第二篇 信息系统项目管理知识

第六章 信息系统项目管理

6.12 项目风险管理

6.12.1 考点梳理

 风险的定义和特性

当事件、活动或项目有损失或收益与之相联系，涉及到某种或然性或不确定性和涉及到某种选择时，才称为有风险。

风险的特性：

  不确定性。

  客观性。

  普遍性。

  可测定性。

  发展性。

 风险管理计划的编制

风险管理计划的内容：

  风险管理当中包括了对风险的量度、评估和应变策略。

  理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。

制定风险管理计划的输入、输出：

  输入：企业环境风险、组织过程资产、项目范围说明书、项目管理计划

  输出：风险管理计划。

 风险识别

风险事件也称风险事故，是指酿成事故和损失的直接原因和条件。风险识别是指运用各种方法和技术手段来确定风险的来源、风险产生的条件、描述其风险特征和确定哪些风险事件有可能影响本项目，并将其记卤的管理活动。

用于风险识别的方法：德尔菲法、头脑风暴法、检查表法、SWOT技术、检查表和图解技术等。

  德尔菲技术。德尔菲技术是众多专家就某一专题达成一致意见的一种方法。项目风险管理专家以匿名方式参与此项活动。主持人用问卷征询有关重要项目风险的见解，问卷的答案交回并汇总后，随即在专家之中传阅，请他们进一步发表意见。此项过程进行若干轮之后，就不难得出关于主要项目风险的一致看法。德尔菲技术有助于减少数据中的偏倚，并防止任何个人对结果不适当地产生过大的影响。

 头脑风暴法。头脑风暴法的目的是取得一份综合的风险清单。头脑风暴法通常由项目团队主持，虽然也可邀请多学科专家来实施此项技术。在一位主持人的推动下，与会人员就项目的风险进行集思广益。可以以风险类别作为基础框架，然后再对风险进行分门别类，并进一步对其定义加以明确。

 SWOT分析法。SWOT分析法是一种环境分析方法。所谓的SWOT，是英文Strength（优势）、Weakness（劣势）、Opportunity（机遇）和Threat（挑战）的简写。

风险识别的输入、输出：

 输入：事业环境因素、组织过程资产、项目范围说明书、风险管理计划、项目管理计划。

 输出：风险登记册。

 定性风险分析

风险定性分析包括对已识别风险进行优先级排序，以便采取进一步措施，如进行风险量化分析或风险应对。

定性风险分析的方法：

 定性风险分析的技术方法有风险概率与影响评估法、概率和影响矩阵、风险紧迫性评估等。

 概率和影响矩阵。据评定的风险概率和影响级别，对风险进行等级评定。通常采用参照表的形式或概率郓影响矩阵的形式，评估每项风险的重要性及其紧迫程度。概率和影响矩阵形式规定了各种风险概率和影响组合，并规定哪些组合被评定为高重要性、中重要性或低重要性。组织应确定哪种风险概率和影Ⅱ向的组合可被评定为高风险（红灯状态）、中等风险（黄灯状态）或低风险（绿灯状态）。风险分值可为风险应对措施提供指导。。

定性风险分析的输入、输出：

 输入：企业环境因素、组织过程资产、项目范围说明书、风险管理计划、项目目管理计划。

 输出：已识别的的风险清单、潜在应对措施清单、风险基本原因、风险类别更新。

 定量风险分析

定量风险分析过程定量地分析风险对项目目标的影响。它使我们在面对很多不确定因素时提供了一种量化的方法，以作出尽可能恰当的决策。

定量风险分析的方法：

 期望货币值（EMV），是一个统计概念，用来计算在将来某种情况下发生或不发生情况下的平均结果。

 蒙特卡罗（Monte Carlo）分析，也称为随机模拟法，其基本思路是首先建立一个概率模型或随机过程，使它的参数等于问题的解，然后通过对模型或过程的观察计算所求参数的统计特征，最后给出所求问题的近似值，解的精度可以用估计值的标准误差表示。

定量风险分析的输入、输出：

 输入：组织过程资产、项目范围说明书、风险管理计划、风险登记册、项目管理计划（项目进度管理计划、项目成本管理计划）。

 输出：风险登记册（更新）。

 风险应对计划的编制

风险应对是这样的一系列过程，它通过开发备用的方法、制定某些措施以提高项目成功的机会，同时降低失败的威胁。

负面风险（威胁）的应对策略：

避免。如：修改项目计划以消除相应的威胁、隔离项目目标免受影响、放宽项目目标（如获得更多的时间、或减少项目范围）。项目早期中出现的一些风险很有可能通过澄清需求，获得相关信息，改良沟通，或获得专家指导而得到解决。

转移。风险转移是把把威胁的不利影响以及风险应对的责任转移到第三方的做法。只是转移风险给另外的团队，让他们负责去处理，而并没有解决问题。转移风险责任在处理财务问题方面也许有一定效果，接受所转移风险的人或团队需要得到相应的经济补偿，转移方法包括保险、性能约束、授权和保证。这过程中可能会用到契约，一份成本类的契约可以转移成本风险给买主。如果项目的设计是固定不变的，一份固定价格的契约可以转移风险给卖方。

减轻。即通过降低风险的概率和影响程度，使之达到一个可接受的范围。尽早采取行动减少风险发生的可能性比在它已经发生之后去弥补对项目的影响会更好。采用更简单的流程，进行更多的测试，或选择一个更稳定的供应商是风险减轻的方法。当不可能降低风险发生的概率时，风险减轻计划就要注意决定影响严重程度的相关连动环节。举例来说，在一个子系统中增加冗余设计，可以少由于原系统的失效而带来的影响。

正向风险（机会）的应对策略：

开拓。这一做法在组织希望更充分利用机会的时候采用。目的是创造条件使机会确实发生，减少不确定性。直接的做法包括分配更多好的资源给该项目，使之可以提供比原计划更较好的成果。

分享。分享机会包括将相关重要信息提供给一个能够更加有效利用该机会的第三方，使项目得到更大的好处。如：形成风险一分享伙伴关系、团队合作、为更有效利用某种机会而建立有特别目标的公司或合作经营。

强大。这一做法的目标是通过增加可能性和积极的影响来改变机会的“大小”，发现和强化带来机会的关键因素，寻求促进或加强机会的因素，积极地加强其发生的可能性。

同时适用威胁和机会的应对策略：

因为避免来自项目的所有风险通常是不可能的，所以有时要采取一种风险接受策略。该策略表明：项目团队已经决定不通过改变项目计划来应对风险或不能够识别其他的适当应对策略。它既应对威胁也应对机会，最通常的风险应对策略是预留突发事件预备资源，包括进度、成本或资源来处理已知的甚至是潜在的突发的未知风险。

应急响应策略：

一些应对措施按照设计是只有当特定事件发生后才采用。它制定一个计划来应对风险，但是随后把它束之高阁只等以后必要时使用。启动应急计划的触发因素，如未满足内部里程碑或得到更高的优先级的事件，应该被事先定义好并一直追踪。

风险应对计划过程的输入、输出：

 输入：风险管理计划、风险登记册。

 输出：风险登记册（更新）、项目管理计划（更新）、与风险相关的合同协议。

 风险监控

风险监控就是执行风险应对措施，并且连续对项目工作进行监督以发现新的风险和变化的风险。

风险监控可能涉及选择备用策略方案•执行某一应急计划•采取纠正措施或重新制定项目计划。

风险监控的输入、输出：

 输入：风险管理计划、风险登记册、批准的变更请求、工作绩效信息、绩效报告。

 输出：风险登记册（更新）、请求的变更、推荐的纠正措施、推荐的预防措施、组织过程资产（更新）、项目管理计划（更新）。