專案管理/PMBOK/風險管理

風險管理的目標是提高正面風險的影響和可能性，並降低負面風險的影響和可能性。關鍵點不僅在於避免失敗，還在於創造機會。時間和精力可以花在避免、轉移給第三方和減輕潛在失敗上。它們同樣可以花在接受、與第三方分享和增強機會上。風險管理的任務是確定應該投入多少時間和精力來避免失敗和促進機會。

風險管理在PMBOK理論中包括六個主要過程^[1]。這些是風險管理規劃、風險識別、定性風險分析、定量風險分析、風險應對計劃和風險監控與控制。

在風險管理規劃過程中，確定如何執行專案的風險管理活動。風險管理的程度需要與整個專案的風險和重要性相一致。這樣，資源就可以在這個階段得到合理的分配。

風險規劃通常是規劃階段最後一個完成的專案管理過程，因為需要總體計劃和範圍才能找出風險管理任務的分配位置。

PMBOK模型中包含四個輸入^[2]。企業環境因素包括組織制定的態度和政策，這些政策確定了被認為可以接受的風險水平和容忍度。組織過程資產是組織制定的可能的預定義風險管理方法。這些可能包括模板、角色、授權級別、風險類別和定義。最後兩個輸入是範圍說明書（來自專案範圍管理）和專案管理計劃（來自專案整合管理）。

專案團隊召開會議，制定整個專案風險管理的基本計劃。這些包括預算成本、計劃時間、分配的責任和已建立的風險模板。建立風險模板包括定製風險類別和定義，以組織風險級別、機率和影響。

風險管理規劃過程的輸出包括方法、角色和責任、預算、進度、風險類別（可能包括風險分解結構）、風險機率風險影響的定義（這些可以是數字的或相對的“非常不可能”）、機率和影響矩陣、修改後的利益相關者容忍度、任何報告的格式以及專案風險管理方面的跟蹤方式的文件。

風險規劃的目標是確定如何對專案進行整體風險管理。在這個過程中，應該確定投入的時間、角色和責任以及報告的模板格式。完成初步工作後，就可以識別、分析和調整風險。

風險識別有助於儘可能避免風險，以及在必要時對其進行控制。如果您不知道從哪裡開始，一種可能性是關注已知和可預測的風險，例如：產品規模、業務影響、流程定義、開發環境、待構建的技術以及人員規模和經驗。

在確定專案風險時，有一些策略或技術。最簡單的策略是基於情景的策略。該策略涉及使用創造性的頭腦風暴想法，在專案的範圍內提出正面和負面風險。

基於情景的策略的一個例子是：“如果我們超過了時間規劃階段預算的時間限制會發生什麼？”

確定專案中正面和負面風險的第二種策略是相關經驗策略。在這裡，風險是透過關聯過去的專案和經驗並調整它們以適合當前專案的範圍來確定的。

相關經驗策略的一個例子是，假設在您的專案中，團隊成員不可用存在問題。如果這種情況再次發生會怎樣？

專案管理中還存在第三種確定風險的策略。這被稱為基於目標的情景。該策略遵循與情景策略和關聯過去經驗策略相同的想法，但不是編造情景或使用過去經驗，而是根據專案的目標和預期成果來確定風險。這種策略最適合於尋找專案中的正面風險，而不是負面風險。

完成風險管理需要一些工具，從上面提到的三種策略開始。最大的工具是計算風險等級的公式。風險管理可以然後以專業的方式格式化為專業報告，以便提交給客戶。

定性風險評估依賴於判斷和經驗。新專案經理應該從組織的知識管理系統（提示，提示）中尋找經驗教訓，或者向經驗豐富的專案經理徵求意見。您可以透過向自己或參與專案的頭腦風暴團隊提出理論性問題來引導對潛在風險的思考，例如

• 如果山姆離開或生病會發生什麼 - 假設山姆是一位擁有獨特技能的關鍵貢獻者？
• 所有關於平臺、語言和流程方法的重要決策是否已經做出？
• 所有利益相關者是否理解並同意專案目標？
• 如果分包商X失敗怎麼辦？
• 成本和進度是否考慮了新員工或新技術的學習曲線？
• 進度依賴關係 - 請參閱“如何建立和使用預測性專案進度安排” - 是否顯示任何任務，如果失敗會導致整個工作失敗？

風險管理的最後一種策略是用於確定風險等級的便捷公式。該公式需要兩個變數，一個用於風險發生的可能性，另一個用於風險發生時的影響。您可以對這些變數進行評級，例如，滿分 5 星。然後，該公式要求將第一個變數新增到第二個變數，然後除以可能的總星數，即 10 星。一旦所有風險都得到了該計算的答案，這些風險就會按其答案從高到低排序。

一旦風險被建立，就必須按照從最重要到最不重要的順序進行排序。確定風險等級的一種方法是使用簡單的數學公式。在按從高到低的順序對風險進行排序後，必須為風險制定處理或規避策略。風險規劃的最後一步至關重要，因為如果將來專案發生風險，團隊將已經知道如何解決風險或阻止風險發生。

專案經理會集思廣益並收集所有正面和負面風險。需要注意的是，此風險清單並非所有可能發生的事件，而是可能發生事件的類別。例如，考慮建造房屋的專案。要考慮的風險包括進度緩慢、材料不足、資金不足、計劃變更。並非是跑不出木材或房屋著火。風險規劃的目的是制定如何應對某種型別風險的計劃，而不是找出所有可能的風險。因此，當風險實現併成為問題時，團隊會知道評估和應對的步驟。然後將這些風險輸入報告，並附上每個風險的可能性、影響和等級。

風險管理的最後輸入將是針對每個風險的控制/處理計劃，以防風險在專案時間線上發生。風險監控和控制流程是對風險進行診斷並制定處理和控制計劃。團隊還檢查範圍項以確保它們不受負面風險的影響。

在確定並對專案的所有正面和負面風險進行排序後，團隊可以參考並熟悉所有風險或僅熟悉排名最高的風險，以防止這些風險在專案生命週期內發生。如果風險發生，團隊將知道如何根據風險管理文件中概述的處理計劃進行應對。風險規劃不當是專案失敗的主要因素。它是PMBOK理論中容易被忽視的部分。

1. ^ PMBOK，第 237 頁。
2. ^ PMBOK，第 242 頁。
3. ^ PMBOK，第 202 頁。