目录
一、概述
二、风险管理的概念
2.1 概述
2.2 风险的定义
2.3 风险的特点
2.3.1 概述
2.3.2 风险承受能力影响因素
2.3.3 风险特点
三、风险的类型
四、风险的管理过程
4.1 概述
4.2 风险管理计划
4.3 风险识别
4.4 风险定性分析
4.5 风险定量分析
4.6 风险应对计划
4.7 风险监控
一、概述
风险是一种不确定的事件或条件,一旦发生,会对项目目标产生某种正面或负面的影响。风险有其成因,同时,如果风险发生,也导致某种后果。当事件、活动或项目有损失或收益与之相联系,涉及到某种或然性或不确定性和涉及到某种选择时,才称为有风险。以上三条,每一个都是风险定义的必要条件,不是充分条件。具有不确定性的事件不一定是风险。
风险管理就是要对项目风险进行认真的分析和科学的管理,这样,是能够避开不利条件、少受损失、取得预期的结果并实现项目目标的,能够争取避免风险的发生或尽量减小风险发生后的影响。但是,完全避开或消除风险,或者只享受权益而不承担风险是不可能的。
二、风险管理的概念
2.1 概述
项目风险管理就是项目管理人员通过风险识别、风险估计和评价,并以此为基础合理地使用多种管理方法、技术和手段,对项目活动涉及的风险实行有效的控制,采取主动行动、创建条件、可靠地实现项目的总体目标。
2.2 风险的定义
Robert Charette 在他关于风险分析和驾驭的书中对风险的概念给出定义,他所关心的是三个方面:
- 关心未来:风险是否会导致项目失败?
- 关心变化:在用户需求、开发技术、目标机器,以及所有其他与项目及工作和全面完成有关的实体中会发生什么样的变化?
- 关心选择:应采用什么方法和工具,应配备多少人力,在质量上强调到什么程度才满足要求?
风险表达了一种概率,具有偶发性。对于项目中的风险可以简单地理解为项目中的不确定因素。从广义的角度说,不确定因素一旦确定了,既可能对当前情况产生积极的影响,也可能产生消极的影响。也就是说,风险发生后既可能给项目带来问题,也可能给项目带来机会。
在对于风险的理解上,不要把风险简单地看作是问题。风险并不是一发生就消失了。首先,“历史经常会重演”,只要引发风险的因素没有消除,风险依然存在,它很可能在另外某个时候跳出来影响项目进程。例如,不充分的设计是一种常见的风险,这个风险在编码阶段转化为问题。但问题发生了并不意味着设计就充分了,如果没有采取相应的措施,设计的问题还会接二连三地冒出来。其次,对于整个项目来说,发生问题则意味着系统状态发生了变化,这种变化往往带来新的不确定因素,引发新的风险。例如,团队成员不稳定也是 IT 项目中常见的风险,该风险一旦发生,出现人员的流失,即便是补充了新的成员进来,新成员是否能够在预定时间内熟悉问题域也会成为新的风险。
不过,对于项目而言,风险不仅仅意味着问题的隐患,风险与机会并存。常言道:“高风险高回报”,高风险的项目往往有着高的收益;相反,没有任何风险的项目(如果存在的话),不会有任何利润可图。作为项目经理,要管理好项目中的风险,避免风险造成的损失,提高项目的收益率。
2.3 风险的特点
2.3.1 概述
虽然不能说项目的失败都是由风险造成的,但成功的项目必然是有效地进行了风险管理。任何项目都有风险,由于项目中总是有这样或那样的不确定因素,所以,无论项目进行到什么阶段,无论项目的进展多么顺利,随时都会出现风险,进而产生问题。
2.3.2 风险承受能力影响因素
风险具有两个基本属性:随机性和相对性。随机性是指风险事件的发生及其后果都具有偶然性;相对性是指风险总是相对项目活动主体而言的,同样的风险对于不同的主体有不同的影响。人们对于风险的承受能力因活动、人和时间而不同,主要受以下3个因素的影响:
- 收益的大小。损失的可能性和数额越大,人们希望为弥补损失而得到的收益也越大。反过来,收益越大,人们愿意承担的风险也就越大。
- 投入的大小。项目活动投入得越多,人们对成功的希望也越大,愿意冒的风险也就越小。
- 项目活动主体的地位和拥有的资源。管理人员中级别高的与级别低的相比,能够承担较大的风险。个人或企业拥有的资源越多,其风险承受能力也越大。
2.3.3 风险特点
另外,项目风险还具有以下特点:
- 风险存在的客观性和普遍性。风险不以人的意志为转移,并超越人们主观意识的客观存在,而且在项目的全生命周期内,风险是无处不在、无时不有的。人们只能在有限的空间和时间内改变风险存在和发生的条件,降低其发生的概率,减少损失程度而不能也不可能完全消除风险。
- 某一具体风险发生的偶然性和大量风险发生的必然性。任一具体风险的发生都是诸多风险因素和其他因素共同作用的结果,是一种随机现象。个别风险事件的发生是偶然的、杂乱无章的,但对大量风险事件资料的观察和统计分析,发现其呈现出明显的运动规律,这就使人们有可能用概率统计方法和其他现代风险分析方法去计算风险发生的概率和损失程度。
- 风险的可变性。在项目实施的过程中,各种风险在质和量上是可以变化的。随着项目的进行,有些风险得到控制并消除,有些风险会发生并得到处理,同时在项目的每一阶段都可能产生新的风险。
- 风险的多样性和多层次性。大型项目周期长、规模大、涉及范围广、风险因素数量多且种类繁杂,致使其在生命周期内面临的风险多种多样。而且大量风险因素之间的内在关系错综复杂、各风险因素之间与外界交叉影响又使风险显示出多层次性。
三、风险的类型
从不同的角度进行分类,就有不同的分类方法,风险的分类如下表所示:
在信息系统项目中,从宏观上来看,风险可以分为项目风险、技术风险和商业风险项目风险是指潜在的预算、进度、个人(包括人员和组织)、资源、用户和需求方面的问题,以及它们对项目的影响。项目复杂性、规模和结构的不确定性也构成项目的(估算)风险因素。项目风险威胁到项目计划,一旦项目风险成为现实,可能会拖延项目进度,增加项目的成本。
技术风险是指潜在的设计、实现、接口、测试和维护方面的问题。此外,规格说明的多义性、技术上的不确定性、技术陈旧、最新技术(不成熟)也是风险因素。技术风险威胁到待开发系统的质量和预定的交付时间。如果技术风险成为现实,开发工作可能会变得很困难或根本不可能。
商业风险威胁到待开发系统的生存能力,主要有以下5种不同的商业风险:
- 市场风险。开发的系统虽然很优秀但不是市场真正所想要的。
- 策略风险。开发的系统不再符合企业的信息系统战略
- 销售风险。开发了销售部门不清楚如何推销的系统。
- 管理风险。由于重点转移或人员变动而失去上级管理部门的支持。
- 预算风险。开发过程没有得到预算或人员的保证。
四、风险的管理过程
4.1 概述
项目需要以有限的成本,在有限的时间内达到目标,而风险会影响这一点。风险成本是指风险事件造成的损失或减少的收益,以及为防止发生风险事件采取预防措施而支付的费用。风险成本可以分为有形成本、无形成本,以及预防与控制风险的费用。有形成本包括直接损失和间接损失,直接损失是指财产损毁和人员伤亡的价值,间接损失是指直接损失以外的其他损失:无形成本指由于风险所具有的不确定性而使项目主体在风险事件发生之前或发生之后付出的代价,主要表现在风险损失减少了机会、风险阻碍了生产率的提高、风险造成资源分配不当。
风险管理的目的就是最小化风险对项目目标的负面影响,抓住风险带来的机会,增加项目干系人的收益。项目风险管理的基本过程包括风险管理计划编制、风险识别、风险定性分析、风险定量分析、风险应对计划编制和风险监控。
4.2 风险管理计划
风险管理计划描述的是如何安排与实施项目风险管理,它是项目开发计划的从属计划。风险管理计划主要包括角色与职责、预算、风险类别、风险概率和影响的定义、汇报格式、风险跟踪等内容。
很多项目除了编制风险管理计划之外,还有应急计划和应急储备。应急计划是指当一项可能的风险事件实际发生时项目团队将采取的预先确定的措施。例如,当项目经理根据一个新的软件产品开发的实际进展情况,预计到该软件开发成果将不能及时集成到正在按合同进行的信息系统项目中时,他们就会启动应急计划:应急储备是指根据项目发起人的规定,如果项目范围或者质量发生变更,这一部分资金可以减少成本或进度风险。例如,如果由于团队成员对一些新技术的使用缺乏经验,而导致项目偏离轨迹,那么项目发起人可以从应急储备中拨出一部分资金,雇佣外部的顾问,为项目团队使用新技术提供培训和咨询。
4.3 风险识别
风险识别就是采用系统化的方法,识别出项目中已知的和可预测到的风险。风险识别是一项反复的过程,项目团队应该参与该过程,以便形成针对风险的应对措施,并保持一种责任感。
风险识别包括确定风险的来源、风险产生的条件,描述风险特征和确定哪些风险事件有可能影响整个项目。风险识别应当在项目的生命周期自始至终定期进行。风险识别可分为三步进行:收集资料、估计项目风险形势、根据直接或间接的症状将潜在的风险识别出来。
4.4 风险定性分析
风险定性分析是指对已识别风险进行优先级排序,以便采取进一步措施。
- 风险可能性与影响分析。可能性评估需要根据风险管理计划中的定义,确定每-个风险的发生可能性,并记录下来。除了风险发生的可能性,还应当分析风险对项目的影响。风险影响分析应当全面,需要包括对时间、成本、范围等各方面的影响。其中不仅仅包括对项目的负面影响,还应当分析风险带来的机会。对于同一个风险,由于不同的角色和参与者会有不同的看法,因此一般采用会议的方式进行风险可能性与影响的分析。因为风险分析需要一定的经验和技巧,也需要对风险所在的领域有一定的经验,因此,在分析时最好邀请相关领域的资深人士参加以提高分析结果的准确性。例如,对于技术类风险的分析就可以邀请技术专家参与评估。
- 确定风险优先级。在确定了风险的可能性和影响后,需要进一步确定风险的优先级。风险优先级是一个综合的指标,优先级的高低反映了风险对项目的综合影响,也就是说,高优先级的风险最可能对项目造成严重的影响。风险优先级的概念与风险可能性和影响既有联系又不完全相同。例如,发生地震可能会造成项目终止,这个风险的影响很严重,直接造成项目失败,但其发生的可能性非常小,因此优先级并不高。又如,坏天气可能造成项目组成员工作效率下降,虽然这种可能性很大,每周都会出现,但造成的影响非常小,几乎可以忽略不计,因此,优先级也不高。一种常用的方法是风险优先级矩阵,当分析出特定风险的可能性和影响后,根据其发生的可能性和影响在矩阵中找到特定的区域,就可以得到风险的优先级。
- 确定风险类型。在进行风险定性分析的时候需要确定风险的类型,这一过程比较简单。根据风险管理计划中定义的风险类型列表,可以为分析中的风险找到合适的类型。如果经过分析后,发现在现有的风险类型列表中没有合适的定义,则可以修订风险管理计划,加入这个新的风险类型。
4.5 风险定量分析
在风险定性分析之后,为了进一步了解风险发生的可能性到底有多大,后果到底有多严重,就需要对风险进行定量的评估和分析。风险定量分析的目标是量化分析每一个风险的概率及其对项目目标造成的后果,也分析项目总体风险的程度。
风险定量分析是在不确定的情况下进行决策的一种量化方法,该过程主要采用灵敏度分析、期望货币价值分析、决策树分析、蒙特卡罗模拟等技术。下面,只简单介绍蒙特卡罗模拟。
蒙特卡罗(MonteCarlo)方法作为一种统计模拟方法,在各行业广泛运用。蒙特卡罗方法在定量分析中的运用较为复杂,牵涉到复杂的数理概率模型。它将对一个多元函数的取值范围问题分解为对若干个主要参数的概率问题,然后用统计方法进行处理,得到该多元函数的综合概率,在此基础上分析该多元函数的取值范围可能性。蒙特卡罗方法的关键是找一组随机数作为统计模拟之用,这一方法的精度在于随机数的均匀性与独立性。就运用于风险分析而言,蒙特卡罗方法主要通过分析各种不确定因素,灵活地模拟真实情况下的某个系统中的各主要因素变化对风险结果的影响。由于计算过程极其繁复,蒙特卡罗方法不适合简单(单变量)模型,而对于复杂(有多种不确定性因素)模型则是一种很好的方法。其具体步骤包括选取变量、分析各变量的概率分布、选取各变量的样本、模拟价值结果、分析结果。
4.6 风险应对计划
风险管理的最终的目的是减少项目中风险发生的可能性、降低风险带来的危害、提高风险带来的收益。因此,还必须针对识别出的风险制订相应的措施来防范风险的发生或增加风险收益,这些措施就体现在风险应对计划中。在风险应对计划中,包括应对每一个风险的措施、风险的责任人等内容。项目经理可以将风险应对措施和责任人编排到项目进度表中,并进行跟踪和监控。
制订风险应对计划时有多种不同的策略,对于相同的风险,采用不同的应对策略会有不同的应对方法。通常可以把风险应对策略分为两种类型:防范策略和响应策略。防范策略指的是在风险发生前,项目团队会采取一定的措施对风险进行防范;而响应策略则是在风险发生后采取的相应措施以降低风险带来的损失。
消极的风险(负面风险,威胁)防范策略是最常用的策略,其目的是降低风险发生的概率或减轻风险带来的损失。例如,避免策略、转移策略和减轻策略等;对于正向风险(机会)的应对策略也有三种:开拓、分享和强大(提高)。
风险响应策略与风险防范策略不同,无论风险是否发生,风险防范策略都需要体现在项目计划中,在项目过程中需要有人来执行相应的防范策略;而风险响应策略是事件触发的,直到当风险发生后才会被执行,如果始终没有发生该风险,则始终不会被安排到项目活动中。
4.7 风险监控
风险监控是指跟踪已识别的风险,监测残余风险和识别新的风险,保证风险计划的执行,并评价这些计划对减轻风险的有效性。
在风险监控的过程中,如果发生了原来没有识别出来的风险事件,则无法按照风险应对计划来处理。此时,需要一种新的措施来应对,这种措施称为权变措施(workaroundplans)。权变措施是为了应对先前没有识别或接受的已经出现的风险,而采取的未经计划的应对行动。权变措施的行动中可能是接受风险,也可能是其他办法。
好了,本次内容就分享到这,欢迎大家关注《项目管理》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!