1、项目风险管理概述项目风险管理概述10.1风险管理规划风险管理规划10.2ITIT项目风险识别项目风险识别10.3项目风险监控项目风险监控10.6项目风险应对规划项目风险应对规划10.5项目风险定性与定量分析项目风险定性与定量分析10.4学习目标:学习目标:1理解风险与项目风险的概念理解风险与项目风险的概念2掌握项目风险管理规划涉及的要素和掌握项目风险管理规划涉及的要素和风险管理规划的内容风险管理规划的内容3掌握项目风险识别的过程及技术掌握项目风险识别的过程及技术4掌握定性、定量风险分析的过程和方法掌握定性、定量风险分析的过程和方法5掌握应对风险的方法掌握应对风险的方法6理解理解IT项目中常见的
2、风险项目中常见的风险7掌握风险监控的内容掌握风险监控的内容10.1.1 风险概述风险概述1风险概念风险概念 风险是指在一定条件下和一定时期风险是指在一定条件下和一定时期内可能发生的各种结果的变化程度。内可能发生的各种结果的变化程度。 风险存在的客观性和普遍性。风险存在的客观性和普遍性。 某一具体风险发生的偶然性和大量风险某一具体风险发生的偶然性和大量风险发生的必然性。发生的必然性。 风险的可变性。风险的可变性。 风险的多样性和多层次性。风险的多样性和多层次性。 根据风险内容可将风险分为如下几根据风险内容可将风险分为如下几类。类。 技术风险。技术风险。 费用风险。费用风险。 进度风险。进度风险。
3、 管理风险。管理风险。 社会环境风险。社会环境风险。 商业风险。商业风险。 如果从预测的角度对风险进行分类,如果从预测的角度对风险进行分类,可将风险分为以下可将风险分为以下3类。类。 已知风险。已知风险。 可预测的风险。可预测的风险。 不可预测的风险。不可预测的风险。 IT项目的风险主要表现在以下几个项目的风险主要表现在以下几个方面。方面。(1)用户需求不一致、变化大。)用户需求不一致、变化大。(2)技术变革。)技术变革。(3)系统部署风险。)系统部署风险。(4)流程重组风险。)流程重组风险。 (5)组织与人力资源变动。)组织与人力资源变动。(6)开发方式风险。)开发方式风险。 风险的有形成本
4、包括风险发生时造成的风险的有形成本包括风险发生时造成的直接损失和间接损失。直接损失和间接损失。 风险的无形成本是指由于风险所具有的风险的无形成本是指由于风险所具有的不确定性而使项目在风险发生前和发生后不确定性而使项目在风险发生前和发生后所付出的代价。所付出的代价。1项目风险管理理论项目风险管理理论 项目风险管理理论可以分成两种:项目风险管理理论可以分成两种:一种是针对无预警信息项目风险的管理一种是针对无预警信息项目风险的管理方法和理论。方法和理论。 另一种理论和方法是针对有预警信另一种理论和方法是针对有预警信息的项目风险,对于这类风险人们可以息的项目风险,对于这类风险人们可以通过收集预警信息去
5、识别和预测它,所通过收集预警信息去识别和预测它,所以可以通过跟踪其发生和发展变化而采以可以通过跟踪其发生和发展变化而采取各种措施控制这类项目风险。取各种措施控制这类项目风险。 风险管理的力度可以分为风险管理的力度可以分为4个层次。个层次。 危机管理:是在风险已经造成麻烦后才危机管理:是在风险已经造成麻烦后才着手处理它们。着手处理它们。 风险缓解:事先制订好风险发生后的补风险缓解:事先制订好风险发生后的补救措施,但不制订任何的防范措施。救措施,但不制订任何的防范措施。 着力预防:将风险识别与风险防范作为着力预防:将风险识别与风险防范作为项目的一部分加以规划和执行。项目的一部分加以规划和执行。 消
6、灭根源:识别和消灭可能产生风险的消灭根源:识别和消灭可能产生风险的根源。根源。(1)项目风险潜在阶段的管理方法。)项目风险潜在阶段的管理方法。(2)项目风险发生阶段的管理方法。)项目风险发生阶段的管理方法。(3)项目风险后果阶段的管理方法。)项目风险后果阶段的管理方法。 风险管理策略应满足以下要求:风险管理策略应满足以下要求: 在项目开发中规划风险管理,尽量避免在项目开发中规划风险管理,尽量避免风险;风险; 指定风险管理者,监控风险因素;指定风险管理者,监控风险因素; 建立风险清单及风险管理计划;建立风险清单及风险管理计划; 建立风险反馈渠道。建立风险反馈渠道。(1)风险回避准则。)风险回避准
7、则。(2)风险权衡准则。)风险权衡准则。(3)风险处理成本最小原则。)风险处理成本最小原则。(4)风险成本)风险成本/效益比准则。效益比准则。(5)社会费用最小准则。)社会费用最小准则。 有效的风险管理可以提高项目的成功率。有效的风险管理可以提高项目的成功率。 提前对风险制定对策,就可以在风险发生提前对风险制定对策,就可以在风险发生时迅速做出反应,避免忙中出错造成更大时迅速做出反应,避免忙中出错造成更大损失。损失。 风险管理可以增加团队的健壮性。风险管理可以增加团队的健壮性。 有效的风险管理可以帮助项目经理抓住工有效的风险管理可以帮助项目经理抓住工作重点,将主要精力集中于重大风险,将工作重点,
8、将主要精力集中于重大风险,将工作方式从被动救火转变为主动防范。作方式从被动救火转变为主动防范。10.2.1 风险管理规划的内容与依据风险管理规划的内容与依据1风险管理规划的内容风险管理规划的内容(1)选择确定风险管理的方法。)选择确定风险管理的方法。1)风险管理表格。)风险管理表格。2)风险数据库模式。)风险数据库模式。(2)确定风险管理的组织和人员。)确定风险管理的组织和人员。(3)明确时间周期。)明确时间周期。(4)定义风险类型级别及说明。)定义风险类型级别及说明。(5)确定基准。)确定基准。(6)规定汇报形式。)规定汇报形式。(7)进行跟踪。)进行跟踪。 项目规划中包含或涉及的有关内容。
9、项目规划中包含或涉及的有关内容。 项目组织及个人所经历和积累的风险管项目组织及个人所经历和积累的风险管理经验及实践。理经验及实践。 决策者、责任方及授权情况。决策者、责任方及授权情况。 项目利益相关者对项目风险的敏感程度项目利益相关者对项目风险的敏感程度及可承受能力。及可承受能力。 可获取的数据及管理系统情况。可获取的数据及管理系统情况。 风险管理模板。风险管理模板。1为严重风险确定风险设想为严重风险确定风险设想 假设风险已经发生,考虑如何应对;假设风险已经发生,考虑如何应对; 假设风险将要发生,说明风险设想;假设风险将要发生,说明风险设想; 列出风险发生之前的事件和情况。列出风险发生之前的事
10、件和情况。2制订风险应对备用方案制订风险应对备用方案3选择风险应对途径选择风险应对途径4制订风险管理计划制订风险管理计划5建立风险管理模板建立风险管理模板6确定风险数据库模式确定风险数据库模式 风险管理规划的成果是形成一套风风险管理规划的成果是形成一套风险管理计划文件,其中最重要的是风险险管理计划文件,其中最重要的是风险形势估计、风险管理计划和风险规避计形势估计、风险管理计划和风险规避计划。划。10.3.1 风险识别过程风险识别过程1识别并确定项目有哪些潜在的风险识别并确定项目有哪些潜在的风险2识别引起这些风险的主要影响因素识别引起这些风险的主要影响因素3识别项目风险可能引起的后果识别项目风险
11、可能引起的后果1风险条目检查表风险条目检查表(1)产品规模风险。)产品规模风险。(2)需求风险。)需求风险。(3)商业影响风险检查表。)商业影响风险检查表。(4)相关性风险。)相关性风险。(5)管理风险。)管理风险。(6)技术风险。)技术风险。(7)开发环境风险。)开发环境风险。(8)人员数目及经验风险。)人员数目及经验风险。2头脑风暴法头脑风暴法(1)个人头脑风暴法。)个人头脑风暴法。(2)直接头脑风暴法。)直接头脑风暴法。1)组织专家会议遵循的规则。)组织专家会议遵循的规则。2)直接头脑风暴法的组织。)直接头脑风暴法的组织。(3)反向头脑风暴法。)反向头脑风暴法。3情景分析法情景分析法4其
12、他方法其他方法1已识别出的项目风险已识别出的项目风险 (1)由一个因素产生的风险事件发生的)由一个因素产生的风险事件发生的可能性。可能性。 (2)可能的结果范围。)可能的结果范围。 (3)预期发生的时间。)预期发生的时间。 (4)一个风险因素所产生的风险事件的)一个风险因素所产生的风险事件的发生频率。发生频率。2可能潜在的项目风险可能潜在的项目风险3项目风险的征兆项目风险的征兆4对项目管理其他方面的要求对项目管理其他方面的要求 (1)根据风险点列出风险识别表。)根据风险点列出风险识别表。 (2)根据风险事件对风险进行分类。)根据风险事件对风险进行分类。 (3)根据风险将要发生的症状,描述风)根
13、据风险将要发生的症状,描述风险触发点。险触发点。 (4)根据风险识别阶段的结果,提出对)根据风险识别阶段的结果,提出对各个相关阶段工作的改进要求。各个相关阶段工作的改进要求。10.4.1 风险评估基础风险评估基础1项目风险可能性的度量项目风险可能性的度量 低风险是指可以辨识并可以监控其对项低风险是指可以辨识并可以监控其对项目目标影响的风险。目目标影响的风险。 中等风险是指可以被辨识的,对系统的中等风险是指可以被辨识的,对系统的技术性能、费用或进度将产生较大影响的技术性能、费用或进度将产生较大影响的风险。风险。 高风险是指发生的可能性很高,其后果高风险是指发生的可能性很高,其后果将对项目有极大影
14、响的风险。将对项目有极大影响的风险。准准 则则成成 本本进进 度度 示示 例例技技 术术 目目 标标低低低于低于1%比原计划落后比原计划落后1周周对性能稍有影响对性能稍有影响中等中等低于低于5%比原计划落后比原计划落后2周周对性能有一定的影响对性能有一定的影响高高低于低于10%比原计划落后比原计划落后1个月个月对性能有严重影响对性能有严重影响关键的关键的10%或更多或更多比原计划落后比原计划落后1个月以上个月以上无法完成任务无法完成任务表表10-4 后果评估标准后果评估标准3项目风险影响范围的度量项目风险影响范围的度量4项目风险发生时间的度量项目风险发生时间的度量1IT项目风险分析的目的项目风
15、险分析的目的(1)确认项目风险的来源。)确认项目风险的来源。(2)确认项目风险的性质。)确认项目风险的性质。(3)估计项目风险的影响程度。)估计项目风险的影响程度。(4)为项目风险的定量分析提供条件。)为项目风险的定量分析提供条件。(1)风险概率与影响评估)风险概率与影响评估(2)概率和影响矩阵。)概率和影响矩阵。(3)十大风险事件项跟踪。)十大风险事件项跟踪。(4)风险数据质量分析。)风险数据质量分析。(5)风险分类。)风险分类。(6)风险紧迫性评估。)风险紧迫性评估。(1)按照轻重缓急排序的项目风险清单。)按照轻重缓急排序的项目风险清单。(2)按照类别分类的风险。)按照类别分类的风险。(3
16、)需要近期采取应对措施的风险清单。)需要近期采取应对措施的风险清单。(4)需要进一步分析和应对的风险清单。)需要进一步分析和应对的风险清单。(5)低优先级风险观察清单。)低优先级风险观察清单。(6)风险趋势。)风险趋势。1定量风险分析的目的定量风险分析的目的 (1)对项目目标以及实现项目目标的概)对项目目标以及实现项目目标的概率进行评估并量化。率进行评估并量化。 (2)通过量化各项风险对项目总体风险)通过量化各项风险对项目总体风险的影响,确定需要特别重视的风险。的影响,确定需要特别重视的风险。 (3)在考虑项目风险的情况下,确定可)在考虑项目风险的情况下,确定可以实现的和实际的成本、进度和范围
17、目以实现的和实际的成本、进度和范围目标。标。 (4)在某些条件或结果不确定时,确定)在某些条件或结果不确定时,确定最佳的项目风险管理决策。最佳的项目风险管理决策。(1)敏感性分析。)敏感性分析。(2)概率分析。)概率分析。(3)决策树分析。)决策树分析。(4)项目工作分解结构。)项目工作分解结构。(5)常识、经验和判断。)常识、经验和判断。1风险分类风险分类2风险分析风险分析(1)项目风险原因的分析与确定。)项目风险原因的分析与确定。(2)项目风险后果的分析与确定。)项目风险后果的分析与确定。(3)项目风险发展时间进程的分析与确定。)项目风险发展时间进程的分析与确定。3量化的风险序列表量化的风
18、险序列表10.5.1 项目风险应对原则项目风险应对原则(1)可行、适用、有效性原则。)可行、适用、有效性原则。(2)经济、合理、先进性原则。)经济、合理、先进性原则。(3)主动、及时、全过程原则。)主动、及时、全过程原则。(4)综合、系统、全方位原则。)综合、系统、全方位原则。1风险回避风险回避2风险遏制风险遏制3风险转移风险转移4风险化解风险化解5风险容忍风险容忍6风险分担风险分担7IT项目常用的风险应对策略项目常用的风险应对策略(1)项目风险的特性。)项目风险的特性。(2)项目组织抗风险的能力。)项目组织抗风险的能力。(3)可供选择的风险应对措施。)可供选择的风险应对措施。1更新风险登记册
19、更新风险登记册2项目风险应急计划项目风险应急计划3风险储备风险储备10.6.1 项目风险监控概述项目风险监控概述 (1)项目风险控制内容。)项目风险控制内容。 持续开展项目风险的识别与度量,监控持续开展项目风险的识别与度量,监控项目潜在风险的发展,追踪项目风险发生的项目潜在风险的发展,追踪项目风险发生的征兆,采取各种风险防范措施,应对和处理征兆,采取各种风险防范措施,应对和处理发生的风险事件,消除和缩小项目风险事件发生的风险事件,消除和缩小项目风险事件的后果,管理和使用项目不可预见费,实施的后果,管理和使用项目不可预见费,实施项目风险管理计划等。项目风险管理计划等。(2)项目风险控制的依据。)
20、项目风险控制的依据。 项目风险管理计划。项目风险管理计划。 实际项目风险发展变化情况。实际项目风险发展变化情况。 附加的风险识别和分析。附加的风险识别和分析。 项目评审。项目评审。1建立项目风险事件控制体制建立项目风险事件控制体制2确定要控制的具体项目风险确定要控制的具体项目风险3确定项目风险的控制责任确定项目风险的控制责任4确定项目风险控制的行动时间确定项目风险控制的行动时间5制订具体项目风险的控制方案制订具体项目风险的控制方案6实施具体项目风险控制方案实施具体项目风险控制方案7跟踪具体项目风险的控制结果跟踪具体项目风险的控制结果8判断项目风险是否已经消除判断项目风险是否已经消除1风险再评估风险再评估2风险审计风险审计3技术指标分析技术指标分析4储备金分析储备金分析5状态审查会状态审查会6风险预警系统风险预警系统1更新的风险登记册更新的风险登记册2请求的变更请求的变更3更新的组织过程资产与项目管理计划更新的组织过程资产与项目管理计划4修改风险应对计划修改风险应对计划