(文 / 老孙)
高项倒计时冲刺特辑 Day 17 | 付费(冲刺合集)
字数约 12000,阅读大约需 30 分钟
一、开场:风险管理就是"买保险"的学问
各位同学好,我是老孙。
今天我们聊一个听起来很玄乎、但其实你天天都在做的事情——风险管理。
你可能觉得"风险管理"这四个字离你很远,其实不然。想想你每天的生活:
- 出门前看天气预报,带不带伞?——识别风险
- 觉得下雨概率80%,而且你穿了新衣服——定性分析(概率高、影响大)
- 算一算,如果淋雨,洗衣服加干洗费50块;带伞的"成本"是多拎一把伞——定量分析
- 决定带伞——风险应对
- 走到半路发现天晴了,但你没把伞扔了,因为下午还可能变天——监督风险
看到没?你每天都在做风险管理,只是没有用教材上那些吓人的术语而已。
再举一个更贴切的例子:买保险。
你去体检,医生说你血脂偏高(识别风险),属于心脑血管疾病的中高风险人群(定性分析),保险公司算出你未来10年的发病概率和可能的医疗费用(定量分析),于是你买了一份重疾险(风险应对),然后每年复查一次(监督风险)。
整个项目风险管理的逻辑,就是这么回事。
但是,考试可不会考你"带不带伞"。考试会考你:概率影响矩阵怎么用?决策树怎么画?EMV怎么算?蒙特卡洛是什么?
别慌,这篇文章就是来帮你彻底搞定这些硬骨头的。
在正式开始之前,先给你一个"学习锚点":风险管理在近3年高项考试中的出题频率极高。2023年上半年论文题直接考了"论信息系统项目的风险管理",2025年上半年案例题考了"风险识别+定性分析+风险登记册设计",选择题更是年年必考概率影响、EMV、决策树。可以说,风险管理是十大知识领域中的"三大天王"之一(另外两个是进度管理和成本管理)。
所以这一篇,你值得花半个小时认真看完。
二、风险管理全景图:7个过程,两篇讲完
教材第15章"项目风险管理"一共包含7个过程。我把它们分成了"上下两篇":
- 上篇(本篇):前4个过程——"发现问题"阶段
- 下篇(Day 18):后3个过程——"解决问题"阶段
先看全景图:
用一句话记住这7个过程的关系:
先规划怎么管风险,再识别有哪些风险,然后定性排序、定量计算,接着制定应对策略、执行应对措施,最后持续监督。
这个顺序在考试中经常出现。比如2025年上半年案例题就考了"6个活动分别属于范围管理和风险管理的哪个过程",如果你分不清"识别风险"和"实施定性风险分析"的边界,那题就丢分了。
还有一个非常重要的概念要先说清楚:项目风险存在两个层面。
- 单个项目风险:影响项目达成目标的具体风险事件。比如"核心开发人员离职""服务器硬件故障"。
- 整体项目风险:由所有单个风险和不确定性的其他来源联合导致的风险。它反映的是项目整体的不确定程度。
风险管理过程要同时兼顾这两个层面。这一点在选择题中经常作为干扰项出现。
另外,还需要理解教材中关于风险的两个新概念:
非事件类风险——教材把它分为两类:
- 变异性风险:已规划目标存在不确定性,比如生产率可能高于或低于目标值。这类风险用蒙特卡洛模拟处理。
- 模糊性风险:对未来可能发生什么存在认知不足。这类风险通过获取外部专家意见或原型搭建来处理。
项目韧性——有些风险只有发生后才能发现(突发性风险),需要通过预留应急预算、采用灵活的项目过程、授权团队在商定范围内自主决策等方式来应对。
好了,概念铺垫完毕。下面我们逐一精讲前4个过程。
三、规划风险管理:先定"游戏规则"
3.1 这个过程在干什么?
规划风险管理是定义"如何实施项目风险管理活动"的过程。
注意,它不是在识别具体的风险,而是在制定"管风险的规矩"。就好比你要开一家餐厅,规划风险管理不是在想"万一食材坏了怎么办",而是在决定:
- 谁负责管食品安全?(角色与职责)
- 多久检查一次冰箱?(时间安排)
- 拿多少钱出来买消毒设备?(资金预算)
- 把食品安全风险分成几个等级?(风险类别与概率影响定义)
3.2 ITTO速览
| 分类 | 内容 |
|---|---|
| 输入 | 项目章程、项目管理计划、项目文件(干系人登记册)、事业环境因素、组织过程资产 |
| 工具与技术 | 专家判断、数据分析(干系人分析)、会议 |
| 输出 | 风险管理计划 |
这个过程的输出只有一个:风险管理计划。它是项目管理计划的组成部分。
3.3 风险管理计划包含什么?
风险管理计划的内容是高频考点,必须记住以下关键要素:
- 风险管理策略:管理本项目风险的一般方法
- 方法论:具体方法、工具及数据来源
- 角色与职责:谁领导、谁支持、谁参与
- 资金:风险管理活动所需资金、应急储备和管理储备使用方案
- 时间安排:风险管理过程的时间和频率
- 风险类别:通常用RBS(风险分解结构)来构建
- 风险概率和影响定义:概率和影响的级别标准
- 概率和影响矩阵:风险优先级排序规则
- 干系人风险偏好:关键干系人的风险临界值
- 报告格式:风险登记册、风险报告的格式
- 跟踪:如何记录和审计风险管理过程
真题考法:题目经常问"以下哪项不属于风险管理计划的内容"。比如"风险记录/风险登记册"就不属于风险管理计划,它是识别风险过程的输出。
3.4 风险分解结构(RBS)
风险分解结构是对潜在风险来源的层级展现。教材给出了一个经典的四大类RBS结构:
考试提醒:RBS的作用是"提供一种结构化方法使风险识别系统化、全面化"。这句话本身就是一道真题的正确答案。
3.5 概率和影响的定义标准
教材给出了一个经典的六级量表(含"零"),但考试中最常用的是五级量表:
| 量表 | 概率 | 对时间的影响 | 对成本的影响 | 对质量的影响 |
|---|---|---|---|---|
| 很高 | >70% | >6个月 | >500万元 | 对整体功能影响非常重大 |
| 高 | 51%-70% | 3-6个月 | 100-500万元 | 对整体功能影响重大 |
| 中 | 31%-50% | 1-3个月 | 50-100万元 | 对关键功能有一些影响 |
| 低 | 11%-30% | 1-4周 | 10-50万元 | 对整体功能有微小影响 |
| 很低 | 1%-10% | <1周 | <10万元 | 对辅助功能有微小影响 |
这个表你不需要死记硬背每个数字,但要理解:概率和影响都是分级的,不是随便拍脑袋的。
还有一个关键概念:干系人风险偏好。不同的干系人对风险的态度是不同的:
- 风险偏好型:愿意为高回报承担高风险("搏一搏,单车变摩托")
- 风险厌恶型:宁愿少赚也不愿意冒险("稳扎稳打,落袋为安")
- 风险中立型:完全按照期望值来决策
这三种态度在教材中用一张"S曲线"来表示:随着投入的增加,风险偏好型的人对成功概率的要求增加缓慢,而风险厌恶型的人则要求迅速增加。风险偏好直接影响概率影响矩阵的临界值设定——一个风险厌恶型的项目发起人,可能把"中等风险"也列入需要应对的范围。
真题(选择题):
人们对风险事件都有一定的承受能力,当( )时,人们愿意承担的风险越大。
A. 投入越多 B. 收益越大 C. 风险越低 D. 规模越小
答案:B。收益越大,人们愿意承担的风险越大。而投入越多时,人们反而越谨慎、越不愿意冒险。
四、识别风险:把所有"隐患"都揪出来
4.1 这个过程在干什么?
识别风险是识别单个项目风险以及整体项目风险的来源,并记录风险特征的过程。
用大白话说:把项目里所有可能出问题的地方,全部找出来、写下来。
几个关键要点:
- 风险识别不是一次性行为,而是贯穿整个项目生命周期的迭代活动
- 不仅要识别威胁(负面风险),也要识别机会(正面风险)
- 所有干系人都应该参与,不只是项目经理一个人的事
- 要用统一的风险描述格式
4.2 风险的六种分类方式(高频考点)
在识别风险之前,你得先知道风险有哪些分类方式。教材给出了六种分类角度,这是选择题的常客:
| 分类角度 | 类别 | 考试常见例子 |
|---|---|---|
| 按后果划分 | 纯粹风险 vs 投机风险 | 失火=纯粹风险(只有损失);投资房地产=投机风险(可能赚可能亏) |
| 按来源划分 | 自然风险 vs 人为风险 | 地震=自然风险;技术决策失误=人为风险 |
| 按可管理性划分 | 可管理 vs 不可管理 | 随信息和管理水平提高,可相互转化 |
| 按影响范围划分 | 局部风险 vs 总体风险 | 非关键路径延误=局部;关键路径延误=总体 |
| 按承担者划分 | 业主/承包商/政府/保险公司等 | 有助于合理分配风险 |
| 按可预测性划分 | 已知/可预测/不可预测 | 进度乐观=已知;分包商延期=可预测;地震=不可预测 |
最后一种分类是最高频的考点。记住:
- 已知风险:经常发生,后果可预见,概率高但通常后果轻微
- 可预测风险:根据经验可以预见其发生,但不可预见其后果
- 不可预测风险:也叫"未知风险",连发生的可能性都无法预见(地震、百年暴雨等)
真题(选择题):