險。3、不可預測風險：有可能發(fā)生，但即使最有經(jīng)驗的人亦不可能預見的風險，也稱未 知風險或未識別風險?？深A測性從宏觀上對風險進行分類：1、 項目風險 指潛在的預算、進度、個人（包括人員和組織）、資源、用戶和需求方面的問題， 以及它們對軟件項目的影響。項目復雜性、規(guī)模和結(jié)構(gòu)的不確定性也構(gòu)成項目的（估 算）風險因素。項目風險威脅到項目計劃，一旦項目風險成為現(xiàn)實，可能會拖延項 目進度，增加項目成本。2、 技術(shù)風險 指潛在的設計、實現(xiàn)、接口、測試和維護方面的問題。此外，規(guī)格說明的多義性、 技術(shù)上的不確定性、技術(shù)陳舊、最新技術(shù)（不成熟）也是風險因素。技術(shù)風險威脅 到待開發(fā)軟件的

6、質(zhì)量和預定交付時間，一旦技術(shù)風險成為現(xiàn)實，開發(fā)工作可能變得 困難或根本不可能。3、 商業(yè)風險 商業(yè)風險威脅到待開發(fā)軟件的生存能力，商業(yè)風險主要為以下五種： （1）建立的軟件雖然很優(yōu)秀但不是市場真正所想要的（市場風險）。 （2）建立的軟件不再符合公司的整個軟件產(chǎn)品戰(zhàn)略（策略風險）。 （3）建立了銷售部門不清楚如何推銷的軟件（銷售風險）。 （4）由于重點轉(zhuǎn)移或人員變動而失去上級管理部門的支持（管理風險）。 （5）沒有得到預算或人員的保證（預算）。1、 風險管理計劃編制：決定了如何動手、規(guī)劃和實施項目的風險管理活動。2、 風險識別：決定了哪些風險對項目造成影響，并記錄下這些風險的屬性。3、 定性風險

7、分析：對項目的風險進行優(yōu)先級排序，以便進行后續(xù)的深入分析、或者 根據(jù)對風險的概率和影響的評估采取適當?shù)拇胧?、 定量風險分析：測量風險出現(xiàn)的概率和結(jié)果，并評估它們對項目目標的影響。5、 風險應對計劃編制：開發(fā)一些應對方案和措施以提高項目成功的機會，降低項目 失敗的威脅。6、 風險監(jiān)控：在項目整個生命周期內(nèi)，監(jiān)視殘余風險，識別新的風險，執(zhí)行風險應 對計劃，以及評估這些工作的有效性。項目風險管理過程人們對風險的承受能力受下列因素影響：（1） 收益的大?。?收益越大，愿意承受的風險越大。（2） 投入的大?。?投入資源越多，愿意承受的風險越小。（3） 項目活動主體的地位和擁有的資源： 管理人員中級別

8、越高，愿意承受風險越大；個人或組織擁有的資源越多，風險承 受能力越大。風險管理與項目管理其他過程的關(guān)系：（1） 從項目的成本、時間和質(zhì)量目標來看，風險管理與項目管理目標一致。（2） 風險管理通過風險分析來識別、估計和評價項目各種不確定性，向項目范圍管理 提出任務。（3） 從項目管理的計劃職能來看，風險管理為項目計劃的制訂提供了依據(jù)。（4） 從項目的成本管理職能來看，項目風險管理通過風險分析，指出有哪些可能的意 外費用，并估計出意外費用的多少。（5） 從項目實施過程來看，許多風險都在項目實施過程中由潛在變成現(xiàn)實。（6） 從項目人力資源管理來看，項目風險管理通過風險分析，指出哪些風險同人有關(guān)。制定

9、時間表：定義在項目整個生命周期中風險管理過程的執(zhí)行頻度，并定義風險管理活動以便包含在項目的進度計劃中。風險識別的參與者是全員參與、全過程參與。概率及影響矩陣：根據(jù)風險對項目目標的影響程度，可以對風險進行排序。對風險排序的典型方法是使用一種查詢表格或概率-影響矩陣。根據(jù)風險概率和影響程度的組合，組織就會決定該風險是“高”，“中”還是“低”，同時，也會決定應對該風險的重要程度。組織要為高（紅色）、中（黃色）、低（綠色）的風險級別定義概率-影響矩陣。信息收集技術(shù)：（1） 頭腦風暴法 頭腦風暴法是最常見的風險識別手段。其目標是獲取一份全面的風險列表，以便 將來在風險定性和定量分析過程中進一步加以明確。

10、（2） 德爾菲法 是專家們就某一主題，如項目風險，達成一致意見的一種方法。該法需要確定項 目風險專家，但是他們匿名參加會議。協(xié)調(diào)員使用問卷征求重要項目風險方面的. 意見。然后將意見結(jié)果反饋給每一位專家，以便進行進一步的討論。這個過程經(jīng) 過幾個回合，就可以在主要的項目風險上達成一致意見。德爾菲法有助于減少數(shù) 據(jù)方面的偏見，并避免了個人因素對結(jié)果產(chǎn)生的不適當?shù)挠绊?。?） 訪談法 通過訪談資深項目經(jīng)理或相關(guān)領(lǐng)域的專家進行風險識別。（4） 優(yōu)勢/劣勢/機會/威脅（SWOT）分析 由優(yōu)勢、劣勢、機會、威脅組成，保證從SWOT的每一個方面對項目進行檢查， 擴大考慮風險的范圍。SWOT用來分析組織優(yōu)勢可以

11、抵消威脅的程度，以及機會 可以克服劣勢的程度。圖解技術(shù)：（1） 因果分析圖 也稱Ishikawa或魚骨圖，用于確定風險的起因。（2） 系統(tǒng)或過程流程圖 反映某一系統(tǒng)內(nèi)部要素之間是如何相互聯(lián)系的，并反映發(fā)生因果關(guān)系的機制。（3） 影響圖 是一種圖解的方法，反映了變量和結(jié)果之間因果關(guān)系的相互作用、事件的時間順 序及其他關(guān)系。定性風險分析：定性風險分析包括對已識別風險進行優(yōu)先級排序，以便采取進一步措施，如進行風險量化分析或風險應對。組織可以關(guān)系高優(yōu)先級風險，從而可以有效地提高項目的績效。定性風險分析是通過對風險的發(fā)生概率以及影響程度的綜合評估來確定其優(yōu)先級的。風險數(shù)據(jù)質(zhì)量評估：定性風險分析的可信度要

12、求精確無偏的數(shù)據(jù)。風險數(shù)據(jù)的質(zhì)量分析是評價風險管理中風險數(shù)據(jù)有效的技術(shù)。它包括檢驗風險理解度及風險數(shù)據(jù)的精確度、質(zhì)量、可信度和完整性。風險定量分析風險宣分析是對定性分析過程中識別出的對項目需求存在潛在重大影響而排序在先的風險進行量化分析，并就風險分配一個數(shù)值。風險定量分析是在不確定情況下進行決策的一種量化的方法。該項過程采用蒙特卡羅模擬與決策樹分析等技術(shù)，以便實現(xiàn)以下目標：（1） 對項目結(jié)果及實現(xiàn)項目結(jié)果的概率進行量化。（2） 評估實現(xiàn)具體項目目標的概率。（3） 通過量化各項風險對項目總體風險的影響，確定需要特別重視的風險。（4） 在考慮項目風險的情況下，確定可以實現(xiàn)的切合實際的成本、進度或范

13、圍目標。（5） 在某些條件或結(jié)果不確定時，確定最佳的項目管理決策。定量風險分析和建模技術(shù)：（1） 靈敏度分析 靈敏度分析幫助判斷哪些風險對項目具有最大的潛在影響。該方法要檢查的是： 當其他不確定因素都維持在基線值時，某種因素對項目目標造成的影響。典型的 結(jié)果是龍卷風圖表（Tornado Diagram）。（2） 期望貨幣價值分析（EMV） EMV是分析當某些情況在未來可能發(fā)生、也不可能不發(fā)生時，計算平均結(jié)果的 玫種統(tǒng)計方法（即不確定性分析）。機會的EMV通常表示為正值，而風險的EMV 則表示為負值。EMV是建立在風險中立的假設上的，既不避險，也不冒險。把 每個可能結(jié)果的數(shù)值與其發(fā)生的概率相乘，

14、再把所有乘積相加，就可以計算出項 目的EMV。這種技術(shù)常在決策樹分析中使用。建模和模擬分析法在做成本和進 度的風險分析時更加適用，因為它更強大和更貼近實際情況，勝于EMV。（3） 決策樹分析 決策樹分析法通常用決策樹圖表進行分析，它描述了每種可能的選擇和這種情況 發(fā)生的概率。它會綜合考慮每種選擇的成本及其概率，以及每條潛在路徑的匯報。 通過決策樹分析可以找出每種選擇的具體情況，包括成本、預期回報等的定量分 析。（4）建模和仿真 項目仿真模擬的分析方法使用將不確定性的影響因素細化為對項目產(chǎn)生影響的具體因子的模型。仿真模擬通常使用蒙特卡羅技術(shù)，在一信仿真模擬的實例中，項目模型中的決定因子多次取多個

15、可能的值（如：項目成本或計劃中的任務的時間進度），最終項目的結(jié)果（如:總費用或完成日期）的可能性分布分析就可以得出。風險曝光度計算：風險應對計劃：風險應對計劃是繼風險識別、風險分析與評估之后，經(jīng)過風險的監(jiān)督、控制和跟蹤，針對風險量化結(jié)果，為降低項目風險的負面效應制訂風險應對策略和技術(shù)手段的過程。風險應對計劃必須與風險的嚴重程度、成功實現(xiàn)項目目標的有效性相適應，與風險發(fā)生的過程、時間和由于風險而導致的后果相適應。（1） 避免：如：修改項目計劃以消除相應的威脅、隔離項目目標免受影響、 放寬項目目標（如獲得更多的時間、或減少項目范圍）。項目早 期中出現(xiàn)的一些風險很可能通過澄清需求，獲得相關(guān)信息，改良

16、 溝通，或獲得專家指導而得到解決。（2） 轉(zhuǎn)移：是把威脅的不利影響以及風險應對的責任轉(zhuǎn)移到第三方的做法。 只是轉(zhuǎn)移風險給另外的團隊，讓他們負責去處理，而并沒有解決 問題。（3） 減輕：通過降低風險的概率和影響程度，使之達到一個可接受的范 圍。例如增加系統(tǒng)的冗余設計，減少系統(tǒng)失效帶來的影響。（4）接受：接受風險。1、負面風險（威 脅）的應對。（1）開拓：這和做法在組織希望更充分利用機會的時候采用。目的是創(chuàng)造 條件使機會確實發(fā)生，減少不確定性。直接做法包括分配更多好 的資源給項目，使之可以提供比原計劃更好的成果。（2） 分享：分享機會包括將相關(guān)重要信息提供給一個能夠更加有效利用該 機會的第三方，使

17、項目得到更大的好處。如：形成風險-分享伙 伴關(guān)系、團隊合作、合作經(jīng)營等。（3） 強大：這一做法的目標是通過增加可能性和積極的影響來改變機會的 “大小”，發(fā)現(xiàn)和強化帶來的機會的關(guān)鍵因素。尋求促進或加強機 會的因素，積極地加強其發(fā)生的可能性。風險應對計劃的工具和技術(shù)2、正向風險（機會）的應對。3、 同時適用威脅和機會的應對策略： 項目團隊已經(jīng)決定不通過改變項目計劃來應對風險或不能夠識別其他的適當應對策 略。它既應對威脅也應對機會，最通常的風險應對策略是預留突發(fā)事件預備資源，包 括進度、成本或資源來處理已知的甚至是潛在的突發(fā)的未知風險。4、 應急響應策略： 一些應對措施按照設計是只有當特定事件發(fā)生后才采用。它制定一個計劃來應對風險， 但是隨后把它束之高閣只等以后必要時使用。風險監(jiān)控：風險監(jiān)控跟蹤已識別的危險，監(jiān)測殘余風險和識別新的風險，保證風險計劃的執(zhí)行，并評價這些計劃對減輕風險的有效性。風險審計和定期的風險評審（事后）在風險識別和風險應對中，要進行風險審計并紀錄應對效用，正如在風險管理過程中一樣。項目風險檢查應該定期進行，在項