UML软件工程组织

 

 

项目管理 - 第十一章 项目风险管理
 

2008-01-10 来源:stcsm.gov.cn

 

项目风险管理是指对项目风险从识别到分析乃至采取应对措施等一系列过程,它包括将积极因素所产生的影响最大化和使消极因素产生的影响最小化两方面内容,图11-1提供了以下主要程序的总视图。
  11.1风险识别--确认哪些风险有可能会影响项目进展,并记录每个风险所具有的特点
  11.2风险量化--评估风险和风险之间的相互作用,以便评定项目可能的产出结果的范围。
  11.3风险对策研究--确定对机会进行选择的步骤及对危险作出应对的步骤。
  11.4风险对策实施控制--对项目进程中风险所产生的变化作出反应

这些程序不仅其间相互作用,而且与其它一些区域内的程序也互相影响,每个程序都可能牵涉及到基于项目本身需要的一个人甚至一组人的努力:在每个项目阶段里,这些程序都至少会出现一次。

尽管这些程序在这里是作为分别独立的要素被加以阐述,且其相互之间的作用也被清晰界定,但实际过程中,它们往往相互交迭,互相作用,其细节这里不再重述(程序间相互作用在第三章中已详细讨论)。

这里所说的程序在不同的应用领域常常使用不同的名字,比如:
   风险识别及风险量化程序时常被作为一个程序,称之为风险分析或风险评估。
   风险对策研究时常被称为风险计划或风险缓冲。
   风险对策研究和风险对策实施控制有时也被当做一个程序对待,被称为风险管理。

11.1风险识别

风险识别包含两方面内容:识别哪能些风险可能影响项目进展及记录具体风险的各方面特征。风险识别不是一次性行为,而应有规律的穿整个项目中。

风险识别包括识别内在风险及外在风险。内在风险指项目工作组能加以控制和影响的风险,如人事任免和成本估计等。外在风险指超出项目工作组等控力和影响力之外的风险,如市场转向或政府行为等。
严格来说,风险仅仅指遭受创伤和损失的可能性,但对项目而言,风险识别还牵涉机会选择(积极成本)和不利因素威胁(消极结果)。

项目风险识别应凭借对"因"和"果"(将会发生什么导致什么)的认定来实现,或通过对"果"和"因"(什么样的结果需要予以避免或促使其发生,以及怎样发生)的认定来完成。

11.1.1对风险识别的输入

1.产品说明

在所识别的风险中,项目产品的特性起主要的决定作用。所有的产品都是这样,生产技术已经成熟完善的产品要比尚待革新和发明的产品风险低得多。与项目相关的风险常常以"产品成本"和"预期影响"来描述。

在5.1.1.1.章节中对产品说明作了进一步的阐述。

2.其它计划输出

应该回顾一下在其它区域里的程序输出,它门可以用来识别可能的风险,比如:
   工作分析结构--非传统形式的结构细分往往能提供给我们高一层次分支图所不能看出来的选择机会。
   成本估计和活动时间估计--不合理的估计及仅凭有限信息做出的估计会产生更多风险。
   人事方案--确定团队成员有独特的工作技能使之难以替代,或有其它职责使成员分工细化。
   必需品采购管理方案--类似发展缓慢的地方经济这样的市场条件往往可能提供降低合同成本的选择。

3.历史资料

有关以前若干个项目情况的历史资料对识别目前项目的潜在风险具有特殊帮助。这种历史资料往往可以从以下渠道获得:
   项目资料文件--一个项目所牵涉的一个或更多的组织往往会保留过去项目的记录,这些记录会很详细,足以协助进行风险识别工作。实际上,某些团队的成员就保有这样的记录。
   商业数据--在很多应用领域我们可以获得商业的历史信息。
   项目组的经验知识--项目组成员都会记得以往项目的产出和消耗情况。当然这样收集的信息可能很有用,但较之以文件资料形式记录的信息可靠性低些。

 

11.1.2工具和方法

1.核对表

核对表一般根据风险要素编篡。包括项目的环境(见第2章),其它程序的输出(见11.1.1.2),项目产品或技术资料,以及内部因素如团队成员的技能(或技能的缺陷)。有些应用领域广泛应用分类图表作为风险原始资料的一部分。

2.流量表

流量表(在8.1.2.3中有述)能帮助项目组易于理解风险的缘由和影响。

3.面谈

与不同的项目涉及人员进行有关风险的面谈有助于那些在常规计划中未被识别的风险。项目前期面谈记录(这些工作往往在进行可行性研究时进行)也是可以获得的。

11.1.3风险的输出

1.风险因素。风险因素是指一系列可能影响项目向好或坏的方向发展的风险事件的总和,这些因素是复杂的,也就是说,它们应包括所有已识别的条目,而不论频率、发生之可能性,盈利或损失的数量等。一般风险因素包括:
   需求的变化
   设计错误、疏漏和理解错误。
   狭隘定义或理解职务和责任。
   不充分估计。
   不胜任的技术人员。

对风险因素的描述应包括对以下四项内容的评估:
  (a)由一个因素产生的风险事件发生的可能性
  (b)可能的结果范围
  (c)预期发生的时间
  (d)一个风险因素所产生的风险事件的发生频率

机会和产出两者之间可以精确画出连续函数(估计成本在100,000和150,000之间)或画出离散函数(一个可能或不可能获得的专利)。除此之外,在项目前阶段对可能性和产出的评估比项目后期所做的评估的评估值范围更大。

2.潜在的风险事件:潜在的风险事件是指如自然灾害或团队特殊人员出走等能影响项目的不连续事件。在发生这种事件或重大损失的可能相对巨大时("相对巨大"应根据具体项目而定),除风险因素外还应将潜在风险事件考虑在内。当潜在风险事件发生在不常有的特定应用领域时,常常是指如下一些事件:
   与普通项目要求不同的高新技术的发展领域,较常见于电子工业而少见于地产业的发展。
   类似风暴所造成的损失,较常见于建筑业,而不是生物科学技术领域。

对潜在风险的描述应包括对以下四个要素的评估:
  (a)风险事件发生的可能性
  (b)可选择的可能结果
  (c)事件发生的时间
  (d)发生频率的估测(即是否会发生一次以上)

3.风险征兆。风险征兆交有时也被称为触发引擎,是一种实际风险事件的间接显示。比如:丧失士气可能是计划被搁置的警告信号;而运作早期即产生成本超支可能又是评估粗糙的表现。

4.对其它程序的输入。风险认定过程应在另一个相关领域中确定一个要求,以便进行进一步运作。比如:如果工作分析结构图不够细致,就无法进行充分的风险识别。

风险常常被做为系统规定参数或假定值输入其它过程。


 

11.2风险量化

风险量化涉及到对风险和风险之间相互作用的评估,用这个评估分析项目可能的输出。这首先需要决定哪些风险值得反应。风险由于包括诸多因素而较复杂,这里就部分因素列举如下:
   机会和危胁能够以出乎意料的方式相互作用(比如:计划的延迟会造成不得不考虑新的战略以缩短整个项目周期)。
   一个单纯的风险事件能造成多重后果。(比如:主要零部件递送延误会造成成本超支、计划延迟、多支付薪水以及产品质量低劣等。)
   某个项目涉及人员的机会(如降成本)却往往意味着对其它项目涉及人员的威胁(不得不降低利润)。
   数学技巧往往容易使人们对精确性和可靠性产生错误印象。

11.2.1对风险量化的输入

1.投资者对风险的容忍度。不同的组织和个人往往对风险有着不同的容忍限度,举例如下:
   一个高利润高收益的公司也许愿意为一个10亿美元的合同花费$500,000.00制做一计划书,而一个收支相抵的公司则不会。
   一个组织也许认为15%的误差机率是高风险的,而其它组织却认为这个机率风险很低。

2.风险因素(见11.1.3.1)

3.潜在风险事件(见章节11.1.3.2)

4.成本评估(见章节7.2.3.1)

5.运作周期评估(见章节6.3.3.1)

11.2.2工具和方法

1.期望资金额,期望资金额是风险的一个重要指标,它是以下两个值的函数。
   风险事件的可能性--对一个假定风险事件发生可能性的评估。
   风险事件值--风险事件发生时对所引起的盈利或损失值的评估。

这个风险事件值要以有形资产和无形资产形式反映。比如,由于付出过高价格制定的计划书的A项目与B项目认定了损失有形资产$100,000的相同风险概率。如果A项目认定只有极少或没有造成无形资产损失,而B项目预计所产生的这么巨大的损失将使该组织不得不离开该行业,那么两种风险则不同了。

在相同情形下,如无法将无形资产计算在内,则将高概率的小亏损同低概率的大亏损等同起来会产生巨大差异。

如果说风险事件会独立发生也会集体发生,会并行发生也会顺序发生,那么"预期资金总额"也总是被做为一种输入值,以进一步做分析(如决策树等)。

2.统计数加总。统计数字加总是将每个具体工作课题的估计成本加总以计算出整个项目的成本的变化范围(如章节11.2.2.3所述,从估测的工期变量来计算项目完成时的可能数据的变化范围。)

可以用来量化项目总成本的变化范围来替代项目预算或提议价格的相对风险,表11-2说明了如何在项目变化范围评估中运用"力矩法"的技巧。

3.模拟法。模拟法运用假定值或系统模型来分析系统行为或系统表现。较普通的模拟法模式是运用项目模型作为项目框架来制作项目日程表。大多模拟项目日程表是建立在某种形式的"蒙特洛"分析基础上的。这种技术往往由全局管理所采用,对项目"预演"多次以得出如表11-3所示计算结果的数据统计分。
蒙特洛分析和其它形式 模拟法也可能用来估算项目成本可能的变化范围。

4.决策树。决策树是一种便于决策者理解的,来说明不同决策之间和相关偶发事件之间的相互作用的图表。决策树的分支或代表决策(用方格表示)或代表偶发事件(用圆圈表示),如图11-5系一个典型的决策树图。

做可能性分配统计时:
   如图示时分配偏左,则项目平均值将大大高于估计统计值。
   分配数据可任意混合和匹配,同一分支被用来做全部计算可简化本图表。

   为统计各分支可能性总和,需计算以下变量值:
   平均值,求和(标准偏差)和对这一分支基于公式计算的每一变量的方差(如贝它、三角平面等)。
   对项目每一变量平均值求和,即项目平均值。
   对项目每一变量方差求和,即项目方差。
   对项目方差求平方根,即项目求和值(标准偏差)。

上面的曲线显示了完成项目的案积可能性与某一时间点的关系。比如说,虚线的交叉点显示:在项目启动后145天之内完成项目的可能性为50%。项目完成期越靠左则风险愈高,反之风险愈低。

工程1、2、3都预计耗工期12天±2天,CPM(关键路径法)计算出A至B里程所耗用工期为12天,但工程1、2、3之中任何一个工程如产生延期,实期工期都会超过12天,就算其它工期在12天内完成。

  预期资金(EMU)=产出×该产出可能性。
   某决策预期资金=该决策所有分支产出的资金总和。
   $4,000预期资金的高估日程表从选择角度显示优于$1,000预期资金的保守日程表。

5.专家判断 专家判断往往能够代替或者附加在前面提到过的数学技巧。比如,风险事件可以被专家描述为具有高、中、低三种发生机率,和具有强烈、温和、有限三种影响。

11.2.3风险量化的产生

1.需跟踪的机会,需反应的威胁。风险量化的主要产出是一个记录着应被跟踪的机会和值得注意的威胁的清单。

2.被忽视的机会,被吸纳的威胁。风险量化过程中也应记录下如下信息(a)哪些风险来源和风险事件被项目管理队伍决定忽略或吸纳了,(b)是谁做出的该种决策。


 

11.3风险对策研究

风险对策研究包括对机会的跟踪进度和对危机的对策的定义。对危胁的对策大体分以下三点:
   避免--排除特定危胁往往靠排除危胁起源。项目管理队伍绝不可能排除所有风险,但特定的风险事件往往是可以排除的。
   减缓--减少风险事件的预期资金投入来减低风险发生的概率(如为避免项目产出的产品报废而使用专利技术),以及减少风险事件的风险系数(如买投保),或两者双管齐下。
   吸纳--接受一切后果。这种接受可以是积极的(如制定预防性计划来防备风险事件的发生),也可以是消极的(如某些工程运营超支则接受低于预期的利润)。

11.3.1对风险对策研究的输入

1.需跟踪的机会,需反应的危胁。见11.2.3.1详述。

2.被忽略的机会,被吸纳的危胁。见11.2.3.2详述。

以上条目之所以做为风险对策研究的输入是因为它们应被记录在风险管理方案中(见11.3.3.1)。

11.3.2工具和方法

1.采购 采购,即从本项目组织外采购产品和服务,常常是针对某些种类风险的有效对策。比如,与使用特殊科技相关的风险就可以通过与有此种技术经验的组织签定合同减缓风险。

采购行为往往将一种风险置换为另一种风险。比如,如果销售商不能够顺利销售,那么用制定固定价格的合同来减缓成本风险会造成项目时间进程受延误的风险。而相同情形下,将技术风险转嫁给销售商又会造成难以接受的成本风险。(详见12章项目采购管理)

2.预防性计划 预防性计划包括对一个确认的风险事件如果发生如何制定行动步骤(见11.4.2.1工作区讨论)。

3.替代战略 风险事件常常可以通过及时改变计划来制止或避免。比如,一个备用的工作方案可以减少在安装期和建设阶段中产生的变故。实际上在许多应用领域都有替代战略在潜在价值方面的实体文字说明。

4.投保 保险或类似保险的操作如证券投资常常对一些风险类别是行之有效的。在不同的应用领域,险种的类别和险种的成本也相应不同。

11.3.3风险对策研究的输出

1.风险管理方案。在整个项目进程中都应将管理风险的程序记录在风险管理方案里。除了记录风险识别和风险量化程序的结果外,还应记录包括谁对处理各个领域里的风险负责,怎样保留初步风险识别和风险量化的输出项,预防性计划怎样实施,以及储备如何分配等。

一个风险管理方案可以是正式的或非正式的。可以是细致入微或框架性的,这主要依据使项目而定。它是整个项目方案的一个辅助方案(详见章节4.1)。

2.对其它程序的输入 挑选出的或建设性的替代战略、预防性计划、预先采购、和其它有关风险的输出项都要反馈到其它知识领域中相应的过程里。

3.预防性计划 预防性计划是一种在识别的风险事件发生时将采取的事先拟定好的行动步骤。它是风险管理方案的一部分,但有时也被做为整个项目管理方案的其它部分的组成。(比如做为区域管理方案或优质管理方案的一部分)。

4.储备 储备是为了减缓成本风险和(或)日程风险而在项目方案中提出的预先准备。这个词往往在前边要使用一个修饰语(如管理储备,防预性储备,日程储备)以提供细节以便阐明需要缓解的是哪类风险。这个加了定语的词组的特定含义往往跟据应用领域不同而不同。除此之外,储备的应用,以及储备应包含什么也是一个特殊的应用领域。

5.契约 契约应囊括诸如保险、服务和其它条款用以避免和缓解危胁。合同术语与条款在降低风险系数上具有非常重大的意义和影响。

11.4风险对策实施控制

风险对策实施控制包括实施风险管理方案以便在项目过程中对风险事件做出回应。当变故发生时,需要重复进行风险识别,风险量化以及风险对策研究一整套基本措施。就算最彻底和最复杂的分析也不可能准确识别所有风险以及其发生概率,理解这一点是很重要的,因此控制和重复是必要的。

11.4.1对风险对策控制的输入项

1.风险管理方案。见章节11.3.3.1

2.实际风险事件。有些已识别了的风险事件会发生,有些则不会。发生了的风险事件是实际风险事件或说是风险的起源,而项目管理人员应总结已发生的风险事件以便进行进一步的对策研究。

3.附加风险识别。当项目进程受到评价和总结时(在章节10.3中有讨论),事先未被识别的潜在风险事件或风险的起源将会浮出水面。

11.4.2风险对策实施控制的工具和方法

1.工作区:对消极的风险事件而言,工作区是一种不列入方案的对策。所谓不列入方案是指在感觉上它并未定义在风险事件发生前。

2.附加风险策略研究。如果风险事件未被预料到,或后果远大于预料,那么计划的风险策略将会不充分,这时就有必要再次重复进行风险对策研究甚至风险管理程序。

11.4.3风险对策实施控制输出项

1.校正行为:校正行为首先包括实施已计划的风险对策(比如实施预防性计划或工作区计划)。

2.实时调整风险管理计划。一个预料之中的风险事件发生或没发生,对实际风险事件后果的评估,对风险系数和风险机率的评估,以及风险管理方案的其它方面,都应进行实时的更新调整。

 

组织简介 | 联系我们 |   Copyright 2002 ®  UML软件工程组织 京ICP备10020922号

京公海网安备110108001071号