高项学习-15 项目风险管理(风险项目项目风险风险管理分析)「项目风险管理表示例」

项目风险管理旨在利用或强化正面风险(机会),规避或减轻负面风险(威胁)

①.风险事件的随机性

风险事件的发生及其后果都具有偶然性。
风险事件是否发生?何时发生?发生之后会造成什么样的后果?许多事件的发生都遵循一定的统计规律，这种性质叫随机性

②.风险的相对性

同样的风险对于不同的主体有不同的影响。
影响人们的风险承受能力的因素主要包括:

输入收益的大小:收益越大，人们愿意承担的风险也就越大。

输入投入的大小:项目活动投入得越多，人们对成功所抱的希望也越大，愿意冒的风险也就越小

活动主体的地位和拥有的资源:级别高的管理人员比级别低的管理人员能够承担的风险相对要大。

③.风险的可变性

风险性质的变化:例如:管理进度不再是大的风险

风险后果的变化:风险后果包括后果发生的频率、收益或损失大小

出现新风险:随着项目或其他活动的展开，会有新的风险出现

①.按风险后果划分

(1)纯粹风险。
不能带来机会、无获得利益可能的风险，，叫纯粹风险

(2)投机风险。
投机风险有三种可能的后果:造成损失、不造成损失和获得利益

纯粹风险和投机风险在一定条件下可以相互转化

②.按风险来源划分

(1)自然风险。
由于自然力的作用，造成财产毁损或人员伤亡的风险属于自然风险。

(2)人为风险。
人为风险是指由于人的活动而带来的风险。
可以细分为行为,经济、技术、政策和组织风险等

③.按风险是否可管理划分

可管理的风险是指可以预测，并可采取相应措施加以控制的风险，反之，则为不可管理的风险

④.按风险影响范围划分

可以分为局部风险和总体风险

⑤.按风险后果的承担者划分

项目风险若按其后果的承担者来划分则有项目业主风险、政府风险、承包商风险、投资方风险、设计单位风险、监理单位风险、供应商风险、担保方风险和保险公司风险等

⑥.按风险的可预测性划分

(1)已知风险。
已知风险是指在认真、严格地分析项目及其计划之后就能够明确的那些经常发生的，而且其后果亦可预见的风险

(2)可预测风险。
可预测风险是指根据经验，可以预见其发生，但不可预见其后果的风险。
这类风险的后果有时可能相当严重

(3)不可预测风险。
其发生的可能性即使最有经验的人亦不能预见的风险。
也称未知风险或未识别的风险。
它们是新的、以前未观察到或很晚才显现出来的风险

规划风险管理:定义如何实施项目风险管理活动。

识别风险:识别单个项目风险，以及整体项目风险的来源，并记录风险特征。

实施定性风险分析:评估单个项目风险发生的概率和影响以及特征，对风险进行优先级排序，从而为后续分析或行动提供基础。

实施定量风险分析:就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析

规划风险应对:为处理整体项目风险以及应对单个项目风险而制定可选方案选择应对策略并商定应对行动

实施风险应对:执行商定的风险应对计划

监督风险:在整个项目期间，监督风险以应对计划的实施、跟踪已识别风险识别和分析新风险，以及评估风险管理的有效性。

规划风险管理

规划风险管理是定义如何实施项目风险管理活动的过程。

本过程的主要作用是，确保风险管理的水平、方法和可见度与项目风险程度相匹配，与对组织和其他干系人的重要程度相匹配。

规划风险管理过程在项目立项阶段就应开始，并在项目早期完成。
在发生重大阶段变更时，在项目范围显著变化时，或者后续对风险管理有效性进行审查且确定需要调整项目风险管理过程时。

①.项目章程

项目章程记录了项目的总体描述和边界、总体的需求和风险。

②.项目管理计划

风险管理计划与各计划相协调;各子计划中的方法论也会影响规划风险管理过程

③.项目文件·干系人登记册。
干系人在项目中的角色和其对项目风险的态度，用于确定项目风险管理的角色和职责，以及为项目设定风险临界值。

④.事业环境因素

组织或关键干系人设定的整体风险的临界值

⑤.组织过程资产

组织的风险政策;风险类别，可能会用风险分解结构来表示;风险概念和术语的通用定义;风险描述的格式;风险管理计划、风险登记册和风险报告的板;角色与职责;决策所需的职权级别;经验教训知识库，其中包含以往类似项目的信息等。

1.专家判断

熟悉组织所采取的管理风险的方法，包括该方法所在的组织风险管理体系;可裁剪风险管理以适应项目的具体需求;有相同领域的项目风险管理经验等

2.数据分析

干系人分析法，通过干系人分析确定项目干系人的风险偏好

3.会议

风险管理计划

风险管理策略:描述用于管理本项目风险的一般方法

方法论:用于开展本项目风险管理的具体方法、工具及数据来源

角色与职责:风险管理活动的领导者、支持者和团队成员，并明确职责

资金:开展项目风险管理活动所需资金，应急储备和管理储备使用方案。

时间安排:实施项目风险管理过程的时间和频率，将其纳入项目进度计划。

风险类别:风险分类的方式。
风险分解结构(RBS)。
是潜在风险来源的层级展现·

干系人风险偏好:针对每个项目目标，把风险偏好表述成可测量的风险临界值·

风险概率和影响:项目可能自行制定关于概率和影响级别的具体定义

概率和影响矩阵:优先级排序规则，组织过程资产或具体项目量身定制

报告格式:风险登记册、风险报告以及项目风险管理过程的其他输出的内容和格式

跟踪:确定将如何记录风险活动，以及如何审计风险的管理过程

识别风险是识别单个项目风险以及整体项目风险的来源，并记录风险特征的过程。

本过程的主要作用:①记录现有的单个项目风险以及整体项目风险的来源②汇总相关信息，以便项目团队能够恰当地应对已识别的风险。

本过程应在整个项目期间开展

识别风险时，要同时考虑单个项目风险以及整体项目风险的来源。

风险识别活动的参与者可能包括:项目经理、项目团队成员、项目风险专家(若已指定)、客户、项目团队外部的主题专家、最终用户、其他项目经理、运营经理、干系人和组织内的风险管理专家。
还应鼓励所有项目干系人参与项目风险的识别工作。

应采用统一的风险描述格式来描述和记录项目风险，以确保每一项风险都被清楚、明确地理解，从而为有效的分析和风险应对措施制定提供支持。

识别风险是一个迭代的过程。
迭代的频率和每次迭代所需的参与程度因情况而异，应在风险管理计划中做出相应规定，

①.项目管理计划

需求管理计划:特别有风险的项目目标。

进度管理计划:受不确定性或模糊性影响的进度领域

成本管理计划:受不确定性或模糊性影响的成本领域

质量管理计划:受不确定性或模糊性影响的质量领域或者关键假设

资源管理计划:受不确定性或模糊性影响的资源领域，关键假设引发的资源风险

风险管理计划:风险管理的角色和职责，风险管理纳入预算和进度计划，风险类别

范围基准:包括可交付成果及其验收标准，其中有些可能引发风险

进度基准:存在不确定性或模糊性的里程碑日期和可交付成果交付日期，可能引发风险的关键假设条件。

成本基准:存在不确定性或模糊性的成本估算或资金需求，或者关键假设可能引发风险的方面

②.项目文件

假设日志:假设条件和制约因素可能引发项目风险，可能影响整体项目风险的级别

干系人登记册:可能参与项目的风险识别工作，哪些个人适合扮演风险责任人角色

需求文件:列明了项目需求，使团队能够确定哪些需求存在风险。

持续时间估算:理想情况下用区间表示，区间的大小预示着风险程度。
对持续时间估算文件进行结构化审查，可能会显示当前估算不足，从而引发项目风险

成本估算:理想情况下用区间表示，区间的大小预示着风险程度。
对成本估算文件进行结构化审查，可能显示当前估算不足，从而引发项目风险。

资源需求:理想情况下用区间表示，区间的大小预示着风险程度。
对资源需求文件进行结构化审查，可能显示当前估算不足，从而引发项目风险。

问题日志:所记录的问题可能引发单个项目风险，还可能影响整体项目风险的级别

经验教训登记表:风险相关的经验教训，以确定类似风险是否可能在项目的剩余时间再次出现。

③.采购文档

因为从组织外部采购商品和服务可能提高或降低整体项目风险，并可能引发更多的项目风险。

④.协议

协议所规定的里程碑日期、合同类型、验收标准和奖罚条款等，都可能造成威胁或创造机会。

⑤.事业环境因素

已发布的材料，包括商业风险数据库或核对单;学术研究资料;标杆对照成果;类似项目的行业研究资料等

⑥.组织过程资产

项目文档，包括实际数据;组织和项目的过程控制资料;风险描述的格式;以往类似项目的核对单等。

①.专家判断

②.数据收集

头脑风暴:获取一份全面的项目风险来源的清单。

核查单:包括需要考虑的项目、行动或要点的清单。
它常被用作提醒。

访谈:可通过对资深项目参与者、干系人和主题专家的访谈来识别项目风险的来源

③.数据分析

根本原因分析:发现导致问题的深层原因并制定预防措施

假设条件和制约因素分析:每个项目及其项目管理计划的构思和开发都基于一系列的假设条件，并受一系列制约因素的限制

SWOT分析:对项目的优势、劣势、机会和威胁(简称SWOT)进行逐个检查

文件分析:通过对项目文件的结构化审查，可以识别出一些风险。
项目文件中的不确定性或模糊性，以及同一文件内部或不同文件之间的不一致

④.人际关系与团队技能:帮助参会者专注于风险识别任务，以及解决任何可能出现的分歧。

⑤.提示清单:关于可能引发项目风险来源的风险类别的预设清单

⑥.会议

某种形式的头脑风暴

①.风险登记册

风险登记册记录已识别项目风险的详细信息。
其他风险管理过程的结果也要记入风险登记册，当完成识别风险过程时，风险登记册的内容主要包括:

已识别风险的清单:把风险本身与风险原因及风险影响区分开来。

潜在风险责任人:将由实施定性风险分析过程进行确认。

潜在风险应对措施清单:将由规划风险应对过程进行确认

②.风险报告

风险报告提供关于整体项目风险的信息，以及关于已识别的单个项目风险的概述信息。
完成识别风险过程时，风险报告内容主要包括:

整体项目风险的来源:说明哪些是整体项目风险的最重要因素。

关于已识别单个项目风险的概述信息:已识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势

③.项目文件(更新)

假设日志:新的假设和制约因素，现有的假设或制约因素可能重新审查和修改

问题日志:记录发现的新问题或当前问题的变化。

经验教训登记表

实施定性风险分析是通过评估单个项目风险发生的概率和影响及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程

本过程的主要作用是重点关注高优先级的风险

本过程需要在整个项目期间开展

实施定性风险分析能为规划风险应对过程确定单个项目风险的相对优先级。

本过程会为每个风险识别出责任人。

实施定性风险分析也能为实施定量风险分析过程奠定基础

要定期开展实施定性风险分析过程。

在敏捷或适应型开发环境中，实施定性风险分析过程通常要在每次迭代开始前进行。

①.项目管理计划

风险管理计划。
风险管理的角色和职责、预算和进度活动安排，以及风险类别(通常在风险分解结构中定义)、概率和影响定义、概率和影响矩阵、干系人的风险临界值

②.项目文件

假设日志:用于识别、管理和监督可能影响项目的关键假设条件和制约因素

风险登记册:将在本过程评估的、已识别的项目风险的详细信息。

干系人登记册:风险责任人的详细信息。

③.事业环境因素

类似项目的行业研究资料;已发布的材料，包括商业风险数据库和核查单等

④.组织过程资产

已完成的类似项目的信息

①.专家判断

专家判断往往可以通过引导式风险研讨会或访谈获取

②.数据收集

访谈。
结构化或半结构化的访谈可用于评估单个项目风险的概率和影响

③.数据分析

(1)风险数据质量评估。
是开展定性风险分析的基础。
旨在评价关于单个项目风险的数据的准确性和可靠性

(2)风险概率和影响评估。
风险概率评估考虑的是特定风险发生的可能性，而风险影响评估考虑的是风险对一项或多项项目目标的潜在影响

(3)其他风险参数评估。
为了方便未来分析和行动，在对单个项目风险进行优先级排序时，项目团队可能考虑(除概率和影响以外的)如下其他风险特征,有助于进行更稳健的风险优先级排序:

紧迫性:为有效应对风险而必须采取应对措施的时间段。
时间短就说明紧迫性高

邻近性:风险在多长时间后会影响一项或多项项目目标。
时间短就说明邻近性高

潜伏期:从风险发生到影响显现之间可能的时间段。
时间短就说明潜伏期短

可管理性:风险责任人(或责任组织)管理风险发生或影响的容易程度。

可控性:风险责任人(或责任组织)能够控制风险后果的程度-

监测性:对风险发生或即将发生进行监测的容易程度。

连通性:风险与其他单个项目风险存在关联的程度大小

战略影响力:风险对组织战略目标潜在的正面或负面影响。

密切度:风险被干系人认为要紧的程度

④.人际关系与团队技能

引导。
帮助参会者专注于风险分析、遵循相关的方法、就概率和影响评估达成共识

⑤.风险分类

风险来源、受影响的项目领域，(如项目阶段、项目预算、角色和职责)来分类

把注意力和精力集中到风险可能发生的最大的领域，制定通用的风险应对措施

⑥.数据表现·概率和影响矩阵

层级图:气泡图能显示三维数据。
在气泡图中，把每个风险都绘制成一个气泡，并用x(横)轴值、y(纵)轴值和气泡大小来表示风险的3个参数。
X轴代表可监测性，Y轴代表邻近性，影响值则以气泡大小表示。

⑦.会议

审查已识别的风险、评估概率和影响、对风险进行分类和优先级排序

项目文件(更新)

假设日志:新的假设、新的制约因素，现有的假设条件或制约因素重新审查和修改。

问题日志:更新问题日志，以记录发现的新问题或当前问题的变化。

风险登记册:更新内容:每项单个项目风险的概率和影响评估、优先级别或风险分值、指定风险责任人、风险紧迫性信息或风险类别，以及低优先级风险的观察清单和需要进一步分析的风险

风险报告:记录最重要的单个项目风险(通常为概率和影响最高的风险)、所有已识别风险的优先级列表以及简要的结论

实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。

本过程的主要作用:①量化整体项目风险最大可能性;②提供额外的定量风险信息，以支持风险应对规划。

本过程并非每个项目必需，但如果采用，它会在整个项目期间持续开展

项目风险管理计划会规定是否需要使用定量风险分析。

定量分析适用于大型或复杂的项目，具有战略重要性的项目，合同要求进行定量分析的项目和主要干系人要求进行定量分析的项目

能否开展稳健的定量分析取决于是否有单个项目风险和其他不确定性来源的高质量数据，以及与范围、进度和成本相关的扎实的项目基线。

定量风险分析通常需要专门的风险分析软件，以及编制和解释风险模式的专业知识，还需要额外时间和成本投入。

在实施定量风险分析过程中，要使用被定性风险分析过程评估为对项目目标存在重大潜在影响的单个项目风险的信息。

①.项目管理计划

风险管理计划:项目是否需要定量风险分析，可用于分析的资源，预期的分析频率

范围基准:对单个项目风险和其他不确定性来源的影响开展评估的起点

进度基准:提供了对单个项目风险和其他不确定性来源的影响开展评估的起点

成本基准:提供了对单个项目风险和其他不确定性来源的影响开展评估的起点。

②.项目文件

假设日志:如果假设条件会引发项目风险，那么就应该把它们列作定量风险分析的输入。
在定量风险分析期间，也可以建立模型来分析制约因素的影响。

里程碑清单:把进度目标与定量进度风险分析的结果进行比较，确定实现这些目标相关的置信水平

估算依据:用于项目规划的估算依据反映在所建立的变量分析模型中。
包括估算目的、分类、准确性、方法论和资料来源。

持续时间估算:提供了对进度变化性进行评估的起点。

成本估算:提供了对成本变化性进行评估的起点。

资源需求:提供了对变化性进行评估的起点。

成本预测:包括项目的完工尚需估算(ETC)、完工估算(EAC)、完工预算(BAC)和完工尚需绩效指数(TCP),把这些预测指标与定量成本风险分析的结果进行比较，以确定与实现这些指标相关的置信水平。

风险登记册:包含了用作定量风险分析输入的单个风险的详细信息

风险报告:描述了整体项目风险的来源，以及当前的整体项目风险状态

进度预测:可以将预测与定量进度风险分析的结果进行比较，以确定与实现预测目标相关的置信水平。

③.事业环境因素

④.组织过程资产

①.专家判断

②.数据收集

访谈，针对单个项目风险和其他不确定性来源，生成定量风险分析的输入。
向专家征求信息时，访谈尤其适用

③.人际关系与团队技能

引导。
专门风险研讨会

④.不确定性表现方式

建立能反映单个项目风险和其他不确定性来源的定量风险分析模型，并为之提供输入

概率分布可能有多种形式，最常用的有三角分布、正态分布、对数正态分布、贝塔分布、均匀分布或离散分布。

单个项目风险可以用概率分布图表示，也可以作为概率分支包括在定量分析模型中在概率分支上添加风险发生的时间和(或)成本影响,

⑤.数据分析

(1)模拟:使用模型来模拟单个项目风险和其他不确定性来源的综合影响，以评估它们对项目目标的潜在影响。
模拟通常采用蒙特卡洛分析。
典型的输出包括:表示拟得到特定结果的次数的直方图，或表示获得等于或小于特定数值的结果的累积概率分布曲线(S曲线)

(2)敏感性分析:有助于确定哪些单个项目风险或不确定性来源对项目结果具有最大的潜在影响。
敏感性分析的结果通常用龙卷风图来表示

(3)决策树分析:用决策树在若干备选行动方案中选择一个最佳方案

(4)影响图:不确定条件下进行决策的图形辅助工具。
它将项目中的一种情境表现为一系列实体、结果和影响，以及它们之间的关系和相互影响。
借助模拟技术(如蒙特卡洛分析)来分析哪些要素对重要结果具有最大的影响。
影响图分析可以得出类似于其他定量风险分析的结果，如S曲线图和龙卷风图。

项目文件(更新)

更新风险报告可以反映定量风险分析的结果

(1)对整体项目风险最大可能性的评估结果:

项目成功的可能性:项目实现其主要目标的概率。

项目固有的变化性:在开展定量分析之时，可能的项目结果的分布区间。

(2)项目详细概率分析的结果。
如S曲线、龙卷风图和关键性指标，以及对它们的叙述性解释。
定量风险分析的详细结果主要包括:

所需的应急储备:以达到实现目标的特定置信水平

对项目关键路径有最大影响的单个项目风险或其他不确定性来源的清单

整体项目风险的主要驱动因素:即对项目结果的不确定性有最大影响的因素等

(3)单个项目风险优先级清单

(4)定量风险分析结果的趋势

(5)风险应对建议

规划风险的应对措施是为了应对项目风险，而制定可选方案、选择应对策略并商定应对行动的过程。

本过程的主要作用:①制定应对整体项目风险和单个项目风险的适当方法;②分配资源，并根据需要将相关活动添加进项目文件和项目管理计划中

本过程需要在整个项目期间开展

风险应对方案应该与风险的重要性相匹配，并且能够经济有效地应对挑战，同时在当前项目背景下现实可行，获得全体干系人的同意，并由一名责任人具体负责

往往需要从几套可选方案中选出最优的风险应对方案，为每个风险选择最可能有效的策略或策略组合。
可用结构化的决策技术来选择最适当的应对策略;对于大型或复杂项目，可能需要以数学优化模型或实际方案分析为基础，进行备选风险应对策略经济分析。

要为实施商定的风险应对策略制定具体的应对行动。

如果选定的策略并不完全有效，或者发生了已接受的风险，就需要制订应急计划。

同时，也需要识别次生风险。
次生风险是实施风险应对措施直接导致的风险

①.项目管理计划

资源管理计划、风险管理计划、成本基准

②.项目文件

干系人登记册、风险登记册

风险报告:最大可能风险的级别，单个项目风险优先级顺序，单个项目风险的分布

资源日历:确定了潜在的资源何时可用于风险应对。

项目团队派工单:可用于风险应对的人力资源。

项目进度计划:如何同时规划风险应对活动和其他项目活动，

经验教训登记册:查看关于项目早期的风险应对的经验教训

③.事业环境因素

关键干系人的风险偏好和风险临界值。

④.组织过程资产

①.专家判断

②.数据收集

访谈。
应对措施可以在与风险责任人或其他干系人的的访谈中制定

③.人际关系与团队技能

·引导。
开展引导能够提高项目风险应对策略制定的有效性

④.威胁应对策略:

(1)上报。
威胁不在项目范围内或应对措施超出了项目经理的权限，就采用上报策略

(2)规避。
项目团队采取行动来消除威胁，或保护项目免受威胁的影响。

(3)转移。
将应对威胁的责任转移给第三方，通常需要支付风险转移费用。
购买保险使用履约保函、使用担保书和使用保证书等;也可以通过签订协议，把具体风险的归属和责任转移给第三方

(4)减轻。
采取措施来降低威胁发生的概率和影响。
采用较简单的流程、进行更多次测试和选用更可靠的卖方。
还可能涉及原型开发,冗余部件，可减轻原始部件故障所造成的影响。

(5)接受。
风险接受是指承认威胁的存在。
此策略可用于低优先级威胁，也可用于无法以任何其他方式经济有效地应对的威胁

主动接受策略是建立应急储备，包括预留时间、资金或资源以应对出现的威胁

被动接受策略则不会主动采取行动，而只是定期对威胁进行审查，确保其并未发生重大改变

⑤.机会应对策略

(1)上报。
机会不在项目范围内或提议的应对措施超出了项目经理的权限，就应该采取上报策略。
一旦上报，项目团队不再监督，仍可出现在风险登记册中供参考

(2)开拓。
有确保把握住高优先级的机会，选择开拓策略。
将特定机会的出现概率提高到100%。
把组织中最有能力的资源分配给项目来缩短完工时间，或采用全新技术或技术升级来节约项目成本并缩短项目持续时间。

(3)分享。
将应对机会的责任转移给第三方，使其享有机会所带来的部分收益。
包括建立合伙关系、合作团队、特殊公司和合资企业。

(4)提高。
提高机会出现的概率和影响。

(5)接受。
可用于低优先级机会，也可用于无法经济有效地应对的机会-

主动接受策略是建立应急储备，包括预留时间、资金或资源，以便在机会出现时加以利用

被动接受策略则不会主动采取行动，而只是定期对机会进行审查，确保其并未发生重大改变。

⑥.应急应对策略

仅在特定事件发生时才采用的应对措施。
对于某些风险，如果其发生会有充分的预警信号，就应该制订在某些预定条件出现时才执行的应对计划。
应该定义并跟踪应急应对策略的触发条件，用于启动计划的触发事件。

⑦.整体项目风险应对策略

(1)规避。
如果整体项目风险的负面影响超出商定的项目风险临界值，就可以采用规避策略。
此策略涉及采取集中行动，弱化不确定性对项目整体的负面影响，并将项目拉回到临界值以内。
例如，取消项目范围中的高风险工作。
如果无法将项目拉回到临界值以内，则可能取消项目。
仅适用于威胁的整体级别不可接受的情况。

(2)开拓。
如果整体项目风险有显著的正面影响，并已超出商定的项目风险临界值就可以采用开拓策略。
此策略涉及采取集中行动，获得不确定性对整体项目的正面影响。
例如，在项目范围中增加高收益的工作，以提高项目对干系人的价值或效益或者，也可以与关键干系人协商修改项目的风险临界值，以便将机会包含在内。

(3)转移或分享。
如果整体项目风险的级别很高，组织无法有效应对，就需要让第三方对风险进行管理。
若整体项目风险是负面的，就采取转移策略，这涉及支付风险费用;如果整体项目风险高度正面，则由多方分享，以获得相关收益。
策略包括:建立协作式业务结构、成立合资企业或特殊目的公司，或进行分包。

(4)减轻或提高。
本策略涉及变更整体项目风险的级别，以优化实现项目目标的可能性。
减轻策略适用于负面的整体项目风险，而提高策略则适用于正面的整体项目风险。
减轻或提高策略包括重新规划项目、改变项目范围和边界调整项目优先级、改变资源配置、调整交付时间等。

(5)接受。
即使整体项目风险已超出商定的临界值，如果无法针对整体项目风险采取主动的应对策略，组织可能选择继续按当前的定义推动项目进展

最常见的主动接受策略是为项目建立整体应急储备，包括预留时间、资金或资源，以便在项目风险超出临界值时使用;

被动接受策略则不会主动采取行动，而只是定期对整体项目风险的级别进行审查，确保其未发生重大改变。

⑧.数据分析

备选方案分析:对备选风险应对方案的特征和要求进行比较，确定哪个应对方案最为适用。

成本收益分析:如果能够把单个项目风险的影响进行货币量化，那么就可以通过成本收益分析来确定备选风险应对策略的成本有效性。
把应对策略将导致的风险影响级别变更除以策略的实施成本所得到的比率，就代表了应对策略的成本有效性。

⑨.决策

多标准决策分析，决策技术有助于对多种风险应对策略进行优先级排序。
多标准决策分析借助决策矩阵，提供建立关键决策标准、评估备选方案并加以评级，以及选择首选方案的系统分析方法。

应对策略的选择标准主要包括:应对成本、应对策略在改变概率和影响方面的预计有效性、资源可用性、时间限制(紧迫性、邻近性和潜伏期)、风险发生的影响级别.应对措施对相关风险的作用、导致的次生风险等

①.变更请求

可能会就成本基准和进度基准，或项目管理计划的其他组件提出变更请求

②.项目管理计划(更新)

进度管理计划:资源负荷和资源平衡变更、进度策略更新等，

成本管理计划:成本会计、跟踪和报告变更，预算策略和应急储备使用方法更新等。

质量管理计划:满足需求的方法、质量管理方法和质量控制过程的变更等

资源管理计划:资源配置变更及资源策略更新等

采购管理计划:自制或外购决策、合同类型更改等

范围基准:商定的风险应对策略可能导致范围变更

③.项目文件(更新)

假设日志:新的假设和制约因素，现有的假设条件或制约因素被重新审查和修改

成本预测:可能因规划的风险应对策略而发生变更。

经验教训登记册:更新以记录适用于项目的未来阶段或未来项目的风险应对信息

项目进度计划:风险应对策略的活动添加到项目进度计划中。

项目团队派工单:为每项风险应对措施分配资源

风险登记册:记录选择和商定的风险应对措施。
①商定的应对策略，②实施的具体行动;③风险发生的触发条件、征兆和预警信号④所需要的预算和进度活动⑤应急计划及启动的触发条件⑥回退计划⑦残余风险，以及被有意接受的风险⑧实施风险应对措施而直接导致的次生风险。

风险报告:更新以记录针对当前整体项目风险敞口和高优先级风险的经商定的应对措施，以及实施这些措施之后的预期变化。

实施风险应对是执行商定的风险应对计划的过程。

本过程的主要作用:①确保按计划执行商定的风险应对措施;②管理整体项目风险入口、最小化单个项目威胁，以及最大化单个项目机会。

本过程需要在整个项目期间开展

实施风险应对的输入

①.项目管理计划

风险管理计划。
列明了与风险管理相关的项目团队成员和其他干系人的角色和职责。
风险管理方法论的详细程度，风险临界值

②.项目文件

·经验教训登记册

风险登记册:每个风险的应对措施，并指定责任人。

风险报告:项目风险入口的评估，以及商定的风险应对策略，重要的单个项目风险及其应对计划。

③.组织过程资产

经验教训知识库，其中会说明特定风险应对的有效性，

①.专家判断

②.人际关系与团队技能

影响力。
负责引导风险管理过程的项目经理或人员就需要施展影响力，去鼓励指定的风险责任人采取所需的行动

③.项目管理信息系统

项目管理信息系统可能包括进度、资源和成本软件，用于确保把商定的风险应对计划及其相关活动，连同其他项目活动，一并纳入整个项目

①.变更请求

②.项目文件(更新)

经验教训登记册

问题日志:作为实施风险应对过程的一部分，已识别问题会被记录到问题日志中。

项目团队派工单:每项与风险应对计划相关的措施分配必要的资源

风险登记册:反映开展本过程所导致的对单个项目风险的已商定应对措施的任何变更。

风险报告:可能需要更新风险报告，以反映开展本过程所导致的对整体项目风险入口的已商定应对措施的任何变更

监督风险是在整个项目期间，监督风险应对计划的实施，并跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性的过程。

主要作用，保证项目决策是在整体项目风险和单个项目风险当前信息的基础上进行

本过程需要在整个项目期间开展。

监督风险过程确定

①实施的风险应对是否有效

②整体项目风险级别是否已改变

③已识别单个项目风险的状态是否已改变

④是否出现新的单个项目风险

⑤风险管理方法是否依然适用

⑥项目假设条件是否仍然成立

⑦风险管理政策和程序是否已得到遵守

⑧成本或进度应急储备是否需要修改

⑨项目策略是否仍然有效等

①.项目管理计划:

风险管理计划。
如何及何时审查风险，政策和程序，角色和职责，报告格式

②.项目文件

问题日志:用于检查未决问题是否更新，并对风险登记册进行必要更新

经验教训登记册

风险登记册:已识别单个项目风险、风险责任人、商定的风险应对策略，以及具体的应对措施。
用于评估应对计划有效性的控制措施、风险的症状和预警信号、残余及次生风险，以及低优先级风险观察清单。

风险报告:项目风险入口的评估，风险应对策略，重要的项目风险及其应对计划和风险责任人。

③.工作绩效数据:已实施的风险应对措施、已发生的风险、仍活跃及已关闭的风险。

④.工作绩效报告

①.数据分析

技术绩效分析:把技术成果与计划进行比较。
技术绩效测量指标可能包括处理时间缺陷数量和储存容量等。
实际偏离计划的程度可代表威胁或机会的潜在影响。

储备分析:比较剩余应急储备与剩余风险量，确定剩余储备是否合理。
如燃尽图

②.审计

风险审计可用于评估风险管理过程的有效性。
按项目风险管理计划所规定的频率开展。
日常项目审查会和风险审查会，也可以召开专门的风险审计会

③.会议

风险审查会。
应该定期安排风险审查，来检查和记录风险应对在处理整体项目风险和已识别单个项目风险方面的有效性。
可以识别出新的单个项目风险(包括次生风险)重新评估当前风险、关闭过时风险、讨论风险发生引发的问题，总结经验教训。
风险审查可以是定期项目状态会中的一项议程，也可以召开专门的风险审查会

①.工作绩效信息

工作绩效信息是比较风险的实际发生和预计发生情况，得到的项目风险管理执行绩效。
可以说明风险应对规划和应对实施过程的有效性。

②.变更请求

可能会:成本基准和进度基准，或项目管理计划的其他子计划提出变更请求

③.项目管理计划(更新)

项目管理计划的任何组件都可能受本过程的影响

④.项目文件(更新)

假设日志

问题日志:已识别的问题会记录到问题日志中。

经验教训登记册

风险登记册:记录在监督风险中产生的单个项目风险的信息，可能包括添加新风险、更新已过时风险或已发生风险，以及更新风险应对措施等

风险报告:反映重要单个项目风险的当前状态，以及整体项目风险的当前级别。
风险报告也可收录风险审计给出的关于风险管理过程有效性的结论。

⑤.组织过程资产(更新)

风险管理计划、风险登记册和风险报告的模板;风险分解结构等