第15章项目风险管理

项目风险是一种不确定的事件或条件，一旦发生，会对项目目标产生某种正面或负面的影响。项目风险既包括对项目目标的威胁，也包括促进项目目标的机会。已知风险是那些已经经过识别和分析的风险，对于已知风险，对其进行规划，寻找应对方案是可行的；虽然项目经理们可以依据以往类似项目的经验，采取一般的应急措施处理未知风险，但未知风险是无法管理的。

风险源于所有项目之中的不确定因素。项目在不同阶段会有不同的风险。风险会随着项目的进展而变化，不确定性也会着项目进展而逐渐减少。最大的不确定性存在于项目的早期。项目的各种风险中，进度拖延往往是成本超支、现金流出以及其他损失的主要原因。因此，为减少损失需要在早期阶段主动付出必要的代价。

项目风险管理包括规划风险管理、风险识别、风险分析、风险应对和风险监督等各个过程。项目风险管理旨在识别和管理未被项目计划及其他过程所管理的风险。如果不妥善管理，这些风险有可能导致项目偏离计划，无法达成既定的项目目标。因此，项目风险管理的目的在于降低风险不利影响，提高项目成功的可能性。

项目风险管理过程是个持续的不断迭代的过程。在项目策划阶段就应进行项目风险管理的策划，并随着项目进展监督和管理风险，确保项目正常进行，遇到突发性风险也能得到有效应对并处理。

# 15.1 管理基础

# 15.1.1 项目风险概述

项目是具有不同复杂程度的独特性工作，整个实施过程充满了风险，不仅要面对各种制约因素和假设条件，还要面对各干系人相互间可能的冲突和不断变化的期望。组织应有目的地以可控方式去面对项目风险，平衡项目风险和回报，创造最好的项目价值。

每个项目都在两个层面上存在风险：一是每个项目都有会影响项目达成目标的单个风险；二是由单个风险和不确定性的其他来源联合导致的整体项目风险。项目风险管理过程同时兼顾这两个层面的风险。

项目风险会对项目目标产生负面或正面的影响，也就是风险与机会。项目风险管理旨在利用或强化正面风险（机会），规避或减轻负面风险（威胁）。负面风险可能会引发各种问题，如工期延误、成本超支、绩效不佳或声誉受损等。

# 15.1.2 风险的属性

# 1. 风险事件的随机性

风险事件的发生及其后果都具有偶然性。风险事件是否发生？何时发生？发生之后会造成

什么样的后果？许多事件的发生都遵循一定的统计规律，这种性质叫随机性。风险事件具有随机性。

# 2. 风险的相对性

风险总是相对项目活动主体而言的。同样的风险对于不同的主体有不同的影响。人们对于风险事件都有一定的承受能力，但是这种能力因活动、人和时间而异。对于项目风险，影响人们的风险承受能力的因素主要包括：

- 收益的大小：收益总是伴随损失。损失的可能性和数额越大，人们希望为弥补损失而得到的收益也越大。反过来，收益越大，人们愿意承担的风险也就越大。
- 投入的大小：项目活动投入得越多，人们对成功所抱的希望也越大，愿意冒的风险也就越小。投入与愿意接受的风险大小之间的关系如图15-1所示。一般人希望活动获得成功的概率随着投入的增加呈S曲线规律增加，当投入少时，人们可以接受较大的风险，即获得成功的概率不高也能接受；当投入逐渐增加时，人们就开始变得谨慎起来，希望活动获得成功的概率提高了，最好是达到百分之百。图15-1还表示了另外两种人对待风险的态度。
- 项目活动主体的地位和拥有的资源：级别高的管理人员比级别低的管理人员能够承担的风险相对要大。同一风险，不同的个人或组织承受能力也不同。个人或组织拥有的资源越多，其风险承受能力也越大。

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/dbcb2e19880c77736ab5204128e5e88b579b604ab19466767ea542737ac6811f.jpg)

图15-1 不同类型投资者对风险的态度

# 3.风险的可变性

辩证唯物主义认为，任何事情和矛盾都可以在一定条件下向自己的反面转化。这里的条件指活动涉及的一切风险因素。当这些条件发生变化时，必然会引起风险的变化。风险的可变性含义包括：

- 风险性质的变化：例如，十年前熟悉项目进度管理软件的人不多，出了问题，常常使人手足无措。那个时候使用计算机管理进度的风险很大。而现在，熟悉软件的人多了起来，使用计算机管理进度不再是大的风险。
- 风险后果的变化：风险后果包括后果发生的频率、收益或损失大小。随着科学技术的发展和生产力的提高，人们认识和抵御风险事件的能力也逐渐增强，能够在一定程度上降

低风险事件发生的频率并减少损失或损害。在项目管理中，加强项目班子建设，增强责任感，提高管理技能，就能避免一些风险。此外，由于信息传播技术、预测理论、方法和手段的不断完善和发展，某些项目风险现在可以较准确地预测和估计了，因而大大减少了项目的不确定性。

- 出现新风险：随着项目或其他活动的展开，会有新的风险出现。特别是在活动主体为回避某些风险而采取行动时，另外的风险就会出现。例如，为了避免项目进度拖延而增加资源投入时，就有可能造成成本超支。有些建设项目，为了早日完成，采取边设计、边施工或者在设计中免除校核手续的办法。这样做虽然可以加快进度，但是增加了设计变更、降低施工质量和提高造价的风险。

# 15.1.3 风险的分类

为了深入、全面地认识项目风险，并有针对性地进行管理，有必要将风险分类。分类可以从不同的角度、根据不同的标准进行。

# 1. 按风险后果划分

按照后果的不同，风险可划分为纯粹风险和投机风险。

（1）纯粹风险。不能带来机会、无获得利益可能的风险，叫纯粹风险。纯粹风险只有两种可能的后果：造成损失和不造成损失。纯粹风险造成的损失是绝对的损失。活动主体蒙受了损失，全社会也跟着受损失。例如，某建设项目空气压缩机房在施工过程中失火，蒙受了损失，该损失不但是这个工程的，也是全社会的。没有人从中获得好处。纯粹风险总是和威胁、损失、不幸相联系。

（2）投机风险。既可能带来机会、获得利益，又隐含威胁、造成损失的风险，叫投机风险。投机风险有三种可能的后果：造成损失、不造成损失和获得利益。投机风险如果使活动主体蒙受了损失，但全社会不一定也跟着受损失。相反，其他人有可能因此而获得利益。例如，私人投资的房地产开发项目如果失败，投资者要蒙受损失；但是发放贷款的银行却可将抵押的土地和房屋收回，等待时机转手高价卖出，不但可收回贷款，而且还有可能获得高额利润。

纯粹风险和投机风险在一定条件下可以相互转化。项目管理人员必须避免投机风险转化为纯粹风险。

风险不是零和游戏。很多情况下，涉及风险的各个方面都要蒙受损失，无一幸免。

# 2. 按风险来源划分

按照风险来源或损失产生的原因可将风险划分为自然风险和人为风险。

（1）自然风险。由于自然力的作用，造成财产毁损或人员伤亡的风险属于自然风险。例如，水利工程施工过程中因发生洪水或地震而造成的工程损害，材料和器材损失。

（2）人为风险。人为风险是指由于人的活动而带来的风险。人为风险又可以细分为行为、经济、技术、政策和组织风险等。

# 3. 按风险是否可管理划分

可管理的风险是指可以预测，并可采取相应措施加以控制的风险；反之，则为不可管理的风险。风险能否管理，取决于风险不确定性是否可以消除以及活动主体的管理水平。要消除风险的不确定性，就必须掌握有关的数据、资料和其他信息。随着数据、资料和其他信息的增加以及管理水平的提高，有些不可管理的风险可以变为可管理的风险。

# 4. 按风险影响范围划分

风险按影响范围划分，可以分为局部风险和总体风险。局部风险影响的范围小，而总体风险影响的范围大。局部风险和总体风险也是相对的。项目管理团队特别要注意总体风险。例如，项目所有的活动都有拖延的风险，但是处在关键路线上的活动一旦延误，就要推迟整个项目的完成日期，形成总体风险。而非关键路线上活动的延误在许多情况下是局部风险。

# 5. 按风险后果的承担者划分

项目风险若按其后果的承担者来划分则有项目业主风险、政府风险、承包商风险、投资方风险、设计单位风险、监理单位风险、供应商风险、担保方风险和保险公司风险等。这样划分有助于合理分配风险，提高项目对风险的承受能力。

# 6. 按风险的可预测性划分

按这种方法，风险可以分为已知风险、可预测风险和不可预测风险。

（1）已知风险。已知风险是指在认真、严格地分析项目及其计划之后就能够明确的那些经常发生的，而且其后果亦可预见的风险。已知风险发生概率高，但一般后果轻微，不严重。项目管理中已知风险的例子有：项目目标不明确，过分乐观的进度计划，设计或施工变更和材料价格波动等。

（2）可预测风险。可预测风险是指根据经验，可以预见其发生，但不可预见其后果的风险。这类风险的后果有时可能相当严重。项目管理中的例子有：业主不能及时审查批准，分包商不能及时交工，施工机械出现故障，不可预见的地质条件等。

（3）不可预测风险。不可预测风险是指有可能发生，但其发生的可能性即使最有经验的人亦不能预见的风险。不可预测风险有时也称未知风险或未识别的风险。它们是新的、以前未观察到或很晚才显现出来的风险。这些风险一般是外部因素作用的结果，例如地震、百年不遇的暴雨、通货膨胀和政策变化等。

# 15.1.4 风险成本及其负担

风险事件造成的损失或减少的收益以及为防止发生风险采取预防措施而支付的费用，都构成了风险成本。风险成本包括有形成本、无形成本以及预防与控制风险的成本。

# 1. 风险损失的有形成本

风险损失的有形成本包括风险事件造成的直接损失和间接损失。

（1）直接损失。直接损失指财产损毁和人员伤亡的价值。例如，压缩空气机房在施工过程

中失火，直接损失包括空气压缩机的重置成本、受伤人员的医疗费、休养费、工资等。

（2）间接损失。间接损失指直接损失以外的其他损失、责任损失以及因此而造成的收益的减少，包括因灭火扑救、停工等发生的成本。

# 2.风险损失的无形成本

风险损失的无形成本指由于风险所具有的不确定性而使项目主体在风险事件发生之前或之后付出的代价。主要表现在如下3个方面。

（1）风险损失减少了机会。由于对风险事件没有把握，不能确知风险事件的后果，项目活动的主体不得不事先做出准备。这种准备往往占用大量资金或其他资源，使其不能投入再生产，不能增值，减少了机会。

（2）风险阻碍了生产率的提高。人们不愿意把资金投向风险很大的新技术产业，阻碍了新技术的应用和推广，阻碍了社会生产率的提高。

（3）风险造成资源分配不当。由于担心在风险大的行业或部门蒙受损失，因此人们都愿意把资源投入到风险较小的行业或部门。结果是，应该得到发展的行业或部门，缺乏应有的资源；而已经发展过度的行业或部门，却占用过多的资源，造成了浪费。

# 3.风险预防与控制的成本

为了预防和控制风险损失，必然要采取各种措施。例如，向保险公司投保、向有关方面咨询、配备必要的人员、购置用于预防和减损的设备、对有关人员进行必要的教育或训练以及人员和设备的维持和维护费用等。这些成本既有直接的，也有间接的。

# 4.风险成本的负担

风险成本不单要由项目主体来负担，在许多情况下，与项目活动有关的其他方面，客观上也要负担一部分风险成本。项目主体负担的那部分为个体负担成本，其他有关方面负担的部分为社会负担成本。例如，某民航机场是在需求不明的情况下建设的，建成后很长一段时间航班不足，结果造成亏损。机场项目公司负担的亏损就是个体负担成本。在该机场建设之前与项目公司签订提供地面服务合同的各有关单位因此而蒙受的损失就是社会负担成本。再如，压缩空气机房在施工过程中失火。施工单位的损失是个体负担成本；赶来灭火的消防队的开销由社会负担；消防车辆在急驰火灾现场时，行人和其他车辆因躲避而影响工作的损失都是社会负担成本。

# 15.1.5 管理新实践

项目风险管理的关注面正在扩大，其发展趋势和新兴实践主要包括：

# 1.非事件类风险

大多数项目只关注作为可能发生或不发生的不确定性未来事件的风险。例如，关键卖方可能在项目期间停业，客户可能在设计完成后变更需求，分包商可能要求对标准化操作流程进行优化。现在，项目管理者识别并管理非事件类风险的意识正在不断加强。非事件类风险主要有两种类型：

- 变异性风险：已规划的目标、活动或决策的某些关键方面存在不确定性。例如，生产率

可能高于或低于目标值，测试发现的错误数量可能多于或少于预期。变异性风险可通过蒙特卡洛分析加以处理，即：用概率分布表示变异的可能区间，然后采取行动缩小可能结果的区间。

- 模糊性风险：对未来可能发生什么存在不确定性。知识不足可能影响项目达成目标的能力，例如，不太了解需求或技术解决方案的要素、法规框架的未来发展，或项目内在的系统复杂性。模糊性风险需要先定义认知或理解的不足之处，进而通过获取外部专家的意见或以最佳实践为标杆来填补差距。也可以采用增量开发、原型搭建或模拟等方法来处理模糊性风险。

# 2. 项目韧性

有一种风险只有在发生后才能被发现，这种风险称为突发性风险。可以通过加强项目韧性来应对这种风险。这要求每个项目：

- 除了为已知风险列出风险预算，还要为突发性风险预留合理应急预算和时间。
- 采用灵活的项目过程，包括强有力的变更管理，以便在保持朝项目目标推进的正确方向的同时，应对突发性风险。
- 授权目标明确且值得信赖的项目团队在商定限制范围内完成工作。
- 留意早期预警信号，以尽早识别突发性风险。
- 明确征求干系人的意见，为应对突发性风险而可以调整项目范围或策略的领域。

# 3.整合式风险管理

项目存在于组织背景中，可能是项目集或项目组合的一部分。在项目、项目集、项目组合和组织这些层面上，都存在风险。应该在适当的层面上承担和管理风险。在较高层面识别出的某些风险，可以及时授权给项目团队去管理；而在较低层面识别出的某些风险，又可以交给较高层面去管理（如果在项目之外管理最有效）。应该利用组织级的风险管理方法，来确保所有层面的风险管理工作的一致性和连贯性，这样就能使项目集和项目组合的结构具有风险控制的效率，有利于在给定的风险忍受程度下创造最大的整体价值。

# 15.2 项目风险管理过程

# 15.2.1 过程概述

项目风险管理过程包括：

规划风险管理：定义如何实施项目风险管理活动。

- 识别风险：识别单个项目风险，以及整体项目风险的来源，并记录风险特征。
- 实施定性风险分析：通过评估单个项目风险发生的概率和影响以及特征，对风险进行优先级排序，从而为后续分析或行动提供基础。
- 实施定量风险分析：就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析。
- 规划风险应对：为处理整体项目风险以及应对单个项目风险而制定可选方案、选择应对策略并商定应对行动。

$\bullet$ 实施风险应对：执行商定的风险应对计划。

- 监督风险：在整个项目期间，监督风险以应对计划的实施、跟踪已识别风险、识别和分析新风险，以及评估风险管理的有效性。

在项目实际进展中，以上各个过程会相互交叠和相互作用。表15-1概括了项目风险管理的各个过程。

表 15-1 项目风险管理过程

<table><tr><td>过程</td><td>输入</td><td>工具与技术</td><td>输出</td></tr><tr><td>规划风险管理</td><td>● 项目章程● 项目管理计划● 项目文件● 事业环境因素● 组织过程资产</td><td>● 专家判断● 数据分析● 会议</td><td>风险管理计划</td></tr><tr><td>识别风险</td><td>● 项目管理计划● 项目文件● 采购文档● 协议● 事业环境因素● 组织过程资产</td><td>● 专家判断● 数据收集● 数据分析● 人际关系与团队技能● 提示清单● 会议</td><td>● 风险登记册● 风险报告● 项目文件(更新)</td></tr><tr><td>实施定性风险分析</td><td>● 项目管理计划● 项目文件● 事业环境因素● 组织过程资产</td><td>● 专家判断● 数据收集● 数据分析● 人际关系与团队技能● 风险分类● 数据表现● 会议</td><td>项目文件(更新)</td></tr><tr><td>实施定量风险分析</td><td>● 项目管理计划● 项目文件● 事业环境因素● 组织过程资产</td><td>● 专家判断● 数据收集● 人际关系与团队技能● 不确定性表现方式● 数据分析</td><td>项目文件(更新)</td></tr><tr><td>规划风险应对</td><td>● 项目管理计划● 项目文件● 事业环境因素● 组织过程资产</td><td>● 专家判断● 数据收集● 人际关系与团队技能● 威胁应对策略● 机会应对策略● 应急应对策略● 整体项目风险应对策略● 数据分析● 决策</td><td>● 变更请求● 项目管理计划(更新)● 项目文件(更新)</td></tr><tr><td>实施风险应对</td><td>●项目管理计划●项目文件●组织过程资产</td><td>●专家判断●人际关系与团队技能●项目管理信息系统</td><td>●变更请求●项目文件（更新）</td></tr><tr><td>监督风险</td><td>●项目管理计划●项目文件●工作绩效数据●工作绩效报告</td><td>●数据分析●审计●会议</td><td>●工作绩效信息●变更请求●项目管理计划（更新）●项目文件（更新）●组织过程资产（更新）</td></tr></table>

# 15.2.2 裁剪考虑因素

每个项目都有其独特性，因此必要时，可以对项目风险管理过程进行裁剪。裁剪结果将被记录在风险管理计划中，裁剪时应考虑的因素主要包括：

- 项目规模：由预算、进度、范围和人数所体现的项目规模，要求采取更详细的风险管理方法吗？或者项目小到只需用简化的风险管理过程吗？
- 项目复杂性：由高水平创新、新技术采用、界面或外部依赖关系导致的项目复杂性提高，是否要求采用更稳健的风险管理方法？或者项目是否简单到只需用简化的风险管理过程？
- 项目重要性：项目的战略重要性有多大？项目风险的高级别是因为在创造突破性机会、克服组织经营的重大障碍或涉及重大产品创新吗？
- 开发方法：瀑布或预测型开发方式，项目的风险管理过程可以按阶段开展，敏捷或适应型开发方法，项目的风险管理过程可以在每个重复过程中开展？

# 15.2.3 敏捷与适应方法

从本质上讲，越是变化的环境就存在越多的不确定性和风险。要应对快速变化，就需要采用敏捷或适应型方法管理项目，如经常审查增量的工作产品，加快知识的分享，来确保对风险的认知和管理。在选择每个迭代期的工作内容时都要考虑风险；在每个迭代期间应该识别、分析和管理风险。

此外，应根据对当前风险忍受度的深入理解，定期更新需求文件，并随项目进展重新排列工作优先级。

# 15.3 规划风险管理

规划风险管理是定义如何实施项目风险管理活动的过程。本过程的主要作用是，确保风险管理的水平、方法和可见度与项目风险程度相匹配，与对组织和其他干系人的重要程度相匹配。规划风险管理过程的数据流向如图15-2所示。

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/d153fdb2537787786cf1681ea7353cb4064fc0025d43b76d19ee520e1622648a.jpg)

图15-2 规划风险管理过程的数据流向图

规划风险管理过程在项目立项阶段就应开始，并在项目早期完成。在项目生命周期的后期，可能有必要重新开展本过程，例如，在发生重大阶段变更时，在项目范围显著变化时，或者后续对风险管理有效性进行审查且确定需要调整项目风险管理过程时。

# 15.3.1 输入

# 1. 项目章程

项目章程记录了项目的总体描述和边界、总体的需求和风险。

# 2. 项目管理计划

在规划项目风险管理时，应考虑所有已批准的项目管理子计划，使风险管理计划与各计划相协调；同时，各子计划中所列出的方法论可能也会影响规划风险管理过程。

# 3. 项目文件

可作为本过程输入的项目文件是干系人登记册。其中概述了干系人在项目中的角色和其对项目风险的态度，可用于确定项目风险管理的角色和职责，以及为项目设定风险临界值。

# 4. 事业环境因素

影响规划风险管理过程的事业环境因素是组织或关键干系人设定的整体风险的临界值。

# 5. 组织过程资产

影响规划风险管理过程的组织过程资产主要包括：组织的风险政策；风险类别，可能会用风险分解结构来表示；风险概念和术语的通用定义；风险描述的格式；风险管理计划、风险登记册和风险报告的模板；角色与职责；决策所需的职权级别；经验教训知识库，其中包含以往类似项目的信息等。

# 15.3.2 工具与技术

# 1. 专家判断

在规划风险管理时，应考虑具备如下专业知识或接受相关培训的个人或小组意见：熟悉组织所采取的管理风险的方法，包括该方法所在的组织风险管理体系；可裁剪风险管理以适应项目的具体需求；有相同领域的项目风险管理经验等。

# 2.数据分析

可用于规划风险管理过程的数据分析技术是干系人分析法，通过干系人分析确定项目干系人的风险偏好。

# 3.会议

风险管理计划的编制可以是项目开工会议上的一项工作，或者可以举办专门的规划会议来编制风险管理计划。参会者可包括项目经理、指定项目团队成员、关键干系人和负责管理项目风险管理过程的团队成员；如果需要，也可邀请其他外部人员参加，包括客户、卖方和监管机构。熟练的会议组织者能够帮助参会人员专注于会议事项，就风险管理方法的关键方面达成共识，识别和克服偏见，以及解决任何可能出现的分歧。

# 15.3.3 输出

# 风险管理计划

风险管理计划是项目管理计划的组成部分，描述如何安排与实施风险管理活动。风险管理计划内容主要包括：

$\bullet$ 风险管理策略：描述用于管理本项目风险的一般方法。

- 方法论：确定用于开展本项目风险管理的具体方法、工具及数据来源。

$\bullet$ 角色与职责：确定每项风险管理活动的领导者、支持者和团队成员，并明确职责。

- 资金：确定开展项目风险管理活动所需资金，制定应急储备和管理储备使用方案。
- 时间安排：确定在项目生命周期中实施项目风险管理过程的时间和频率，确定风险管理活动并将其纳入项目进度计划。
- 风险类别：确定对项目风险进行分类的方式。通常借助风险分解结构（RBS）来构建风险类别。风险分解结构是潜在风险来源的层级展现，如表15-2所示。风险分解结构有助于项目团队考虑单个项目风险的全部可能来源，对识别风险或归类已识别风险特别有用。组织可能有适用于所有项目的通用风险分解结构，也可能针对不同类型项目使用几种不同的风险分解结构框架，或者允许项目量身定制专用的风险分解结构。如果未使用风险分解结构，组织则可能采用某种常见的风险分类框架，此框架既可以是简单的类别清单，也可以是基于项目目标的某种类别结构。

表 15-2 风险分解结构(RBS)示例

<table><tr><td>RBS0级</td><td>RBS1级</td><td>RBS2级</td></tr><tr><td rowspan="28">0项目风险所有来源</td><td rowspan="7">1技术风险</td><td>1.1 范围定义</td></tr><tr><td>1.2 需求定义</td></tr><tr><td>1.3 估算、假设和制约因素</td></tr><tr><td>1.4 技术过程</td></tr><tr><td>1.5 技术</td></tr><tr><td>1.6 技术联系</td></tr><tr><td>......</td></tr><tr><td rowspan="7">2管理风险</td><td>2.1 项目管理</td></tr><tr><td>2.2 项目集 / 项目组合管理</td></tr><tr><td>2.3 运营管理</td></tr><tr><td>2.4 组织</td></tr><tr><td>2.5 提供资源</td></tr><tr><td>2.6 沟通</td></tr><tr><td>......</td></tr><tr><td rowspan="7">3商业风险</td><td>3.1 合同条款和条件</td></tr><tr><td>3.2 内部采购</td></tr><tr><td>3.3 供应商与卖方</td></tr><tr><td>3.4 分包合同</td></tr><tr><td>3.5 客户稳定性</td></tr><tr><td>3.6 合伙企业和合资企业</td></tr><tr><td>......</td></tr><tr><td rowspan="7">4外部风险</td><td>4.1 法律</td></tr><tr><td>4.2 汇率</td></tr><tr><td>4.3 地点 / 设施</td></tr><tr><td>4.4 环境 / 天气</td></tr><tr><td>4.5 竞争</td></tr><tr><td>4.6 监督</td></tr><tr><td>......</td></tr></table>

- 干系人风险偏好：应在风险管理计划中记录项目关键干系人的风险偏好。他们的风险偏好会影响规划风险管理过程的细节。特别是，应该针对每个项目目标，把干系人的风险偏好表述成可测量的风险临界值。这些临界值不仅将联合决定可接受的整体项目风险忍受水平，而且也用于制定概率和影响定义。以后将根据概率和影响定义，对单个项目风险进行评估和排序。
- 风险概率和影响：根据具体的项目环境、组织和关键干系人的风险偏好和临界值，来制定风险概率和影响。项目可能自行制定关于概率和影响级别的具体定义，也可能用组织提供的通用定义作为基础来制定。应根据拟开展项目风险管理过程的详细程度，来确定

概率和影响级别的数量，更多级别（通常为五级）对应于更详细的风险管理方法；更少级别（通常为三级）对应于更简单的方法。表15-3针对3个项目目标提供了概率和影响定义的示例。

表 15-3 概率和影响定义示例

<table><tr><td rowspan="2">量表</td><td rowspan="2">概率</td><td colspan="3">+/- 对项目目标的影响</td></tr><tr><td>时间</td><td>成本</td><td>质量</td></tr><tr><td>很高</td><td>&gt;70%</td><td>&gt;6个月</td><td>&gt;500万元</td><td>对整体功能影响非常重大</td></tr><tr><td>高</td><td>51% ~ 70%</td><td>3 ~ 6个月</td><td>100 ~ 500万元</td><td>对整体功能影响重大</td></tr><tr><td>中</td><td>31% ~ 50%</td><td>1 ~ 3个月</td><td>50.1 ~ 100万元</td><td>对关键功能领域有一些影响</td></tr><tr><td>低</td><td>11% ~ 30%</td><td>1 ~ 4周</td><td>10 ~ 50万元</td><td>对整体功能有微小影响</td></tr><tr><td>很低</td><td>1% ~ 10%</td><td>1周</td><td>&lt;10万元</td><td>对辅助功能有微小影响</td></tr><tr><td>零</td><td>&lt;1%</td><td>不变</td><td>不变</td><td>功能不变</td></tr></table>

通过将影响定义为负面威胁（工期延误、成本增加和绩效不佳）和正面机会（工期缩短、成本节约和绩效改善），表格所示的量表可同时用于评估威胁和机会。

- 概率和影响矩阵：组织可在项目开始前确定优先级排序规则，并将其纳入组织过程资产，也可为具体项目量身定制优先级排序规则。在常见的概率和影响矩阵中，会同时列出机会和威胁；以正面影响定义机会，以负面影响定义威胁。概率和影响可以用描述性术语（如很高、高、中、低和很低）或数值来表达。如果使用数值，就可以把两个数值相乘，得出每个风险的概率-影响分值，以便据此在每个优先级组别之内排列单个风险相对优先级。图15-3是概率和影响矩阵的示例，其中也有数值风险评分的方法。

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/158977c4e491b6e1fd927cc0a371c96e36faa1ac784be9eb153ab00442782dc3.jpg)

图15-3 概率和影响矩阵示例（有评分方法）

- 报告格式：确定将如何记录、分析和沟通项目风险管理过程的结果。在这一部分，描述风险登记册、风险报告以及项目风险管理过程的其他输出的内容和格式。
- 跟踪：确定将如何记录风险活动，以及如何审计风险的管理过程。

# 15.4 识别风险

识别风险是识别单个项目风险以及整体项目风险的来源，并记录风险特征的过程。本过程的主要作用：①记录现有的单个项目风险，以及整体项目风险的来源；②汇总相关信息，以便项目团队能够恰当地应对已识别的风险。本过程应在整个项目期间开展。识别风险过程的数据流向如图15-4所示。

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/497f09a911530ddd4da8cdbc66839c542c8ff6ecdea3b3d9774bc043cb79e625.jpg)

图15-4 识别风险过程的数据流向图

识别风险时，要同时考虑单个项目风险以及整体项目风险的来源。风险识别活动的参与者可能包括：项目经理、项目团队成员、项目风险专家（若已指定）、客户、项目团队外部的主题专家、最终用户、其他项目经理、运营经理、干系人和组织内的风险管理专家。虽然这些人员通常是风险识别活动的关键参与者，但是还应鼓励所有项目干系人参与项目风险的识别工作。项目团队的参与尤其重要，以便培养和保持他们对已识别单个项目风险、整体项目风险级别和相关风险应对措施的主人翁意识和责任感。

应采用统一的风险描述格式来描述和记录项目风险，以确保每一项风险都被清楚、明确地理解，从而为有效的分析和风险应对措施制定提供支持。

在整个项目生命周期中，单个项目风险可能随项目进展而不断变化，整体项目风险的级别也会发生变化。因此，识别风险是一个迭代的过程。迭代的频率和每次迭代所需的参与程度因情况而异，应在风险管理计划中做出相应规定。

# 15.4.1 输入

# 1.项目管理计划

可用于识别风险的项目管理计划组件主要包括：

- 需求管理计划：可能指出了特别有风险的项目目标。
- 进度管理计划：可能列出了受不确定性或模糊性影响的一些进度领域。

成本管理计划：可能列出了受不确定性或模糊性影响的一些成本领域。

- 质量管理计划：可能列出了受不确定性或模糊性影响的一些质量领域，或者关键假设可能引发风险的一些领域。
- 资源管理计划：可能列出了受不确定性或模糊性影响的一些资源领域，或者关键假设可能引发风险的一些资源领域。
- 风险管理计划：规定了风险管理的角色和职责，说明了如何将风险管理活动纳入预算和进度计划，并描述了风险类别。
- 范围基准：包括可交付成果及其验收标准，其中有些可能引发风险；还包括工作分解结构，可用作安排风险识别工作的框架。
- 进度基准：可以查看进度基准，找出存在不确定性或模糊性的里程碑日期和可交付成果交付日期，或者可能引发风险的关键假设条件。

成本基准：可以查看成本基准，找出存在不确定性或模糊性的成本估算或资金需求，或者关键假设可能引发风险的方面。

# 2. 项目文件

作为识别风险过程输入的项目文件主要包括：

- 假设日志：所记录的假设条件和制约因素可能引发单个项目风险，还可能影响整体项目风险的级别。
- 干系人登记册：规定了哪些个人或小组可能参与项目的风险识别工作，还会详细说明哪些个人适合扮演风险责任人角色。
- 需求文件：列明了项目需求，使团队能够确定哪些需求存在风险。
- 持续时间估算：对项目持续时间的定量评估，理想情况下用区间表示，区间的大小预示着风险程度。对持续时间估算文件进行结构化审查，可能会显示当前估算不足，从而引发项目风险。
- 成本估算：对项目成本的定量评估，理想情况下用区间表示，区间的大小预示着风险程度。对成本估算文件进行结构化审查，可能显示当前估算不足，从而引发项目风险。
- 资源需求：对项目所需资源的定量评估，理想情况下用区间表示，区间的大小预示着风险程度。对资源需求文件进行结构化审查，可能显示当前估算不足，从而引发项目风险。
- 问题日志：所记录的问题可能引发单个项目风险，还可能影响整体项目风险的级别。
- 经验教训登记表：可以查看与项目早期所识别的风险相关的经验教训，以确定类似风险是否可能在项目的剩余时间再次出现。

# 3. 采购文档

如果需要从外部采购项目资源，就应该审查初始采购文档，因为从组织外部采购商品和服务可能提高或降低整体项目风险，并可能引发更多的项目风险。随着采购文档在项目期间的不断更新，还应该审查最新的文档，例如，卖方绩效报告、核准的变更请求和与检查相关的信息。

# 4. 协议

如果需要从外部采购项目资源，协议所规定的里程碑日期、合同类型、验收标准和奖罚条款等，都可能造成威胁或创造机会。

# 5. 事业环境因素

会影响识别风险过程的事业环境因素主要包括：已发布的材料，包括商业风险数据库或核对单；学术研究资料；标杆对照成果；类似项目的行业研究资料等。

# 6. 组织过程资产

会影响识别风险过程的组织过程资产主要包括：项目文档，包括实际数据；组织和项目的过程控制资料；风险描述的格式；以往类似项目的核对单等。

# 15.4.2 工具与技术

# 1. 专家判断

项目经理应选择相关专家，邀请他们根据以往经验和专业知识来考虑项目风险的方方面面，以及整体项目风险的各种来源。同时，项目经理应注意专家可能持有的偏见。

# 2. 数据收集

适用于识别风险过程的数据收集技术主要包括：

- 头脑风暴：目标是获取一份全面的项目风险来源的清单。通常由项目团队开展头脑风暴，同时邀请团队以外的多学科专家参与。可以采用自由或结构化的形式开展头脑风暴，在组织者的指引下产生各种创意。可以用风险类别（如风险分解结构）作为识别风险的框架。因为头脑风暴生成的创意并不成型，所以应该特别注意对头脑风暴识别的风险进行清晰描述。
- 核查单：包括需要考虑的项目、行动或要点的清单。它常被用作提醒。基于从类似项目和其他信息来源积累的历史信息和知识来编制核查单。编制核查单时，可列出过去曾出现且可能与当前项目相关的具体项目风险，这是吸取已完成的类似项目的经验教训的有效方式。可基于已完成的项目来编制核查单，也可采用特定行业的通用风险核查单。虽然核查单简单易用，但它不可能穷尽所有风险。所以，必须确保不要用核查单来取代所需的风险识别工作；同时，项目团队也应该注意考察未在核查单中列出的事项。此外，还应该不时地审查核查单，增加新信息，删除或存档过时信息。
- 访谈：可通过对资深项目参与者、干系人和主题专家的访谈，来识别项目风险的来源。应该在信任和保密的环境下开展访谈，以获得真实可信、不带偏见的意见。

# 3.数据分析

适用于识别风险过程的数据分析技术主要包括：

- 根本原因分析：常用于发现导致问题的深层原因并制定预防措施。可以用问题陈述（如项目可能延误或超支）作为出发点，来探讨哪些威胁可能导致该问题，从而识别出相应的威胁；也可以用收益陈述（如提前交付或低于预算）作为出发点，来探讨哪些机会可能有利于实现该效益，从而识别出相应的机会。
- 假设条件和制约因素分析：每个项目及其项目管理计划的构思和开发都基于一系列的假设条件，并受一系列制约因素的限制。这些假设条件和制约因素往往都已纳入范围基准和项目估算。开展假设条件和制约因素分析来探索假设条件和制约因素的有效性，确定其中哪些会引发项目风险。从假设条件的不准确、不稳定、不一致或不完整，可以识别出威胁；通过清除或放松会影响项目或过程执行的制约因素，可以创造出机会。
- SWOT分析：对项目的优势、劣势、机会和威胁（简称SWOT）进行逐个检查。在识别风险时，它会将内部产生的风险包含在内，从而拓宽识别风险的范围。首先，关注项目、组织或一般业务领域，识别出组织的优势和劣势；然后，找出组织优势可能为项目带来的机会和组织劣势可能造成的威胁。还可以分析组织优势能在多大程度上克服威胁，组织劣势是否会妨碍机会的产生。
- 文件分析：通过对项目文件的结构化审查，可以识别出一些风险。可供审查的文件主要包括计划、假设条件、制约因素、以往项目档案、合同、协议和技术文件。项目文件中的不确定性或模糊性，以及同一文件内部或不同文件之间的不一致，都可能是项目风险的提示信号。

# 4. 人际关系与团队技能

帮助参会者专注于风险识别任务、准确遵循与技术相关的方法，确保风险描述清晰、找到并克服偏见，以及解决任何可能出现的分歧。

# 5. 提示清单

提示清单是关于可能引发项目风险来源的风险类别的预设清单。在采用风险识别技术时，提示清单可作为框架用于协助项目团队形成想法。可以用风险分解结构底层的风险类别作为提示清单，来识别单个项目风险。某些常见的战略框架更适用于识别整体项目风险的来源，如外部影响（政策、经济、社会、技术、法律、环境）、内部影响（技术、环境、商业、运营、政治）和性质（易变性、不确定性、复杂性、模糊性）。

# 6.会议

为了开展风险识别工作，项目团队可能要召开专门的会议（通常称为风险研讨会）。在大多数风险研讨会中，都会开展某种形式的头脑风暴；根据风险管理计划中对开展风险管理过程的要求，还有可能采用其他风险识别技术。配备一名经验丰富的引导者将会提高会议的有效性，确保适当的人员参加风险研讨会也至关重要。对于较大型的项目，可能需要邀请项目发起人、主题专家、卖方、客户代表和其他项目干系人参加会议；而对于较小型的项目，可能仅限部分项目团队成员参加。

# 15.4.3 输出

# 1. 风险登记册

风险登记册记录已识别项目风险的详细信息。随着实施定性风险分析、规划风险应对、实施风险应对和监督风险等过程的开展，这些过程的结果也要记入风险登记册。取决于具体的项目变量（如规模和复杂性），风险登记册可能包含有限或广泛的风险信息。

当完成识别风险过程时，风险登记册的内容主要包括：

- 已识别风险的清单：在风险登记册中，每个项目风险都被赋予一个独特的标识号。需要按照所需的详细程度对已识别风险进行描述，确保明确理解。可以使用结构化的风险描述，来把风险本身与风险原因及风险影响区分开来。
- 潜在风险责任人：如果已在识别风险过程中识别出潜在的风险责任人，就要把该责任人记录到风险登记册中。随后将由实施定性风险分析过程进行确认。
- 潜在风险应对措施清单：如果已在识别风险过程中识别出某种潜在的风险应对措施，就要把它记录到风险登记册中。随后将由规划风险应对过程进行确认。

根据风险管理计划规定的风险登记册格式，可能还要记录关于每项已识别风险的其他数据，包括：简短的风险名称、风险类别、当前风险状态、一项或多项原因、一项或多项对目标的影响、风险触发条件（显示风险即将发生的事件或条件）、受影响的WBS组件，以及时间信息（风险何时识别、可能何时发生、何时可能不再相关，以及采取行动的最后期限）。

# 2. 风险报告

风险报告提供关于整体项目风险的信息，以及关于已识别的单个项目风险的概述信息。在项目风险管理过程中，风险报告的编制是一项渐进式的工作。随着实施定性风险分析、实施定量风险分析、规划风险应对、实施风险应对和监督风险过程的完成，这些过程的结果也需要记录在风险登记册中。完成识别风险过程时，风险报告内容主要包括：

$\bullet$ 整体项目风险的来源：说明哪些是整体项目风险的最重要因素。

- 关于已识别单个项目风险的概述信息：例如，已识别的威胁与机会的数量、风险在风险类别中的分布情况、测量指标和发展趋势。

根据风险管理计划中规定的报告要求，风险报告中可能还包含其他信息。

# 3. 项目文件（更新）

可在识别过程更新的项目文件主要包括：

- 假设日志：识别风险过程中，可能做出新假设，识别出新的制约因素，或者现有的假设条件或制约因素可能被重新审查和修改。更新假设日志，记录这些新信息。
- 问题日志：记录发现的新问题或当前问题的变化。
- 经验教训登记表：为了改善后期阶段或其他的项目绩效而更新经验教训登记表，记录关于行之有效的风险识别技术的信息。

# 15.5 实施定性风险分析

实施定性风险分析是通过评估单个项目风险发生的概率和影响及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程。本过程的主要作用是重点关注高优先级的风险。本过程需要在整个项目期间开展。实施定性风险分析过程的数据流向如图15-5所示。

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/51d25588994b5ff63522f62abf39d24afba5d9e9f20fed2a178c84bbf0918a67.jpg)

图15-5 实施定性风险分析过程的数据流向图

实施定性风险分析，使用项目风险的发生概率、风险发生时对项目目标的相应影响以及其他因素，来评估已识别单个项目风险的优先级。这种评估基于项目团队和其他干系人对风险的感知程度，从而具有主观性。所以，为了实现有效评估，就需要认清和管理本过程关键参与者对风险所持的态度。风险主观意识会导致评估已识别风险时出现偏见，所以应该注意找出偏见并加以纠正。如果由引导者来引导本过程的开展，那么找出并纠正偏见就是该引导者的一项重要工作。同时，评估单个项目风险的现有信息的质量，也有助于澄清每个风险对项目的重要性的评估。实施定性风险分析能为规划风险应对过程确定单个项目风险的相对优先级。本过程会为每个风险识别出责任人，以便由他们负责规划风险应对措施，并确保应对措施的实施。如果需要开展实施定量风险分析过程，那么实施定性风险分析也能为其奠定基础。

根据风险管理计划的规定，在整个项目生命周期中要定期开展实施定性风险分析过程。在敏捷或适应型开发环境中，实施定性风险分析过程通常要在每次迭代开始前进行。

# 15.5.1 输入

# 1. 项目管理计划

可用于实施定性风险分析的项目管理计划的子计划是风险管理计划。本过程中需要特别注意的是风险管理的角色和职责、预算和进度活动安排，以及风险类别（通常在风险分解结构中定义）、概率和影响定义、概率和影响矩阵、干系人的风险临界值。通常已经在规划风险管理过程中把这些内容裁剪成适合具体项目的需要。如果还没有这些内容，则可以在实施定性风险分析过程中编制，并经项目发起人批准之后用于本过程。

# 2. 项目文件

可作为实施定性风险分析过程输入的项目文件主要包括：

- 假设日志：用于识别、管理和监督可能影响项目的关键假设条件和制约因素，它们可能影响对项目风险的优先级的评估。

风险登记册：包括将在本过程评估的、已识别的项目风险的详细信息。

- 干系人登记册：包括可能被指定为风险责任人的项目干系人的详细信息。

# 3. 事业环境因素

能够影响实施定性风险分析的事业环境因素主要包括：类似项目的行业研究资料；已发布的材料，包括商业风险数据库和核查单等。

# 4. 组织过程资产

能够影响实施定性风险分析的组织过程资产主要包括已完成的类似项目的信息。

# 15.5.2 工具与技术

# 1. 专家判断

在实施定性风险分析时，应考虑具备如下专业知识或接受过相关培训的个人或小组的意见：以往类似项目；定性风险分析等。

专家判断往往可以通过引导式风险研讨会或访谈获取。应该注意专家可能持有偏见。

# 2. 数据收集

适用于实施定性风险分析过程的数据收集技术是访谈。结构化或半结构化的访谈可用于评估单个项目风险的概率和影响，以及其他因素。访谈者应该营造信任和保密的访谈环境，以鼓励被访者提出诚实和无偏见的意见。

# 3.数据分析

适用于实施定性风险分析过程的数据分析技术主要包括：

（1）风险数据质量评估。风险数据是开展定性风险分析的基础。风险数据质量评估旨在评价关于单个项目风险的数据的准确性和可靠性。使用低质量的风险数据，可能导致定性风险分析对项目来说基本没用。如果数据质量不可接受，就可能需要收集更好的数据。可以开展问卷调查，了解项目干系人对数据质量各方面的评价，包括数据的完整性、客观性、相关性和及时性，进而对风险数据的质量进行综合评估。可以计算这些方面的加权平均数，将其作为数据质量的总体分数。

（2）风险概率和影响评估。风险概率评估考虑的是特定风险发生的可能性，而风险影响评估考虑的是风险对一项或多项项目目标的潜在影响，如进度、成本、质量或绩效。威胁将产生负面的影响，机会将产生正面的影响。要对每个已识别的单个项目风险进行概率和影响评估。风险评估可以采用访谈或会议的形式，参加者将依照他们对风险登记册中所记录的风险类型的熟悉程度而定。项目团队成员和项目外部资深人员应该参加访谈或会议。在访谈或会议期间，

评估每个风险的概率水平及其对每项目标的影响级别。如果干系人对概率水平和影响级别的感知存在差异，则应对差异进行探讨。此外，还应记录相应的说明性细节，例如，确定概率水平或影响级别所依据的假设条件。应该采用风险管理计划中的概率和影响定义，来评估风险的概率和影响。低概率和影响的风险将被列入风险登记册中的观察清单，以供未来监控。

（3）其他风险参数评估。为了方便未来分析和行动，在对单个项目风险进行优先级排序时，项目团队可能考虑（除概率和影响以外的）如下其他风险特征：

- 紧迫性：为有效应对风险而必须采取应对措施的时间段。时间短就说明紧迫性高。
- 邻近性：风险在多长时间后会影响一项或多项项目目标。时间短就说明邻近性高。
- 潜伏期：从风险发生到影响显现之间可能的时间段。时间短就说明潜伏期短。
- 可管理性：风险责任人（或责任组织）管理风险发生或影响的容易程度。如果容易管理，可管理性就高。
- 可控性：风险责任人（或责任组织）能够控制风险后果的程度。如果后果很容易控制，可控性就高。
- 可监测性：对风险发生或即将发生进行监测的容易程度。如果风险发生很容易监测，可监测性就高。
- 连通性：风险与其他单个项目风险存在关联的程度大小。如果风险与多个其他风险存在关联，连通性就高。
- 战略影响力：风险对组织战略目标潜在的正面或负面影响。如果风险对战略目标有重大影响，战略影响力就大。
- 密切度：风险被一名或多名干系人认为要紧的程度。被认为很要紧的风险，密切度就高。

考虑上述某些特征有助于进行更稳健的风险优先级排序。

# 4. 人际关系与团队技能

适用于实施定性风险分析过程的人际关系与团队技能是引导。开展引导能够提高对单个项目风险的定性分析的有效性。熟练的引导者可以帮助参会者专注于风险分析任务、准确遵循与技术相关的方法、就概率和影响评估达成共识、找到并克服偏见，以及解决任何可能出现的分歧。

# 5. 风险分类

项目风险可依据风险来源、受影响的项目领域，以及其他实用类别（如项目阶段、项目预算、角色和职责）来分类，确定哪些项目领域最容易被不确定性影响；风险还可以根据共同根本原因进行分类。应该在风险管理计划中规定可用于项目的风险分类方法。

对风险进行分类，有助于把注意力和精力集中到风险可能发生的最大的领域，或针对一组相关的风险制定通用的风险应对措施，从而有利于更有效地开展风险应对。

# 6. 数据表现

适用于实施定性风险分析过程的数据表现技术主要包括：

- 概率和影响矩阵：把每个风险发生的概率和该风险一旦发生对项目目标的影响映射起来的表格。此矩阵对概率和影响进行组合，以便于把单个项目风险划分到不同的优先级组

别。基于风险的概率和影响，对风险进行优先级排序，以便未来进一步分析并制定应对措施。采用风险管理计划中规定的风险概率和影响定义，逐一对单个项目风险的发生概率及其对一项或多项项目目标的影响（若发生）进行评估。然后，基于所得到的概率和影响的组合，使用概率和影响矩阵，来为单个项目风险分配优先级别。组织可针对每个项目目标（如成本、时间和范围）制定单独的概率和影响矩阵，并用它们来评估风险针对每个目标的优先级别。组织也可以用不同的方法为每个风险确定一个总体优先级别。即可综合针对不同目标的评估结果，也可采用最高优先级别（无论针对哪个目标），作为风险的总体优先级别。

- 层级图：如果使用了两个以上的参数对风险进行分类，那就不能使用概率和影响矩阵，而需要使用其他图形。例如，气泡图能显示三维数据。在气泡图中，把每个风险都绘制成一个气泡，并用x（横）轴值、y（纵）轴值和气泡大小来表示风险的3个参数。气泡图的示例如图15-6所示，其中，X轴代表可监测性，Y轴代表邻近性，影响值则以气泡大小表示。

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/383264103ddc06794c87f04666eddf3ffff35573ff473e4a661bb1c37406388e.jpg)

图15-6 列出可监测性、邻近性和影响值的气泡图示例

# 7.会议

会议目标包括审查已识别的风险、评估概率和影响（及其他可能的风险参数）、对风险进行分类和优先级排序。实施定性风险分析过程中，要逐一为单个项目风险分配风险责任人，之后将由风险责任人负责规划风险应对措施和报告风险管理工作的进展情况。会议可从审查和确认拟使用的概率和影响量表开始。在会议讨论中，也可能识别出其他风险，应该记录这些风险，供后续分析。配备一名熟练的引导者能提高会议的有效性。

# 15.5.3 输出

# 项目文件（更新）

可在实施定性风险分析过程更新的项目文件主要包括：

- 假设日志：在实施定性风险分析过程中，可能做出新的假设、识别出新的制约因素，或者现有的假设条件或制约因素可能被重新审查和修改。
- 问题日志：应该更新问题日志，以记录发现的新问题或当前问题的变化。
- 风险登记册：用实施定性风险分析过程生成的新信息，去更新风险登记册。风险登记册的更新内容可能包括：每项单个项目风险的概率和影响评估、优先级别或风险分值、指定风险责任人、风险紧迫性信息或风险类别，以及低优先级风险的观察清单和需要进一步分析的风险。
- 风险报告：更新风险报告，以记录最重要的单个项目风险（通常为概率和影响最高的风险）、所有已识别风险的优先级列表以及简要的结论。

# 15.6 实施定量风险分析

实施定量风险分析是就已识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。本过程的主要作用：①量化整体项目风险最大可能性；②提供额外的定量风险信息，以支持风险应对规划。本过程并非每个项目必需，但如果采用，它会在整个项目期间持续开展。实施定量风险分析过程的数据流向如图15-7所示。

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/5ae0bf395776a08e04088eb3fb221aa7b24bb1bd9ad3d0117127a246a0ec331f.jpg)

图15-7 实施定量风险分析过程的数据流向图

并非所有项目都需要实施定量风险分析。项目风险管理计划会规定是否需要使用定量风险分析。定量分析适用于大型或复杂的项目，具有战略重要性的项目，合同要求进行定量分析的项目和主要干系人要求进行定量分析的项目。能否开展稳健的定量分析取决于是否有单个项目风险和其他不确定性来源的高质量数据，以及与范围、进度和成本相关的扎实的项目基线。定量风险分析通常需要专门的风险分析软件，以及编制和解释风险模式的专业知识，还需要额外

时间和成本投入。在实施定量风险分析过程中，要使用被定性风险分析过程评估为对项目目标存在重大潜在影响的单个项目风险的信息。

实施定量风险分析过程的输出要用作规划风险应对过程的输入，特别是要据此为整体项目风险和关键单个项目风险推荐应对措施。定量风险分析也可以在规划风险应对过程之后开展，以分析已规划的应对措施对降低整体项目风险最大可能的有效性。

# 15.6.1 输入

# 1.项目管理计划

可用于实施定量风险分析的项目管理计划的组件主要包括：

- 风险管理计划：确定项目是否需要定量风险分析，还会详述可用于分析的资源，以及预期的分析频率。
- 范围基准：提供了对单个项目风险和其他不确定性来源的影响开展评估的起点。
- 进度基准：提供了对单个项目风险和其他不确定性来源的影响开展评估的起点。

成本基准：提供了对单个项目风险和其他不确定性来源的影响开展评估的起点。

# 2. 项目文件

可作为实施定量风险分析过程输入的项目文件主要包括：

- 假设日志：如果认为假设条件会引发项目风险，那么就应该把它们列作定量风险分析的输入。在定量风险分析期间，也可以建立模型来分析制约因素的影响。
- 里程碑清单：项目的重要阶段决定着进度目标，把这些进度目标与定量进度风险分析的结果进行比较，以确定与实现这些目标相关的置信水平。
- 估算依据：开展定量风险分析时，可以把用于项目规划的估算依据反映在所建立的变量分析模型中。可能包括估算目的、分类、准确性、方法论和资料来源。
- 持续时间估算：提供了对进度变化性进行评估的起点。

$\bullet$ 成本估算：提供了对成本变化性进行评估的起点。

$\bullet$ 资源需求：提供了对变化性进行评估的起点。

- 成本预测：包括项目的完工尚需估算（ETC）、完工估算（EAC）、完工预算（BAC）和完工尚需绩效指数（TCP），把这些预测指标与定量成本风险分析的结果进行比较，以确定与实现这些指标相关的置信水平。

$\bullet$ 风险登记册：包含了用作定量风险分析输入的单个风险的详细信息。

- 风险报告：描述了整体项目风险的来源，以及当前的整体项目风险状态。
- 进度预测：可以将预测与定量进度风险分析的结果进行比较，以确定与实现预测目标相关的置信水平。

# 3. 事业环境因素

能够影响实施定量风险分析过程的事业环境因素主要包括：类似项目的行业研究资料；已发布的材料，包括商业风险数据库或核对单等。

# 4. 组织过程资产

能够影响实施定量风险分析过程的组织过程资产包括已完成的类似项目的信息。

# 15.6.2 工具与技术

# 1. 专家判断

在实施定量风险分析时，应征求具备如下专业知识或接受过相关培训的个人或小组的意见：将单个项目风险和其他不确定性来源的信息转化成用于定量风险分析模型的数值输入；选择最适当方式表示不确定性，以便为特定风险或其他不确定性来源建立模型；用适合项目环境的技术建立模型；识别最适用于所选建模技术的工具；解释定量风险分析的输出等。

# 2. 数据收集

访谈可用于针对单个项目风险和其他不确定性来源，生成定量风险分析的输入。当需要向专家征求信息时，访谈尤其适用。访谈者应营造信任和保密的访谈环境，以鼓励被访者提出诚实和无偏见的意见。

# 3. 人际关系与团队技能

适用于实施定量风险过程的人际关系与团队技能是引导。在由项目团队成员和其他干系人参加的专门风险研讨会中，配备一名熟练的引导者，有助于更好地收集输入数据。可以通过阐明研讨会的目的，在参会者之间建立共识，确保持续关注任务，并以创新方式处理人际冲突或偏见来源，来提升研讨会的有效性。

# 4. 不确定性表现方式

要开展定量风险分析，就需要建立能反映单个项目风险和其他不确定性来源的定量风险分析模型，并为之提供输入。

如果活动的持续时间、成本或资源需求是不确定的，就可以在模型中用概率分布来表示其数值的可能区间。概率分布可能有多种形式，最常用的有三角分布、正态分布、对数正态分布、贝塔分布、均匀分布或离散分布。应该谨慎选择用于表示活动数值的可能区间的概率分布形式。

单个项目风险可以用概率分布图表示，也可以作为概率分支包括在定量分析模型中，在概率分支上添加风险发生的时间和（或）成本影响。如果风险的发生与任何计划活动都没有关系，就最适合将其作为概率分支。如果风险之间存在相关性，例如有某个共同原因或逻辑依赖关系，那么应该在模型中考虑这种相关性。其他不确定性来源也可用概率分支来表示，以描述贯穿项目的其他路径。

# 5.数据分析

适用于实施定量风险分析过程的数据分析技术主要包括：

（1）模拟：在定量风险分析中，使用模型来模拟单个项目风险和其他不确定性来源的综合影响，以评估它们对项目目标的潜在影响。模拟通常采用蒙特卡洛分析。

对成本风险进行蒙特卡洛分析时，使用项目成本估算作为模拟的输入；对进度风险进行蒙

特卡洛分析时，使用进度网络图和持续时间估算作为模拟的输入；开展定量成本和进度综合风险分析时，同时使用以上两种输入。其输出就是定量风险分析模型。

用计算机软件数千次迭代运行定量风险分析模型。每次运行，都要随机选择输入值（如成本估算、持续时间估算或概率分支发生频率）。这些运行的输出构成了项目可能结果（如项目结束日期、项目完工成本）的区间。典型的输出包括：表示模拟得到特定结果的次数的直方图，或表示获得等于或小于特定数值的结果的累积概率分布曲线（S曲线）。蒙特卡洛成本风险分析所得到的S曲线示例如图15-8所示。

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/7ceff81cdeef07e35a2e8e96bcbed337b4e758929e64559b7267a5019c52498e.jpg)

图15-8 定量成本风险分析S曲线示例

在定量进度风险分析中，还可以执行关键性分析，以确定风险模型的哪些活动对项目关键路径的影响最大。对风险模型中的每一项活动计算关键性指标，即：在全部模拟中，该活动出现在关键路径上的频率，通常以百分比表示。通过关键性分析，项目团队就能够重点针对那些对项目整体进度绩效存在最大潜在影响的活动，进行规划风险应对措施了。

（2）敏感性分析：有助于确定哪些单个项目风险或不确定性来源对项目结果具有最大的潜在影响。它在项目结果变化与定量风险分析模型中的要素变化之间建立联系。敏感性分析的结果通常用龙卷风图来表示，图中标出定量风险分析模型中的每项要素与其能影响的项目结果之间的关联系数，这些要素可包括单个项目风险、易变的项目活动和具体的不明确性来源；每个要素按关联强度降序排列，形成典型的龙卷风形状，如图15-9所示。

（3）决策树分析：用决策树在若干备选行动方案中选择一个最佳方案。在决策树中，用不同的分支代表不同的决策或事件，即项目的备选路径。每个决策或事件都有相关的成本和单个项目风险（包括威胁和机会）。决策树分支的终点表示沿特定路径发展的最后结果，可以是负面或正面的结果。在决策树分析中，通过计算每条分支的预期货币价值，就可以选出最优的路径。决策树示例如图15-10所示。

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/58f43160d1b97f5de3d69bd1382f6c157ae22b209a5ef069ceff36a8dfae2edf.jpg)

图15-9 龙卷风图示例

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/cab8f515ee3330f3543a3c28a5eccb918406379b26a66491ff951aee5b98dd5d.jpg)

图15-10 决策树示例

（4）影响图：不确定条件下进行决策的图形辅助工具。它将一个项目或项目中的一种情境表现为一系列实体、结果和影响，以及它们之间的关系和相互影响。如果因为存在单个项目风险或不确定性来源而影响图中的某些要素的不确定性，就在影响图中以区间或概率分布的形式

表示这些要素；然后，借助模拟技术（如蒙特卡洛分析）来分析哪些要素对重要结果具有最大的影响。影响图分析可以得出类似于其他定量风险分析的结果，如S曲线图和龙卷风图。

# 15.6.3 输出

# 项目文件（更新）

可作为实施定量风险分析过程输出的项目文件是风险报告。更新风险报告可以反映定量风险分析的结果。

(1) 对整体项目风险最大可能性的评估结果。整体项目风险有两种主要的测量方式:

- 项目成功的可能性：基于已识别的单个项目风险和其他不确定性来源，项目实现其主要目标（例如，既定的结束日期或中间里程碑、既定的成本目标）的概率。

项目固有的变化性：在开展定量分析之时，可能的项目结果的分布区间。

（2）项目详细概率分析的结果。列出定量风险分析的重要输出，如S曲线、龙卷风图和关键性指标，以及对它们的叙述性解释。定量风险分析的详细结果主要包括：

$\bullet$ 所需的应急储备：以达到实现目标的特定置信水平。

对项目关键路径有最大影响的单个项目风险或其他不确定性来源的清单。

整体项目风险的主要驱动因素：即对项目结果的不确定性有最大影响的因素等。

（3）单个项目风险优先级清单。根据敏感性分析的结果，列出对项目造成最大威胁或产生最大机会的单个项目风险。

（4）定量风险分析结果的趋势。随着在项目生命周期的不同时间重复开展定量风险分析，风险的发展趋势可能逐渐清晰。发展趋势会影响风险应对措施的规划。

（5）风险应对建议。风险报告可能根据定量风险分析结果，针对整体风险的最大可能性或关键单个风险提出应对建议。这些建议将成为规划风险应对过程的输入。

# 15.7 规划风险应对

规划风险的应对措施是为了应对项目风险，而制定可选方案、选择应对策略并商定应对行动的过程。本过程的主要作用：①制定应对整体项目风险和单个项目风险的适当方法；②分配资源，并根据需要将相关活动添加进项目文件和项目管理计划中。本过程需要在整个项目期间开展。规划风险应对过程的数据流向如图15-11所示。

一旦完成对风险的识别、分析和排序，指定的风险责任人就应该编制计划，以应对项目团队认为足够重要的每项单个的项目风险。这些风险会对项目目标的实现造成威胁或提供机会。有效和适当的风险应对可以最小化威胁、最大化机会，并降低整体项目风险发生的可能性；不恰当的风险应对则会适得其反。项目经理也应该思考如何针对整体项目风险的当前级别做出适当的应对。

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/1faafa8f9f5b788e24e45993bdedb6ef8096bd2d2bf74ffc473fd2413371c03c.jpg)

图15-11 规划风险应对过程的数据流向图

风险应对方案应该与风险的重要性相匹配，并且能够经济有效地应对挑战，同时在当前项目背景下现实可行，获得全体干系人的同意，并由一名责任人具体负责。往往需要从几套可选方案中选出最优的风险应对方案，为每个风险选择最可能有效的策略或策略组合。可用结构化的决策技术来选择最适当的应对策略；对于大型或复杂项目，可能需要以数学优化模型或实际方案分析为基础，进行备选风险应对策略经济分析。

要为实施商定的风险应对策略制定具体的应对行动。如果选定的策略并不完全有效，或者发生了已接受的风险，就需要制订应急计划。同时，也需要识别次生风险。次生风险是实施风险应对措施直接导致的风险。

# 15.7.1 输入

# 1.项目管理计划

可用于规划风险应对的项目管理计划组件主要包括：

- 资源管理计划：有助于协调用于风险应对的资源和其他项目资源。

$\bullet$ 风险管理计划：风险角色和职责、风险临界值。

成本基准：包含了拟用于风险应对的应急资金的信息。

# 2. 项目文件

可作为规划风险应对过程输入的项目文件主要包括：

- 干系人登记册：列出了风险应对的潜在责任人。
- 风险登记册：包含了已识别并排序的、需要应对的单个项目风险的详细信息。每项风险的优先级有助于选择适当的风险应对措施。例如，针对高优先级的威胁或机会，可能需要采取优先措施和积极主动的应对策略；而针对低优先级的威胁和机会，可能只需把它

们列入风险登记册的观察清单部分，不必采取主动的管理措施。同时，风险登记册列出了每项风险的指定风险责任人，还可能包含在早期的项目风险管理过程中识别的初步风险应对措施。风险登记册可能还会提供有助于规划风险应对的、关于已识别风险的其他信息，包括根本原因、风险触发因素和预警信号、需要在短期内应对的风险，以及需要进一步分析的风险。

- 风险报告：项目整体风险最大可能风险的当前级别，会影响风险应对策略的选择。风险报告也可能按优先级顺序列出了单个项目风险，并对单个项目风险的分布情况进行了更多分析；这些信息都会影响风险应对策略的选择。

$\bullet$ 资源日历：确定了潜在的资源何时可用于风险应对。

- 项目团队派工单：列明了可用于风险应对的人力资源。
- 项目进度计划：用于确定如何同时规划风险应对活动和其他项目活动。
- 经验教训登记册：查看关于项目早期的风险应对的经验教训，确定类似的应对是否适用于项目后期。

# 3. 事业环境因素

能影响规划风险应对过程的事业环境因素是关键干系人的风险偏好和风险临界值。

# 4. 组织过程资产

能够影响规划风险应对过程的组织过程资产主要包括：风险管理计划、风险登记册和风险报告的模板；历史数据库；类似项目的经验教训知识库等。

# 15.7.2 工具与技术

# 1. 专家判断

在规划风险应对时，应征求具备如下专业知识或接受相关培训的个人或小组意见：威胁应对策略；机会应对策略；应急应对策略；整体项目风险应对策略。

可以就具体单个项目风险向特定主题专家征求意见等。

# 2. 数据收集

适用于规划风险应对过程的数据收集技术是访谈。项目风险的应对措施可以在与风险责任人的结构化或半结构化的访谈中制定。必要时，也可访谈其他干系人。访谈者应该营造信任和保密的访谈环境，以鼓励被访者提出诚实和无偏见的意见。

# 3. 人际关系与团队技能

适用于规划风险应对过程的人际关系与团队技能是引导。开展引导能够提高项目风险应对策略制定的有效性。熟练的引导者可以帮助风险责任人理解风险、识别并比较备选的风险应对策略、选择适当的应对策略，并克服偏见。

# 4. 威胁应对策略

针对威胁，可以考虑如下5种备选的应对策略：

（1）上报。如果项目团队或项目发起人认为某威胁不在项目范围内，或提议的应对措施超出了项目经理的权限，就应该采用上报策略。被上报的风险将在项目集层面、项目组合层面或组织的其他相关部门加以管理，而非项目层面。项目经理确定应就威胁通知哪些人员，并向该人员或组织部门传达关于该威胁的详细信息。对于被上报的威胁，组织中的相关人员必须愿意承担应对责任，这一点非常重要。威胁通常要上报给其目标会受该威胁影响的层级。威胁一旦上报，就不再由项目团队做进一步监督，虽然仍可出现在风险登记册中供参考。

（2）规避。风险规避是指项目团队采取行动来消除威胁，或保护项目免受威胁的影响。它可能适用于发生概率较高，且具有严重负面影响的高优先级的威胁。规避策略可能涉及变更项目管理计划的某些方面，或改变会受负面影响的目标，以便于彻底消除威胁，将它的发生概率降低到零。风险责任人也可以采取措施，来分离项目目标与风险万一发生的影响。规避措施可能包括消除威胁的原因、延长进度计划、改变项目策略，或缩小范围。有些风险可通过澄清需求、获取信息、改善沟通或取得专有技能来加以规避。

（3）转移。转移涉及将应对威胁的责任转移给第三方，让第三方管理风险并承担威胁发生的影响。采用转移策略通常需要向承担威胁的一方支付风险转移费用。风险转移可能需要通过一系列行动才得以实现，主要包括购买保险、使用履约保函、使用担保书和使用保证书等；也可以通过签订协议，把具体风险的归属和责任转移给第三方。

（4）减轻。风险减轻是指采取措施来降低威胁发生的概率和影响。提前采取减轻措施通常比威胁出现后尝试进行弥补更加有效。减轻措施包括采用较简单的流程、进行更多次测试和选用更可靠的卖方。还可能涉及原型开发，以降低从实验台模型放大到实际工艺或产品中的风险。如果无法降低概率，也许可以从决定风险严重性的因素入手，来减轻风险发生的影响。例如，在一个系统中加入冗余部件，可减轻原始部件故障所造成的影响。

（5）接受。风险接受是指承认威胁的存在。此策略可用于低优先级威胁，也可用于无法以任何其他方式经济有效地应对的威胁。接受策略又分为主动或被动方式。最常见的主动接受策略是建立应急储备，包括预留时间、资金或资源以应对出现的威胁；被动接受策略则不会主动采取行动，而只是定期对威胁进行审查，确保其并未发生重大改变。

# 5. 机会应对策略

针对机会，可以考虑如下5种备选策略：

（1）上报。如果项目团队或项目发起人认为某机会不在项目范围内，或提议的应对措施超出了项目经理的权限，就应该采取上报策略。被上报的机会将在项目集层面、项目组合层面或组织的其他相关部门加以管理，而非项目层面。项目经理确定应就机会通知哪些人员，并向该人员或组织部门传达关于该机会的详细信息。对于被上报的机会，组织中的相关人员必须愿意承担应对责任，这一点非常重要。机会通常要上报给其目标会受该机会影响的那个层级。机会一旦上报，就不再由项目团队做进一步监督，虽然仍可出现在风险登记册中供参考。

（2）开拓。如果组织想确保把握住高优先级的机会，就可以选择开拓策略。此策略将特定机会的出现概率提高到 $100\%$ ，确保其肯定出现，从而获得与其相关的收益。开拓措施可能包括：把组织中最有能力的资源分配给项目来缩短完工时间，或采用全新技术或技术升级来节约

项目成本并缩短项目持续时间。

（3）分享。分享涉及将应对机会的责任转移给第三方，使其享有机会所带来的部分收益。必须仔细为已分享的机会安排新的风险责任人，让那些最有能力为项目抓住机会的人担任新的风险责任人。采用机会应对策略，通常需要向承担机会应对责任的一方支付风险费用。分享措施包括建立合伙关系、合作团队、特殊公司和合资企业分享机会。

（4）提高。提高策略用于提高机会出现的概率和影响。提前采取提高措施通常比机会出现后尝试改善收益更加有效。通过关注其原因，可以提高机会出现的概率；如果无法提高概率，也许可以针对决定其潜在收益规模的因素来提高机会发生的影响。机会提高措施包括为早日完成活动而增加资源。

（5）接受。接受机会是指承认机会的存在。此策略可用于低优先级机会，也可用于无法以任何其他方式经济有效地应对的机会。接受策略又分为主动接受策略和被动接受策略。最常见的主动接受策略是建立应急储备，包括预留时间、资金或资源，以便在机会出现时加以利用；被动接受策略则不会主动采取行动，而只是定期对机会进行审查，确保其并未发生重大改变。

# 6. 应急应对策略

可以设计一些仅在特定事件发生时才采用的应对措施。对于某些风险，如果项目团队相信其发生会有充分的预警信号，那么就应该制订仅在某些预定条件出现时才执行的应对计划。应该定义并跟踪应急应对策略的触发条件，例如，未实现中间的里程碑，或获得卖方更高程度的重视。采用此技术制订的风险应对计划通常称为应急计划，其中包括已识别的，用于启动计划的触发事件。

# 7. 整体项目风险应对策略

风险应对措施的规划和实施不应只针对单个项目风险，还应针对整体的项目风险。用于应对单个项目风险的策略也适用于整体项目风险：

（1）规避。如果整体项目风险有严重的负面影响，并已超出商定的项目风险临界值，就可以采用规避策略。此策略涉及采取集中行动，弱化不确定性对项目整体的负面影响，并将项目拉回到临界值以内。例如，取消项目范围中的高风险工作，就是一种整个项目层面的规避措施。如果无法将项目拉回到临界值以内，则可能取消项目。这是最极端的风险规避措施，仅适用于威胁的整体级别在当前和未来都不可接受的情况。

（2）开拓。如果整体项目风险有显著的正面影响，并已超出商定的项目风险临界值，就可以采用开拓策略。此策略涉及采取集中行动，获得不确定性对整体项目的正面影响。例如，在项目范围中增加高收益的工作，以提高项目对干系人的价值或效益；或者，也可以与关键干系人协商修改项目的风险临界值，以便将机会包含在内。

（3）转移或分享。如果整体项目风险的级别很高，组织无法有效加以应对，就可能需要让第三方代表组织对风险进行管理。若整体项目风险是负面的，就需要采取转移策略，这可能涉及支付风险费用；如果整体项目风险高度正面，则由多方分享，以获得相关收益。整体项目风险的转移和分享策略主要包括：建立买方和卖方分享整体项目风险的协作式业务结构、成立合资企业或特殊目的公司，或对项目的关键工作进行分包。

（4）减轻或提高。本策略涉及变更整体项目风险的级别，以优化实现项目目标的可能性。减轻策略适用于负面的整体项目风险，而提高策略则适用于正面的整体项目风险。减轻或提高策略包括重新规划项目、改变项目范围和边界、调整项目优先级、改变资源配置、调整交付时间等。

（5）接受。即使整体项目风险已超出商定的临界值，如果无法针对整体项目风险采取主动的应对策略，组织可能选择继续按当前的定义推动项目进展。接受策略又分为主动接受策略和被动接受策略。最常见的主动接受策略是为项目建立整体应急储备，包括预留时间、资金或资源，以便在项目风险超出临界值时使用；被动接受策略则不会主动采取行动，而只是定期对整体项目风险的级别进行审查，确保其未发生重大改变。

# 8.数据分析

可用于选择首选风险应对策略的数据分析技术主要包括：

- 备选方案分析：对备选风险应对方案的特征和要求进行简单比较，进而确定哪个应对方案最为适用。

成本收益分析：如果能够把单个项目风险的影响进行货币量化，那么就可以通过成本收益分析来确定备选风险应对策略的成本有效性。把应对策略将导致的风险影响级别变更除以策略的实施成本所得到的比率，就代表了应对策略的成本有效性。比率越高，有效性就越高。

# 9.决策

适用于规划风险应对的决策技术是多标准决策分析，列入考虑范围的风险应对策略可能是一种或多种。决策技术有助于对多种风险应对策略进行优先级排序。多标准决策分析借助决策矩阵，提供建立关键决策标准、评估备选方案并加以评级，以及选择首选方案的系统分析方法。风险应对策略的选择标准主要包括：应对成本、应对策略在改变概率和影响方面的预计有效性、资源可用性、时间限制（紧迫性、邻近性和潜伏期）、风险发生的影响级别、应对措施对相关风险的作用、导致的次生风险等。如果原定的应对策略被证明无效，可在项目后期采取不同的应对策略。

# 15.7.3 输出

# 1. 变更请求

规划风险应对后，可能会就成本基准和进度基准，或项目管理计划的其他组件提出变更请求，应该通过实施整体变更控制过程对变更请求进行审查和处理。

# 2. 项目管理计划（更新）

项目管理计划的任何变更都以变更请求的形式提出，且通过组织的变更控制过程进行处理。可能需要变更的项目管理计划组件主要包括：

- 进度管理计划：资源负荷和资源平衡变更、进度策略更新等。

成本管理计划：成本会计、跟踪和报告变更，以及预算策略和应急储备使用方法更新等。

- 质量管理计划：满足需求的方法、质量管理方法和质量控制过程的变更等。
- 资源管理计划：资源配置变更及资源策略更新等。

$\bullet$ 采购管理计划：自制或外购决策、合同类型更改等。

- 范围基准：如果商定的风险应对策略导致了范围变更，且这种变更已经获得批准，那么就要对范围基准做出相应的变更。
- 进度基准：如果商定的风险应对策略导致了进度估算变更，且这种变更已经获得批准，那么就要对进度基准做出相应的变更。
- 成本基准：如果商定的风险应对策略导致了成本估算变更，且这种变更已经获得批准，那么就要对成本基准做出相应的变更。

# 3. 项目文件（更新）

可在规划风险应对过程更新的项目文件主要包括：

- 假设日志：在规划风险应对过程中，可能做出新的假设、识别出新的制约因素，或者现有的假设条件或制约因素可能被重新审查和修改。应该更新假设日志，记录这些新信息。

成本预测：可能因规划的风险应对策略而发生变更。

- 经验教训登记册：更新以记录适用于项目的未来阶段或未来项目的风险应对信息。
- 项目进度计划：可以把用于执行已商定的风险应对策略的活动添加到项目进度计划中。
- 项目团队派工单：一旦确定应对策略，应为每项与风险应对计划相关的措施分配必要的资源，包括用于执行商定的措施的具有适当资质和经验的人员（通常在项目团队中）、合理的资金和时间，以及必要的技术手段。
- 风险登记册：需要更新以记录选择和商定的风险应对措施。风险登记册的更新可能包括：①商定的应对策略；②实施所选应对策略所需要的具体行动；③风险发生的触发条件、征兆和预警信号；④实施所选应对策略所需要的预算和进度活动；⑤应急计划及启动该计划所需的风险触发条件；⑥回退计划，供风险发生且主要应对措施不足以应对时使用；⑦采取预定应对措施之后仍存在的残余风险，以及被有意接受的风险；⑧由实施风险应对措施而直接导致的次生风险。
- 风险报告：更新以记录针对当前整体项目风险敞口和高优先级风险的经商定的应对措施，以及实施这些措施之后的预期变化。

# 15.8 实施风险应对

实施风险应对是执行商定的风险应对计划的过程。本过程的主要作用：①确保按计划执行商定的风险应对措施；②管理整体项目风险入口、最小化单个项目威胁，以及最大化单个项目机会。本过程需要在整个项目期间开展。实施风险应对过程的数据流向如图15-12所示。

项目风险管理的一个常见问题就是“只发现、不执行”，即项目团队努力识别和分析风险并制定应对措施，然后把经商定的应对措施记录在风险登记册和风险报告中，但是不采取实际行动去管理风险。适当关注实施风险应对的过程，能够确保己商定的风险应对措施得到实际执行。

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/75d6a54cbf7fc7e90ace68219cc5adb5c8d02a2c4136654c6a8f8ac5c2f86c7a.jpg)

图15-12 实施风险应对过程的数据流向图

只有风险责任人以必要的努力去实施商定的应对措施，项目的整体风险入口和单个威胁及机会才能得到主动管理。

# 15.8.1 输入

# 1. 项目管理计划

可用于实施风险应对的项目管理计划组件是风险管理计划。风险管理计划列明了与风险管理相关的项目团队成员和其他干系人的角色和职责。应根据这些信息为已商定的风险应对措施分配责任人。风险管理计划还会定义适用于本项目的风险管理方法论的详细程度，还会基于关键干系人的风险偏好规定项目的风险临界值。风险临界值代表了实施风险应对所需实现的可接受目标。

# 2. 项目文件

可作为实施风险应对过程输入的项目文件主要包括：

- 经验教训登记册：项目早期获得的与实施风险应对有关的经验教训，可用于项目后期提高本过程的有效性。

$\bullet$ 风险登记册：记录了每个风险的应对措施，并指定责任人。

- 风险报告：包括对当前整体项目风险入口的评估，以及商定的风险应对策略，还会描述重要的单个项目风险及其应对计划。

# 3. 组织过程资产

能够影响实施风险应对过程的组织过程资产主要是已完成的类似项目的经验教训知识库，其中会说明特定风险应对的有效性。

# 15.8.2 工具与技术

# 1. 专家判断

在确认或修改（如必要）风险应对措施，以及决定如何以最有效率和最有效果的方式加以

实施时，应征求具备相应专业知识的个人或小组的意见。

# 2. 人际关系与团队技能

适用于本过程的人际关系与团队技能是影响力。有些风险应对措施可能由项目团队以外的人员执行，或由存在其他竞争性需求的人员执行。这种情况下，负责引导风险管理过程的项目经理或人员就需要施展影响力，去鼓励指定的风险责任人采取所需的行动。

# 3. 项目管理信息系统

项目管理信息系统可能包括进度、资源和成本软件，用于确保把商定的风险应对计划及其相关活动，连同其他项目活动，一并纳入整个项目。

# 15.8.3 输出

# 1. 变更请求

实施风险应对后，可能会就成本基准和进度基准，或项目管理计划的其他组件提出变更请求。应该通过实施整体变更控制过程对变更请求进行审查和处理。

# 2. 项目文件（更新）

可在实施风险应对过程更新的项目文件主要包括：

- 经验教训登记册：更新以记录在实施风险应对时遇到的挑战、本可采取的规避方法，以及实施风险应对的有效方式。
- 问题日志：作为实施风险应对过程的一部分，已识别问题会被记录到问题日志中。

项目团队派工单：一旦确定风险应对策略，应为每项与风险应对计划相关的措施分配必要的资源，包括用于执行商定的措施的，具有适当资质和经验的人员、合理的资金和时间，以及必要的技术手段。

- 风险登记册：可能需要更新风险登记册，以反映开展本过程所导致的对单个项目风险的已商定应对措施的任何变更。
- 风险报告：可能需要更新风险报告，以反映开展本过程所导致的对整体项目风险入口的已商定应对措施的任何变更。

# 15.9 监督风险

监督风险是在整个项目期间，监督风险应对计划的实施，并跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性的过程。本过程的主要作用是，保证项目决策是在整体项目风险和单个项目风险当前信息的基础上进行。本过程需要在整个项目期间开展。监督风险过程的数据流向如图15-13所示。

为了确保项目团队和关键干系人了解当前的风险级别，应该通过监督风险过程对项目工作进行持续监督，并持续关注新出现、正变化和已过时的单个项目风险。

![image](https://cdn-mineru.openxlab.org.cn/result/2026-03-16/38cd4426-1e74-4f06-8db1-ebfb9dd5d587/b9bd150284a3bdfa349a4d4e114544f3b58f08b7572ad184d76e83bd8911a6d2.jpg)

图15-13 监督风险过程的数据流向图

监督风险过程采用项目执行期间生成的绩效信息，以确定：①实施的风险应对是否有效；②整体项目风险级别是否已改变；③已识别单个项目风险的状态是否已改变；④是否出现新的单个项目风险；⑤风险管理方法是否依然适用；⑥项目假设条件是否仍然成立；⑦风险管理政策和程序是否已得到遵守；⑧成本或进度应急储备是否需要修改；⑨项目策略是否仍然有效等。

# 15.9.1 输入

# 1. 项目管理计划

可用于监督风险的项目管理计划的组件是风险管理计划。风险管理计划规定了应如何及何时审查风险，应遵守哪些政策和程序，与本过程监督工作有关的角色和职责安排，以及报告格式。

# 2. 项目文件

应作为监督风险过程输入的项目文件主要包括：

- 问题日志：用于检查未决问题是否更新，并对风险登记册进行必要更新。
- 经验教训登记册：在项目早期获得的与风险相关的经验教训可用于后期阶段。
- 风险登记册：主要内容包括已识别单个项目风险、风险责任人、商定的风险应对策略，以及具体的应对措施。它可能还会提供其他详细信息，包括用于评估应对计划有效性的控制措施、风险的症状和预警信号、残余及次生风险，以及低优先级风险观察清单。
- 风险报告：包括对当前整体项目风险入口的评估，以及商定的风险应对策略，还会描述重要的单个项目风险及其应对计划和风险责任人。

# 3. 工作绩效数据

工作绩效数据包含关于项目状态的信息，例如，已实施的风险应对措施、已发生的风险、仍活跃及已关闭的风险。

# 4. 工作绩效报告

工作绩效报告通过分析绩效测量结果得出，能够提供关于项目工作绩效的信息，包括偏差分析结果、挣值数据和预测数据。监督与绩效相关的风险时，需要使用这些信息。

# 15.9.2 工具与技术

# 1. 数据分析

适用于监督风险过程的数据分析技术主要包括：

- 技术绩效分析：开展技术绩效分析，把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较。它要求定义关于技术绩效的客观的、量化的测量指标，以便据此比较实际结果与计划要求。技术绩效测量指标可能包括处理时间、缺陷数量和储存容量等。实际结果偏离计划的程度可代表威胁或机会的潜在影响。
- 储备分析：在整个项目执行期间，可能发生某些单个项目风险，对预算和进度应急储备产生正面或负面的影响。储备分析是指在项目的任一时点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理。可以用各种图形（如燃尽图）来显示应急储备的消耗情况。

# 2.审计

风险审计是一种审计类型，可用于评估风险管理过程的有效性。项目经理负责确保按项目风险管理计划所规定的频率开展风险审计。风险审计可以在日常项目审查会和风险审查会上开展，团队也可以召开专门的风险审计会。在实施审计前，应明确定义风险审计的程序和目标。

# 3.会议

适用于监督风险过程的会议是风险审查会。应该定期安排风险审查，来检查和记录风险应对在处理整体项目风险和已识别单个项目风险方面的有效性。在风险审查中，还可以识别出新的单个项目风险（包括已商定应对措施所引发的次生风险）、重新评估当前风险、关闭已过时风险、讨论风险发生所引发的问题，以及总结可用于当前项目后续阶段或未来类似项目的经验教训。根据风险管理计划的规定，风险审查可以是定期项目状态会中的一项议程，也可以召开专门的风险审查会。

# 15.9.3 输出

# 1. 工作绩效信息

工作绩效信息是经过比较单个风险的实际发生情况和预计发生情况，所得到的关于项目风

险管理执行绩效的信息。它可以说明风险应对规划和应对实施过程的有效性。

# 2. 变更请求

执行监督风险过程后，可能会就成本基准和进度基准，或项目管理计划的其他子计划提出变更请求，应该通过实施整体变更控制过程对变更请求进行审查和处理。

变更请求可能包括：建议的纠正与预防措施，已处理整体项目风险级别或单个风险。

# 3. 项目管理计划（更新）

项目管理计划的任何变更都以变更请求的形式提出，且通过组织的变更控制过程进行处理。项目管理计划的任何组件都可能受本过程的影响。

# 4. 项目文件（更新）

可在监督风险过程更新的项目文件主要包括：

- 假设日志：监督风险过程中，可能做出新假设、识别出新的制约因素，或者现有假设条件或制约因素可能被重新审查和修改。需要更新假设日志，记录新信息。
- 问题日志：作为监督风险过程的一部分，已识别的问题会记录到问题日志中。
- 经验教训登记册：更新经验教训登记表，记录风险审查期间得到的任何与风险相关的经验教训，以便用于项目的后期阶段或未来项目。
- 风险登记册：更新风险登记册，以记录在监督风险中产生的单个项目风险的信息，可能包括添加新风险、更新已过时风险或已发生风险，以及更新风险应对措施等。
- 风险报告：应随着监督风险过程生成的新信息更新风险报告，以反映重要单个项目风险的当前状态，以及整体项目风险的当前级别。风险报告还可能包括有关的详细信息，诸如最高优先级单个项目风险、已商定的应对措施和责任人，以及结论与建议。风险报告也可收录风险审计给出的关于风险管理过程有效性的结论。

# 5. 组织过程资产（更新）

可在监督风险过程更新的组织过程资产主要包括：风险管理计划、风险登记册和风险报告的模板；风险分解结构等。

# 15.10 风险管理示例

一个主要的风险管理工具是主要风险清单。它指明了项目面临的风险列表，风险清单可以使项目经理的头脑中保持着风险管理的意识。

项目组应当在开始需求分析之前就初步地列一张风险清单，并且直到项目结束前不断更新这张清单。重要的是它应当定期“维护”，项目经理、风险管理负责人和项目经理的上司应该定期（比如每隔一周）回顾一次清单。这种回顾应包含在计划进度表之中，否则就可能被遗忘。更新风险清单，给这些风险排优先顺序，并更新风险应对情况，可以帮助对这些风险的严重程度和变化情况保持警惕。

表15-4是一个“主要风险清单”的示例。

表 15-4 主要风险清单

<table><tr><td>本周</td><td>上周</td><td>周数</td><td>风险</td><td>风险解决的情况</td></tr><tr><td>1</td><td>1</td><td>5</td><td>需求的逐渐增加</td><td>利用用户界面原型来收集高质量的需求
已将需求规约置于明确的变更控制程序之下
运用分阶段交付的方法在适当的时候提供能力来改变软件特征（如果需要的话）</td></tr><tr><td>2</td><td>5</td><td>5</td><td>有多余的需求或开发人员</td><td>项目要旨的陈述中要说明软件中不需要包含哪些东西
设计的重点放在最小化
评审中有核对清单用以检查“多余设计或多余的实现”</td></tr><tr><td>3</td><td>2</td><td>4</td><td>发布的软件质量低</td><td>开发用户界面原型，以确保用户能够接受这个软件
使用符合要求的开发过程
对所有的需求、设计和代码进行技术评审
制订测试计划，以确保系统测试能测试所有的功能
系统测试由独立的测试员来完成</td></tr><tr><td>4</td><td>7</td><td>5</td><td>无法按进度表完成</td><td>要避免在完成需求规约之前对进度表做出约定
在花费代价最小的早期进行评审，以发现并解决问题
在项目进行过程中，要对进度表反复估计
运用积极的项目追踪以确保及早发现进度表的疏漏之处
即使整个项目将延期完成，分阶段交付计划也允许先交付只具备部分功能的产品</td></tr><tr><td>5</td><td>4</td><td>2</td><td>开发工具不稳定，造成进度延期</td><td>在该项目中只使用一或两种新工具，其余的都是过去项目用过的</td></tr><tr><td>6</td><td>-</td><td>1</td><td>高人员流动率</td><td>项目前景（vision）鼓励开发人员购买公司股权
积极而详细的项目计划带来了明显的期望
定期的再估计支持修订计划以便应付规模的变更而无需大量的加班时间
生产力环境支持高的开发者生产率、高积极性和高凝聚力</td></tr><tr><td>7</td><td>3</td><td>5</td><td>开发人员和客户之间的摩擦</td><td>用户界面原型使开发人员和用户在同一个详细项目前景下统一起来
分阶段交付的产品使用户相信项目正在稳步前进</td></tr><tr><td>8</td><td>6</td><td>5</td><td>缺乏效率的办公空间</td><td>在完成用户界面原型以后，就将开发工作从场内移到有私人办公的场外去
仍然需要批准预算以保证场外开发工作的进行</td></tr></table>

要为主要风险清单中的每一种风险制订详细的风险应对计划。它们不需太冗长，每种大概占 $1\sim 2$ 页。表15-5为一个风险应对计划的示例。

表 15-5 为解决“逐渐增加的需求”而制订的风险应对计划

<table><tr><td>风险点</td><td>应对计划</td></tr><tr><td>为什么</td><td>经过分析我们发现项目中的需求泛滥会达到40%左右。我们需要控制逐渐增加的需求，以防 止项目中出现超出控制的额外开销和时间拖延</td></tr><tr><td>怎样做</td><td>通常,我们应首先做好收集需求的工作,争取消除需求变更产生的根源。然后,我们要保证只允许那些绝对必要的需求变更</td></tr><tr><td>什么方法</td><td>我们针对这个风险提出3种应对方法:1.在项目启动时就使用用户界面原型,以保证能收集到高质量的需求。我们还要不断地给用户看这些原型,精练它们,再次给用户过目,直到用户对我们构建的软件完全满意为止2.我们要将需求规约置于明确的变更控制之下。当我们完成用户界面原型,并收集好其他需求时,就将这些需求作为基线确定下来。以后的需求变更必须通过一个更正式的变更过程,其中在接受每一个变更之前,都要仔细评估该变更对成本、进度表、质量以及其他方面的影 响3.我们将运用分阶段交付的方法来保持较短的交付周期,这将减少在一个周期内发生变更的必要性。若有需要,我们可以在各个阶段之间变更软件特征当出现以下情况时,我们需要将风险等级提升:●经过一定时间,用户仍不能接受我们的用户界面原型●在需求基线被确定之后的最初30天内,我们收到变更请求所涉及的需求已经超过了需求基●线的5%●在整个项目生存周期的任何时候,我们已被迫对需求作了5%以上的变更</td></tr><tr><td>谁来做</td><td>●工程负责人对用户界面原型负责●变更委员会负责将需求置于变更控制之下●项目经理负责按时完成分阶段交付的计划进度表</td></tr><tr><td>何时做</td><td>要在4月15日之前完成UI原型。如果到了6月1日仍未完成,我们就要将风险级别提升到“项目紧急问题”;需求规约要在5月15日之前确定基线。若是到了6月15日仍未完成,我们要将风险级别提升到“项目紧急问题”;第一阶段的交付要在7月15日之前完成。若是到了8月15日仍然未果,风险也要被提升到“项目紧急问题”</td></tr><tr><td>所需代价</td><td>我们估计UI原型将要花去一个工程人员6个月的时间。标准的开发步骤中包括明示的变更控制,所以不增加任何项目成本。分阶段交付的方法会使开销增加5%左右,因为软件要被反复发布,增加了工作量。但另一方面它也减少了集成风险和生产错误产品的风险。结果,唯一增加的只有项目真实成本的透明度。因此,与其说是花费还不如说是净效益</td></tr></table>

# 15.11 本章练习

# 1. 选择题

（1）风险可从不同角度，根据不同标准来进行分类。百年不遇的暴雨属于

A. 不可预测风险

B. 可预测风险

C. 已知风险

D. 技术风险

参考答案：A

（2） 不属于风险识别的依据。

A. 成本管理计划

B. 范围基准

C. 采购文件

D.风险报告

参考答案：D

（3）某项目有 $40\%$ 的概率获利10万元， $30\%$ 的概率会亏损8万元， $30\%$ 的概率既不获利也不亏损。该项目的预期货币价值（EMV）是

A. 0.4万元

B. 1.6 万元

C. 2 万元

D. 6.4 万元

参考答案：B

（4）通过概率和影响级别定义以及专家访谈，有助于纠正该过程所使用的数据中的偏差属于

A. 定性风险分析

B.识别风险

C. 定量风险分析

D. 风险监控

参考答案：A

（5）关于项目风险管理的描述，不正确的是

A. 纯粹风险和人为风险在一定条件下可以相互转化

B.项目风险既包括对项目目标的威胁，也包括促进项目目标的机会

C. 风险大多数随着项目的进展而不断变化，不确定性会逐渐减小

D. 风险后果包括后果发生的频率、收益或损失大小

参考答案：A

（6）A公司中标一个大型系统集成项目，其中一台关键设备计划从国外采购，由于近期汇率波动明显，A公司准备与客户协商使用国产设备，这是采用了______风险应对策略。

A.回避

B. 转移

C.减轻

D. 接受

参考答案：A

（7） 不属于定性风险分析的技术。

A. 风险数据质量评估

B. 概率和影响矩阵

C.风险紧迫性评估

D. 预期货币价值分析

参考答案：D

# 2. 判断题

判断下列表述正误，正确的选 $\sqrt{}$ ，错误的选 $\times$ 。

（1）项目风险都会对项目目标产生负面影响。 （）

（2）项目活动投入得越多，愿意冒的风险越小。 （）

（3）实施风险应对过程，即执行商定的风险应对计划的过程。 （）

参考答案：（1）× (2）√ (3）√

第15章 项目风险管理

第15章项目风险管理