15.1 管理基础（项目风险管理）

文集：《信息系统项目管理师第四版攻略》

---

本章概要

本章即第十五章为《项目风险管理》，共分为十节：

1. 管理基础
2. 项目风险管理过程
3. 规划风险管理
4. 识别风险
5. 实施定性风险分析
6. 实施定量风险分析
7. 规划风险应对
8. 实施风险管理
9. 监督风险
10. 风险管理示例

项目风险是一种不确定的事件或条件，一旦发生，会对项目目标产生某种正面或负面的影响。项目风险既包括对项目目标的威胁，也包括促进项目目标的机会。已知风险是那些已经经过识别和分析的风险，对于已知风险，对其进行规划，寻找应对方案是可行的；虽然项目经理们可以依据以往类似项目的经验，采取一般的应急措施处理未知风险，但未知风险是无法管理的。风险源于所有项目之中的不确定因素。项目在不同阶段会有不同的风险。风险会随着项目的进展而变化，不确定性也会着项目进展而逐渐减少。最大的不确定性存在于项目的早期。项目的各种风险中，进度拖延往往是成本超支、现金流出以及其他损失的主要原因。因此，为减少损失需要在早期阶段主动付出必要的代价。

项目风险管理过程是个持续的不断迭代的过程。在项目策划阶段就应进行项目风险管理的策划，并随着项目进展监督和管理风险，确保项目正常进行，遇到突发性风险也能得到有效应对并处理。

管理基础

项目风险概述

项目是具有不同复杂程度的独特性工作，整个实施过程充满了风险，不仅要面对各种制约因素和假设条件，还要面对各干系人相互间可能的冲突和不断变化的期望。组织应有目的地以可控方式去面对项目风险，平衡项目风险和回报，创造最好的项目价值。每个项目都在两个层面上存在风险：

1. 是每个项目都有会影响项目达成目标的单个风险；
2. 是由单个风险和不确定性的其他来源联合导致的整体项目风险。

风险的属性

1. 风险事件的随机性
2. 风险的相对性
3. 风险的可变性

风险的分类

为了深入、全面地认识项目风险，并有针对性地进行管理，有必要将风险分类。分类可以从不同的角度、根据不同的标准进行。

1. 按风险后果划分
   按照后果的不同，风险可划分为纯粹风险和投机风险。纯粹风险和投机风险在一定条件下可以相互转化。项目管理人员必须避免投机风险转化为纯粹风险。风险不是零和游戏。很多情况下，涉及风险的各个方面都要蒙受损失，无一幸免。
2. 按风险来源划分
   按照风险来源或损失产生的原因可将风险划分为自然风险和人为风险。
3. 按风险是否可管理划分
   可管理的风险是指可以预测，并可采取相应措施加以控制的风险；反之，则为不可管理的风险。
4. 按风险影响范围划分
   风险按影响范围划分，可以分为局部风险和总体风险。局部风险影响的范围小，而总体风险影响的范围大。局部风险和总体风险也是相对的。项目管理团队特别要注意总体风险。
5. 按风险后果的承担者划分
   项目风险若按其后果的承担者来划分则有项目业主风险、政府风险、承包商风险、投资方风险、设计单位风险、监理单位风险、供应商风险、担保方风险和保险公司风险等。
6. 按风险的可预测性划分
   按这种方法，风险可以分为已知风险、可预测风险和不可预测风险。

风险成本及其负担

风险事件造成的损失或减少的收益以及为防止发生风险采取预防措施而支付的费用，都构成了风险成本。风险成本包括有形成本、无形成本以及预防与控制风险的成本。

1. 风险损失的有形成本
   风险损失的有形成本包括风险事件造成的直接损失和间接损失。
2. 风险损失的无形成本
   风险损失的无形成本指由于风险所具有的不确定性而使项目主体在风险事件发生之前或之后付出的代价。主要表现在：（1）风险损失减少了机会。(2)风险阻碍了生产率的提高。（3）风险造成资源分配不当。
3. 风险预防与控制的成本
   为了预防和控制风险损失，必然要采取各种措施。
4. 风险成本的负担
   风险成本不单要由项目主体来负担，在许多情况下，与项目活动有关的其他方面，客观上也要负担一部分风险成本。项目主体负担的那部分为个体负担成本，其他有关方面负担的部分为社会负担成本。

管理新实践

项目风险管理的关注面正在扩大，其发展趋势和新兴实践主要包括：

1. 非事件类风险
   大多数项目只关注作为可能发生或不发生的不确定性未来事件的风险。例如，关键卖方可能在项目期间停业，客户可能在设计完成后变更需求，分包商可能要求对标准化操作流程进行优化。非事件类风险主要有两种类型：变异性风险：已规划的目标、活动或决策的某些关键方面存在不确定性。变异性风险可通过蒙特卡洛分析加以处理，即：用概率分布表示变异的可能区间，然后采取行动缩小可能结果的区间。模糊性风险：对未来可能发生什么存在不确定性。知识不足可能影响项目达成目标的能力，采用增量开发、原型搭建或模拟等方法来处理模糊性风险。
2. 项目韧性
   有一种风险只有在发生后才能被发现，这种风险称为突发性风险。可以通过加强项目韧性来应对这种风险。
3. 整合式风险管理
   项目存在于组织背景中，可能是项目集或项目组合的一部分。在项目、项目集、项目组合和组织这些层面上，都存在风险。应该在适当的层面上承担和管理风险。在较高层面识别出的某些风险，可以及时授权给项目团队去管理；而在较低层面识别出的某些风险，又可以交给较高层面去管理（如果在项目之外管理最有效）。

---