作者：Gakki

前言
2025 年软考高项 | 信息系统项目管理师 | 第15章：项目风险管理| 信息系统项目管理师（第四版）

考情分析

考情分析

学习建议

学习建议

思维导图

思维导图

15.1 管理基础

15.1.1 项目风险概述（了解⭐）

1. 项目风险是一种不确定的事件或条件，一旦发生，会对项目目标产生某种正面或负面的影响。项目风险既包括对项目目标的威胁，也包括促进项目目标的机会。

2. 风险源于所有项目之中的不确定因素。项目在不同阶段会有不同的风险。风险会随着项目的进展而变化，不确定性也会着项目进展而逐渐减少。最大的不确定性存在于项目的早期。

3. 项目风险管理的目的在于降低风险不利影响，提高项目成功的可能性。

15.1.2 风险的属性（掌握⭐⭐⭐）

1. 风险事件的随机性：风险事件的发生及其后果都具有偶然性。

2. 风险的相对性：风险总是相对项目活动主体而言的。同样的风险对于不同的主体有不同的影响。人们对于风险事件都有一定的承受能力，但是这种能力因活动、人和时间而异。

3. 对于项目风险，影响人们的风险承受能力的因素主要包括：

   • 收益的大小：收益越大，人们愿意承担的风险也就越大。
   • 投入的大小：投入越多，人们对成功所抱的希望也越大，愿意冒的风险也就越小。
   • 项目活动主体的地位和拥有的资源：个人或组织拥有的资源越多，其风险承受能力也越大。

4. 风险的可变性：风险性质的变化、风险后果的变化、出现新风险。

15.1.3 风险的分类（掌握⭐⭐⭐）

1. 风险的分类

   
   
   风险的分类
   
   
   风险的分类

15.1.4 风险成本及其承担（掌握⭐⭐⭐）

1. 风险事件造成的损失或减少的收益以及为防止发生风险采取预防措施而支付的费用，都构成了风险成本。风险成本包括有形成本、无形成本以及预防与控制风险的成本。

   • 有形成本

     • 直接损失：例如，压缩空气机房在施工过程中失火，直接损失包括空气压缩机的重置成本、受伤人员的医疗费、休养费、工资等。
     • 间接损失：因灭火扑救、停工等发生的成本。

   • 无形成本：1. 风险损失减少了机会。2. 风险阻碍了生产率的提高。3. 风险造成资源分配不当。

   • 预防与控制风险的成本：向保险公司投保、向有关方面咨询、配备必要的人员、购置用于预防和减损的设备、对有关人员进行教育或训练以及人员和设备的维持和维护费用。

15.1.5 管理新实践（了解⭐）

1. 管理新实践

   
   
   管理新实践

15.2 项目风险管理过程

15.2.1 过程概述（背诵⭐⭐⭐）

过程概述

15.2.2 剪裁考虑因素（了解⭐）

1. 裁剪考虑：项目规模、项目复杂性、项目重要性、开发方法。

15.2.3 敏捷与适应方法（了解⭐）

1. 要应对快速变化，就需要采用敏捷或适应型方法管理项目，如经常审查增量的工作产品，加快知识的分享，来确保对风险的认知和管理。在选择每个迭代期的工作内容时都要考虑风险；在每个送代期间应该识别、分析和管理风险。

15.3 规划风险管理（掌握⭐⭐⭐）

1. 规划风险管理 ITO。

   
   
   规划风险管理 ITO

2. 本过程的主要作用是，确保风险管理的水平、方法和可见度与项目风险程度相匹配，与对组织和其他干系人的重要程度相匹配。

3. 规划风险管理过程在项目立项阶段就应开始，并在项目早期完成。在项目生命周期的后期，可能有必要重新开展本过程。

15.3.1 输入

1. 项目章程

2. 项目管理计划

3. 项目文件

4. 事业环境因素

5. 组织过程资产

15.3.2 工具与技术

1. 专家判断

2. 数据分析：干系人分析法，确定项目干系人的风险偏好。

3. 会议

15.3.3 输出

1. 风险管理计划内容：
   ① 风险管理策略：描述用于管理本项目风险的一般方法。
   ② 方法论：确定用于开展本项目风险管理的具体方法、工具及数据来源。
   ③ 角色与职责：确定每项风险管理活动的领导者、支持者和团队成员，并明确职责。
   ④ 资金：确定开展项目风险管理活动所需资金，制定应急储备和管理储备使用方案。
   ⑤ 时间安排：确定在项目生命周期中实施项目风险管理过程的时间和频率。
   ⑥ 风险类别：借助风险分解结构（RBS）来构建风险类别。
   ⑦ 干系人风险偏好：应该针对每个项目目标，把干系人的风险偏好表述成可测量的风险临界值。
   ⑧ 风险概率和影响：根据具体的项目环境、组织和关键干系人的风险偏好和临界值，来制定风险概率和影响。可能自行制定关于概率和影响级别的具体定义，或用组织提供的通用定义作为基础来制定。
   ⑨ 概率和影响矩阵：如果使用数值，就可以把两个数值相乘（概率 × 影响），得出每个风险的概率 - 影响分值，以便据此在每个优先级组别之内排列单个风险相对优先级。
   ⑩ 报告格式：确定将如何记录、分析和沟通项目风险管理过程的结果。
   ⑪ 跟踪：确定将如何记录风险活动，以及如何审计风险的管理过程。

2. 概率和影响定义示例。
   

   概率和影响定义示例

3. 概率和影响矩阵示例。
   

   概率和影响矩阵示例

4. 风险分解结构示例。
   

   风险分解结构示例

15.4 识别风险（掌握⭐⭐⭐）

1. 识别风险 ITO

   
   
   识别风险 ITO

2. 识别风险基础知识

   • 识别风险时，要同时考虑单个项目风险以及整体项目风险的来源。
   • 风险识别活动的参与者可能包括：项目经理、项目团队成员、项目风险专家（若已指定）、客户、项目团队外部的主题专家、最终用户、其他项目经理、运营经理、干系人和组织内的风险管理专家。应鼓励所有项目干系人参与项目风险的识别工作【案例分析经常考】。
   • 在整个项目生命周期中，单个项目风险可能随项目进展而不断变化，整体项目风险的级别也会发生变化。因此，识别风险是一个迭代的过程【案例分析经常考】。迭代的频率和每次迭代所需的参与程度因情况而异，应在风险管理计划中做出相应规定。

15.4.1 输入

1. 项目管理计划。

2. 项目文件。

3. 采购文档。

4. 协议。

5. 事业环境因素。

6. 组织过程资产。

15.4.2 工具与技术

1. 专家判断。

2. 数据收集。
   

   数据收集

3. 数据分析。
   

   数据分析

4. 人际关系与团队技能：帮助参会者专注于风险识别任务、准确遵循与技术相关的方法，确保风险描述清晰、找到并克服偏见，以及解决任何可能出现的分歧。

5. 提示清单：是关于可能引发项目风险来源的风险类别的预设清单。在采用风险识别技术时，提示清单可作为框架用于协助项目团队形成想法。可以用风险分解结构底层的风险类别作为提示清单，来识别单个项目风险。

6. 会议。

15.4.3 输出

1. 风险登记册。

   • 风险登记册内容主要包括：
     • 已识别风险的清单。
     • 潜在风险责任人：在识别风险过程中识别出潜在的风险责任人，随后将由实施定性风险分析过程进行确认。
     • 潜在风险应对措施清单：在识别风险过程中识别出某种潜在的风险应对措施，随后将由规划风险应对过程进行确认。
       
       风险登记册实例

2. 风险报告

   • 风险报告内容主要包括：
     • 整体项目风险的来源：说明哪些是整体项目风险的最重要因素。
     • 关于已识别单个项且风险的概述信息：例如，已识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势。
   • 风险登记册实例

3. 项目文件（更新）。

15.5 实施定性风险分析（掌握⭐⭐⭐）

1.实施定性风险分析 ITO

实施定性风险分析 ITO

1. 本过程的主要作用是重点关注高优先级的风险。

2. 本过程会为每个风险识别出责任人，以便由他们负责规划风险应对措施，并确保应对措施的实施。如果需要开展实施定量风险分析过程，那么实施定性风险分析也能为其奠定基础。

3. 在整个项目生命周期中要定期开展实施定性风险分析过程。在敏捷或适应型开发环境中，实施定性风险分析过程通常要在每次迭代开始前进行。

15.5.1 输入

1. 项目管理计划。

2. 项目文件。

3. 事业环境因素。

4. 组织过程资产。

15.5.2 工具与技术

1. 专家判断。

2. 数据收集：适用于实施定性风险分析过程的数据收集技术是访谈。

3. 数据分析。
   

   数据分析

4. 人际关系与团队技能：

   • 引导，能够提高对单个项目风险的定性分析的有效性。

5. 风险分类。

   • 项目风险可依据风险来源、受影响的项目领域，以及其他实用类别（如项目阶段、项目预算、角色和职责）来分类，确定哪些项目领域最容易被不确定性影响；风险还可以根据共同根本原因进行分类。应该在风险管理计划中规定可用于项目的风险分类方法。
   • 对风险进行分类，有助于把注意力和精力集中到风险可能发生的最大的领域，或针对一组相关的风险制定通用的风险应对措施，从而有利于更有效地开展风险应对。

6. 数据表现。
   

   数据表现

   • 概率和影响矩阵。
     

     概率和影响矩阵

   • 气泡图。
     

     气泡图

7. 会议。

15.5.3 输出

1. 项目文件（更新）
   • 假设日志：在实施定性风险分析过程中，可能做出新的假设、识别出新的制约因素，或者现有的假设条件或制约因素可能被重新审查和修改。
   • 问题日志：应该更新问题日志，以记录发现的新问题或当前问题的变化。
   • 风险登记册：更新内容可能包括：每项单个项目风险的概率和影响评估、优先级别或风险分值、指定风险责任人、风险紧迫性信息或风险类别，以及低优先级风险的观察清单和需要进一步分析的风险。
   • 风险报告：更新风险报告，以记录最重要的单个项目风险（通常为概率和影响最高的风险）、所有已识别风险的优先级列表以及简要的结论。

• 风险登记册实例
  
  风险登记册实例

15.6 实施定量风险分析（掌握⭐⭐⭐）

1. 实施定量风险分析 ITO

   
   
   实施定量风险分析 ITO

2. 实施定量风险分析基础知识

   • 并非所有项目都需要实施定量风险分析。
   • 定量分析适用于大型或复杂的项目，具有战略重要性的项目，合同要求进行定量分析的项目和主要干系人要求进行定量分析的项目。
   • 在实施定量风险分析过程中，要使用被定性风险分析过程评估为对项目目标存在重大潜在影响的单个项目风险的信息。
   • 定量风险分析也可以在规划风险应对过程之后开展，以分析已规划的应对措施对降低整体项目风险最大可能的有效性。

15.6.1 输入

1. 项目管理计划

2. 项目文件

3. 事业环境因素

4. 组织过程资产

15.6.2工具与技术

1. 专家判断。

2. 数据收集：

   • 访谈。当需要向专家征求信息时，访谈尤其适用。访谈者应营造信任和保密的访谈环境，以鼓励被访者提出诚实和无偏见的意见。

3. 人际关系与团队技能：

   • 引导。在由项目团队成员和其他干系人参加的专门风险研讨会中，配备一名熟练的引导者，有助于更好地收集输入数据。

4. 不确定性表现方式：如果活动的持续时间、成本或资源需求是不确定的，就可以在模型中用概率分布来表示其数值的可能区间。概率分布可能有多种形式，最常用的有三角分布、正态分布、对数正态分布、贝塔分布、均匀分布或离散分布。

5. 数据分析
   

   数据分析
   • 敏感性分析龙卷风图
     
     敏感性分析龙卷风图
   • EMV 和决策树分析
     
     EMV 和决策树分析
   • 蒙特卡洛分析
     
     蒙特卡洛分析

15.6.3 输出

1. 项目文件（更新）
   • 风险报告内容：
     ① 对整体项目风险最大可能性的评估结果；
     ② 项目详细概率分析的结果；
     ③ 单个项目风险优先级清单；
     ④ 定量风险分析结果的趋势；
     ⑤ 风险应对建议。

15.7 规划风险应对（掌握⭐⭐⭐）

1. 规划风险应对 ITO

   
   
   规划风险应对 ITO

2. 规划风险应对基础知识

   • 风险应对方案应该与风险的重要性相匹配，并且能够经济有效地应对挑战，同时在当前项目背景下现实可行，获得全体干系人的同意，并由一名责任人具体负责。
   • 如果选定的策略并不完全有效，或者发生了已接受的风险，就需要制订应急计划。同时，也需要识别次生风险。次生风险是实施风险应对措施直接导致的风险。

15.7.1 输入

1. 项目管理计划。

2. 项目文件。

3. 事业环境因素。

4. 组织过程资产。

15.7.2 工具与技术

1. 专家判断。

2. 数据收集：

   • 访谈，项目风险的应对措施可以在与风险责任人的结构化或半结构化的访谈中制定。访谈者应该营造信任和保密的访谈环境，以鼓励被访者提出诚实和无偏见的意见。

3. 人际关系与团队技能：

   • 引导，能够提高项目风险应对策略制定的有效性。熟练的引导者可以帮助风险责任人理解风险、识别并比较备选的风险应对策略、选择适当的应对策略，并克服偏见。

4. 威胁应对策略
   

   威胁应对策略

5. 机会应对策略
   

   机会应对策略

6. 应急应对策略

   • 可设计一些仅在特定事件发生时才采用的应对措施。对于某些风险，如果项目团队相信其发生会有充分的预警信号，那么就应该制订仅在某些预定条件出现时才执行的应对计划。
   • 应该定义并跟踪应急应对策略的触发条件，例如，未实现中间的里程碑，或获得卖方更高程度的重视。采用此技术制订的风险应对计划通常称为应急计划，其中包括已识别的，用于启动计划的触发事件。

7. 整体项目风险应对策略
   

   整体项目风险应对策略

8. 数据分析
   

   数据分析

9. 决策：多标准决策分析，有助于对多种风险应对策略进行优先级排序。

15.7.3 输出

1. 项目文件（更新）
   • 风险登记册内容包括：
     ① 商定的应对策略；
     ② 实施所选应对策略所需要的具体行动；
     ③ 风险发生的触发条件、征兆和预警信号；
     ④ 实施所选应对策略所需要的预算和进度活动；
     ⑤ 应急计划及启动该计划所需的风险触发条件；
     ⑥ 回退计划，供风险发生且主要应对措施不足以应对时使用；
     ⑦ 采取预定应对措施之后仍存在的残余风险，以及被有意接受的风险；
     ⑧ 由实施风险应对措施而直接导致的次生风险。
   • 风险报告：更新以记录针对当前整体项目风险敞口和高优先级风险的经商定的应对措施，以及实施这些措施之后的预期变化。

• 风险登记册实例
  
  风险登记册实例

15.8 实施风险应对（掌握⭐⭐⭐）

1. 实施风险应对 ITO

   
   
   实施风险应对 ITO

2. 实施风险应对：只有风险责任人以必要的努力去实施商定的应对措施，项目的整体风险入口和单个威胁及机会才能得到主动管理。

15.8.1 输入

1. 项目管理计划。

2. 项目文件。

3. 组织过程资产。

15.8.2 工具与技术

1. 专家判断。

2. 人际关系与团队技能：

   • 影响力。有些风险应对措施可能由项目团队以外的人员执行，或由存在其他竞争性需求的人员执行。这种情况下，负责引导风险管理过程的项目经理或人员就需要施展影响力，去鼓励指定的风险责任人采取所需的行动。

3. 项目管理信息系统。

15.8.3 输出（掌握）

1. 变更请求。

2. 项目文件（更新）。

15.9 监督风险（掌握⭐⭐⭐）

1. 监督风险 ITO

   
   
   监督风险 ITO

2. 监督风险过程采用项目执行期间生成的绩效信息，以确定：
   ① 实施的风险应对是否有效；
   ② 整体项目风险级别是否已改变；
   ③ 已识别单个项目风险的状态是否已改变；
   ④ 是否出现新的单个项目风险；
   ⑤ 风险管理方法是否依然适用；
   ⑥ 项目假设条件是否仍然成立；
   ⑦ 风险管理政策和程序是否已得到遵守；
   ⑧ 成本或进度应急储备是否需要修改；
   ⑨ 项目策略是否仍然有效等。

15.9.1 输入

1. 项目管理计划。

2. 项目文件。

   • 问题日志：用于检查未决问题是否更新，并对风险登记册进行必要更新。
   • 经验教训登记册。
   • 风险登记册。
   • 风险报告。

3. 工作绩效数据。

4. 工作绩效报告。

15.9.2 工具与技术

1. 数据分析。

   • 技术绩效分析：把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较。它要求定义关于技术绩效的客观的、量化的测量指标，以便据此比较实际结果与计划要求技术绩效测量指标可能包括处理时间、缺陷数量和储存容量等。
   • 储备分析：在项目的任一时点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理。可以用各种图形（如燃尽图）来显示应急储备的消耗情况。

2. 审计：风险审计可用于评估风险管理过程的有效性。

   • 项目经理负责确保按项目风险管理计划所规定的频率开展风险审计。
   • 风险审计可以在日常项目审查会和风险审查会上开展，团队也可以召开专门的风险审计会。
   • 在实施审计前，应明确定义风险审计的程序和目标。

3. 会议：应该定期安排风险审查，来检查和记录风险应对在处理整体项目风险和己识别单个项目风险方面的有效性。

15.9.3 输出（掌握）

1. 工作绩效信息。

2. 变更请求。

3. 项目管理计划（更新）。

4. 项目文件（更新）。

5. 组织过程资产（更新）。

管理风险的顺序（了解⭐）

管理风险的顺序