11 风险管理

风险认知

• 风险 = 概率 + 影响
• 某一事件发生的概率和后果（也叫影响）的组合，被称为风险
• 一旦发生，会对至少一个项目目标造成影响
• 项目是独特的，必然存在风险
• 风险不等于“坏事”

风险的四大要素

事件，原因，概率，后果

单个风险与整体项目风险

只关注单个项目风险，而忽略整体项目风险；只关注项目局部风险，而忽略项目全局风险。只关注项目短期风险，而忽略项目长期风险；只关注项目战术风险，而忽略项目战略风险，这些都是风险近视症的表现。

比如一个互联网金融 P2P 项目、代码 Bug、系统安全漏洞、服务器宕机、项目团队骨干离职都是单个项目风险，而国家出台限制 P2P 业务就是整体项目风险。

组织、相关方与风险

组织和相关方的风险态度受多种因素影响，这些因素大体可分为三类：

• 风险偏好： 为了预期的回报，组织或个人愿意承担不确定性的程度。
• 风险承受力：组织或个人能承受的风险程度、数量或容量，也即影响的程度。
• 风险临界值： 相关方特别关注的特定的不确定性程度或影响程度。低于风险临界值，组织会接受风险；高于风险临界值，组织将不能承受风险。

风险与机遇并存，风险越大、回报可能也越高

• 应该针对每个项目目标，把相关方的风险偏好表述成可测量的风险临界值。
• 临界值不仅将联合决定可接受的整体项目风险敞口水平，而且也用于制定概率和影响定义。

风险效用模型

风险承受度可以用效用模型衡量：风险厌恶型、风险中立型、风险喜好型

​​

风险管理的分类

项目中的风险：已知风险、未知风险

• 已知已知风险：应对措施-直接成本
• 已知未知风险：应急计划-应急储备
• 未知未知风险：权变措施-管理储备

核心概念

• 变异性风险：不按常理出牌，项目所依赖的关键条件或制约因素出现异常改变， 可以通过模拟技术，如蒙特卡洛技术进行风险定量分析

• 模糊性风险：不确定未来可能会发生什么。 知识不足，可采取迭代开发、增量开发及适应型（敏捷型） 开发模式，提高对此类风险的适应能力。

• 次生风险：实施风险应对措施直接导致的风险

• 残余风险：在采取预定的应对措施仍然残余的风险，包括已被接受并处置过的小风险

• 项目韧性：当项目遭遇风险或受到干扰时，整个项目团队还能保持状态的能力、迅速回复的能力，以及应对未来不确定性的能力。

  提高韧性：预留合理的应急预算和时间，采用灵活的项目过程，包括强有力的变更管理，经常留意早期预警信号，明确征求相关方的意见

风险处理流程

风险管理的目标：提高正面风险的概率和（或）影响，降低负面风险的概率和（或）影响，从而提高项目成功的可能性。

​​

‍