大家好，我是王凡，从事项目管理工作已经有9年的时间了，去年完成了由乙方项目经理向甲方项目经理的转变。目前在一家国企单位的项目管理办公室工作。

这是我第二次给大家带来分享，今天想跟大家聊一聊项目管理中的风险管理。

风险，这个词，让项目经理不敢直视，让领导们听了焦躁，让团队成员听了烦心，但是却伴随着项目全生命周期。

项目管理工作可以说是与风险相伴的，每天项目经理们都可能会遇到此生的第一次。在某些管理机制、内控、流程相对完善的组织之中，项目经理的主要工作一方面是确保项目合规的按照公司流程推进，另一方面就是要降低影响项目的风险发生，保证项目各要素符合基线要求；并且要促进产生项目收益的机会，降低成本、加快执行进度等。

2020年初的新冠疫情可能是每一个项目经理此生难忘的黑天鹅事件，基于此“不可抗力因素”，我们的项目一定会面临诸多调整，去年底的计划变得不再可执行，项目的收益可能无法达成，“变更”是我们回到工作岗位后第一件做的项目管理工作。

那么，面对此类不确定的一旦发生就会对项目的目标产生影响的事件，我们应该如何进行管理?

1. 什么是风险？

风险是不确定的一个或一系列事件，一旦发生，将对目标的实现产生影响。风险由察觉到的威胁或机会发生的概率，发生的临近度，以及对目标的影响程度来描述。对风险的管理目的是识别、评估和控制这种不确定性事件，从而提高项目的成功率。

风险一旦发生，就有可能对目标造成积极或消极的影响。

● 威胁 用来描述对目标有消极影响的不确定事件
● 机会 用来描述对目标有积极影响的不确定事件

风险一旦发生，可能会影响项目的目标。使得在规定的时间、成本和质量等制约因素下，项目的交付范围和收益成果将发生不可预知的情况。

无论是PMP或PRINCE2中，都将“机会”这一对目标有积极影响的不确定事件归为风险的一部分。对于“机会”来说，我们要通过“利用、强化”等手段促进机会的发生概率，因为这是对项目有积极影响的事件。

那么下面，还是集中讨论我们熟知的风险，也就是我们日常所说的那些对项目有消极影响的不确定性事件如何进行管理。

1.1风险和问题的区别

首先，区别“风险”和“问题”两个概念。风险（risk）是对未来有影响的可能性事件，问题（issue）是确定的事件，所以“风险”一旦发生，会成为“问题”。

经常在项目周报中的“风险”一栏，看到项目经理描述了一个已经由风险发生后成为的问题，然后对这个问题进行了分析和应对。由于对“风险”的管理方式和对“问题”的处理办法是不同的。而且我们反映在月报中的“风险”，目的是提供一个渠道让项目经理明确未来可能影响项目执行的情况，并以此调整资源的分配，并把这种情况汇总传达到管理层以辅助项目群整体决策。而对于有问题，由于已经造成了影响，需要我们尽快处理问题并通过变更使项目回归基线。

总而言之，在项目管理过程中对于“风险”和“问题”的区别还是需要每一位项目经理的关注。

1.2风险偏好是因人而异的

风险的特点有存在的客观性、普遍性、发生的不确定性、可测性以及可变性，这些特点我们只要有一个大致的了解即可。项目管理工作中，风险最直接影响我们的是每个人对于风险都有自己的偏好程度。

风险的偏好程度对于每个人来说都不同，例如有人可以拿出自己的全部积蓄进入股市，也有人只买银行的定期理财产品。那么在项目管理领域里，这点也尤为重要，因为每个项目经理的风险偏好不同，对于风险的理解和管理也有着不同的方法。而且，个人的风险偏好也会发生变化，随着经验的丰富，识别、分析风险会更快捷，对于风险的应对也会更加坦然，这也就是PRINCE2七大原则中“吸取经验教训”的重要性。

2. 风险的管理

对于风险的管理，无论是PMP或是PRINCE2中，都基本遵循：识别（识别风险）->评估（实施定性分析、定量分析）->计划（规划风险应对）->实施（实施风险应对）的步骤，沟通和对风险的监督覆盖整个管理过程。风险的管理核心是“人”，而不是简单的对风险事件的管理。

2.1风险的识别

风险的识别主要是从组织的内部和外部环境（PESTLE：政策、经济、社会、技术、法律、环境）的变化中识别可能影响项目进展的风险事件，应该在项目管理和交付过程中的任意事件做此项工作。项目、管理层、客户或其他利益相关方都可以成为风险的识别者，一旦识别出风险，就要将其捕获并记录在风险登记册中。

2.1.1 风险的描述

对于“风险”这类一旦发生就会对项目有影响的不确定性事件，描述方式也应该尽可能充分的反映信息，一般遵照：因为……原因，造成……事件，导致……影响的描述方式。如：因为疫情，导致跨省出差不便，造成无法进场实施的情况，导致了项目的部署实施阶段面临预计2个月延期影响。

因为……造成……导致……，是一个完整的事件描述方法。其中，风险原因是描述风险的来源，也就是说是通过某件事或情况引发了风险，也通常称为风险诱因。造成的事件描述为威胁的不确定性范围，导致的影响是对项目的4个指标（时间、成本、范围、质量）和收益所造成的具体影响（一般需要量化）。

2.2风险的评估

PMP和PRINCE2知识体系中，对于已经识别出的全部风险，一般都通过发生概率及其影响两个维度进行评估。如：通过影响-概率矩阵，可以清晰的识别出哪些风险处于高风险/高概率区域，对于这些风险我们要重点关注。

2.2.1 “临近度”

对于风险来说，只考虑发生概率和影响程度这两个因素已经不太能满足管理需要了，例如，一个可能在下周才出现的发生概率高、影响大的风险，远不如明天就会高概率发生，影响适中的风险那么重要。我们总是要先解决“燃眉之急”，所以在风险管理中引入“临近度”的概念也就十分有必要了。

那么在上报风险的时候，临近度的概念尤为常用，因为管理层更关心迫在眉睫的事情。可以在风险登记册中，先找出10个影响最大的风险，然后从中找到5个发生概率最高的风险，最后从中再选出3个临近度最高的风险。将这三个风险上报至管理层能达到最佳的效果。

2.2.2 “黑天鹅”和“灰犀牛”事件

“黑天鹅事件”一般指发生概率很小，但是一旦发生会造成极大影响的风险性事件，“灰犀牛事件”一般指大概率发生且影响巨大的风险事件，但是有较高的可预测性。举个例子来说，今年初的新冠疫情，对于我国来说是典型的“黑天鹅事件”，而对于国外来说是 “灰犀牛事件”。

对于“黑天鹅事件”，由于我们无法预测也很难评估，发生时往往也没有应对方案，那么最佳的策略只有动用公司级的管理储备。对于“灰犀牛事件”，由于发生概率较大且影响严重，所以要及时上报管理层，并制定应对方案，减轻/规避风险。

2.3风险管理计划

制定风险管理的计划的目的是对识别出的各类风险制定应对策略，以规避/减轻威胁，最大化的利用机会。

PMP和PRINCE2中，对于风险的应对策略大致相同，如下：

● 威胁应对策略：规避；降低、后备/应急、转移；接受
● 机会应对策略：利用；强化；拒绝

这里需要说明的是，制定风险管理计划要充分考虑付出与收获的侧重，所规划的应对措施需要在适当水平的计划中构建。还需要考虑组织和当前环境内对风险的容忍程度，以及风险发生时的管理主体问题。对于那些无法由项目经理应对的风险，要及时上报领导层进行统一决策，以分配额外资源进行风险的规避、减轻等。

2.4实施应对措施

实施风险应对措施是将已做好计划付诸实践，并监督风险应对策略的有效性，如果未能达到预期，还需要采取其他纠正措施。一般在执行风险应对措施的时候，会规定一名风险负责人。

但是实际上，那些已经有应对措施的风险往往不会产生影响，那些无法预知的风险才是团队应对的重点，我们通常只能通过权变措施来处理，并且对于无法识别的风险事件，也经常需要动用公司的管理储备来应对。

2.5风险管理中的沟通

这里要强调一下“沟通”在项目的风险管理过程中的重要性，风险管理的核心是“人”。众所周知，可以被识别出并可由项目经理分配资源应对的风险，其实并不能称之为真正的“风险”。多年的经验教训告诉了我们，可被识别的风险基本都不会真正成为问题，而往往导致项目出现偏差的都是那些未被识别出的突发事件，需要应对这些问题的资源又往往超出了项目经理的权限，所以“沟通”或是“上报”机制就在项目风险的管理过程中尤为重要了。

沟通的目的是与项目的干系人在项目执行过程中同步信息，以获得更多的资源，并了解在当前的时段下各方对风险的偏好程度等。如：超出项目经理所能分配的资源，需要上报管理层决策以分配管理储备应对风险；在重大事件发生期间，特殊干系人对风险的容忍程度可能会有所降低。

3. 风险的价值

虽然风险这个词让人听到就烦躁，但是在项目管理过程中，风险也有着十分重要的作用。众所周知，风险管理的核心是人，而且进行风险管理的同时也可能会影响项目执行效率。那我们就要明确风险管理要达成的目标。

我们将风险描述为：因为……原因，造成……事件，导致……影响。我们要预防风险的诱因，要预警风险发生的事件，要响应风险对目标的影响，这也是在同步项目团队在日常工作中的核心重点的过程。例如：由于重大会议期间，若出现停止服务的问题，一定会遭到用户方投诉，影响本年度运维费用。当团队成员识别到此类风险，一定会明确现阶段的重点目标：要力保服务不中断。同理，在识别到延期风险时团队会加快项目执行，在识别到范围蔓延的风险时团队会加强范围控制。所以，风险的第一个价值是聚焦团队阶段性目标。

上文中谈到，风险的上报过程是提供了一个渠道将这种情况汇总传达到管理层以辅助项目群整体决策。对于超出项目经理职责范畴的风险，通过风险事件的上报也是项目组向公司申请额外资源以应对风险的过程。那么这个过程也是在帮助管理层合理分配公司的管理储备，避免在风险发生时无法对项目提供及时的支持。风险的第二个价值是协调公司管理储备和项目团队风险应对资源的平衡。

当然，风险的发布渠道不仅仅是向上至管理层或是向下至项目团队，也可以向高级用户、向供应商、向其他重要干系人。虽然项目团队谈风险色变，但是风险也不外乎是一个保护团队最好的办法。

风险会伴随着项目的全生命周期，是在VUCA时代无法避免的情况。所以作为一名项目经理，我们不应该惧怕风险，应该善于管理风险并利用其发挥价值。多年的项目管理工作中可以发现，我们很少做真正的风险管理工作，风险对一个成熟的项目经理来说其实是一种意识。所以，最重要的还是要在工作中积累能力，吸取过往项目的经验和教训来丰富自己的风险阅历，才能游刃有余。