PMBOK筆記-第十一章 專案風險管理

專案風險管理是指對專案風險從識別到分析乃至採取應對措施等一系列過程，它包括將積極因素所產生的影響最大化和使消極因素產生的影響最小化兩方面內容，圖11-1提供了以下主要程式的總檢視。

1.    11.1風險識別--確認哪些風險有可能會影響專案進展，並記錄每個風險所具有的特點。

2.    11.2風險量化--評估風險和風險之間的相互作用，以便評定專案可能的產出結果的範圍。

3.    11.3風險對策研究--確定對機會進行選擇的步驟及對危險作出應對的步驟。

4.    11.4風險對策實施控制--對專案程式中風險所產生的變化作出反應。

這些程式不僅其間相互作用，而且與其它一些區域內的程式也互相影響，每個程式都可能牽涉及到基於專案本身需要的一個人甚至一組人的努力：在每個專案階段裡，這些程式都至少會出現一次。

這裡所說的程式在不同的應用領域常常使用不同的名字，比如：

• 風險識別及風險量化程式時常被作為一個程式，稱之為風險分析或風險評估。

• 風險對策研究時常被稱為風險計劃或風險緩衝。

• 風險對策研究和風險對策實施控制有時也被當做一個程式對待，被稱為風險管理。

§11.1    風險識別

風險識別包含兩方面內容：識別哪些風險可能影響專案進展及記錄具體風險的各方面特徵。風險識別不是一次性行為，而應有規律的穿整個專案中。

風險識別包括識別內在風險及外在風險。內在風險指專案工作組能加以控制和影響的風險，如人事任免和成本估計等。外在風險指超出專案工作組等控力和影響力之外的風險，如市場轉向或政府行為等。嚴格來說，風險僅僅指遭受創傷和損失的可能性，但對專案而言，風險識別還牽涉機會選擇（積極成本）和不利因素威脅（消極結果）。

專案風險識別應憑藉對"因"和"果"（將會發生什麼導致什麼）的認定來實現，或透過對"果"和"因"（什麼樣的結果需要予以避免或促使其發生，以及怎樣發生）的認定來完成。

§11.1.1    輸入

1.    產品說明。在所識別的風險中，專案產品的特性起主要的決定作用。所有的產品都是這樣，生產技術已經成熟完善的產品要比尚待革新和發明的產品風險低得多。與專案相關的風險常常以"產品成本"和"預期影響"來描述。

2.    其它計劃輸出。應該回顧一下在其它區域裡的程式輸出,它門可以用來識別可能的風險,比如：

a)    工作分析結構--非傳統形式的結構細分往往能提供給我們高一層次分支圖所不能看出來的選擇機會。

b)    成本估計和活動時間估計--不合理的估計及僅憑有限資訊做出的估計會產生更多風險。

c)    人事方案--確定團隊成員有獨特的工作技能使之難以替代，或有其它職責使成員分工細化。

d)    必需品採購管理方案--類似發展緩慢的地方經濟這樣的市場條件往往可能提供降低合同成本的選擇。

3.    歷史資料。有關以前若干個專案情況的歷史資料對識別目前專案的潛在風險具有特殊幫助。這種歷史資料往往可以從以下渠道獲得：

a)    專案資料檔案--一個專案所牽涉的一個或更多的組織往往會保留過去專案的記錄，這些記錄會很詳細，足以協助進行風險識別工作。實際上，某些團隊的成員就保有這樣的記錄。

b)    商業資料--在很多應用領域我們可以獲得商業的歷史資訊。

c)    專案組的經驗知識--專案組成員都會記得以往專案的產出和消耗情況。當然這樣收集的資訊可能很有用，但較之以檔案資料形式記錄的資訊可靠性低些。

§11.1.2    工具與方法

1.    核對表。核對表一般根據風險要素編篡。包括專案的環境（見第2章），其它程式的輸出（見11.1.1.2），專案產品或技術資料，以及內部因素如團隊成員的技能（或技能的缺陷）。有些應用領域廣泛應用分類圖表作為風險原始資料的一部分。

2.    流量表（在8.1.2.3中有述）能幫助專案組易於理解風險的緣由和影響。

3.    面談。與不同的專案涉及人員進行有關風險的面談有助於那些在常規計劃中未被識別的風險。專案前期面談記錄（這些工作往往在進行可行性研究時進行）也是可以獲得的。

§11.1.3    輸出

1.    風險因素。風險因素是指一系列可能影響專案向好或壞的方向發展的風險事件的總和，這些因素是複雜的，也就是說，它們應包括所有已識別的條目，而不論頻率、發生之可能性，盈利或損失的數量等。一般風險因素包括：

a)    需求的變化

b)    設計錯誤、疏漏和理解錯誤

c)    狹隘定義或理解職務和責任

d)    不充分估計

e)    不勝任的技術人員

2.    潛在的風險事件：潛在的風險事件是指如自然災害或團隊特殊人員出走等能影響專案的不連續事件。對潛在風險的描述應包括對以下四個要素的評估：(a)風險事件發生的可能性，(b)可選擇的可能結果，(c)事件發生的時間，(d)發生頻率的估測（即是否會發生一次以上）。

3.    風險徵兆。風險徵兆交有時也被稱為觸發引擎，是一種實際風險事件的間接顯示。比如：喪失士氣可能是計劃被擱置的警告訊號；而運作早期即產生成本超支可能又是評估粗糙的表現。

4.    對其它程式的輸入。風險認定過程應在另一個相關領域中確定一個要求，以便進行進一步運作。比如：如果工作分析結構圖不夠細緻，就無法進行充分的風險識別。風險常常被做為系統規定引數或假定值輸入其它過程。

§11.2    風險量化

風險量化涉及到對風險和風險之間相互作用的評估，用這個評估分析專案可能的輸出。這首先需要決定哪些風險值得反應。風險由於包括諸多因素而較複雜，這裡就部分因素列舉如下：

1.    機會和危脅能夠以出乎意料的方式相互作用（比如：計劃的延遲會造成不得不考慮新的戰略以縮短整個專案週期）。

2.    一個單純的風險事件能造成多重後果。(比如：主要零部件遞送延誤會造成成本超支、計劃延遲、多支付薪水以及產品質量低劣等。)

3.    某個專案涉及人員的機會（如降成本）卻往往意味著對其它專案涉及人員的威脅（不得不降低利潤）。

4.    數學技巧往往容易使人們對精確性和可靠性產生錯誤印象。

§11.2.1    輸入

1.    投資者對風險的容忍度。不同的組織和個人往往對風險有著不同的容忍限度。

2.    風險因素（見11.1.3.1）

3.    潛在風險事件(見章節11.1.3.2)

4.    成本評估(見章節7.2.3.1)

5.    運作週期評估(見章節6.3.3.1)

§11.2.2    工具與方法

1.    期望資金額，期望資金額是風險的一個重要指標，它是以下兩個值的函式。

a)    風險事件的可能性--對一個假定風險事件發生可能性的評估。

b)    風險事件值--風險事件發生時對所引起的盈利或損失值的評估。這個風險事件值要以有形資產和無形資產形式反映。比如，由於付出過高價格制定的計劃書的A專案與B專案認定了損失有形資產$100，000的相同風險機率。如果A專案認定只有極少或沒有造成無形資產損失，而B專案預計所產生的這麼巨大的損失將使該組織不得不離開該行業，那麼兩種風險則不同了。在相同情形下，如無法將無形資產計算在內，則將高機率的小虧損同低機率的大虧損等同起來會產生巨大差異。

2.    統計數加總。統計數字加總是將每個具體工作課題的估計成本加總以計算出整個專案的成本的變化範圍（如章節11.2.2.3所述，從估測的工期變數來計算專案完成時的可能資料的變化範圍。）可以用來量化專案總成本的變化範圍來替代專案預算或提議價格的相對風險，表11-2說明了如何在專案變化範圍評估中運用"力矩法"的技巧。

做可能性分配統計時：

• 如圖示時分配偏左，則專案平均值將大大高於估計統計值。

• 分配資料可任意混合和匹配，同一分支被用來做全部計算可簡化本圖表。

為統計各分支可能性總和，需計算以下變數值：

• 平均值，求和（標準偏差）和對這一分支基於公式計算的每一變數的方差（如貝它、三角平面等）。

• 對專案每一變數平均值求和，即專案平均值。

• 對專案每一變數方差求和，即專案方差。

• 對專案方差求平方根，即專案求和值（標準偏差）。

3.    模擬法。模擬法運用假定值或系統模型來分析系統行為或系統表現。較普通的模擬法模式是運用專案模型作為專案框架來製作專案日程表。大多模擬專案日程表是建立在某種形式的"蒙特洛"分析基礎上的。這種技術往往由全域性管理所採用，對專案"預演"多次以得出如表11-3所示計算結果的資料統計分。蒙特洛分析和其它形式 模擬法也可能用來估算專案成本可能的變化範圍。

上面的曲線顯示了完成專案的案積可能性與某一時間點的關係。比如說，虛線的交叉點顯示：在專案啟動後145天之內完成專案的可能性為50%。專案完成期越靠左則風險愈高，反之風險愈低。

4.    決策樹。決策樹是一種便於決策者理解的，來說明不同決策之間和相關偶發事件之間的相互作用的圖表。決策樹的分支或代表決策（用方格表示）或代表偶發事件（用圓圈表示），如圖11-5系一個典型的決策樹圖。

•預期資金（EMU）=產出×該產出可能性。

•某決策預期資金=該決策所有分支產出的資金總和。

•$4,000預期資金的高估日程表從選擇角度顯示優於$1,000預期資金的保守日程表。

5.    專家判斷。專家判斷往往能夠代替或者附加在前面提到過的數學技巧。比如，風險事件可以被專家描述為具有高、中、低三種發生機率，和具有強烈、溫和、有限三種影響。

§11.2.3    輸出

1.    需跟蹤的機會，需反應的威脅。風險量化的主要產出是一個記錄著應被跟蹤的機會和值得注意的威脅的清單。

2.    被忽視的機會，被吸納的威脅。風險量化過程中也應記錄下如下資訊(a)哪些風險來源和風險事件被專案管理隊伍決定忽略或吸納了，(b)是誰做出的該種決策。

§11.3    風險對策研究

風險對策研究包括對機會的跟蹤進度和對危機的對策的定義。對危脅的對策大體分以下三點：

1.    避免--排除特定危脅往往靠排除危脅起源。專案管理隊伍絕不可能排除所有風險，但特定的風險事件往往是可以排除的。

2.    減緩--減少風險事件的預期資金投入來減低風險發生的機率（如為避免專案產出的產品報廢而使用專利技術），以及減少風險事件的風險係數（如買投保），或兩者雙管齊下。

3.    吸納--接受一切後果。這種接受可以是積極的（如制定預防性計劃來防備風險事件的發生），也可以是消極的（如某些工程運營超支則接受低於預期的利潤）。

§11.3.1    輸入

1.    需跟蹤的機會，需反應的危脅。見11.2.3.1詳述。

2.    被忽略的機會，被吸納的危脅。見11.2.3.2詳述。

§11.3.2    工具與方法

1.    採購。採購，即從本專案組織外採購產品和服務，常常是針對某些種類風險的有效對策。比如，與使用特殊科技相關的風險就可以透過與有此種技術經驗的組織簽定合同減緩風險。

採購行為往往將一種風險置換為另一種風險。比如，如果銷售商不能夠順利銷售，那麼用制定固定價格的合同來減緩成本風險會造成專案時間程式受延誤的風險。而相同情形下，將技術風險轉嫁給銷售商又會造成難以接受的成本風險。(詳見12章專案採購管理)

2.    預防性計劃。預防性計劃包括對一個確認的風險事件如果發生如何制定行動步驟（見11.4.2.1工作區討論）。

3.    替代戰略。風險事件常常可以透過及時改變計劃來制止或避免。比如，一個備用的工作方案可以減少在安裝期和建設階段中產生的變故。實際上在許多應用領域都有替代戰略在潛在價值方面的實體文字說明。

4.    投保。保險或類似保險的操作如證券投資常常對一些風險類別是行之有效的。在不同的應用領域，險種的類別和險種的成本也相應不同。

§11.3.3    輸出

1.    風險管理方案。在整個專案程式中都應將管理風險的程式記錄在風險管理方案裡。除了記錄風險識別和風險量化程式的結果外，還應記錄包括誰對處理各個領域裡的風險負責，怎樣保留初步風險識別和風險量化的輸出項，預防性計劃怎樣實施，以及儲備如何分配等。

2.    對其它程式的輸入 挑選出的或建設性的替代戰略、預防性計劃、預先採購、和其它有關風險的輸出項都要反饋到其它知識領域中相應的過程裡。

3.    預防性計劃 預防性計劃是一種在識別的風險事件發生時將採取的事先擬定好的行動步驟。它是風險管理方案的一部分，但有時也被做為整個專案管理方案的其它部分的組成。（比如做為區域管理方案或優質管理方案的一部分）。

4.    儲備 儲備是為了減緩成本風險和（或）日程風險而在專案方案中提出的預先準備。這個詞往往在前邊要使用一個修飾語（如管理儲備，防預性儲備，日程儲備）以提供細節以便闡明需要緩解的是哪類風險。這個加了定語的片語的特定含義往往跟據應用領域不同而不同。除此之外，儲備的應用，以及儲備應包含什麼也是一個特殊的應用領域。

5.    契約 契約應囊括諸如保險、服務和其它條款用以避免和緩解危脅。合同術語與條款在降低風險係數上具有非常重大的意義和影響。

§11.4    風險對策實施控制

風險對策實施控制包括實施風險管理方案以便在專案過程中對風險事件做出回應。當變故發生時，需要重複進行風險識別，風險量化以及風險對策研究一整套基本措施。就算最徹底和最複雜的分析也不可能準確識別所有風險以及其發生機率，理解這一點是很重要的，因此控制和重複是必要的。

§11.4.1    輸入

1.    風險管理方案。見章節11.3.3.1

2.    實際風險事件。有些已識別了的風險事件會發生，有些則不會。發生了的風險事件是實際風險事件或說是風險的起源，而專案管理人員應總結已發生的風險事件以便進行進一步的對策研究。

3.    附加風險識別。當專案程式受到評價和總結時（在章節10.3中有討論），事先未被識別的潛在風險事件或風險的起源將會浮出水面。

§11.4.2    工具與方法

1.    工作區：對消極的風險事件而言，工作區是一種不列入方案的對策。所謂不列入方案是指在感覺上它並未定義在風險事件發生前。

2.    附加風險策略研究。如果風險事件未被預料到，或後果遠大於預料，那麼計劃的風險策略將會不充分，這時就有必要再次重複進行風險對策研究甚至風險管理程式。

§11.4.3    輸出

1.    校正行為：校正行為首先包括實施已計劃的風險對策（比如實施預防性計劃或工作區計劃）。

2.    實時調整風險管理計劃。一個預料之中的風險事件發生或沒發生，對實際風險事件後果的評估，對風險係數和風險機率的評估，以及風險管理方案的其它方面，都應進行實時的更新調整。