風險管理引言 風險管理概述 項目風險的管理規劃 項目風險識別 項目風險分析 項目風險應對 項目風險監控 引言
假如你是一個項目的負責人,有幸要在40天內為布朗先生建造一座堅固實用美觀的別墅。你會發現哪些風險?
第一組
A、40天是40個工作日嗎?還是包括節假日的40天?我如何保證按時完成?
B、布朗先生的要求堅固實用,堅固要達到抗震幾級?使用期限是多長?實用更麻煩,布朗先生覺得應該如何布局,這個房子才更實用?布朗先生要求的美觀如何達到?
C、我需要多少資金預算?如何讓這些資金到位?什么時候到位?如何花才能避免超出預算?
D、項目完工之后的質量驗收標準是什么?在項目過程中我應該如何保證這個質量目標?
……
第二組
A、別墅的建筑用地在哪里?地況如何?周圍環境如何?是否有設計難度?設計方案是否合理?能否達到質量要求?
B、項目施工的工序是否正確?項目計劃是否合理?
C、建筑團隊的人員是否充足?我是否需要一個優秀的設計師和一些有經驗的建筑工人?
D、團隊成員是否都能忠于工作?我應該如何進行有效的管理并激勵他們才能保證項目按時按質的完成?
E、我是否要花些心思了解布朗先生,包括他的背景,另外布朗先生有沒有幕后老板,是否還有其他人會影響布朗先生的觀點?我們之間是否會有誤會產生?我應該如何溝通?
F、我的材料供應商是否可靠?他能否及時將質量合格的原材料供應給我?
……
第三組
A、我們的施工期是什么季節,是否我去看看這些年在這段期間的天氣狀況如何?如果遇到雨雪等天氣災害我怎樣應對?
B、我的建筑安全措施如何?安全教育是否到位?工人保險狀況如何?假如出現工傷或者事故如何應對?
C、另外,如果這塊地施工期間,挖出了古墓等情況,停工期間時間和預算是否夠用?
D、布朗先生是否像表面這樣有錢?(他的資信情況如何?)他是否能在合適的時候付我款項?我是否要實現一些階段性付款方案,我是否要保證金?
E、建造這個房屋我是否取得了一些前期施工證明?建筑主管單位是否不會找我麻煩?
F、建造這個房子是否有限高?是否會有損于周圍其他人的利益,采光、施工噪音、垃圾污染等等?周圍人的情況如何?他們要找我麻煩怎么辦?
……
假如,您寫出了第一組答案中的100%,那么您可以進入項目管理領域了,假如,您同時又寫出了第二組答案中的80%以上,那么您有項目管理的潛質,
假如您更在以上基礎上同時第三組答案中也寫出了60%以上,那么您已經具備項目管理的一些經驗了,當然這些朋友還需更多實踐經驗的磨練。如果沒達到,也不必灰心,
這門課程無疑會適合您。
風險管理概述 什么是風險?(Risk )
PMP對風險的定義:
風險是指與項目相關的若干不確定性事件或條件,一旦發生,將會對項目目標的實現產生正面或負面的影響。
CMMI:
CMMI 3級管理域:風險管理域(RSKM)
風險管理的目的是在風險發生前,界定出潛在的問題,以便在產品或項目的生命周期中規劃風險處理活動,并于必要時啟動之,從而將不利于完成目標的影響降低。
風險的基本因素
風險信號(征兆):指在風險發生之前的提示信號。
發生概率:風險發生的幾率。
風險影響:風險發生后對項目產生的影響。
風險級別:根據風險發生的概率以及風險影響程度將風險劃分為高、中、低不同的等級。
應對措施:風險發生前,為了避免、降低、緩解、轉移、接受風險所采取的措施
風險特點
風險存在的客觀性和普遍性
風險的多變性
風險的時間性
風險發生具有偶然性和必然性
從風險內容上劃分風險類型
1、范圍風險:與范圍變更有關的風險,例如用戶的需求變化等。
2、進度風險:導致項目工期拖延的風險。該風險主要取決于技術因素、計劃合理性、資源充分性、項目人員經驗等幾個方面。
3、成本風險:導致項目費用(其中包括人工成本)超支的風險。
4、質量風險:影響質量達到技術性能和質量水平要求的風險。
5、技術風險:是指由于與項目研制相關的技術因素的變化而給項目建設帶來的風險,包括潛在的設計、實現、接口、驗證和維護、技術的不確定性、“老”技術與“新”技術等方面的問題。
6、管理風險:是指由于項目建設的管理職能與管理對象(如管理組織、領導素質、管理計劃)等因素的狀況及其可能的變化,給項目建設帶來的風險。
7、商業風險:是指開發了一個沒有人真正需要的產品或系統(市場風險);或開發的產品不符合公司的整體商業策略(策略風險);或構成了一個銷售部不知道如何去出售的產品(銷售風險)等。
8、法律風險:例如許可權、專利、合同失效、訴訟、不可抗力等
9、社會環境風險:是指由于國際、國內的政治、經濟技術的波動(如政策變化等),或者由于自然界產生的災害(如地震、洪水等)而可能給項目帶來的風險。
從預測的角度劃分風險類型 已知風險():是通過仔細評估項目計劃、開發項目的經濟和技術環境以及其他可靠的信息來源之后可以發現的那些風險。例如,不現實的交付時間;沒有需求或軟件范圍文檔;惡劣的開發環境等。可預測的風險(known-):可預見、可計劃、可管理。又稱已知-未知風險,是指能夠從過去項目的經驗中推測出來的風險。例如,人員變動;與客戶之間無法溝通等。以及市場風險(原材料可利用性、需求)、日常運作(維修需求)、環境影響、社會影響、貨幣變動、通貨膨脹、稅收不可預測的風險(-):不可預見、不可計劃、不可管理,需要應急措施。又稱未知-未知風險,是指可能,但很難事先識別出來的風險。例如規章(不可預測的政府干預)、自然災害 風險成本
風險的有形成本包括風險發生時造成的直接損失和間接損失。
直接損失是指人員、經費、設備等的直接流失;
間接費用是指直接損失以外的人財、物、知識等損失。
風險的無形成本是指由于風險所具有的不確定性而使項目在風險發生前和發生后所付出的代價。
風險的發生減少了項目成功的機會;
風險阻礙了生產率的提高和新技術的應用;
風險會造成資源分配的不當,使人們將更多的資源投入到風險較小的行業或者項目中。
什么是風險管理?(Risk )
風險管理指對項目的風險進行識別、分析和控制的系統性過程。
項目管理者通過系統化的風險識別、分析和應對項目風險,最大化正面影響,最小化負面影響。
風險管理的意義 增加項目成功的機率,使項目達到預期的結果。 從項目進度、質量和成本目標看,項目管理與風險管理的目標是一致的。通過風險管理以減少風險對項目進度、質量、成本的影響,最終實現項目目標。 從計劃職能看,項目計劃考慮的是未來,而未來存在不確定因素,風險管理的職能之一是減少項目整個過程中的不確定性,有利于計劃的準確性。 從項目實施過程看,不少風險是在項目實施過程中由潛在變成現實的,風險管理就是在風險分析的基礎上擬定具體措施來消除、緩和及轉移風險,并避免產生新的風險,因此有利于項目的實施
PMP風險管理過程包括:
風險管理計劃 風險識別 風險定性分析 風險定量分析 風險應對計劃 風險監控 CMMI 風險管理域內容
特定目標1:風險管理標準(對應風險計劃)
執行方法1.1:決定風險來源和類別
執行方法1.2:定義風險參數
執行方法1.3:建立風險管理策略
特定目標2:界定并分析風險(對應風險識別和分析)
執行方法2.1:界定風險
執行方法2.2:評估、分類及排序風險
特定目標3:降低風險(對應風險應對和監控)
執行方法3.1:開發風險降低計劃
執行方法3.2:執行風險降低計劃
風險管理流程
風險管理規劃 風險管理規劃( Risk )
是在項目正式啟動前或啟動初期對項目的一個縱觀全局的對于風險的考慮、分析、計劃,也是項目風險控制中最關鍵的內容。
目的是確定風險管理方法和風險管理的各項活動。
輸出:風險管理計劃
風險管理規劃流程分析
項目風險識別 風險識別過程( Risks)
風險識別過程是將不確定性事項轉變為明確的風險陳述。
風險三要素判斷:不確定性、未發生、對目標的達成有影響。
可能的參與人員:項目組成員、機構項目管理或專門的風險管理人員、技術專家、客戶、最終用戶、項目組外有經驗的項目經理、其他干系人等。
是一個在整個項目過程中多次反復的過程。
風險識別技術 一、信息收集法 頭腦風暴法(Brain Storm)
通過一種思維高度活躍,打破常規的思維方式而產生大量創造性設想的方法。該方法最常用,當所有項目組成員或人數眾多的成員參與項目風險識別時使用。
法
征得專家的意見之后,進行整理、歸納、統計,再反饋給各專家,再次征求意見,再集中,再反饋,直至得到穩定的意見。該方法用戶專家對項目風險進行識別時使用。
面談法
與有經驗的項目經理、行業專家以及相關方代表進行面談軟件需求文檔項目風險,通過他們的經驗為項目風險識別提供幫助。
SWOT法
將與項目相關的各種主要優勢因素()、弱點因素(W)、機會因素()、威脅因素(),通過調查羅列出來,并按照矩陣形式排列出來,運用系統分析方法,將這些因素加以分析,得出相應的結論。通常用于項目風險管理小組對風險的識別。
道斯矩陣
二、圖表分析法 因果圖(魚刺圖/石川圖)。
用于對影響結果的全部因素進行分析。適用于各種角色的人對項目風險進行識別。
項目流程圖。
通過尋找項目各組成部分之間的相互聯系和依賴關系,發現其中的風險。適合項目風險管理小組使用。
相關圖。
通過變量與結果之間的關系來確定影響結果的因素,從而識別其中的風險。適合項目風險小組使用。
三、風險條目檢查表法。
檢查表中已經根據軟件項目的特點列出了潛在的風險,由適用人員逐項評估。使用于項目經理和項目風險管理小組對項目進行風險識別。
四、假設條件分析法。
對于項目計劃制定過程中設定的主要假設條件進行評估,從中尋找出存在的風險因素。適用于項目經理和項目風險管理小組對風險進行識別。
風險識別的輸出
項目風險列表,并納入組織的“項目風險知識庫”。
Top10風險
在項目管理實踐過程中,項目管理人員需要根據項目進程,根據風險發生概率及風險影響程度優先級和影響因素等對風險進行優先級排列,并對排名前十位的風險進行重點跟蹤和管理。
風險分析
風險分析(Risk )的過程及目的是對所有識別出來的風險進行估評,按照發生的可能性和后果的嚴重性排序,以確定項目組需要重點關注的風險,為后面的風險應對方案作準備。
定性分析
定量分析
定性分析定義
風險的定性分析是通過比較各個風險項目在發生概率和影響后果方面的相對位置,進而確定哪些是關鍵風險,并作為下一步關注的對象。
目的
判斷已識別的風險的重要程度以作為進一步風險管理活動的依據。
結果
對已識別的風險的評分列表,并按照其重要程度的分值進行排序
依據
通常只能靠經驗和專家意見
方法
主觀打分法。由項目風險管理小組對已識別出的風險的發生概率、后果影響兩個方面進行打分。
風險發生后果等級
風險發生概率等級
風險等級矩陣
T風險評分=P*I(取值范圍:0-1.00)
定量分析定義
通過一些數學方法對特定類型風險的發生概率,發生后果進行分析,以獲得一些與此類風險相關的指標值。此類方法一般用于成本和進度類的風險分析。
目的
確定能達到項目目標的可能性。(目標包括進度、費用、質量等)。
量化的評估項目各風險,確定需預留的風險準備金和時間預留量。
量化評估風險影響,判斷最應關注的項目風險。
確定關于費用、時間和工作范圍的現實的,可達到的目標。
(1)風險的參照水準分析法
對絕大多數軟件項目來講風險因素——成本、性能、支持和進度就是典型的風險參照系。
1、根據項目承受能力定義成本、性能、支持、進度的水平參照值。
2、找出每組風險與水平參照值的關系。
3、估計一組臨界點以定義項目的終止區域。
4、估計風險組合將如何影響風險水平參照值。
(2)PERT估計法
此方法可以應用于風險發生概率和風險的后果的定量分析。通過面談對象的樂觀估計、最可能估計、悲觀估計,利用三點法得出風險項的加權平均值。
(3)模擬技術
通過選定的數學模型,將某一不確定性的因素在一定的概率分布下的變化狀態轉化為整個項目結果的分布情況。
蒙特卡羅模擬( Monte Carlo )。蒙特卡羅分析通過多次模擬一個模型的結果,從而提供計算結果的統計分布。
(4)決策樹分析
決策樹分析法是指借助樹形分析圖,根據各種類型的風險出現的概率及預期損益,計算與比較各方案的損益期望值,從而抉擇最優方案的方法。
風險分析結果
項目關鍵風險清單
風險應對
風險應對(Risk )是指通過應對計劃的活動,對已經分析出的項目關鍵風險制定相應的應對措施,以確保相應的關鍵風險可以被避免、消除、轉移以及風險發生后能夠正確應對,減少負面影響。風險應對計劃的執行情況直接決定了風險對項目目標的影響情況。
制定措施和方法以增加對項目有利的機會,減少風險對項目的威脅。
不僅包括措施制定,也包括責任人的安排
所制定的應對計劃應與風險的嚴重程度相適應,經濟有效、及時、現實、可操作、一致同意并責任落實。
通過涉及多個方案的選擇軟件需求文檔項目風險,而且可能涉及主應對方案和備份方案的安排。
風險應對方法
風險規避:是指當項目風險潛在威脅的可能性極大,并會帶來嚴重的后果,無法轉移又不能承受時,通過改變項目的計劃、過程、組織、資源等互動來規避風險。
規避策略:
改變項目計劃以消滅風險或保護項目目標免受影響。雖不可能消滅所有的風險,但對具體風險來說是可以避免的。
某些風險可以通過需求再確認、獲取更詳細信息、增強溝通、增派專家等方法得以避免。
示例:
縮小項目工作范圍以避免高風險任務活動
采用更成熟的技術方案而非先進但尚不成熟的方案
避免跟不熟悉的服務提供商簽約
風險轉移:
通過將風險向第三方或者相關方轉移風險。通常要為第三方付費作為承擔風險的報酬。
示例:
通過尋找合作伙伴或模塊外包降低進度或者范圍風險。
通過測試外包降低產品質量風險。
通過集成其他廠商的中間件以降低技術風險。
風險減輕:
對于無法消除和轉移的風險,通過增加資源或增加其他輔助手段來降低風險發生概率和風險后果。
示例:
采用功能相差不多的較簡單的流程
冗余設計降低需求變更產生的影響
增加資源和時間
進行更系統化的更徹底的測試
風險接受:
對于無法規避和轉移的風險必須制定相應的項目應急計劃,確保在風險發生之后有明確的行動而不是被動地去應對,以降低風險帶來的不良影響。
積極的接受。制定應急計劃并在風險發生時執行,應急計劃可以大大減少處理問題的費用。
消極的接受。“默默地承受”。
對于高風險的事件可制定“退卻計劃” :風險準備金、備用方案、改變工作范圍等。
示例:
機房著火,服務器癱瘓的風險。應提前制定應急方案,提供風險準備金,備用服務器,數據備份,風險責任人等。
需求變更風險。當無法避免的需求變更發生時,按照規定需求變更流程進行需求變更,減少需求變更的影響。
風險應對結果
風險應對計劃
已識別風險描述、風險原因及影響
風險對應的責任人及其責任
風險應對具體策略及其具體措施
應對措施執行后仍可能遺留的風險及其程度
風險應對的費用和時間預算
應急計劃和退卻計劃
風險監控 風險監控(Risk )
在整個項目過程中監督已識別風險和殘留風險、識別可能出現的新風險、執行風險應對計劃、評估計劃執行的有效性。
項目風險監控活動應判斷以下情況
風險應對措施是否按計劃實施 風險應對措施是否有效,是否需要制定新的措施 項目假定條件是否仍然成立 風險的狀態是否發生了改變 是否出現了風險信號 是否遵從了正確的項目章程 是否有未識別的風險發生 項目風險監控程序
1.建立項目風險事件控制體制
2.確定要控制的具體項目風險
3.確定項目風險的控制責任
4.確定項目風險控制的行動時間
5.制訂各具體項目風險的控制方案
6.實施具體項目風險控制方案
7.跟蹤具體項目風險的控制結果
8.判斷項目風險是否已經消除
風險監控原則:
風險監控是項目開發過程中的持續不斷的過程,風險隨著項目過程的時間變化而變化。
項目風險應作為所有項目會議的內容之一。
采用量化分析方法,分析項目的CPI、SPI指數,當這些指數與正常范圍發生偏離的時候就應立即進行風險識別和評估。
風險監控的主要方法 風險監控成果
1.隨機應變措施
2.糾正行動
3.修改風險應對計劃
風險監控報告
風險管理總結
風險管理的常見錯誤
項目基本上沒有風險管理
被動式的反應,沒有主動的分析、預防、應對和監控風險
只在項目初期進行風險分析,在項目整個過程中無持續的監控
風險發生并應對后無二次分析,防止風險再次發生
風險責任無分配和不清楚
風險的識別和監控僅僅靠項目經理一人拍腦門