什么是项目风险评估?
项目风险评估是一个正式的过程,目的是识别和分析项目可能面临的风险。团队首先要识别所有可能的风险,然后确定这些风险发生的可能性和可能带来的影响。
在评估过程中,团队会分析正面和负面的风险。负面风险是那些可能导致项目偏离预定轨道或显著降低成功机率的事件。如果这些风险没有被识别出来或没有相应的应对计划,它们就会变得更加危险。而正面风险,也就是机会,是指那些可能为项目或组织带来好处的事件。项目团队应该评估这些机会,以便在它们出现时能够利用它们。
团队应该在项目开始前进行风险评估,并且在项目的整个生命周期中持续监控和更新风险评估。
有些专家将项目风险评估称为项目风险分析,但风险分析通常是指对单一风险进行更详细的分析,这是更广泛风险评估过程的一部分。
项目风险评估是项目风险管理的一个重要方面。通过本文,你可以了解更多专家的最佳实践。
如何在项目中评估风险?
当一个团队开始对项目进行风险评估时,他们通常会采用头脑风暴的方法来识别可能的风险。这个过程可能包括回顾以往类似项目中发生的事件,以确保不会遗漏任何重要的风险。接下来,团队会对每个已识别的风险进行分析,以了解其可能发生的时间、发生的可能性、相关的因素以及它可能对项目造成的影响。
此外,团队应该咨询项目的利益相关者和其他可能对潜在风险有见解的人士,以收集更多的信息和不同的观点。
在分析风险时,应该考虑以下五个关键元素:
- 风险事件:这是指可能影响项目的具体情况或事件。
- 风险时间框架:这是指风险事件最有可能发生的时间段。这可以是项目生命周期的特定阶段,或者是一年中的特定时间,如销售高峰期。
- 可能性:这是对风险事件发生的概率进行的估计。
- 影响:这是对如果风险事件发生,可能对项目和组织产生的影响进行的评估。
- 因素:这是指可能导致风险事件发生的先前事件或触发因素。
通过对这些元素的综合考虑,团队可以更全面地理解项目面临的风险,并据此制定相应的管理和应对策略。
项目风险评估工具
项目负责人可以使用各种工具和方法来帮助衡量风险。一种选择是故障模式和影响分析。其他选项包括有限元分析或因素分析和信息风险。
以下是一些常见的风险评估工具:
- 故障模式及效应分析(FMEA):这是一种系统性的方法,用于评估一个过程中可能出现的失败点,并识别那些可能造成最大影响的故障。通过FMEA,团队可以确定过程中哪些部分需要调整。使用 FMEA 框架进行风险评估时,请确定以下每个组成部分:
- 流程步骤:识别流程中的所有步骤。
- 潜在问题:确定每个步骤可能出现的问题。
- 问题来源:确定问题的原因。
- 潜在后果:确定问题或失败的后果。
- 解决方案:找出防止问题发生的方法。
- 有限元分析(FEA):这是一种通过计算机模拟来预测结构在受到力作用时可能如何破坏的方法。FEA涉及将结构分解成许多小元素,计算机模拟这些元素在受到力时的行为以及它们失效的频率。通过汇总每个元素的分析结果,可以预测整个结构的可能故障模式和故障率。
- 信息风险因素分析(FAIR):这是一种专门用于信息和网络安全风险的分析框架。FAIR帮助团队评估和理解与数据和信息安全相关的风险。
如何进行项目风险评估
项目经理和团队成员希望持续对项目进行风险评估。进行良好的风险评估涉及多个步骤。这些步骤包括识别所有可能的风险并评估每种风险的概率。
最重要的是,团队成员必须充分探索和评估所有可能的风险,包括最初可能并不明显的风险。
项目风险评估的步骤
专家推荐了有效项目风险评估的几个重要步骤。这些步骤包括识别潜在风险、评估其可能的影响以及制定预防或应对这些风险的计划。
以下是项目风险评估中的10个关键步骤:
第1步:识别潜在风险
组织团队成员一起确定项目可能面临的所有潜在风险。为了帮助识别风险,可以采用以下方法:
- 审查文件:审查与项目相关的所有文件。
- 考虑特定行业的风险:使用适合您所在行业的风险提示列表。风险提示列表是项目中可能发生的广泛风险类别,例如环境风险或法律风险。
- 重新访问以前的项目:回顾组织过去的类似项目。
- 咨询专家:与组织内部的专家进行访谈,在某些情况下,还与组织外部的专家进行访谈。
- 集思广益:与您的团队一起集思广益。
- 专注于主要风险:应该专注于那些实际和可管理的风险,避免识别过多难以处理的风险。最佳情况是整个团队一起识别风险。,识别的风险越多,分析所需的时间就越长,这可能导致决策的延迟。
- 寻找正面风险:在评估中不仅要识别可能的负面风险,还要识别正面风险。正面风险是指可能带来意外好处的事件,这些也应该在风险评估中考虑。
第 2 步:确定每种风险的概率
在识别了潜在风险之后,下一步是确定这些风险发生的可能性。为了评估这一点,团队可以采用之前用于识别风险的相同方法,例如:
- 与团队成员进行头脑风暴讨论每个风险发生的可能性。
- 访谈有经验的专家,以获取他们对风险可能性的看法。
- 回顾以往的类似项目,了解这些风险在过去发生的频率。
- 审查同一行业内其他项目的经验,以了解这些风险在行业中的普遍性。
第 3 步:确定每个风险的影响
在识别了潜在风险及其可能性之后,团队需要评估如果这些风险实际发生会对项目产生什么影响。这个影响可能是严重的,比如完全阻止项目的进行或停止产品的开发,也可能是较小的,不会对项目的整体进度产生太大影响。
评估风险的影响非常关键,因为这将决定团队如何应对这些风险。对于正面风险,也就是那些可能带来好处的风险,团队应该确保采取措施让它们发生。而对于那些高风险且带有负面影响的情况,团队应该确保采取措施来防止它们发生。
在衡量风险影响时,可以采用定性或定量的方法:
- 定性评估:这种方法关注风险的性质、可能性、概率或紧迫性。它基于对可能发生事件的描述性分析,如项目延迟或失败,并判断这种影响的严重性,但不会给出具体的数值。
- 定量评估:这种方法则是用数字来估计影响,通常是以金钱(美元数额)或时间(损失的利润)来衡量。定量评估通常用于工程项目或大型项目,而对于大多数项目,团队可能不会进行定量风险评估。
虽然定性风险评估是讨论风险的可能性和紧迫性,但定量风险评估涉及给风险标上具体的数值,这在大型或特定类型的项目中更为常见。
第4步:确定每个事件的风险评分
在团队评估了潜在风险及其可能性和影响之后,接下来的任务是为每个风险事件分配一个风险评分。这个评分有助于组织确定哪些风险需要优先关注。
为了计算风险评分,团队通常会使用风险矩阵。在这个矩阵中,团队会给每个风险事件的发生可能性分配一个评分,然后再给该事件的影响分配一个评分。将这两个评分相乘,就得到了该风险事件的总风险评分。
可以使用1、5和10这三个数字来分别代表低、中和高的可能性和影响。例如,一个可能性和影响都评为1(低)的风险事件,其总风险评分就是1(1乘以1)。而一个可能性和影响都评为10(高)的风险事件,其总风险评分就是100,使用这样的数字可以更好地传达高概率和高影响风险的严重性。
虽然风险矩阵使用数字,但它们通常是基于定性判断的,并不是真正的定量分析。然而,在某些情况下,团队可以进行定量的风险评分,比如通过计算一个事件发生的概率和它对公司造成的具体金钱损失。
通过给风险分配具体的数字,团队可以使用实际运营数据来支持或反驳关于风险的论点。这种定量方法有助于避免人们过于乐观或低估风险发生频率的倾向,从而使风险评估更加客观和可靠。通过这种方式,团队可以更有效地比较不同的风险,并向利益相关者清晰地解释风险的潜在影响。
第5步:了解您的风险容忍度
团队必须了解组织对风险的容忍度,即组织领导者和利益相关者愿意为了项目的成功承担多大的风险。
了解这一点对于决定在哪些风险上投入时间和资源以防止潜在的负面事件发生至关重要。
第6步:决定如何优先处理风险
在评估了风险并为它们分配了风险评分之后,团队需要决定哪些风险最需要关注。这通常是那些影响大且可能性高的风险,应该首先应对这些风险。
有些项目的性质决定了不能容忍项目脱轨或重大失败的风险,因此可能需要投入更多的资金、时间和努力来控制这些风险。而在其他项目中,可能会选择承担更多风险,愿意为此损失一些资金和努力。
决定一个风险是否是一个重大的战略风险,会让人整夜睡不着觉,或者是一个可以管理的风险,这需要根据项目的具体情况、组织的性质以及所处的市场来决定。这意味着风险管理是一个高度定制化的过程,需要考虑到许多不同的因素。
第 7 步:制定风险应对策略
在团队评估了所有潜在风险并根据它们的重要性进行排名之后,接下来的任务是制定针对这些风险的应对策略。这些策略应该包括对积极风险(机会)和消极风险(威胁)的应对方法。
对于消极风险,主要的应对策略包括:
- 缓解:采取措施来降低风险发生的可能性或减轻其影响。例如,如果你正在构建数据中心,可能会用配备备用发电机来减轻断电的可能性或影响。
- 避免:如果某个行动带来的风险太高,则可能选择不进行该行动。
- 转移:通过购买保险或将风险转移到其他公司来转移风险。常见的例子是建筑物的火灾保险或网络安全保险,它可以在发生数据泄露时为您的公司提供保障。另一种选择是将某些风险转移给可以完成这项工作的其他公司,并为你的公司承担风险。
对于积极风险,主要的应对策略包括:
- 共享:与其他公司合作来共同实现机会并分享收益。
- 利用:确保某个积极事件发生,从而使公司受益。
- 增强:努力提高某个积极事件发生的可能性。
对于既有威胁也有机会的情况,主要的策略包括:
- 接受:接受风险的存在,不采取特别行动,因为行动的好处显著。
- 上报:如果风险异常高且超出项目经理的职权范围,应该将风险信息上报给公司领导层。
项目经理不应害怕将风险信息传达给组织的领导者。关键是在正确的层面上与正确的人沟通风险信息,确保如果风险发生,每个人都知道应对计划,这样可以避免措手不及。
第 8 步:监控风险计划
团队需要了解并监控风险计划是否可行,包括它们可能如何工作或如何测试它们。例如,通过全员桌面演练来测试灾难计划,如医院在电力故障或地震情况下的应对策略。
第 9 步:持续进行风险评估
风险评估不是一次性活动,而是一个在整个项目周期中持续进行的过程,从项目规划到执行再到结项。许多团队会在项目初期进行风险评估,然后就不再更新。这是一个常见的错误,因为风险是动态变化的,需要持续监控和更新。
如果项目团队不持续关注风险的变化,可能会在风险实际发生时措手不及。风险管理应该从项目构想开始,直到项目完全结束后才算完成。它是一个始终活跃的过程。
项目经理需要在所有会议和讨论中保持对风险的警觉,即使是技术人员提出的可能导致困难的问题,也应该被视为潜在风险。
第 10 步:确定经验教训
项目完成后,团队应该聚集一起,回顾项目过程中的关键经验和教训。团队应该创建一个记录了项目中学到的经验教训的文档,以便将来参考。
在讨论和文档中,应该包括与项目风险相关的信息,这样可以帮助未来的项目团队了解和准备可能遇到的类似风险。通过记录风险和相关的经验教训,未来的项目领导者可以从当前项目的成功和失败中学习,从而更有效地管理他们自己的项目风险。这些经验教训应该被反馈回风险管理系统,更新最初的风险清单,以便下一个类似的项目能够注意到并关注这些已识别的风险。
如何撰写项目风险评估报告
团队通常会使用一个在线文档来跟踪风险,这个文档对所有团队成员和组织领导者开放。有时,项目经理会为公司高层领导或其他利益相关者创建一个专门的项目风险评估报告。
以下是创建该报告的一些建议:
- 找到合适的模板:选择适合您的组织、行业和项目的模板。
- 考虑受众:创建报告时要考虑到受众的不同需求。技术团队可能需要一个包含完整风险列表的详细报告,而公司高层领导可能需要一个更为概括的报告。
虽然为项目团队成员准备的报告可能包含100个或更多的风险列表,但是不建议向高管展示如此详细的列表,因为这可能会让他们感到不必要的压力。报告的内容和深度应该根据读者的不同而有所调整。