项目风险管理

青华专业UG培训

项目风险管理

项目风险管理包括风险管理规划、风险识别、风险分析、风险应对规
" g; k# H  L/ M* J划和风险监控等各个过程。项目风险管理的目标在于提高项目积极事件的
概率和影响，降低项目消极事件的概率和影响。
  ^& W- N4 ]( ^$ l图11-1概述了项目风险管理的各个过程，包括：
/ x8 E( }" k3 n6 _9 A5 @0 p' W# N11.1  规划风险管理——定义如何实施项目风险管理活动的过程。
11.2  识别风险——判断哪些风险会影响项目并记录其特征的过程。
11.3  实施定性风险分析——评估并综合分析风险的发生概率和影响，
5 x7 f' h! P* b对风险进行优先排序，从而为后续分析或行动提供基础的过程。
11.4  实施定量风险分析——就已识别风险对项目整体目标的影响进
) m' j# \; c1 Y6 O8 x行定量分析的过程。
11.5  规划风险应对——针对项目目标，制定提高机会、降低威胁的
方案和措施的过程。
& S2 w3 E; p" q4 U: \0 Q11.6  监控风险——在整个项目中，实施风险应对计划、跟踪已识别风
险、监测残余风险、识别新风险和评估风险过程有效性的过程。
. O6 z) d1 v/ ]$ |上述过程不仅彼此相互作用，而且还与其他知识领域中的过程相互作
用。基于项目的具体需要，每个过程都可能需要一人或多人的努力。每个
$ t7 d# b+ j% k) I5 }过程在每个项目中至少进行一次，并可在项目的一个或多个阶段（如果项
9 l) U( A* F; d3 t  u4 y& D目被划分为多个阶段）中进行。虽然在本章中，各过程以界限分明、相互
独立的形式出现，但在实践中它们可能以本章未详述的方式相互交叠、相
互作用。第3章已对过程间的相互作用做了详细讨论。
项目的未来充满风险。风险是一种不确定的事件或条件，一旦发生，
会对至少一个项目目标造成影响，如范围、进度、成本和质量。风险可能
2 q3 r7 U, y8 C3 z' M& J5 w; A0 V有一种或多种起因，一旦发生可能有一项或多项影响。风险的起因包括可
8 d% v" o4 H$ ]能引起消极或积极结果的需求、假设条件、制约因素或某种状况。例如，
项目需要申请环境许可证，或者分配给项目的设计人员有限，都是可能的
风险起因。与之相对应的风险事件是，颁证机构可能延误许可证的颁发；
% T4 l2 g. D: v2 L# M8 O或者，表现为机会的风险事件是，虽然所分配的项目设计人员不足，但仍
3 z" X. T# t& U+ Y. o可能按时完成任务，即可利用更少的资源来完成工作。这两个不确定性事
件中，无论发生哪一个，都可能对项目的成本、进度或绩效产生影响。风
& S3 Y# o. C% k; Q  U险条件则是可能引发项目风险的各种项目或组织环境因素，如不成熟的项
目管理实践、缺乏综合管理系统、多项目并行实施，或依赖不可控的外部
, M0 T! p  W" A参与者等。


' m" m% {2 I0 j7 L4 I
4 b5 B8 s4 ^- Q/ ?项目风险源于任何项目中都存在的不确定性。已知风险是指已经识别
' S; v( ]7 C) _! K5 y5 s& B: P/ y并分析过的风险，从而可对这些风险规划应对措施。对具体的未知风险，
& m* Y, O* L+ q  I4 n
则无法主动进行管理，项目团队应该为未知风险创建应急计划。已经发生
的项目风险也可视为一个问题。
* _0 o- J! b: F组织把风险看做是不确定性可能给项目和组织目标造成的影响。组织
( i6 h+ d6 k( B8 N2 k和干系人愿意接受不同程度的风险，即具有不同的风险承受力。如果风险
  ?2 W4 r6 t- o" i$ e* C5 Q给项目造成的威胁在可承受范围之内，并且与冒此风险可能得到的收获相
! b* {% @% J; n/ v; n平衡时，该风险就是可接受的。例如，对进度进行快速跟进（见6.5.2.7节）
就是为提前完成项目而冒险。
个人和团队对风险所持的态度将影响其应对风险的方式。他们对风险
+ e9 e, G$ f+ Z7 }! B的态度会受其认知、承受力和各种成见的左右。应该尽可能弄清楚他们的
' `: G% y" \4 K$ P5 @! z4 I认知、承受力和成见。应为每个项目制定统一的风险管理方法，并开诚布
# b: Z# f5 S! c4 X" l6 j. |' W公地就风险及其应对措施进行沟通。风险应对措施可以反映组织在冒险与
: i2 V/ L+ P* v- C- Y避险之间的权衡。
要想取得成功，组织应致力于在整个项目期间积极、持续地开展风险
3 O5 ~& Z, f4 c  ~管理。在整个项目过程中，组织的各个层级都必须有意地积极识别并有效
& W( ?- \5 y( S% s1 K! F& j管理风险。项目从构思那一刻起，就存在风险。在项目推进过程中，如果
不积极进行风险管理，实际发生的风险就可能给项目造成严重影响，甚至
导致项目失败。
11.1  规划风险管理
规划风险管理是定义如何实施项目风险管理活动的过程（见图11-2和
9 c; a. W$ i$ _9 z7 t# e图11-3）。认真、明确地进行规划，可以提高其他5个风险管理过程的成功
概率。规划风险管理非常重要，它可以确保风险管理的程度、类型和可见
度与风险以及项目对组织的重要性相匹配。规划风险管理的重要性还在于为
. c. B2 S7 p1 q1 E/ y风险管理活动安排充足的资源和时间，并为评估风险奠定一个共同认可的
+ b# K! F% [+ o- ?基础。规划风险管理过程在项目构思阶段就应开始，并在项目规划阶段的
早期完成
- ]  T+ [3 E* |* R/ l6 A

" m5 F8 E" I8 O& J0 @/ c( Q% i, ^
11.1.1  规划风险管理：输入
- r$ I+ }, a# U/ |3 t- I$ Q1．项目范围说明书
9 e* y, Z' \+ r2 N* ?/ Y! b项目范围说明书能让人们清楚地了解与项目及其可交付成果有关的各
种可能性，并建立一个框架，以便人们了解最终可能需要多大程度的风险
管理。已在5.2.3.1节讨论。
5 l; H! U" w' h! \: I0 T2．成本管理计划
项目成本管理计划定义了应该如何核定和报告风险预算、应急储备和
管理储备。已在7.0节讨论。
' d' n, A0 i* X. c/ m- S3．进度管理计划
1 K+ ], B( A  V进度管理计划定义了应该如何核定和报告进度应急储备。已在6.0节
讨论。
4．沟通管理计划
. ^. Y5 q; v2 K+ ?沟通管理计划定义了项目中的各种互动关系，并明确由谁在何时何地

来共享关于各种风险及其应对措施的信息。已在10.2.3.1节讨论。
+ K/ u0 t. G* y8 U5．事业环境因素
可能影响规划风险管理过程的事业环境因素包括（但不限于）组织对
  w, c+ g1 g0 j4 {6 P风险的态度和承受力。它们代表组织愿意和能够承受的风险的程度。
- D, B' @: e' {+ h8 z$ g1 C6．组织过程资产
可能影响规划风险管理过程的组织过程资产包括（但不限于）：
9 K  W4 n: [+ P+ _„  风险类别；
„  概念和术语的通用定义；
8 P- @: q0 ^$ X( z0 C„  风险描述的格式；
1 `) s- [1 ?5 F, n! Y/ ]6 {„  标准模板；
„  角色和职责；
„  决策所需的职权级别；
/ W0 Y& J% }& m4 ~* C6 b„  经验教训；
9 M/ f& H/ g! e/ r- s„  干系人登记册。在编制风险管理计划的过程中，应该把干系人登记
册作为重要资料之一加以分析。
3 h6 O+ f: ?4 }* R3 h/ ^6 ~6 E* V4 j11.1.2  规划风险管理：工具与技术
1．规划会议和分析
项目团队需要举行规划会议，来制定风险管理计划。参会者可包括项
目经理、相关项目团队成员和干系人、组织中负责管理风险规划和应对活
0 }  `7 A% p8 ~' b" `动的人员，以及其他相关人员。
6 t7 \' `7 m, S+ H3 [会议确定实施风险管理活动的总体计划；确定用于风险管理的成本种
2 b: C$ T/ @% e# u1 p类和进度活动，并将其分别纳入项目的预算和进度计划中；建立或评审风
险应急储备的使用方法；分配风险管理职责；并根据具体项目的需要，来
. @& B) R2 L7 [; W2 V/ a: V3 F“剪裁”组织中有关风险类别和术语定义等的通用模板，如风险级别、不
同风险的概率、对不同目标的影响，以及概率影响矩阵。如果组织中缺乏
6 j, v  a$ w+ Y' o( S4 ?可供风险管理其他步骤使用的模板，会议也可能要制定这些模板。这些活
9 U. m% J2 _! _( S动的输出将汇总在风险管理计划中。
11.1.3  规划风险管理：输出
1 p% O/ L2 n9 a' i; f1．风险管理计划
1 H' ^6 ~0 M+ s风险管理计划描述将如何安排与实施项目风险管理，它是项目管理计
  ^3 G* l' H7 w8 Y9 |划（见4.2.3.1节）的子计划。风险管理计划包括以下内容：
2 ?% R) a) k2 o3 G( e4 I6 e„  方法论。确定项目风险管理将使用的方法、工具及数据来源。
„  角色与职责。确定风险管理计划中每项活动的领导者和支持者，以

: n* \3 n! J! v- L0 O及风险管理团队的成员，并明确其职责。
„  预算。分配资源，估算风险管理所需的资金，将其纳入成本绩效基
准，并建立应急储备（见7.2.3.1节）的使用方案。
„  时间安排。确定在项目生命周期中实施风险管理过程的时间和频
* S$ B6 H7 W  O率，建立进度应急储备的使用方案，确定应纳入项目进度计划（见
- j# [8 i7 `3 e$ b1 m6.5.3.1节）的风险管理活动。
„  风险类别。风险类别提供了一个框架，确保在同一细节水平上全面、
% v  O, a- Z  J3 K5 L系统地识别各种风险，并提高识别风险过程的效果和质量。组织可
6 `( [# d0 Q& s使用预先准备好的分类框架，它可能是一个简易分类清单或风险分
. A8 z) P6 ^+ O4 C" S; `解结构（RBS）。RBS是按风险类别和子类别来排列已识别的项目
风险的一种层级结构，用来显示潜在风险的所属领域和产生原因。
5 v; _# M5 |" i7 F示例见图11-4。
' q5 @9 o5 \2 @* M$ \, j„  风险概率和影响的定义。需要对风险的概率和影响划分层次，来确
9 k2 g0 N& k$ i" x- y/ f- g; I保实施定性风险分析过程的质量和可信度。在规划风险管理过程
9 q' t6 Q$ X, f* `" V) i' T3 N中，应该根据具体项目的需要来“剪裁”通用的风险概率和影响定
义，供实施定性风险分析过程（见11.3节）使用。图11-5是关于
5 X8 S6 z% S0 L; i) U* X9 s消极影响的定义的例子，可用于评估风险对4 个项目目标的影响
1 @& b. ]& P6 T2 X) [（可对积极影响建立类似的表格）。此图显示了用来表示影响的两
* r! b# R1 E0 D1 J' f种方法，即相对量表和数字量表（在本例中是非线性的）。
( A2 X& B- ^+ O1 X: i% M2 c  g

6 d& K4 T& V( U: [
' f6 }2 c( }% e概率影响矩阵。应该根据风险可能对项目目标产生的影响，对风险
; K  X+ ^! y8 p; I4 _$ x4 ~  R进行优先排序。进行风险优先排序的典型方法是，使用查询表或概
4 H9 N! @( D# i! Z. Y. U
率影响矩阵（见11.3.2.2 节）。根据概率和影响的各种组合，把风
险划分成高、中、低级别，以便进行相应的风险应对规划（见11.5
节）。通常由组织来设定概率影响矩阵。
„  修订的干系人承受力。可在规划风险管理过程中对干系人的承受力
进行修订，以适应具体项目的情况。
„  报告格式。包括风险登记册的内容和格式，以及所需的其他风险报
. c% A. r6 l# a: q* B5 }/ D告的内容和格式，用于规定将如何对风险管理过程的结果进行记
! C4 _, ~8 U" u, g2 [- W% H录、分析和沟通。
/ x; F9 @$ s, E, t8 ], Q* K% W7 D0 F4 U„  跟踪。应该规定将如何记录风险活动。这些记录可用于本项目或未
来项目，可用于总结经验教训，还要规定是否需要以及应该如何对
风险管理过程进行审计。
* O# \' n0 M6 @
2 x3 X; p. ~2 ~9 j, ]1 J8 b. }
- `9 i6 M6 H* v: F5 p; s2 g9 N
11.2  识别风险
  ^! e7 w- e$ @' S( x# b2 Q) K2 _9 S识别风险是判断哪些风险会影响项目并记录其特征的过程（见图11-6
6 A. r. |- ^. W& \% `/ h和图11-7）。风险识别活动的参与者可包括：项目经理、项目团队成员、风
4 b& Z4 Z1 ^  p6 S' X5 @5 b险管理团队（如有）、客户、项目团队之外的主题专家、最终用户、其他项
4 N9 n$ E3 m) q0 f$ I! K5 B目经理、干系人和风险管理专家。虽然上述人员往往是风险识别过程的关
键参与者，但还应鼓励全体项目人员参与风险识别工作。
& I- F- u9 a( y/ }+ U8 g. l识别风险是一个反复进行的过程，因为在项目生命周期中，随着项目
; g" J1 D; `" }9 y- Q的进展，新的风险可能产生或为人所知。反复的频率以及每一轮的参与者
  E2 g3 O, n, {/ @: b因具体情况而异。应该采用统一的格式对风险进行描述，确保可以把项目
' G! j/ F# ?- W7 h7 n+ G中一个风险事件的影响与其他事件进行比较。项目团队应参与识别风险过
程，以便创造并维持团队成员对风险及其应对措施的主人翁感和责任感。
& N! e& U7 U' V5 n7 A
% k- C+ E" K3 A3 e& r- @$ w11.2.1  识别风险：输入
7 {" D# t2 H1 R/ l+ V1．风险管理计划
7 V! I* W1 ?5 E3 C+ P风险管理计划向识别风险过程提供一些关键输入，包括角色和职责分
配、已列入预算和进度计划的风险管理活动以及可能以风险分解结构（见
图11-4）的形式呈现的风险类别（见11.1节）。
& p$ O9 }0 X) Z2 H8 p8 }3 z3 `2．活动成本估算
8 K0 e5 z" l7 D0 q对活动成本估算（见7.1.3.1节）进行审查，有利于识别风险。活动成
本估算是对各活动可能需要的成本的量化评估，最好用一个区间来表示，
区间的宽度代表着风险的程度。通过审查，可以得出这样的结论：估算的
8 G$ }7 ^( |9 d/ P* O; f成本足以或不足以完成某项活动（继而给项目带来风险）。
- [1 v) }1 h4 ~, Z, d8 A, t3．活动持续时间估算
* B1 P9 u" Y: b- x& f对活动持续时间估算（见6.4.3.1节）进行审查，有利于识别与活动或
整个项目的时间安排有关的风险。类似地，估算区间的宽度代表着风险的
相对程度。
9 v$ S$ F- Q/ r, K$ S1 \4．范围基准
) }& h) K. p0 }& C/ j可从项目范围说明书（见5.2.3.1节）中了解项目的假设条件。应该把
( f6 F8 C4 Q' c7 B2 Q7 ~! w' E项目假设条件的不确定性作为项目风险的潜在原因，认真加以评审。
WBS是识别风险过程的关键输入，因为它方便人们同时从微观和宏观
层面认识潜在风险。可以在总体、控制账户和/或工作包层级上识别，继而
3 y' ~/ |( H$ X' z. H$ |7 H跟踪风险。
) d: C3 a; O  u


5．干系人登记册
可以利用干系人的信息（见10.1.3.1节），确保关键干系人（特别是
客户）能以访谈或其他方式参与识别风险过程，为识别风险提供各种
( r* R" `& U$ i/ C7 T( Q: F) \输入。

6．成本管理计划
5 `8 Q: w5 L( {8 `+ Q2 ~进行风险识别，需要了解项目管理计划中的成本管理计划（见7.0节）。
特定项目的成本管理方法往往有某种独特的性质或结构，从而导致或降低
% k, h6 W  J7 J, O' N( O/ Z风险。
# f/ w& @) @% v6 q8 f/ D0 y+ T7．进度管理计划
进行风险识别也需要了解项目管理计划中的进度管理计划（见6.0节）。
  @; L1 k. o& k' D! m: O2 B- ?特定项目的进度管理方法往往有某种独特的性质或结构，从而导致或降低
9 Q# @; S5 m6 b3 [( l风险。
8．质量管理计划
进行风险识别，还需要了解项目管理计划中的质量管理计划（见8.1.3.1
! o/ f; n1 [+ _* B: W节）。特定项目的质量管理方法往往有某种独特的性质或结构，从而导致或
降低风险。
. @( V' h  L1 r. P( ~9．项目文件
6 u7 ~7 ^+ v8 O项目文件包括（但不限于）：
„  假设条件日志；
1 i# p" e* {& ]3 H2 }„  工作绩效报告；
' E! Q7 A9 n0 H, M5 d„  挣值报告；
/ ]7 [9 z0 \6 q' @- H% @„  网络图；
„  基准；
6 \. W1 U( n1 C9 Z; h! ~0 O7 y„  对识别风险有价值的其他项目信息。
; A8 ]$ g' j' A6 O+ m1 R. h, s10．事业环境因素
可能影响识别风险过程的事业环境因素包括（但不限于）：
, F3 w5 J. p. j+ L$ D, F* C% u„  公开发布的信息，包括商业数据库；
: S+ |- \. |6 g  g9 l3 r; W# d9 _„  学术研究资料；
„  公开发布的核对表；
„  标杆；
0 k+ k! U  K. s- F" i„  行业研究资料；
„  风险态度。
11．组织过程资产
% ^9 Y" M& U$ W2 p可能影响识别风险过程的组织过程资产包括（但不限于）：
& f) T, l( i/ K3 J„  项目档案，包括实际数据；
„  组织和项目的流程控制规定；
„  风险描述的模板；
! ]7 n2 S: P; y„  经验教训。
- |7 K/ }- g# @, y: S: H& U* d
11.2.2  识别风险：工具与技术
1．文档审查
对项目文档（包括各种计划、假设条件、以往的项目档案和其他信息）
) R7 t' q3 ^, \2 C) B进行结构化审查。项目计划的质量以及项目计划与项目需求和假设条件的
/ S7 M, B: p5 ?; F匹配程度，都是项目的风险指示器。
( ?" x" j/ b2 d, g' k# x* H6 ^2．信息收集技术
5 @$ [9 g$ F+ O+ p! X可用于风险识别的信息收集技术包括：
! G  I. w) m% C3 W1 D! e„  头脑风暴。头脑风暴的目的是获得一份综合的项目风险清单。通常
" X/ o& f- q9 n由项目团队开展头脑风暴，团队以外的多学科专家也经常参与其
中。在主持人的引导下，参加者提出各种关于项目风险的主意。头
脑风暴可采用由参加者畅所欲言的传统自由模式，也可采用结构化
( s* G  ^; \; J. Q5 S的集体访谈方法，如名义小组技术。可以采用风险类别（如风险分
解结构）作为基础框架，然后依风险类别进行识别和分类，并进一
步阐明风险的定义。
. T8 U2 \. r  J9 b( e  a  x- a„  德尔菲技术。德尔菲技术是组织专家就某个专题达成一致意见的一
/ `+ I7 ~( g3 S种方法。项目风险专家匿名参与。组织者使用调查问卷就重要的项
* K& Z6 C" p2 F4 V) A) }% b目风险征询意见，然后对专家的答卷进行归纳，并把结果反馈给专
家，请他们做进一步评论。这个过程重复几轮后，就可能取得一致
意见。德尔菲技术有助于减轻数据的偏倚，防止任何个人对结果产
, c' y; y0 B- s) ]8 Q( L1 x生不恰当的影响。
„  访谈。访谈有经验的项目参与者、干系人或相关主题专家，可以识
别出某些风险。
' S$ ^; y( F" L3 j6 l„  根本原因分析。根本原因分析是发现问题，找到其深层原因并制定
- \2 _7 Z9 l) n; E" g* Q! P. f5 m预防措施的一种特定技术。
3．核对表分析
/ ^- Q$ U" b4 E1 V, o$ u可以根据以往类似项目或从其他渠道积累的历史信息与知识，编制风
1 G& ^$ _8 e8 n& C险识别核对表。也可用风险分解结构的底层作为风险核对表。虽然核对表
简单易用，但是人们无法编制出一个非常全面的核对表。团队应该注意考
察未在核对表中列出的事项。在项目收尾过程中，应对核对表进行审查，
: ^  E! z% R# O- t9 X$ i0 {) r1 w并根据新的经验教训改进核对表，供未来的项目使用。
4．假设分析
每个项目和每个已识别的风险都是基于一套特定的假想、设想或假设
的。假设分析是检验假设条件在项目中的有效性，并识别因其中的错误、
3 e5 Z! x9 ~3 A9 D变化、矛盾或片面性所致的项目风险。

5．图解技术
风险图解技术可包括：
„  因果图（见8.3.2.1 节）。又叫石川图或鱼骨图，用于识别风险的
起因。
„  系统或过程流程图。显示系统各要素之间的相互联系以及因果传导
$ T5 j; Q' {6 a: H3 G+ Z0 P机制（见8.3.2.3节）。
! W/ ~0 Q/ o5 s/ V1 d$ h5 _„  影响图。用图形方法表示变量与结果之间的因果关系、事件时间顺
/ M+ K6 m) N0 B! E2 u7 [序以及其他关系。
6．SWOT分析
这种技术从项目的每一个优势、劣势、机会和威胁出发，对项目进行
# M" e* e( s# ^% |" h* D考察，把产生于内部的风险都包括在内，从而更全面地考虑风险。首先，
6 k+ X7 X; `/ m从项目组织或更大业务范围的角度，识别组织的优势和劣势，经常可用头
脑风暴法。然后，再识别出产生于组织优势的各种项目机会，以及产生于
. m/ @9 A( M/ a% K组织劣势的各种威胁。也可用SWOT分析来考察组织优势可以抵消威胁的
% K  L) G" x; O% e+ v* p* @程度，以及机会可以克服劣势的程度。
7．专家判断
拥有类似项目或业务领域经验的专家，可以直接识别风险。项目经理
应该选择相关专家，邀请他们根据以往经验和专业知识指出可能的风险。
需要注意专家的偏见。
0 O+ {+ s+ }8 N/ l11.2.3  识别风险：输出
识别风险过程的主要输出通常都载入风险登记册。
1．风险登记册
6 u1 _" S7 ~9 L识别风险过程的主要输出就是风险登记册中的最初内容。随着其他风
6 U4 Y: j% W: r) ]) L( U4 z3 y; H险管理过程的实施，风险登记册还将包括这些其他过程的输出，其中所包
5 a4 _* P' \2 V" y. T8 Z含的信息也就逐渐增加。风险登记册的编制始于风险识别过程，然后供其
! `3 f% p, e1 k5 Z: d0 g* r他风险管理过程和项目管理过程使用。最初的风险登记册包括如下信息：
* L2 w1 x" l1 y5 Y% g$ |3 c4 s„  已识别风险清单。对已识别风险进行尽可能详细的描述。可采用简
( S9 Z$ @- [" Y, N. a; t+ A$ F单的结构对风险进行描述，例如，某事件可能发生，从而造成什么
" y/ l) n3 y4 c; ^影响；或者，如果出现某原因，某事件就可能发生，从而导致什么
0 _& \" i( u5 B: ?" @影响。在罗列出已识别风险之后，这些风险的根本原因可能变得更
加明显。风险的根本原因就是造成一个或多个已识别风险的基本条
件或事件。这些都应记录在案，并在以后用于支持本项目和其他项
% \: c& Q: O! ~目的风险识别工作。
3 a/ m( M2 x" @$ `! w„  潜在应对措施清单。在识别风险过程中，有时可以识别出风险的潜
在应对措施。这些应对措施（如果已经识别出）可作为规划风险应
) I: i3 F; }' a0 {# j
对过程（见11.5节）的输入。
11.3  实施定性风险分析
实施定性风险分析是评估并综合分析风险的发生概率和影响，对风险
6 o7 g$ l' U- n$ s9 {进行优先排序，从而为后续分析或行动提供基础的过程（见图11-8 和图
0 p" T0 p. ?; [# C) p; K. p1 n. K6 G) c11-9）。组织可以通过关注高优先级的风险来提升项目绩效。实施定性风险
/ J" M8 y- B2 V% A/ m$ ]! z分析根据风险发生的相对概率或可能性、风险发生后对项目目标的相应影
! k# E% f2 g0 u0 h* M0 b响以及其他因素（如应对时间要求，与项目成本、进度、范围和质量等制
  T" k: F- M! C% ~) l2 D约因素相关的组织风险承受力），来评估已识别风险的优先级。这类评估会
受项目团队和其他干系人的风险态度的影响。因此，为了实现有效评估，
% c7 ]5 T. F6 E! E  O就需要清晰地识别和管理实施定性风险分析过程的关键参与者的风险态
* A* y  `7 o3 s7 z  U9 W4 P度。如果他们的风险态度会导致风险评估中的偏颇，则应该注意对偏颇进
行分析，并加以纠正。

' s5 f5 ^# Z/ E3 @) k
% Z$ F/ s2 H- s9 \4 T/ u
建立概率和影响层级定义，有助于减少偏见的影响。风险行动的时间
' I! Y% N( a9 Y, K5 U. {# c紧迫性可能会放大风险的重要性。对项目风险相关信息的质量进行评估，
也有助于澄清关于风险重要性的评估结果。
  ]+ _$ U/ \0 E/ M; ]3 j/ q实施定性风险分析通常可以快速且经济有效地为规划风险应对建立优
先级，可以为实施定量风险分析（如果需要）奠定基础。为了确保与项目
风险的实时变化保持同步，在整个项目生命周期内应该反复开展定性风险
分析。本过程完成后，可进入实施定量风险分析过程（见11.4节）或直接
$ z/ q. K8 o) K" j& d0 D0 X8 d; R! C进入规划风险应对过程（见11.5节）。
11.3.1  实施定性风险分析：输入
1．风险登记册
6 h3 B+ d) j' w, ^. i0 b见11.2.3.1节。
2．风险管理计划
风险管理计划中可用于定性风险分析的主要内容包括：风险管理的角
色和职责、风险管理的预算和进度活动、风险类别、概率和影响定义、概
! K5 f8 F! g; _6 }) {率影响矩阵以及修订的干系人风险承受力。在规划风险管理过程（见11.1
+ |% H: B, L# \" x+ c; c. a节）中通常已经把这些内容“剪裁”成适合某具体项目。如果还没有这些
内容，则可以在实施定性风险分析过程中加以开发（见11.3节）。
& U  x3 y, K3 G- \1 B& s. i3．项目范围说明书
常规或反复性项目的风险往往比较容易理解；而在采用创新或最新技
8 H! E8 ?3 ?, l7 x; B0 I- A- U术的项目或者极其复杂的项目中，不确定性往往要大得多。可通过查阅项
" L9 ?8 k; \6 ^5 x4 N目范围说明书（见5.2.3.1节）来评估项目情况。
) M3 S. x# s9 Y6 l# a7 G4．组织过程资产
可能影响实施定性风险分析过程的组织过程资产包括（但不限于）：
„  以往类似项目的信息；
. Q# [% L( `# [0 ^# {: Q) @„  风险专家对类似项目的研究；
„  可从行业或专有渠道获得的风险数据库。
( t4 h1 Q$ B; k) X11.3.2  实施定性风险分析：工具与技术
1．风险概率和影响评估
! [% l0 l8 z( g* d风险概率评估旨在调查每个具体风险发生的可能性。风险影响评估旨
1 y% `: j5 b2 `9 A2 r- G, ?在调查风险对项目目标（如进度、成本、质量或性能）的潜在影响，既包
括威胁所造成的消极影响，也包括机会所产生的积极影响。
对已识别的每个风险都要进行概率和影响评估。可以选择熟悉相应风

% Y0 W0 ], U% B险类别的人员，对他们进行访谈或与他们召开会议，来进行风险评估。这
些人员中应该包括项目团队成员，也可包括项目外部的经验丰富人员。
通过访谈或会议，评估每个风险的概率级别及其对每个目标的影响。
还应记录相应的说明性细节，例如，确定风险级别所依据的假设条件。根
据风险管理计划（见11.1.3.1节）中的定义，对风险概率和影响进行评级。
( w# O; ]: P9 k. p/ r具有低等级概率和影响的风险，将被列入观察清单中，供将来进一步监测。
# C! _" u7 T& n2．概率影响矩阵
应该基于风险评级结果，对风险进行优先排序，以便进一步进行定量
2 e2 M) @* N/ f8 p/ t; U( i分析和风险应对。通常，在项目开始之前，组织就要制定风险评级规则，
+ j/ w" h$ D1 `' U3 S  }/ g# \2 |并将其纳入组织过程资产。可以在规划风险管理过程（见11.1节）中，把
+ W- O# d3 Q2 ^7 F8 r+ k风险评级规则“剪裁”成适合某具体项目。通常用查询表或概率影响矩阵
0 J* S) Z: O, A- X% }（见图11-10）来评估每个风险的重要性和所需的关注优先级。根据概率和
影响的各种组合，该矩阵把风险划分为低、中、高风险。深灰色（数值最
+ W  ?! T- r- @6 e* H大）区域代表高风险；中度灰色（数值最小）区域代表低风险，而浅灰色
* ?; ]/ L7 Z3 y+ P7 l+ u1 Y% k; \（数值介于最大和最小之间）区域代表中等风险。
4 k* ?) [  w  b/ z; _; x% E9 Y' k如图11-5所示，组织可分别针对每个目标（如成本、时间和范围）评
定风险等级。另外，也可制定相关方法为每个风险确定一个总体等级。可
以编制一个全面的项目风险评级方案，来反映组织对各个目标的偏好程度，
并据此为各个目标分配风险影响的权重。最后，可以在同一矩阵中，分别
列出机会和威胁的影响水平定义，同时显示机会和威胁。
风险评级有助于指导风险应对。如果风险发生会对项目目标产生消极
影响（即威胁），并且处于矩阵高风险（深灰色）区域，就可能需要采取优
先措施和积极的应对策略。而对处于低风险（中度灰色）区域的威胁，可
能只需将之列入观察清单或为之增加应急储备，而不需采取积极管理措施。
同样，处于高风险（深灰色）区域的机会，是最容易实现而且能够带
7 i8 ^( J  A/ L; u3 J来最大利益的，故应该首先抓住。对于低风险（中度灰色）区域的机会，
- B7 ^/ o% B) _; Y  q4 b1 O5 X; ?则应加以监督。图11-10中给出的数值仅是代表性的。组织应根据自己的
/ ?7 s5 R; f! B" v7 T3 k( g需要来决定量表中刻度的数量。
3．风险数据质量评估
  i+ ~" h% n: P; u$ x/ }* ~定性风险分析要具有可信度，就应该使用准确和无偏倚的数据。风险
4 h- X5 S8 M/ A/ s" q* e6 u数据质量分析就是评估有关风险数据对风险管理的有用程度的一种技术。
它考察人们对风险的理解程度，以及考察风险数据的准确性、质量、可靠
性和完整性。如果数据质量不可接受，就可能需要收集更高质量的数据。
4．风险分类
可以按照风险来源（如使用风险分解结构）、受影响的项目工作（如使
用工作分解结构），或其他分类标准（如项目阶段），对项目风险进行分类，
0 z5 x8 [! r; H以明确受不确定性影响最大的项目区域。根据共同的根本原因对风险进行
0 \, e* f4 q8 K+ q- l$ v
- I. T- r! q: P$ O- r

5．风险紧迫性评估
. ^& I. F; O* C# l$ x+ M可以把近期就需应对的风险当做更紧急的风险。风险应对的时间要求、
风险征兆和预警信号，以及风险等级等，都是确定风险优先级应考虑的指
标。在某些定性分析中，可以综合考虑风险的紧迫性以及从概率影响矩阵
中得到的风险等级，从而得到最终的风险严重性级别。
/ K: u2 D6 `5 A4 I6．专家判断
; F7 P' q% m  a! i7 v为了确定风险在图11-10所示的矩阵中的位置，就需要使用专家判断
% W+ M/ B4 Q9 k) }* h. m7 o来评估每个风险的概率和影响。专家通常是那些具有新近类似项目的经验
1 k# h7 \. d! D: u2 g% Q! @的人。另外，那些正在规划和管理某特定项目的人员也是专家，他们对该
6 v1 k( a; U) x' l  \) D项目的具体方面特别有发言权。经常可采取风险研讨会或访谈，来获取专
6 }; [5 M' B. p! N家判断。应该注意专家的偏见。
) M' u2 P( g  L" L6 h9 ~/ Q11.3.3  实施定性风险分析：输出
# A$ G5 w- Z6 t  `* g/ ]' l* ^: k1．风险登记册（更新）
风险登记册始于识别风险过程。从实施定性风险分析中得到相关信息
后，应该对风险登记册进行更新，并把更新后的风险登记册纳入项目文件。
根据实施定性风险分析的结果，可对风险登记册做如下更新：
* ^6 u7 o# u% ~  U" u( i9 @1 L„  项目风险的相对排序或优先级清单。可根据各风险的重要程度，使

用概率影响矩阵，对风险进行分类。综合考虑每个风险的发生概率
及其一旦发生对目标的影响，就可以把各风险归类为“高风险”、
“中等风险”和“低风险”，使各风险之间有相对的优先级关系。
; C+ U# A+ x$ W  ~由于组织对不同目标的重视程度可能不同，所以可分别针对进度、
成本和性能目标排列风险优先级。然后，项目经理可利用风险优先
级列表，去关注那些对最重要目标有重要影响的风险（高风险）；
. r* G8 n7 `3 F* F& w0 ]7 _7 \对这些风险的应对会带来更好的项目结果。对评定为十分重要的风
1 ~: H! d6 q8 t6 p6 U- z险，应该说明其概率和影响的评定基础。
. n5 Q% A, K1 x( _5 G2 H0 R6 |  H„  按类别分类的风险。进行风险分类，可揭示风险的共同原因或需特
别关注的项目领域。发现风险集中的领域，有利于提高风险应对的
# L$ q$ y  g- |, |6 z! X有效性。
„  风险成因或需特别关注的项目领域。发现风险集中的领域，有利于
提高风险应对的有效性。
„  近期就需应对的风险清单。需紧急应对的风险和可在晚些时候处理
的风险，可以归入不同的组别。
„  需进一步分析与应对的风险清单。有些风险可能需要进一步分析
; {* X+ U8 t2 O/ {3 F. q/ y  x（包括定量风险分析）和采取进一步的应对措施。
$ J6 x4 Q& u2 n- r0 D„  低优先级风险观察清单。在实施定性风险分析过程中被评定为不重
) {1 m2 U& W; r, Y要的风险，应该列入观察清单，加以持续监测。
„  定性风险分析结果的趋势。随着分析的反复进行，具体风险可能呈
现出某种明显的趋势，从而使风险应对或进一步分析变得更紧迫
+ @  w/ r9 }/ R, E7 K. r4 h; f! F（更重要）或不太紧迫（不太重要）。
11.4  实施定量风险分析
实施定量风险分析是就已识别风险对项目整体目标的影响进行定量分
析的过程（见图11-11和图11-12）。实施定量风险分析的对象是在定性风
险分析过程中被认为对项目的竞争性需求存在潜在重大影响的风险。实施
, \1 X5 {  E$ n0 y: s定量风险分析过程就是对这些风险事件的影响进行分析。它可以为每个风
' C8 X* y9 [: R; l) i: {# l险单独进行量化评级，或者可以评估所有风险对项目的总体影响。它也是
8 M8 d1 G7 U( n* [4 z在不确定情况下进行决策的一种量化方法。
/ B5 K8 G5 |$ C- v3 V+ l( F* r实施定量风险分析通常在定性风险分析之后进行。有时，不需要实施
5 _) F3 y( J( Y. A/ V* ~/ K定量风险分析，就可以制定出有效的风险应对措施。在特定的项目中，究
竟采用哪种（些）方法进行风险分析，取决于可用的时间和预算，以及对
1 {" o5 a  R: _4 [: j风险及其后果进行定性或定量描述的需要。在规划风险应对之后，应该随
着监控风险过程的开展，重新实施风险定量分析，以确定项目总体风险的
降低程度是否令人满意。通过反复进行定量风险分析，可以了解风险的发
+ J' O) \' f# D5 R( e1 `  t展趋势，并揭示增减风险管理措施的必要性。

% S, V4 c  g) q; o& n  {

11.4.1  实施定量风险分析：输入
1．风险登记册
见11.2.3.1节。
4 Z0 t5 y3 u6 F1 ~- w- {& l7 Y2．风险管理计划
0 {2 F% Y, q/ a! D6 W3 Q6 Q2 }' u见11.1.3.1节。
  r( j2 o0 g5 q! |' x3．成本管理计划
项目成本管理计划规定了成本文件的格式，并规定了开展项目成本规
划、结构化、估算、预算和控制所需遵守的准则（见7.0节）。这些内容有
助于为预算或成本计划的定量风险分析确定合理的结构和/或方法。
1 u% {7 F# u% Q8 r- ?
+ x# H& y5 w' L4．进度管理计划
项目进度管理计划为安排和控制项目进度设定了相关的格式和准则
（见6.0节）。这些内容以及进度计划自身的特性有助于为进度计划的定量
风险分析确定合理的结构和/或方法。
5．组织过程资产
可能影响实施定量风险分析过程的组织过程资产包括（但不限于）：
„  以往类似项目的信息；
5 H5 a  Z, p  I7 u„  风险专家对类似项目的研究；
9 P) i1 H. z9 w" ?) X5 }„  从行业或专有渠道获得的风险数据库。
11.4.2  实施定量风险分析：工具与技术
+ }$ i9 j+ Y7 }2 X; t1．数据收集和表现技术
! Y9 W5 i+ \: s' Y9 m„  访谈。访谈技术利用经验和历史数据，对风险概率及其对项目目标
的影响进行量化分析。所需的信息取决于所用的概率分布类型。例
! {  E- s7 H* d6 Y; ?如，有些常用分布要求收集最乐观（低）、最悲观（高）与最可能
2 a9 j1 ^8 b- @- z5 q情况的信息。图11-13是用三点估算法估算成本的一个例子。关于
, u8 W  L! \. D# ]: H三点估算法的更多信息，见估算活动持续时间（见6.4.2.4节）和估
* L! x- n2 \0 I, a0 G8 ]# V算成本（见7.1.2.5节）。在风险访谈中，应该记录风险区间的合理
性及其所依据的假设条件，以便洞察风险分析的可靠性和可信度。

( ~# R4 h, W+ ]8 r
' i6 J$ q5 X; w
概率分布。在建模和模拟（见11.4.2.2节）中广泛使用的连续概率
% g+ e$ x5 J( l1 n& e4 ^分布，代表着数值的不确定性，如进度活动的持续时间和项目组成

7 E7 h( M( E; x. t. G  l  B. ?/ ^# J部分的成本的不确定性。而不连续分布则用于表示不确定性事件，
如测试结果或决策树的某种可能情景等。图11-14显示了广为使用
的两种连续概率分布。这些分布的形状与量化风险分析中得出的典
( N& a, J: C; p0 G5 M+ B/ Z8 ~型数值相符。如果在具体的最高值和最低值之间，没有哪个数值的
可能性比其他数值更高，就只能使用均匀分布，如在早期的概念设
计阶段。
4 I0 {( b, C: U8 C; [) e, D9 |2 Q
3 z' M9 a' m! ^
$ G5 v2 z5 {8 w
2．定量风险分析和建模技术
常用的技术包括面向事件和面向项目的分析方法：
„  敏感性分析。敏感性分析有助于确定哪些风险对项目具有最大的潜
6 J8 s# L, b6 J* \3 I& b在影响。把所有其他不确定因素都固定在基准值，再来考察每个因
素的变化会对目标产生多大程度的影响。敏感性分析的常见表现形
1 T3 s' q- P; B式是龙卷风图，用于比较很不确定的变量与相对稳定的变量之间的
) G( b0 G4 x; G9 t+ W& I. ^2 m相对重要性和相对影响。
  s4 w. |& V, i6 M' F- @% Y6 l„  预期货币价值分析。预期货币价值（EMV）分析是当某些情况在
未来可能发生、也可能不发生时，计算平均结果的一种统计方法（即
不确定性下的分析）。机会的EMV通常表示为正值，而风险的EMV
) I+ O# t. R3 c' h, {: V则表示为负值。EMV是建立在风险中立的假设之上的，既不避险，
也不冒险。把每个可能结果的数值与其发生的概率相乘，再把所有
乘积相加，就可以计算出项目的EMV。这种技术经常在决策树分
析中使用（见图11-15）。
6 C# D( u( ^1 d, {2 n

# x2 J6 C- D. }# Q% E2 N4 r4 J
9 F$ P- b6 u& l7 ]1 @4 a„  建模和模拟。项目模拟旨在使用一个模型，计算项目各细节方面的
$ @. t; |  ^( a, N. z  i0 k$ r7 c不确定性对项目目标的潜在影响。反复模拟通常采用蒙特卡洛技
术。在模拟中，要利用项目模型进行多次计算。每次计算时，都从
这些变量的概率分布中随机抽取数值（如成本估算或活动持续时
间）作为输入。通过多次计算，得出一个概率分布（如总成本或完
成日期）。对于成本风险分析，需要使用成本估算进行模拟。对于
9 _3 [/ q8 Y* Z/ P进度风险分析，需要使用进度网络图和持续时间估算进行模拟。图
) ~6 V! k/ J" ?9 B$ D0 J9 {3 }11-16显示了成本风险模拟结果。它表明了实现各个特定成本目标
的相应可能性。对进度风险模拟的结果，也能画出类似的曲线。
3．专家判断
专家判断（最好来自具有近期相关经验的专家）用于识别风险对成本
和进度的潜在影响，估算概率以及定义各种分析方法所需的输入（如概率
7 B! p: f: l% Y! T分布）。
专家判断还可在数据解释中发挥作用。专家应该能够识别各种分析方
法的劣势与优势。专家可以根据组织的能力和文化，决定某个特定方法应
2 ]7 `; @" `; q


11.4.3  实施定量风险分析：输出
. @: D: t& _; i9 v/ o1．风险登记册（更新）
风险登记册需要进一步更新，把详细记录量化方法、结果和建议的量
化风险报告添加进去。风险登记册的更新主要包括以下内容：
„  项目的概率分析。对项目可能的进度与成本结果进行估算，列出可
能的完工日期和完工成本及其相应的置信水平。分析的结果通常表现为累
" ^2 T1 b' C' [, o: B. s8 E2 i. K5 Q积分布。可以综合考虑分析的结果与干系人的风险承受力，来量化所需的
$ f% k7 ^) v. ]* k成本和时间应急储备。应急储备旨在把不能实现成本和时间目标的风险降
低到组织可接受的水平。例如，在图11-16中，对应于75%的成本应急储
备为900万美元，大约相当于图11-13中最可能估算值4 100万美元的22%。
8 t4 N% T3 \- u: s$ G5 E„  实现成本和时间目标的概率。当项目面临风险时，可根据定量风险
分析的结果来估算在现行计划下实现项目目标的概率。例如，在图11-16
中，实现成本估算值4 100万美元（取自图11-13）的可能性大约为12%。
6 G! r& B7 U* h. V- H„  量化风险优先级清单。此风险清单中包括对项目造成最大威胁或提
6 g4 T% T1 n1 z& F4 C; o供最大机会的风险。它们是对成本应急储备影响最大的风险，以及最可能
" S% M/ b! c1 v+ Y: f影响关键路径的风险。在某些情况下，可使用模拟分析中生成的龙卷风图
# V8 Q3 l( I1 P来识别这些风险。
+ i- z1 T# j5 A( r5 L! k„  定量风险分析结果的趋势。随着分析的反复进行，风险可能呈现出
某种明显的趋势。可以从这种趋势中得到某些结论，并据此调整风险应对措
4 `, Z: B0 z% s8 d5 f
( Z$ W: S  T3 R; P施。应该把从实施定量风险分析过程中得到的新知识，加进关于项目进度、
成本、质量和性能的历史信息中。这些新知识可能以定量风险分析报告的形
式呈现。该报告可以独立于风险登记册，也可以与风险登记册合并在一起。
# O* [$ O' b( h6 Q8 h11.5  规划风险应对
9 \  d( g( a$ u% l4 B# o; x5 J规划风险应对是针对项目目标，制定提高机会、降低威胁的方案和措施
* U9 d; K1 k1 V5 X) a' u/ w的过程（见图11-17和图11-18）。规划风险应对过程在实施定性风险分析过
程和实施定量风险分析过程（如已使用）之后进行，包括确定和分配某个人
（即“风险应对责任人”），来实施已获同意和资金支持的风险应对措施。在
规划风险应对的过程中，需要根据风险的优先级来制定应对措施，并把风险
9 K5 O# w1 D0 R9 D. ~8 I) g% e应对所需的资源和活动加进项目的预算、进度计划和项目管理计划中。
拟定的风险应对措施必须与风险的重要性相匹配，能经济有效地应对
挑战，在当前项目背景下现实可行，能获得全体相关方的同意，并由一名
3 f7 H0 c9 G, a' g6 a7 f* Y4 V责任人具体负责。风险应对措施还必须及时。经常需要从几个备选方案中
选择一项最佳的风险应对措施。



( C7 P6 y2 H' i2 M1 D5 r本节介绍常用的风险应对规划方法。风险包括能影响项目成功的威胁
和机会。本节将分别介绍威胁和机会的应对措施。
11.5.1  规划风险应对：输入
1．风险登记册
风险登记册中包含已识别的风险、风险的根本原因、潜在应对措施清
单、风险责任人、征兆和预警信号、项目风险的相对评级或优先级清单、
, g0 Z! V' g, u# y! K& O5 `近期需要应对的风险清单、需要进一步分析和应对的分析清单、定性分析
结果的趋势，以及低优先级风险的观察清单。
4 m. u7 I2 a. `5 {; u! f2．风险管理计划
; A) ^3 i3 ?- [# V( h风险管理计划的重要内容包括角色和职责、风险分析定义、审查时间
安排（以及从审查中取消风险的时间安排），以及关于低、中、高风险的风
4 p( k  k# M7 v+ O6 H3 ~6 E. e% i0 j险临界值。风险临界值有助于识别需要特定应对措施的风险。
11.5.2  规划风险应对：工具与技术
, Q  p+ y2 O; T% w9 ~- C  s4 D7 f有若干种风险应对策略可供使用。应该为每个风险选择最可能有效的
策略或策略组合。可利用风险分析工具（如决策树分析，见11.4.2.2节），
来选择最适当的应对策略。然后，应制定具体行动去实施该策略，包括主
要策略和备用策略（如果必要）。可以制定弹回计划，以便在所选策略无效
或发生已接受的风险时加以实施。还应该对次生风险（由应对策略导致的
风险）进行审查。经常要为时间或成本分配应急储备。制定应急储备时，
可能需要说明动用应急储备的触发条件。
1．消极风险或威胁的应对策略
通常可用前三种策略来应对威胁或可能给项目目标带来消极影响的风
险。第四种策略，即接受，既可用来应对消极风险或威胁，也可用来应对积
# \4 L2 Z: E3 Q+ }! P5 C4 }极风险或机会。以下对这些策略进行讨论，包括回避、转移、减轻和接受。
3 q* R/ h! `8 m" y- }* i2 v„  回避。风险回避是指改变项目管理计划，以完全消除威胁。项目经
! n9 l3 M7 L) R0 P6 l/ e4 M% i$ [理也可以把项目目标从风险的影响中分离出来，或改变受到威胁的
目标，如延长进度、改变策略或缩小范围等。最极端的回避策略是
取消整个项目。在项目早期出现的某些风险，可以通过澄清需求、
获取信息、改善沟通或取得专有技能来加以回避。
„  转移。风险转移是指把某风险的部分或全部消极影响连同应对责任
转移给第三方。转移风险是把风险管理责任简单地推给另一方，而
0 v/ v; q' C9 b/ b6 @! g2 m) k并非消除风险。转移风险策略对处理风险的财务后果最有效。采用
6 C! X* u# L0 {风险转移策略，几乎总是需要向风险承担者支付风险费用。风险转
移可采用多种工具，包括（但不限于）保险、履约保函、担保书和

! _8 H& Z& [2 G/ b3 e保证书等。可以利用合同把某些具体风险转移给另一方。例如，如
果买方具备卖方所不具备的某种能力，为谨慎起见，可通过合同规
. [! `* W+ O3 O& |- b# q定把部分工作及其风险再转移给买方。在许多情况下，成本补偿合
同可把成本风险转移给买方，而总价合同可把风险转移给卖方。
„  减轻。风险减轻是指把不利风险事件的概率和/或影响降低到可接
受的临界值范围内。提前采取行动来降低风险发生概率和/或可能
给项目所造成的影响，比风险发生后再设法补救，往往要有效得多。
减轻措施的例子包括：采用复杂性较低的流程，进行更多的测试，
( W3 s1 @, n: t6 `0 P2 [0 U! H或者选用比较稳定的供应商。它可能需要开发原型，以降低从实验
, J, J. r7 X* f* |) h* \台模型放大到实际工艺或产品过程中的风险。如果无法降低风险概
率，也许可以从决定风险严重性的关联点入手，针对风险影响来采
$ g, J+ ^4 f6 l- N* K" c取减轻措施。例如，在一个系统中加入冗余部件，可以减轻主部件
故障所造成的影响。
( ~4 ]0 M& G; v2 |3 Y/ P„  接受。因为几乎不可能消除项目的全部威胁，所以就需要采用风险
接受策略。该策略表明，项目团队已决定不为处理某风险而变更项
3 O* @- z1 @- [0 L+ N目管理计划，或者无法找到任何其他的合理应对策略。该策略可以
是被动或主动的。被动地接受风险，只需要记录本策略，而不需要
) c3 t  k  F: I3 m- ?  c任何其他行动；待风险发生时再由项目团队进行处理。最常见的主
7 p! p/ ]1 w5 s6 h5 C动接受策略是建立应急储备，安排一定的时间、资金或资源来应对
# `+ a9 w+ x6 X! _! M- I$ `7 h1 q7 g风险。
2．积极风险或机会的应对策略
以下四种策略中，前三种是专为对项目目标有潜在积极影响的风险而设
4 N# ]7 _, {  U' g9 x2 E( A计的。第四种策略，即接受，既可用来应对消极风险或威胁，也可用来应对
积极风险或机会。以下对这些策略进行讨论，包括开拓、分享、提高、接受。
5 }3 i+ L: h' E5 ^& n„  开拓。如果组织想要确保机会得以实现，就可对具有积极影响的风
险采取本策略。本策略旨在消除与某个特定积极风险相关的不确定
性，确保机会肯定出现。直接开拓包括把组织中最有能力的资源分
派给项目，来缩短完成时间或节约成本。
9 Y9 @' L+ f! b" R  X- L+ o- t„  分享。分享积极风险是指把应对机会的部分或全部责任分配给最能
为项目利益抓住该机会的第三方，包括建立风险共担的合作关系和
7 Y, ^' \5 y) a  o: i. g' I团队，以及为特殊目的成立公司或联营体，其目的就是要充分利用
机会，使各方都从中受益。
„  提高。本策略旨在提高机会的发生概率和/或积极影响。识别那些会
影响积极风险发生的关键因素，并使这些因素最大化，可以提高机
会发生的概率。提高机会的例子包括为尽早完成活动而增加资源。
: K0 G6 l, \) S1 O3 l  M1 ?„  接受。接受机会是指当机会发生时乐以利用，但不主动追求。
3．应急应对策略
可以针对某些特定事件，专门设计一些应对措施。对于有些风险，项
! k/ g2 ], ~" \/ e- @; I
& X4 B4 F" w! L( d目团队可以制定应急应对策略，即只有在某些预定条件发生时才能实施的
* ]! V! U( j/ X; q/ H1 r( p4 t应对计划。如果确信风险的发生会有充分的预警信号，就应该制定应急应
对策略。应该对触发应急策略的事件进行定义和跟踪，如未实现阶段性里
程碑，或获得供应商更高程度的重视。
4．专家判断
由具有相关知识者做出专家判断。专家判断应该针对为每个具体的、
已定义过的风险而设计的应对措施。专家判断可以来自具有特定教育、知
识、技能、经验或培训背景的任何小组或个人。
11.5.3  规划风险应对：输出
1．风险登记册（更新）
在规划风险应对过程中，选择和商定适当的应对措施，并将其列入风
0 H5 U9 H4 }% c险登记册。风险登记册的详细程度应与风险的优先级和拟采取的应对措施
相适应。通常，应该详细说明高风险和中风险，而把低优先级的风险列入
观察清单，以便定期监测。风险登记册应该包括以下内容：
„  已识别的风险及其描述、所影响的项目领域（如WBS要素）、风险
起因（如RBS要素），以及对项目目标的潜在影响；
4 w2 Z4 `# k1 K: _„  风险责任人及其职责；
1 \0 G  }9 W) a! K„  实施定性分析过程（见11.3 节）的输出，包括项目风险优先级
清单；
# e. \, s2 L6 U3 B; d' E9 S„  商定的应对策略；
„  实施上述应对策略所需的具体行动；
# Z- s& Y7 `& ?„  风险发生的触发器、征兆和预警信号；
& a2 C( H3 r/ `+ z" M5 z, y„  实施上述应对策略所需的预算和进度活动；
„  应急计划以及启动应急计划的触发器；
' ?$ n) o2 ^4 n% a5 ^, q„  弹回计划，以便在风险发生并且主要应对措施无效时使用；
„  在采取预定应对措施之后仍然存在的残余风险，以及已经有意接受
( z( Y9 M# j* M' l1 p的风险；
„  实施风险应对措施直接导致的次生风险；
$ B8 J9 i; ~2 l5 M, v„  根据项目的定量风险分析以及组织的风险临界值，计算出来的应急
储备。
" E$ v5 W% _. V3 K) o2．与风险相关的合同决策
在本过程中可能做出转移风险的决策，如采用保险协议、服务协议和
* p% B! P4 d( T# ~+ K7 ]: f其他协议。相关的合同决策可能是减轻或转移部分或全部威胁的需要，也
! H% l/ p  f5 E, T可能是提高或分享部分或全部机会的需要。选定的合同类型也是分担风险
* e" g3 l7 b6 i3 e的一种机制。这些决策是规划采购过程（见12.1节）的输入。
, F, q7 B; M& J, h( j1 \4 {6 U
3．项目管理计划（更新）
项目管理计划中可能需要更新的内容包括（但不限于）：
„  进度管理计划。需要更新进度管理计划（见6.0节），来反映风险
应对措施所带来的过程和实践变更。它可能包括与资源投入、资源
) B$ r0 e; |, m% g0 e1 S平衡相关的容忍度变更或行为变更，以及对进度计划本身的更新。
„  成本管理计划。需要更新成本管理计划（见7.0节），来反映风险
# Q5 c0 ~. `6 H: k5 z5 A. s' y应对措施所带来的过程和实践变更。它可能包括与成本记录、跟踪
和报告有关的容忍度变更或行为变更，以及预算更新和应急储备
  J9 C; p) N; V( l更新。
„  质量管理计划。需要更新质量管理计划（见8.1.3.1节），来反映风
险应对措施所带来的过程和实践变更。它可能包括与需求、质量保
6 @0 [% ^$ y) K7 o; B5 m证或质量控制有关的容忍度变更或行为变更，以及需求文件更新。
„  采购管理计划。需要更新采购管理计划（见12.1.3.1节），来反映
风险应对措施所带来的策略变更，如自制或外购决策的变化或合同
- Q' y0 ~. e$ k; e. E0 E类型的变化。
' B2 p* t1 T0 h+ v% h' _) k, c„  人力资源管理计划。需要更新人力资源计划（见9.1.3.1节）中的
人员配备管理计划，来反映风险应对措施所带来的项目组织结构变
更和资源分配变更。它可能包括与人员分配有关的容忍度变更或行
4 x6 ~) }/ [& w4 N为变更，以及对资源负荷水平的更新。
„  工作分解结构。需要更新工作分解结构（见5.3.3.1节），来反映因
0 p, p2 h, \" U6 Z风险应对而产生的新工作（或取消的工作）。
( @+ V+ q" P; @* ?„  进度基准。需要更新进度基准（见6.5.3.2节），来反映因风险应对
2 O8 J4 [+ R  l9 Q而产生的新工作（或取消的工作）。
y  成本绩效基准。需要更新成本绩效基准（见7.2.3.1节），来反映因
$ \  x* \- c# {, h4 ?7 M2 b, {风险应对而产生的新工作（或取消的工作）。
/ _; s- p$ T4 e  o  `4．项目文件（更新）
& [, l& \$ G' D( a$ \可能需要更新的项目文件包括（但不限于）：
1 m3 |' s2 H" C0 _+ q0 O„  假设条件日志（更新）。随着风险应对措施的制定，会产生一些新
! c3 |& i. s) `% ]5 m& c. Y信息，假设条件会因此发生变化。必须重新审查假设条件日志，以
便把新信息包括进去。假设条件可纳入范围说明书或形成单独的假
设条件日志。
„  技术文件（更新）。随着风险应对措施的制定，会产生一些新信息，
" {' |7 T% |! ~0 p* ?技术方法和实体的可交付成果可能因此发生变化。必须重新审查各
/ U/ g2 |% |/ s' H$ V种支持性文件，以便把新信息包括进去。
4 _. n* h' d; y: c4 b* t11.6  监控风险
. K7 i  P% v- ^- I3 |监控风险是在整个项目中，实施风险应对计划、跟踪已识别风险、监
测残余风险、识别新风险和评估风险过程有效性的过程（见图11-19和图

应该在项目生命周期中，实施项目管理计划中所列的风险应对措施，
还应该持续监督项目工作，以便发现新风险、风险变化以及过时的风险。
9 A' ^, S/ I# c: e, x/ }& V监控风险过程需要采用诸如偏差和趋势分析的各种技术。这些技术需要
以项目实施中生成的绩效信息为基础。监控风险过程的其他目的在于确定：
„  项目的假设条件是否仍然成立；
/ L3 V1 @: R0 ]# s0 \+ o& Y% H„  某个已评估过的风险是否发生了变化，或已经消失；
„  风险管理政策和程序是否已得到遵守；
5 T6 ?; q6 a7 W* w; Z4 a„  根据当前的风险评估，是否需要调整成本或进度应急储备。
9 n1 \# Y2 l, R- V监控风险可能涉及选择替代策略、实施应急或弹回计划、采取纠正措
2 D. {6 p) g1 e施，以及修订项目管理计划。风险应对责任人应定期向项目经理汇报计划
* O. ^( U. [# B1 ~的有效性、未曾预料到的后果，以及为合理应对风险所需采取的纠正措施。
在监控风险过程中，还应更新组织过程资产（如项目经验教训数据库和风
5 k* `, c- z* \3 Q* g- `7 T3 s险管理模板），以使未来的项目受益。

) D! p( N1 _2 A* C9 b- l8 ^* B8 D/ A+ S11.6.1  监控风险：输入
# ]- }  H1 s3 w9 v2 n& W% A) s1．风险登记册
风险登记册中包括已识别的风险、风险责任人、商定的风险应对措施、
具体的实施行动、风险征兆和预警信号、残余风险和次生风险、低优先级
风险观察清单，以及时间和成本应急储备。
2．项目管理计划
项目管理计划（见4.2.3.1节）中包含风险管理计划。风险管理计划中
& N* P1 u. ]5 Z5 z( U又包括风险承受力、人员安排（包括风险责任人）、时间以及用于项目风险
管理的其他资源。
& A8 b4 L1 A2 q2 v0 L3．工作绩效信息
与各种实施情况相关的工作绩效信息包括（但不限于）：
„  可交付成果的状态；
„  进度进展情况；
„  已经发生的成本。
" T& n# N( H; s  G# t9 H4．绩效报告
% c  g2 u0 _& n绩效报告（见10.5.3.1节）从绩效测量结果中提取信息并进行分析，
来提供各种项目绩效信息，包括偏差分析、挣值数据和预测数据等。
+ C7 v5 e! _4 x9 H6 K. u5 Y" A4 v11.6.2  监控风险：工具与技术
1．风险再评估
* @& [+ y/ r6 [监控风险经常需要识别新风险，对现有风险进行再评估以及删去已过
9 E; h2 J+ S4 g& S) Q6 D时的风险。应该定期进行项目风险再评估。反复进行再评估的次数和详细
水平，应该根据相对于项目目标的项目进展情况而定。
2．风险审计
' x3 @+ a  [1 O通过风险审计，检查并记录风险应对措施在处理已识别风险及其根源
方面的有效性，以及风险管理过程的有效性。项目经理要确保按项目风险
管理计划所规定的频率来实施风险审计。既可以在日常的项目审查会中进
, h" M6 m) p! _) w+ S: A  ^行风险审计，也可单独召开风险审计会议。在实施审计前，要明确定义审
计的格式和目标。
+ Z6 G+ S. {9 w* }3．偏差和趋势分析
很多控制过程都会借助偏差分析来比较计划结果与实际结果。为了监
+ C  E4 g3 I/ R$ K6 {3 {4 d& I- r控风险事件，应该利用绩效信息对项目执行的趋势进行审查。可使用挣值
4 m7 \% U' @0 A
分析（见7.3.2.1节）以及项目偏差与趋势分析的其他方法，对项目总体绩
效进行监控。这些分析的结果可以揭示项目在完成时可能偏离成本和进度
) }  F; Q0 p$ z7 w% A: Q目标的程度。与基准计划的偏差，可能表明威胁或机会的潜在影响。
4．技术绩效测量
- a5 y+ e; S  f/ W) e技术绩效测量是把项目执行期间所取得的技术成果与项目管理计划所
7 [, b1 s- H) R# g  J, N要求的技术成果进行比较。它要求对技术绩效的量化测量指标进行定义，
: c4 A% B( h8 S1 H2 E5 r以便据此比较实际结果与计划要求。这些技术绩效测量指标可包括重量、
$ u, O4 ^' X1 v4 D3 I# ^0 S处理时间、缺陷数量和存储容量等。偏差值（如在某里程碑时点，实现了
比计划更多或更少的功能）有助于预测项目范围方面的成功程度，还能揭
示项目面临的技术风险程度。
5．储备分析
# _( E6 r; f6 J2 T在项目实施过程中，可能发生一些对预算或进度应急储备（见6.5.3.3
节和7.1.2.6节）有积极或消极影响的风险。储备分析是指在项目的任何时
: A9 A" A, k, u* N4 V$ B+ u点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理。
6．状态审查会
; }7 o3 J  n3 `0 w项目风险管理应该是定期状态审查会中的一项议程。该议程所占用的
会议时间长短取决于已识别的风险及其优先级和应对难度。越经常开展风
险管理，风险管理就会变得越容易。经常讨论风险，可以促使人们识别风
险和机会。
0 C, w  z7 s7 y. V, H: M/ R1 g11.6.3  监控风险：输出
1．风险登记册（更新）
% \' N! ]3 i- Q0 Z3 S8 ~. B风险登记册的更新包括（但不限于）：
. K  N6 C  h9 O3 G+ y8 a„  风险再评估、风险审计和定期风险审查的结果，例如新识别的风险
3 h8 g7 i- b" p% I, o# \; L事件以及对风险概率、影响、优先级、应对计划、责任人和风险登
记册其他内容的更新。还可能需要删去不复存在的风险并释放相应
的储备。
9 @( [3 K" O4 L& C6 U* l6 d„  项目风险和风险应对的实际结果。这些信息有助于项目经理们横跨
, `  Y7 c  e- t* x& o$ A7 c  v2 N整个组织进行风险规划，也有助于他们对未来项目的风险进行
规划。
2．组织过程资产（更新）
上述6个项目风险管理过程都会生成可供未来项目借鉴的各种信息。
应该把这些信息加进组织过程资产中。可能需要更新的组织过程资产包括
（但不限于）：
, d, |* s5 t0 {! q„  风险管理计划的模板，包括概率影响矩阵、风险登记册；
. r- m9 [% q" K# w% J9 Y* q
„  风险分解结构；
2 F% d+ u: R- Y„  从项目风险管理活动中得到的经验教训。
% {- J4 I9 U* h  S  F, E0 @应该在需要时和项目收尾时，对上述文件进行更新。组织过程资产中
$ L$ y& t, a1 a' W" W. [; B* O. J) u应该包括风险登记册、风险管理计划模板、核对表和风险分解结构的最终
版本。
. ?+ z: e" f" X# B' \, w5 `5 n3．变更请求
3 i% [+ U& C1 ]* ?; T- G& C8 o5 q5 @有时，实施应急计划或权变措施会导致变更请求。变更请求要提交给
实施整体变更控制过程（见4.5节）审批。变更请求也可包括推荐的纠正
措施和预防措施。
„  推荐的纠正措施。推荐的纠正措施包括应急计划和权变措施。后者
- d/ B2 f& o" G& @" N是针对以往未曾识别或被动接受的、目前正在发生的风险而采取的
未经事先计划的应对措施。
# w( g4 f1 L& \$ h2 R/ U( ]% v„  推荐的预防措施。采用推荐的预防措施，使项目实施符合项目管理
计划的要求。
4．项目管理计划（更新）
如果经批准的变更请求对风险管理过程有影响，则应修改并重新发布
9 x& R3 O2 i* c. n9 i& V项目管理计划中的相应组成部分，以反映这些经批准的变更。项目管理计
划中可能需要更新的内容，与规划风险应对过程（见11.5）相同。
7 Y$ R' \- A8 b+ _3 ?5．项目文件（更新）
3 G6 n! I  y5 P" P7 n) ~3 |作为监控风险过程的结果，可能需要更新的项目文件与规划风险应对
过程（见11.5节）相同。
* X( i! B; W6 p

% N5 \, h; J3 k8 b