刘润老师讲过:“知道”和“做到”之间,相隔了两个太平洋,充分说明了“知道”和“做到”之间的差距。在项目质量管理过程中,很多人知道要编写《风险管理计划》,也知道《风险管理计划》的内容要求,但是还是写不出像样的风险管理报告。今天,我们就结合风险管理相关的标准,说一下风险管理计划应该怎么写?希望对各位朋友有所裨益。
一、标准的要求
GJB 9001C-2017《质量管理体系 要求》8.1j)条款明确要求:“按照相关规定要求,分析评估技术、进度、经费风险对产品和服务质量的影响,制定风险管理计划,实施风险控制”。
理解一下,制定风险管理计划时,应开展的工作包括“分析评估技术、进度、经费风险对产品和服务质量的影响”,而“风险评估”又包括风险识别、风险分析和风险评价的全过程(GB/T 23694-2013《风险管理术语》)。所以,风险管理计划中应该有技术、进度、经费方面(并且不止这些方面)的风险识别、分析和评价工作。
依据GJB/Z 171-2013《武器装备研制项目风险管理指南》,风险管理计划的内容包括:明确项目环境信息、建立风险管理目标与程序、确定风险管理角色与职责、定义风险准则、规划风险管理资源等,其中不包括具体风险的识别、分析和评价工作(附录B的《风险管理计划》也不包括相关内容)。
那么,《风险管理计划》是否应该包括具体的风险识别、分析和评价呢?
个人观点,应该包括这些内容,为什么呢?
GJB9001C-2017的“运行策划”已提出明确要求,如果没有这些内容,是不符合标准的要求。更重要的,任何项目在开展“运行策划”的时候,前期已经进行了大量的调研分析工作,也基本掌握了各方面风险的情况,如果不明确规划出来,就会有一段时间的风险处于“未管控”的状态,可能会给项目研制生产带来不必要的麻烦。
明确了《风险管理计划》的内容范围,就可以看一下如何编制了。
二、风险管理计划的编制
综合考虑GJB/Z 171和GJB 9001C的要求,《风险管理计划》的内容主要包括:范围、引用文件、术语和缩略语、武器装备研制项目概述、风险管理的策略、风险管理组织和职责、风险管理过程、风险准则、风险评估、风险应对、风险沟通与报告、风险管理费用与进度安排、更改程序和历史记录、其他。下面我们逐一进行详细说明。
2.1 通用部分
包括:范围、引用文件、术语和缩略语,不需赘述。
2.2 武器装备研制项目概述
这部分内容包括:①研制任务来源,②产品概况(使命任务、产品组成和主要功能),③项目环境信息、项目管理策略,④风险管理目标与要求等(特指客户提出的风险管理目标和要求)。
展开一下,这部分主要是为了明确项目的环境信息,包括外部的装备体制、法律、标准、以及客户的要求等等,内部的技术、人力、资金等各方面的约束等,在具体的风险分析过程中,如有进度、经费、技术等方面的风险,建议在此处可以先简单说明,前后一致,效果更佳。
2.3 风险管理策略
描述风险管理的目标、范围、原则等。这里的目标是指在客户风险管理目标的基础上,企业结合自身情况制定的项目风险管理目标。
一般来讲,项目风险管理的目标包括:识别可能影响产品和服务质量的特定因素(如技术、进度、经费等),分析每个因素的影响,采取措施提升正面风险的影响和概率,降低负面风险的影响和概率,提高产品和服务的质量。范围一般限定在本项目范围内,原则一般包括:明确目标、提前预防、全程跟进和监控等等。
2.4 组织和职责
这部分内容比较简单,一般包括:①组织形式,②风险管理人员及其职责、权限,③资源配置要求,④风险管理职责与项目管理、质量管理以及一些职能部门间的联系。
2.5 风险管理过程
这部分是描述实现风险管理过程的规程,详细介绍风险管理分为几个过程,每个过程需要开展什么工作,其内容包括:①风险规划方法与要求,②风险评估范围、方法与要求,③风险应对措施选择原则、分工方法与要求,④风险监控方法与要求,与其他管理活动的关系,过程记录等,⑤风险管理过程评价,描述该项目将怎样收集和利用信息,帮助项目或组织改进风险管理过程。
2.6 风险准则
本部分内容包括:①风险可能性和后果等级划分准则,②风险接受准则,风险容忍度,③风险排序或权衡准则,风险应对效果评价准则,④其他。
敲黑板,风险准则是项目风险管理计划自行制定的,不是固定不变的,不同项目可以有不同的风险准则,但同一项目内部采用统一的风险准则。以下内容只介绍常用的风险准则,仅供大家参考,不是必须采用这种准则。
风险依据其发生可能性可分为5级,详见下表。
表1 风险可能性的判定准则
风险依据其后果的影响程度可分为5级,详见下表。
表2 后果等级的判定准则
风险评价采用可能性和后果的乘积作为风险评价指数,依据评价指数的大小可以绘制出风险矩阵图谱(如图1)。在矩阵中,风险分为高(I)、中(II)、低(III)三个等级。其中高风险(I)需要制定风险应对措施,编写详尽的风险应对方案,集中项目资源进行应对;中风险(II)需要制定风险应对措施,在综合考虑应对措施的成本与收益后应对;低风险(III)可以不制定应对措施,不采用专门的应对活动,定期监控即可。敲黑板,并非所有风险都必须制定应对措施,这与确定的风险接受准则相关。
图1 风险矩阵(接受准则)
2.7 风险评估
这部分就涉及到具体的风险内容了,主要包括风险识别、风险分析和风险评价三个部分。
1)风险识别
依据项目的内外部环境信息,采用一定的风险识别方法(检查单法、流程图法、头脑风暴法、反复函询法等),项目相关的所有人员识别风险源(敲黑板,一定要从技术、进度、经费等方面识别风险源,没有风险也请写出识别分析过程),确定风险发生条件、描述风险特征并记录风险影响的过程,编制项目风险源清单。
表3 风险源清单列表
2)风险分析
组织熟悉项目风险区域和产品分解结构风险的人员,在风险识别的基础上,针对识别出的风险源逐一进行风险的发生概率及其后果严重性分析,形成风险发生的可能性及后果严重性分析记录。
3)风险评价
将风险分析的结果与所确定的风险准则进行比较,确定风险等级,形成风险等级评价记录。按照风险评价指数排序准则,对风险进行权衡,确定风险处理的优先次序,根据风险接受准则及项目风险排序清单,确定项目的风险性质,形成项目风险排序清单。
表4 风险源排序清单
2.8 风险应对
依据上面识别出的需制定应对措施的风险源(对于可接受的风险源不需要制定应对措施),综合考虑各方面因素,选择适当的风险应对措施。一般来讲,风险应对措施可分为规避风险、消除风险源、转移风险(分担风险)、缓解风险(降低风险)、自留风险(接受风险、承担风险)和风险利用,可多种策略组合使用。
在选择了风险应对措施之后,需要制定相应的风险应对计划,明确风险应对措施的实施细节,风险应对计划尽量不要单独列出,可考虑与组织的其他管理过程进行整合。
2.9 风险沟通与报告要求
描述怎样在各业务相关方之间协调和沟通风险管理信息,内容包括:沟通对象和范围、沟通方式、沟通与报告频率、时限、过程文件记录要求等。
2.10 风险管理费用与进度安排
本部分内容包括:①风险管理活动预算及风险储备金的使用要求或方案,②风险评审或重大里程碑计划安排与要求,及进度应急储备的使用要求或方案,③风险管理培训计划与要求等。
2.11 更改程序和历史记录
描述风险管理计划更改程序,并记录历史变更情况或重大变更说明。
2.12 相关附件
根据项目需要,可能的附件包括:环境信息分析表、风险分解结构、各类文件模板、进度计划、来自其他方面的风险管理计划等。
三、说明的问题
3.1 事实求是
从技术上讲,搞清楚风险管理计划的内容和要求并不困难,但是不是学会了这些内容就可以做好装备研制项目的风险管理了呢?
事实绝非如此,搞清楚装备研制过程的风险管理知识并不困难,但怎么在装备研制过程中实施有效的风险管理就是另外一回事了。在基于GJB 9001C-2017标准的体系换版时,绝大部分企业都进行了风险管理的培训,但笔者在多次审核过程中还是发现了五花八门的风险管理问题,如未从技术、进度、经费、质量等角度全方位识别风险造成风险识别不全面;销售/采购合同评审时风险识别很多时候是“无风险”;项目实施过程中针对进度拖期做了大量沟通,但风险管理中却没有进度风险的典型两张皮现象;装备研制各个阶段的风险识别和应对措施完全一致等等,充分反映了装备研制风险管理只为应付审核的形式化现状,并且很多时候达不到认认真真走形式的程度。
造成这种问题的原因当然是多方面的(本公众号《装备研制风险管理,究竟该怎么做?》中有详细分析),但要想做好风险管理工作,一定要结合企业内外部环境和要求实事求是地去做,才能把风险管理工作落到实处。
3.2风险的动态管理机制
随着项目的进展,风险是动态变化的,有些风险可能逐渐消失了(应对措施有效),有些风险可能变成了事实(应对措施无效),也可能出现了一些新的风险,这就要求企业建立动态的风险管理机制。这个动态包括两层涵义:一是分阶段的风险管理,每一阶段的风险分析报告,需要先对上一阶段的风险应对措施有效性进行评价,再识别本阶段新产生的风险,一并进行分析和评价;二是在必要时,应该对风险管理计划进行更新,确保其适用性。
四、最后的话
风险管理计划是一个项目风险管理的指导文件,是有效风险管理的开端。一般风险管理计划应包括:项目概述、风险管理策略、组织和职责、风险准则、风险评估和应对、风险沟通等相关内容。在编制风险管理计划过程中,要关注实事求是和动态管理两项原则,才能把风险管理工作落在实处。
