一、风险管理计划

（一）风险管理计划定义

风险管理计划是项目管理计划的组成部分，描述如何安排与实施风险管理活动。

（二）风险管理步骤

规划（预见）风险–>识别（分析）风险–>确定风险敞口–>通过分析排序风险优先级–>应对（处理）风险：最小化单个项目威胁，以及最大化单个项目机会

1. 早期明确并预测风险类型：适用RBS将项目风险分解并分类

（1）事件类风险

<1> 关键卖方可能在项目期间停业

<2> 客户可能在设计完成后变更需求

<3> 分包商可能要求对标准化操作流程进行优化。

（2）非事件类风险

<1> 变异性风险

已规划事件、活动或决策的某些关键方面存在不确定性，就导致变异性风险。 ​例如：

[1] 生产率可能高于或低于目标值

[2] 测试发现的错误数量可能多于或少于预期

[3] 施工阶段可能出现反常的天气情况

<2> 模糊性风险

对未来可能发生什么，存在不确定性。知识不足可能影响项目达成目标的能力。 ​例如：

[1] 不太了解需求或技术解决方案的要素

[2] 法规框架的未来发展

[3] 项目内在的系统复杂性

（3） 突发性风险

随着对所谓“未知-未知”因素的意识的增强，人们也越来越明确地知道确实存在突发性风险。 ​

这种风险只有在发生后才能被发现。可以通过加强项目韧性来应对突发性风险。

2. 明确风险临界值

（1）风险临界值（风险敞口）定义：

风险临界值反映了组织与项目相关方的风险偏好程度，是项目目标的可接受的变异程度。

应该明确规定风险临界，并传达给项目团队，同时反映在项目的风险影响级别定义中。

（2）相关方风险偏好

[1] 针对每个项目目标，把相关方的风险偏好表述成可测量的风险临界值，相关方的风险偏好会影响规划风险管理过程的细节。

[2] 临界值将联合决定可接受的整体项目风险敞口水平（临界值也用于制定概率和影响定义）

[3] 根据概率和影响定义，对单个项目风险进行评估和排序。

（3）（风险）概率和影响定义

根据具体的项目环境，组织和关键相关方的风险偏好和临界值，针对具体项目目标来制定风险概率和影响定义。

​项目可能自行制定关于概率和影响级别的具体定义，或者用组织提供的通用定义作为出发点。

风险概率与影响 应该根据拟开展项目风险管理过程的详细程度，来确定概率和影响级别的数量，

即：更多级别（通常为五级）对应于更详细的风险管理方法，更少级别（通常为三级）对应于更简单的方法。

（4）影响

项目风险管理旨在利用或强化正面风险（机会），规避或减轻负面风险（威胁）。

影响定义为

[1] 负面（威胁）

<1>工期延误

<2> 成本超支

<3>绩效不佳

<4>声誉受损

[2] 正面（机会）

<1> 工期缩短

<2> 成本节约

<3> 绩效改善

<4>声誉提升

（5）概率和影响矩阵

图 11-5 是概率和影响矩阵的示例，其中也有数值风险评分的方法。

组织可在项目开始前确定优先级排序规则，并将其纳入组织过程资产，或者也可为具体项目量身定制优先级排序规则。

​在常见的概率和影响矩阵中，会同时列出

[1] 机会：以正面影响定义机会

[2] 威胁：以负面影响定义威胁

[3] 概率和影响

<1> 描述性术语：可以用描述性术语（如很高、高、中、低和很低）或数值来表达。

<2> 数值：如果使用数值，就可以把两个数值相乘，得出每个风险的概率 – 影响分值，以便据此在每个优先级组别之内排列单个风险相对优先级。

############################################################

PS：刚看风险概率和影响内容的时候，感觉对这块的描述太简单，我们日常工作中，不需要使用建立一个矩阵去判断风险的概率和影响。

但如果有大型项目的话，风险是一个繁多并且繁杂的内容，如何整理好风险的优先级，处理顺序尤为重要，使用概率和影响矩阵可以通过数值化的内容清晰展示。

可以方便我们判断风险的等级，对风险进行优先级排序。

这也是在应对风险之前需要做的内容。

############################################################

3. 了解不同类型风险处理办法

（1） 变异风险处理方法

变异性风险可通过蒙特卡洛分析加以处理。 ​

即：用概率分布表示变异的可能区间，然后采取行动去缩小可能结果的区间。

蒙特卡洛分析 详见：

（2）模糊性风险处理方法

<1> 先定义认知或理解不足之处

<2> 进而通过获取外部专家意见或以最佳实践为标杆来填补差距。

<3> 也可以采用增量开发、原型搭建或模拟等方法来处理模糊性风险。

（3） 突发性风险处理方法–项目韧性

这种风险只有在发生后才能被发现。可以通过加强项目韧性来应对突发性风险。

<1> 除了为已知风险列出具体风险预算，还要为突发性风险预留合理的应急预算和时间

<2> 采用灵活的项目过程，包括强有力的变更管理，以便在保持朝项目目标推进的正确方向的同时，应对突发性风险

<3> 授权目标明确且值得信赖的项目团队在商定限制范围内完成工作

<4> 经常留意早期预警信号，以尽早识别突发性风险

<5> 明确征求相关方的意见，以明确为应对突发性风险而可以调整项目范围或策略的领域。

4. ​管理风险（整合式风险管理）

项目存在于组织背景中，可能是项目集或项目组合的一部分。 应该在适当的层面上承担和管理风险。

（1）在较高层面识别出的某些风险，将被授权给项目团队去管理

（2）在较低层面识别出的某些风险，上交给较高层面去管理（如果在项目之外管理最有效）

（3）应该采用协调式企业级风险管理方法，来确保所有层面的风险管理工作的一致性和连贯性。

这样就能使项目集和项目组合的结构具有风险效率，有利于在给定的风险敞口水平下创造最大的整体价值

（三）风险管理计划内容

1. 风险管理战略

描述用于管理本项目的风险的一般方法。

2. 方案论

确定用于开展本项目的风险管理的具体方法、工具及数据来源。

3. 角色职责

​确定每项风险管理活动的领导者、支持者和团队成员，并明确他们的职责。

4. 资金（预算）

确定开展项目风险管理活动所需的资金，并制定应急储备和管理储备的使用方案。 

5. 时间安排

确定在项目生命周期中实施项目风险管理过程的时间和频率，确定风险管理活动并将其纳入项目进度计划。

6. 风险类别（风险分类方法）

（1）适用于所有项目的通用风险分解结构

如果未使用风险分解结构，组织则可能采用某种常见的风险分类框架，既可以是简单的类别清单，也可以是基于项目目标的某种类别结构。

（2）针对不同类型项目使用几种不同的风险分解结构框架

（3）允许项目量身定制专用的风险分解结构。

7. 相关方风险偏好

针对每个项目目标，把相关方的风险偏好表述成可测量的风险临界值。

8. 报告格式

​确定将如何记录、分析和沟通项目风险管理过程的结果。

​（1）风险登记册

（2）风险报告

（3）项目风险管理过程

9. 跟踪

（1）如何记录风险活动

（2）如何审计风险

二、风险分解结构（RBS）—用于风险识别过程

1. RBS定义

风险分解结构是潜在风险来源的层级展现（示例见图 11-4）。

2. RBS适用情况

确定对单个项目风险进行分类的方式 ，通常借助风险分解结构 (RBS)来构建风险类别。

3. RBS作用 ​

风险分解结构有助于项目团队考虑单个项目风险的全部可能来源，对识别风险或归类已识别风险特别有用。

############################################################

风险管理计划内容就介绍到这里，对于风险管理根据项目的不同，可以进行裁剪。

对于小型项目来说，有经验之后都不要形成分析矩阵，通过个人思维及注意事项就可完成风险管理。

对于大型项目，还是建议依靠一步步过程管理并结合文档进行管理。

具体裁剪考虑的因素包括：

1. 项目规模
由预算、持续时间、范围或团队人数所体现的项目规模，要求采取更详细的风险管理方法吗？
​ 或者项目小到只需要用简化的风险管理过程吗？

2. 项目复杂性
由高水平创新、新技术采用、商务安排、界面或外部依赖关系导致的项目复杂性提高，是否要求采用更稳健的风险管理方法？
​ 或者项目是否简单到只需要用简化的风险管理过程？

3. 项目重要性
项目的战略重要性有多大？
​项目的风险级别因旨在创造突破性机会、克服组织经营的重大障碍或涉及重大产品创新而提高了吗？

4. 开发方法
​它是否是瀑布式项目，风险管理过程可以相继或重复开展；
​或者此项目是否采取敏捷型方法，需在每个重复过程的开始阶段以及执行期间处理风险？