实施风险应对是执行商定的风险应对计划的过程。
本过程的主要作用是,确保按计划执行商定的风险应对措施,来管理整体项目风险敞口、最小化单个项目威胁,以及最大化单个项目机会。
本过程需要在整个项目期间开展。
适当关注实施风险应对过程,能够确保已商定的风险应对措施得到实际执行。
项目风险管理的一个常见问题是,项目团队努力识别和分析风险并制定应对措施,然后把经商定的应对措施记录在风险登记册和风险报告中,但是不采取实际行动去管理风险。
只有风险责任人以必要的努力去实施商定的应对措施,项目的整体风险敞口和单个威胁及机会才能得到主动管理。
监督风险是在整个项目期间,监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险,以及评估风险管理有效性的过程。
本过程的主要作用是,使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。
本过程需要在整个项目期间开展。
为了确保项目团队和关键相关方了解当前的风险敞口级别,应该通过监督风险过程对项目工作进行持续监督,来发现新出现、正变化和已过时的单个项目风险。
监督风险过程采用项目执行期间生成的绩效信息,以确定:
实施定性风险分析是通过评估单个项目风险发生的概率和影响以及其他特征,对风险进行优先级排序,从而为后续分析或行动提供基础的过程。
本过程的主要作用是重点关注高优先级的风险。
本过程需要在整个项目期间开展。
实施定性风险分析,使用项目风险的发生概率、风险发生时对项目目标的相应影响以及其他因素,来评估已识别单个项目风险的优先级。
这种评估基于项目团队和其他相关方对风险的感知程度,从而具有主观性。
所以,为了实现有效评估,就需要认清和管理本过程关键参与者对风险所持的态度。
风险感知会导致评估已识别风险时出现偏见,所以应该注意找出偏见并加以纠正。
如果由引导者来引导本过程的开展,那么找出并纠正偏见就是该引导者的一项重要工作。
同时,评估单个项目风险的现有信息的质量,也有助于澄清每个风险对项目的重要性的评估。
实施定性风险分析能为规划风险应对过程确定单个项目风险的相对优先级。
本过程会为每个风险识别出责任人,以便由他们负责规划风险应对措施,并确保应对措施的实施。
如果需要开展实施定量风险分析过程,那么实施定性风险分析也能为其奠定基础。
根据风险管理计划的规定,在整个项目生命周期中要定期开展实施定性风险分析过程。
在敏捷开发环境中,实施定性风险分析过程通常要在每次迭代开始前进行。
项目风险可依据风险来源(如采用风险分解结构 [RBS],见图 11-4)、受影响的项目领域(如采用工作分解结构 [WBS],见图 5-12、5-13 和 5-14),以及其他实用类别(如项目阶段、项目预算、角色和职责)来分类,确定哪些项目领域最容易被不确定性影响;风险还可以根据共同的根本原因进行分类。应该在风险管理计划中规定可用于项目的风险分类方法。
对风险进行分类,有助于把注意力和精力集中到风险敞口最大的领域,或针对一组相关的风险制定通用的风险应对措施,从而有利于更有效地开展风险应对。
要开展定量风险分析,就需要建立能反映单个项目风险和其他不确定性来源的定量风险分析模型,并为之提供输入。
如果活动的持续时间、成本或资源需求是不确定的,就可以在模型中用概率分布来表示其数值的可能区间。
概率分布可能有多种形式,最常用的有三角分布、正态分布、对数正态分布、贝塔分布、均匀分布或离散分布。
应该谨慎选择用于表示活动数值的可能区间的概率分布形式。
单个项目风险可以用概率分布图表示,或者,也可以作为概率分支包括在定量分析模型中。
在后一种情况下,应在概率分支上添加风险发生的时间和(或)成本影响,以及在特定模拟中风险发生的概率情况。
如果风险的发生与任何计划活动都没有关系,就最适合将其作为概率分支。
如果风险之间存在相关性,例如有某个共同原因或逻辑依赖关系,那么应该在模型中考虑这种相关性。
其他不确定性来源也可用概率分支来表示,以描述贯穿项目的其他路径。
实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。
本过程的主要作用是,量化整体项目风险敞口,并提供额外的定量风险信息,以支持风险应对规划。
本过程并非每个项目必需,但如果采用,它会在整个项目期间持续开展。
并非所有项目都需要实施定量风险分析。
能否开展稳健的分析取决于是否有关于单个项目风险和其他不确定性来源的高质量数据,以及与范围、进度和成本相关的扎实项目基准。
定量风险分析通常需要运用专门的风险分析软件,以及编制和解释风险模式的专业知识,还需要额外的时间和成本投入。
项目风险管理计划会规定是否需要使用定量风险分析,定量分析最可能适用于大型或复杂的项目、具有战略重要性的项目、合同要求进行定量分析的项目,或主要相关方要求进行定量分析的项目。
通过评估所有单个项目风险和其他不确定性来源对项目结果的综合影响,定量风险分析就成为评估整体项目风险的唯一可靠的方法。
在实施定量风险分析过程中,要使用被定性风险分析过程评估为对项目目标存在重大潜在影响的单个项目风险的信息。
实施定量风险分析过程的输出,则要用作规划风险应对过程的输入,特别是要据此为整体项目风险和关键单个项目风险推荐应对措施。
定量风险分析也可以在规划风险应对过程之后开展,以分析已规划的应对措施对降低整体项目风险敞口的有效性。
针对威胁,可以考虑下列五种备选策略:
如果项目团队或项目发起人认为某威胁不在项目范围内,或提议的应对措施超出了项目经理的权限,就应该采用上报策略。被上报的风险将在项目集层面、项目组合层面或组织的其他相关部门加以管理,而不在项目层面。项目经理确定应就威胁通知哪些人员,并向该人员或组织部门传达关于该威胁的详细信息。对于被上报的威胁,组织中的相关人员必须愿意承担应对责任,这一点非常重要。威胁通常要上报给其目标会受该威胁影响的那个层级。威胁一旦上报,就不再由项目团队做进一步监督,虽然仍可出现在风险登记册中供参考。
风险规避是指项目团队采取行动来消除威胁,或保护项目免受威胁的影响。它可能适用于发生概率较高,且具有严重负面影响的高优先级威胁。规避策略可能涉及变更项目管理计划的某些方面,或改变会受负面影响的目标,以便于彻底消除威胁,将它的发生概率降低到零。
风险责任人也可以采取措施,来分离项目目标与风险万一发生的影响。规避措施可能包括消除威胁的原因、延长进度计划、改变项目策略,或缩小范围。有些风险可以通过澄清需求、获取信息、改善沟通或取得专有技能来加以规避。
转移涉及到将应对威胁的责任转移给第三方,让第三方管理风险并承担威胁发生的影响。采用转移策略,通常需要向承担威胁的一方支付风险转移费用。风险转移可能需要通过一系列行动才得以实现,包括(但不限于)购买保险、使用履约保函、使用担保书、使用保证书等。也可以通过签订协议,把具体风险的归属和责任转移给第三方。
风险减轻是指采取措施来降低威胁发生的概率和(或)影响。提前采取减轻措施通常比威胁出现后尝试进行弥补更加有效。减轻措施包括采用较简单的流程,进行更多次测试,或者选用更可靠的卖方。还可能涉及原型开发(见 5.2.2.8 节),以降低从实验台模型放大到实际工艺或产品中的风险。如果无法降低概率,也许可以从决定风险严重性的因素入手,来减轻风险发生的影响。例如,在一个系统中加入冗余部件,可以减轻原始部件故障所造成的影响。
风险接受是指承认威胁的存在,但不主动采取措施。此策略可用于低优先级威胁,也可用于无法以任何其他方式加以经济有效地应对的威胁。接受策略又分为主动或被动方式。最常见的主动接受策略是建立应急储备,包括预留时间、资金或资源以应对出现的威胁;被动接受策略则不会主动采取行动,而只是定期对威胁进行审查,确保其并未发生重大改变。
可以设计一些仅在特定事件发生时才采用的应对措施。
对于某些风险,如果项目团队相信其发生会有充分的预警信号,那么就应该制定仅在某些预定条件出现时才执行的应对计划。
应该定义并跟踪应急应对策略的触发条件,例如,未实现中间的里程碑,或获得卖方更高程度的重视。采用此技术制定的风险应对计划,通常称为**$\color{red}{应急计划或弹回计划}$**,其中包括已识别的、用于启动计划的触发事件。
风险应对措施的规划和实施不应只针对单个项目风险,还应针对整体项目风险。用于应对单个项目风险的策略也适用于整体项目风险:
$\color{red}{规避}$ 如果整体项目风险有严重的负面影响,并已超出商定的项目风险临界值,就可以采用规避策略。此策略涉及采取集中行动,弱化不确定性对项目整体的负面影响,并将项目拉回到临界值以内。例如,取消项目范围中的高风险工作,就是一种整个项目层面的规避措施。
如果无法将项目拉回到临界值以内,则可能取消项目。这是最极端的风险规避措施,仅适用于威胁的整体级别在当前和未来都不可接受。
$\color{red}{开拓}$ 如果整体项目风险有显著的正面影响,并已超出商定的项目风险临界值,就可以采用开拓策略。此策略涉及采取集中行动,去获得不确定性对整体项目的正面影响。例如,在项目范围中增加高收益的工作,以提高项目对相关方的价值或效益;或者,也可以与关键相关方协商修改项目的风险临界值,以便将机会包含在内。
$\color{red}{转移或分享}$ 如果整体项目风险的级别很高,组织无法有效加以应对,就可能需要让第三方代表组织对风险进行管理。若整体项目风险是负面的,就需要采取转移策略,这可能涉及支付风险费用;如果整体项目风险高度正面,则由多方分享,以获得相关收益。整体项目风险的转移和分享策略包括(但不限于):建立买方和卖方分享整体项目风险的协作式业务结构、成立合资企业或特殊目的公司,或对项目的关键工作进行分包。
$\color{red}{减轻或提高}$ 本策略涉及变更整体项目风险的级别,以优化实现项目目标的可能性。减轻策略适用于负面的整体项目风险,而提高策略则适用于正面的整体项目风险。减轻或提高策略包括重新规划项目、改变项目范围和边界、调整项目优先级、改变资源配置、调整交付时间等。
$\color{red}{接受}$ 即使整体项目风险已超出商定的临界值,如果无法针对整体项目风险采取主动的应对策略,组织可能选择继续按当前的定义推动项目进展。接受策略又分为主动或被动方式。最常见的主动接受策略是为项目建立整体应急储备,包括预留时间、资金或资源,以便在项目风险超出临界值时使用;被动接受策略则不会主动采取行动,而只是定期对整体项目风险的级别进行审查,确保其未发生重大改变。
针对机会,可以考虑下列五种备选策略:
如果项目团队或项目发起人认为某机会不在项目范围内,或提议的应对措施超出了项目经理的权限,就应该取用上报策略。被上报的机会将在项目集层面、项目组合层面或组织的其他相关部门加以管理,而不在项目层面。项目经理确定应就机会通知哪些人员,并向该人员或组织部门传达关于该机会的详细信息。对于被上报的机会,组织中的相关人员必须愿意承担应对责任,这一点非常重要。机会通常要上报给其目标会受该机会影响的那个层级。
机会一旦上报,就不再由项目团队做进一步监督,虽然仍可出现在风险登记册中供参考。
如果组织想确保把握住高优先级的机会,就可以选择开拓策略。此策略将特定机会的出现概率提高到 100%,确保其肯定出现,从而获得与其相关的收益。开拓措施可能包括:把组织中最有能力的资源分配给项目来缩短完工时间,或采用全新技术或技术升级来节约项目成本并缩短项目持续时间。
分享涉及到将应对机会的责任转移给第三方,使其享有机会所带来的部分收益。必须仔细为已分享的机会安排新的风险责任人,让那些最有能力为项目抓住机会的人担任新的风险责任人。采用风险分享策略,通常需要向承担机会应对责任的一方支付风险费用。分享措施包括建立合伙关系、合作团队、特殊公司或合资企业来分享机会。
提高策略用于提高机会出现的概率和(或)影响。提前采取提高措施通常比机会出现后尝试改善收益更加有效。通过关注其原因,可以提高机会出现的概率;如果无法提高概率,也许可以针对决定其潜在收益规模的因素来提高机会发生的影响。机会提高措施包括为早日完成活动而增加资源。
接受机会是指承认机会的存在,但不主动采取措施。此策略可用于低优先级机会,也可用于无法以任何其他方式加以经济有效地应对的机会。接受策略又分为主动或被动方式。
最常见的主动接受策略是建立应急储备,包括预留时间、资金或资源,以便在机会出现时加以利用;被动接受策略则不会主动采取行动,而只是定期对机会进行审查,确保其并未发生重大改变。