一、基础

（1）概念

是一种随机性事件或条件，一旦发生，对项目目标产生正面或负面影响。

• 概率、影响
• 积极影响、消极影响

两个层面的风险

• 单个风险
• 由单个风险和随机性的其他来源的整体风险

（2）属性

随机性、相对性、可变性

（3）分类

以后果分

纯粹风险、投机风险

以来源分

人为风险、自然风险

以可管理分

可管理风险、不可管理风险

以风险范围分

局部风险、总体风险

以后果承担者分

业主风险、政府风险、承包商风险、设计单位风险、供应商风险、投资方风险、监理单位风险、担保方风险、保险公司风险

以可预测分

已知风险、可预测风险、不可预测风险

（4）风险的成本

• 有形成本
• 无形成本
• 预测和控制成本
• 成本的负担

（5）风险管理新实践

非事件类事件

• 变异性事件
  蒙特卡洛分析：通过概率分布来表示风险发生的可能区间，然后采取行动让区间可能变小
• 模糊性事件
  对未来可能发生什么存在不确定性，如不清楚不太了解需求或技术解决方案要素

项目韧性

为应对突发性风险。

• 留有足够的时间和预算
• 灵活管理过程，如强有力的变更管理
• 选择可靠的团队在限定的时间内完成工作
• 留意早期预警信号
• 明确征求干系人的意见，为应对突发情况而可以调整项目

整合式风险管理

项目风险管理的七个过程

一、规划风险管理

概念

是定义如何实施项目风险管理活动的过程

作用（两个相匹配）

• 确保风险管理的水平、方法和可见度与项目风险程度相匹配
• 对组织和其他干系人的重视程度相匹配

参考

• 项目管理计划
• 项目章程
• 干系人登记册

成果

• 风险管理计划

风险管理计划

是描述如何安排和实施项目风险管理活动，是项目管理计划的从属计划。

内容

1. 风险管理策略：一般方法
2. 方法论：具体的方法、工具和来源数据
3. 角色和职责：确定每项风险的领导者、支持者和团队成员，并明确职责
4. 资金
5. 时间安排
6. 风险类别：风险分解结构（RBS），最底层是风险类别
7. 干系人的风险偏向
8. 风险概率和影响
9. 概率和影响矩阵:根据潜在影响对风险进行优先级排序
10. 报告格式
11. 跟踪

总结

规划风险管理是构建风险管理体系的基础性过程，其核心在于通过结构化方法明确风险管理策略，职责分工及实施方法，为后续风险识别、分析和应对提供框架支持。规划风险管理旨在制定与项目目标、规模及复杂度相匹配的风险管理方案，确保风险管理的资源投资、方法选择与干系人的风险偏向相协调。如为XXX项目通过明确风险分类（技术、外部、管理）和应急储备（资金12万元，管理储备6万元），为项目风险提供量化依据。基于项目章程、范围说明书、干系人登记册及组织过程资产（如组织历史风险案例库），确定风险管理的边界和优先级。通过专家判断和会议研讨，明确风险应对偏好（接收阙值、转移策略），并设计风险分类框架（RBS或SWOT分析维度）。定义风险管理责任人，如项目经理主导，技术专家负责技术风险，建立风险审计和监控机制，如双周风险审查会。
本过程得到了风险管理计划和风险登记册模版。风险管理计划包含风险管理流程，工具方法（如概率-影响矩阵）、沟通机制及预算分配，如XXX项目通过蒙特卡洛模拟进行定量分析，并设计风险触发阙值。风险登记册模版，包含了预定义风险条目字段（风险编号、描述、责任人、应对措施），确保后续识别与分析的规范性。
规划风险管理通过提前锚定风险管理路径，避免应对措施的碎片化。如XXX项目将“数据安全合规风险”列为高优先级，后续通过加密技术预研和第三方审计，成功规避了监管处罚风险。该过程强调前瞻性和系统性，为项目风险管理的有效性奠定基础，直接影响项目抗风险的能力和干系人信息。

二、识别风险

概念

是记录识别的单个项目风险和整体风险的来源。这是一个反复迭代的过程。

作用

1. 记录已识别的单个项目风险以及整体项目风险的来源
2. 汇总相关信息，以便于项目团队能够恰当的应对已识别的风险

参考

• 项目管理计划
• 项目文件
• 采购文件
• 协议

成果

• 风险登记册
• 风险报告

风险登记册

• 已识别风险的清单
• 潜在风险责任人
• 潜在风险应对措施

例如：风险、潜在应对措施、影响、概率、分值、责任人、定量、策略、应对计划

风险报告

• 提供关于项目整体风险的信息：哪些来源具有最重要的影响
• 关于记录的已识别单个项目风险的概述信息：如已识别的威胁和机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势

工具和技术

1. 数据收集

• 头脑风暴
• 核查单：包括需考的项目、行动和要点的清单
• 访谈

2. 文件分析

• 根本原因分析
• SWOT分析
  Strength:优势
  Weakness:劣势
  Opportunity:机会
  Threat:威胁
• 假设条件和制约因素
• 文件分析

3. 提示清单

是关于引发项目风险来源的风险类别的预设清单，可作为项目团队形成思想的框架，它可由RBS底层组成来识别单个项目风险。

总结

在项目管理中，风险识别是风险管理体系的基石，其核心在与系统性的发现、归类和整理影响项目目标实现的不确定因素。风险识别旨在通过结构化方法，明确可能对项目成本、进度、质量及安全产生负面影响的潜在事件，包括技术缺陷、需求变更、数据安全威胁等，并记录来源、特征及关联信息，为后续分析、应对和监控提供基础数据。
在规划阶段，制定风险管理计划，明确风险分类框架及识别方法，组织跨职能团队，如项目经理，技术专家及干系人等。信息收集可采用头脑风暴、访谈、SWOT分析、德尔菲法等技术，结合历史项目文档，合同条款及行业报告，挖掘风险点，如通过核对单验证需求完整性，采用流程图识别系统集成隐患。通过风险分解结构、鱼骨图、蒙特卡洛模拟等，辅助量化风险概率和影响。最终形成风险登记册，记录风险名称、类别、触发条件、责任人及应对措施，编制风险报告，汇总整体风险趋势及优先级排序。风险识别贯穿项目生命周期，是动态迭代的，需定期复盘并更新风险清单，如开发初始阶段新增数据对接风险，试运行阶段关注用户接受度风险。
风险识别通过系统化方法为项目构建“风险预警网”，是后续定量分析，动态应对的前提，直接影响项目抗风险能力与成功率。

三、实施定性风险分析

概念

通过评估单个项目风险发生的概率和影响以及其他特征，进行风险的优先级排序，从而为后续分析和行动提供基础。

作用

重点关注优先级高的风险

参考

• 项目管理计划
• 项目文件

成果

• 项目文件更新（风险登记册、风险报告、假设日志、问题日志等）
  风险登记册：概率和影响评估、优先级排序或风险分值、指定风险责任人、风险紧迫性信息或风险类别，以及低优先级风险的观察清单和需进一步分析的风险

工具和技术

1.数据收集

• 访谈

2.数据分析

• 风险数据质量评估
  风险数据是开展定性风险分析的基础。评估旨在评价关于单个项目风险的数据的准确性和可靠性。通过开展问卷调查，调查干系人对数据质量各方面的评价，包括数据的完整性、客观性、相关性及及时性，从而对风险数据质量进行评估。（加权平均数）

• 风险概率和影响评估
  风险概率是某一特定风险发生的可能性
  风险影响是风险对一项或多项项目目标的潜在影响（成本、进度、质量或绩效）
  高风险区域：采取重点措施，积极应对策略
  低风险区域：放在观察风险清单或分配应急储备，不采取积极管理措施

• 其他风险参数评估
  紧迫性、相邻性、潜伏期、可管理性、可控性、可检测性、连通性、战略影响力、密切度

3.风险分类

• 可依据风险来源、受影响的项目区域、以及其他实用类别

4.数据表现

• 概率和影响矩阵
  概率：0.1、0.3、0.5、0.7、0.9
  *影响：0.05、0.1、0.2、0.4、0.8

• 层级图
  两个以上参数对风险进行分类

总结

实施风险定性分析是风险分析的核心环节，其通过系统化评估风险的概率、影响及优先级，为后续应对策略提供决策依据。其旨在通过主观判断与结构化工具（如概率-影响矩阵），对已识别的风险进行优先级排序，聚焦高优先级风险以优化资源分配。如XXX项目通过定性分析将“数据泄露风险”列为最高优先级，推动针对性防护措施落地。
基于风险登记册、项目管理计划及干系人风险偏好，明确评估标准，如对概率等级分为“极低-高”，影响等级分为“轻微-灾难级”。风险排序主要采用风险概率-影响矩阵，将风险量化为综合评分（如概率高*影响高=高风险），并分类为红、黄、绿三级。如XXX项目将“第三方接口故障”风险（概率中、影响高）定为重点监控对象。同时结合专家访谈和风险紧迫性评估，定期更新风险优先级，如XXX项目在开发中期因系统兼容问题升级，触发风险等级上调。在此过程中，利用风险数据质量评估（验证数据可靠性）、风险分类（按技术/外部/管理维护分组）、敏感性分析（识别关键因素）等核心技术，更新了风险登记册（含风险优先级、责任人及应对措施）及风险报告（汇总排序结果及趋势分析）。定性分析通过快速聚焦高风险领域，避免资源分散。如XXX项目，双“十一“前，通过定性评估将“服务器过载风险”调为最高级，提前完成弹性扩容，保障系统稳定性。该过程强调灵活性和专家经验，为定量分析及应对规划奠定基础，是风险管理从理论到实践的关键过渡环节。

四、实施风险定量分析

概念

就已识别的单个项目风险和不确定的其他来源对整体项目目标的影响进行定量分析的过程

作用

• 量化整体项目风险最大可能性
• 提供额外风险信息，以支持风险应对规划

参考

• 风险管理计划
• 范围基准
• 进度基准
• 成本基准
• 风险登记册
• 事业环境因素
• 组织过程资产

成果

• 风险报告更新

工具与技术

不确定性表现形式

建立能反应单个项目风险和其他不确定性来源的定量风险分析模型，并为之提供输入

• 如果活动的持续时间、成本或资源需求是不确定的，则可以在模型中用概率分布来表示其数值的可能区间（三角分布、正正态图、贝塔分布）

模拟

使用模型来模拟单个项目风险和其他不确定来源对项目目标的综合影响，如蒙特卡洛分析

• 成本风险进行蒙特卡洛分析时，以项目成本估算作为模型输入
• 进度风险进行蒙特卡洛分析时，以进度网络图和持续时间估算作为模型输入
• 开展定量成本和进度综合风险分析时，同时使用以上两种输入

影响图

不确定条件下进行决策的图形辅助

敏感性分析

有助于确定哪些单个项目风险或不确定性来源对项目结果具有最大的潜在影响，通常以“龙卷风”图来表示

决策树分析

用决策树在若干备选方案中选择一个最佳方案（EMV）

总结

实施风险定量分析通过数学模型和统计方法对已识别的关键风险进行量化评估，为决策提供数据支撑的核心环节。定量分析是将定性分析中筛选的高优先级风险（如进度延迟、成本超支）转化为可量化的数值指标（如概率分布、预期货币价值），以科学评估整体项目风险水平，并支持资源优化配置。如XXX项目通过量化分析发现“第三方接口故障”导致工期延误30%，对应成本损失期望值（EMV）为50万元，为应急储备金提供依据。
基于风险等级册、历史项目数据及专家判断，明确分析对象（如关键路径活动、高成本依赖项）。模型构建采用正态分布、三角分布等描述风险事件的可能性（如需求变更时间服从三角分布：最乐观2天，最可能5天，最悲观10天）体现概率分布，通过蒙特卡洛模拟生成上万次随机结果，输出项目工期与成本的概率分布（如总工期90%的置信区间在120-140天），利用龙卷风图识别对目标影响最大的风险因子（如硬件采购延迟对进度的影响系数达0.68）。通过决策树分析（对比外部与自研的EMV），选择最优应对策略。得到了风险量化报告，包含风险概率、影响值、累计概率分布等数据，更新了风险登记册，如记录风险量化结果、应对策略优先级及应急储备需求。
定量分析通过数据驱动决策显著提升风险管理精度。如XXX项目，在“双十一”大促前，通过蒙特卡洛模拟预判系统崩溃概率为15%，提前扩容30%，最终实现零宕机。同时该过程暴露风险管理盲区（如低估供应商延迟影响），推动风险应对策略从被动响应转向主动防控。实施风险定量分析是风险管理从定性判断到科学决策的跨越，其通过量化工具揭示风险本质，为项目抗风险能力提供量化保障。实践中需结合项目特点选择分析方式，并注重与定性分析的协同，以实现风险管理的闭环优化。

五、规划风险应对

概念

规划风险的应对措施是为了应对项目风险，而制定可选方案，选择应对策略并商定应对行动的过程

作用

• 制定应对整体项目风险和单个项目风险的恰当方法
• 分配资源，根据需要将相关活动及时添加进项目文件和项目管理计划中

参考

• 风险管理计划
• 风险登记册

成果

• 变更请求
• 项目文件更新
• 项目管理计划更新

风险应对策略

威胁应对策略

1. 上报
   威胁超过项目经理权限
2. 规避
   采取行动消除威胁：消除威胁的原因，延长进度计划、改变项目策略或缩小范围
3. 转移
   转移给第三方：保险、使用担保书和保证书
4. 减轻
   降低威胁发生的概率和影响：采用简单流程、更多测试、选用更可靠的卖方、原型和冗余
5. 接受
   应急储备

机会应对策略

1. 上报
2. 拓展
   把握住高优先级的机会：有能力的资源、全新技术或技术升级
3. 分享
   合作伙伴、合作团队等
4. 提高
   提高机会出现的概率和影响：为早日完成增加资源
5. 接受
   承认机会存在：预留时间、资金和资源

整体项目风险应对策略

1. 规避
   无法将项目拉回到临界值以内，则可能取消项目
2. 开拓
   增加高收益的工作；与关键干系人协商修改项目的风险临界值
3. 转移或分享
   第三方组织
4. 减轻或提高
   变更整体项目风险的级别，以优化实现项目目标的可能性：重新规划项目、改变项目范围和边界
5. 接受
   建立整体应对储备

应急应对策略

可以设计一些仅在特定事件发生时才采用的策略，前提是有充分的预警信号。应该定义并跟踪应对策略的触发条件。

总结

规划风险应对是风险管理体系承上启下的关键环节。其通过系统化策略设计将风险管控从理论转化为可执行的行动方案。规划风险应对旨在为已识别的风险（如技术缺陷、进度延迟等）制定定制化解决方案，明确责任分工与资源投入，确保项目风向应对措施与项目目标、干系人风险偏好及组织能力相匹配。如XXX项目针对“第三方接口故障”风险，通过转移策略将部分责任转移至供应商，并预留应急预算以覆盖潜在损失。基于风险登记册（含风险优先级、影响分析）、风险管理计划（如风险临界值）及组织过程资产（历史案例库），确定应对策略框架。在策略选择上，面对威胁采用规避（调整需求规格避免模糊性）、减轻（增加代码审查频次降低缺陷率）、转移（购买保险或外包高风险模块）或接受（预留应急储备），面对机会通过拓展（分配核心资源加速关键技术攻关）、分享（与合作伙伴共享数据资源）或提高（优化激励机制提升团队效率）夸大积极影响。通过决策树分析，即对比不同策略的EMV,如选择自研（风险高但可控）或外包（风险低但依赖第三方）及SWOT分析（识别机会与威胁的关联性，制定综合应对方案），明确应对措施的执行路径（如时间表、资源分配）、触发条件（如错误率达到阙值启动熔断机制）及责任人。从而更新风险登记册，记录选定策略、责任人、预算及进度调整，如XXX项目，“数据加密方案”应对措施，责任人张三、预算6万元，变更项目管理计划，调整进度基准（如预留2周缓冲）、成本基准（增加10%应急储备）及采购策略（引入备用供应商）。
如XXX项目面对“双十一”前，针对“服务器过载”采取了一下措施：

1. 减轻策略：提前完成扩容（增加30%云主机实例），部署CDN分流静态流量。
2. 转移策略：与云服务器商签订SLA协议，约定超时赔付条款。
3. 应急储备：预留200万预算用于突发扩容。
   最终实现零宕机。
   规划风险应对通过策略适配性设计和资源动态配置，将风险管理从被动响应转为主动防控。其核心价值在于：降低不确定性对项目的冲击，同时为机会利用创造条件。实践中需要结合定量分析结果（如蒙特卡洛模拟）和干系人共识，确保策略的可行性与有效性。

六、实施风险应对

概念

是执行商定的风险应对计划的过程

作用

• 确保按计划执行选定的风险应对措施
• 管理整体项目风险入口，最小化单个项目威胁

参考

• 风险管理计划
• 风险登记册
• 风险报告
• 经验教训登记册

成果

• 变更请求
• 项目文件更新

三种风险的应对

已知-已知

对于已知的已识别并分析过的风险，采取规划风险应对措施

已知-未知

对于已识别的无法主动管理的风险，采取应急储备措施

未知-未知

对于无法识别且无法主动管理的风险，采取管理储备措施

总结

实施风险应对是风险管理闭环管理的核心环节，其通过执行预定义的应对计划，将风险管控从理论转化为具体行动，确保实现项目目标。实施风险应对旨在执行规划阶段制定的风险应对计划，动态跟踪风险状态，并根据环境变化调整策略，以最小化威胁影响，最大化机会收益。例如XXX项目针对“第三方接口故障”风险，执行风险转移策略（与供应商签订SLA协议）和减轻策略（开发备用接口），将故障恢复时间从48小时缩小为4小时。在执行策略上，应对威胁按计划减轻措施（如代码审查）、转移方案（外包非核心模块）或应急响应（熔断机制），应对机会执行开拓策略（分配核心资源加速关键技术攻关）或分享策略（与合作伙伴共享数据资源），通过风险再评估（如每周风险审查会）和偏差分析（对比实际进度与基准），识别新风险和原有风险状态变化，触发应对计划更新。例如XXX项目在“双十一”期间因流量爆增触发服务器过载风险，立即启动弹性扩容预案。其基于风险登记册（含应对措施、责任人及触发条件）、项目管理计划（如资源日历、采购协议）及监控数据（风险触发信号），更新了风险登记册，记录应对措施执行情况、风险状态（如“已关闭”、“新增”）及剩余风险影响；更新了风险应对报告，汇总措施执行效果（如风险发生概率降低率）、资源消耗及经验教训；更新了项目管理计划，调整范围、进度和成本基准（如因风险应对新增测试周期）。若应对措施需调整资源或进度基准（如追加预算采购硬件），需提交变更情况至变更控制委员会审批。
在实践中，XXX项目，针对“数据安全泄露”风险，通过以下行动实现有效管控：

1. 减轻策略：部署数据加密与零信任架构，限制敏感数据访问权限。
2. 转移策略：购买网络安全保险，覆盖潜在赔偿损失。
3. 应急响应：建立7*24小时安全监控团队，30分钟内响应入侵事件。
   最终，项目在0数据泄露事件中完成交付，安全合规评分提升40%。
   实施风险应对的价值在于将策略转化为行动，通过动态执行和反馈优化，降低不确定性对项目目标的冲击。其成功依赖于清晰的责任分工、实时监控机制及灵活的调整能力，是风险管理从规划到落地的关键桥梁。

七、监控风险

概念

在整个项目期间，监控风险应对计划的实施，并跟踪已识别风险，识别和分析新风险，以及评估风险管理有效性的过程

作用

保证决策是在项目整体风险和单个项目风险当前信息的基础上进行

参考

• 项目管理计划
• 风险登记册
• 工作绩效数据
• 工作绩效报告

成果

• 工作绩效信息
• 变更请求
• 项目文件更新
• 项目管理计划更新

工具和技术

技术绩效分析

• 把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较
• 技术绩效测量指标包含执行时间、缺陷数量和储存容量等

储备分析

• 指在项目的任一时点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理
• 可以用各种图形表示，如燃尽图

审计

• 风险审计是审计的一种类型，可用于评估风险管理有效性
• 项目经理负责确保按项目风险管理计划所规定的频次进行风险审计，可在日常项目审查会和风险审查会上审查，团队也可召开专门的风险评审
• 在风险审计前，应明确定义风险审计的程序和目标

监督风险程序

1. 如果风险识别了，先更新风险登记册
2. 如果风险发生了，先确定是“已知”风险还是“未知”风险

• 已知风险：查阅风险登记册，直接应对，一般使用应急储备
  已知风险但应对无效：
  评估应急储备，跟新风险登记册
  提交变更请求，使用管理储备
• 未知风险：提交变更请求，使用管理储备

总结

监控风险是风险管理体系的动态闭环环节，其通过持续跟踪、评估和调整，确保风险应对措施有效执行并适应环境变化。其旨在实时追踪已识别风险的状态（是否触发、剩余影响），识别新风险（如技术迭代引发的需求变更），并评估风险管理过程的有效性，为项目决策提供持续优化依据。如XXX项目通过监控发现“第三方接口故障”风险触发后，及时启动应急响应，避免工期延误。基于风险登记册（含触发条件、责任人）、项目绩效数据（如进度偏差率）及关系人反馈，获得风险监控报告（包含风险状态、应对措施效果及剩余风险清单）和变更需求（若需调整应对策略，如启用备用供应商，需提交变更控制流程审批）。采用动态监控的方法，通过定期审查，每周例会分析风险状态（如“已关闭”、“新增”），更新风险登记册，通过偏差分析，对比实际进度/成本基准，识别趋势（如测试缺陷率和超阙值），通过储备分析，监控应急储备消耗情况，判断是否需要追加资源。此过程主要用到了风险矩阵（通过概率-影响矩阵重新评估风险优先级，如高优先级风险占比超过20%触发预警）和蒙特卡洛模拟（动态模拟风险对项目目标的累计影响，生成燃尽图）。监控风险的实践价值主要体现在风险再评估和干系人共识，定期向干系人汇报风险登记册更新情况，确保资源投入与风险优先级匹配。
监控风险通过动态跟踪，量化评估和主动调整，将风险管理从被动响应升级为主动防控。其核心在于建立“识别-分析-应对-反馈”的闭环机制，结合工具与流程确保风险管控与项目目标深度绑定，为项目成果提供可持续性保障。