7 风险应对
7.1 风险应对概述
风险应对是通过选择并实施适当的风险应对措施,将风险控制在业务相关方可接受的范围内。一般包括以下步骤:
a) 选择风险应对措施;
b) 制定风险应对方案;
c) 实施已获批准的风险应对措施或方案;
d) 记录风险应对过程与结果。
7.2 风险应对的输入
风险应对的输入主要包括:
a) 项目环境信息(更新);
b) 风险管理计划;
c) 项目目标及优先级;
d) 项目管理组织体系、责任、授权级别、决策过程及现有资源;
e) 风险登记册或风险源清单;
f) 风险排序结果或清单;
g) 资源分析数据;
h) 研制阶段各项评审或审查结论、专家意见;
i) 积累的国内外类似项目的经验及有关数据;
j) 业务相关方的风险承受能力或容许度、提供的风险信息等;
k) 相关专家意见、标准、模板及其他可利用的信息等。
7.3 选择风险应对措施
7.3.1 风险应对措施类型
风险应对措施一般分为以下四类,选择与实施流程图见图3:
a) 风险规避:消除风险源,如更改设计方案、技术要求、规范等,即取消某项不确定性因素。要实现风险规避,需了解各种要求和约束条件之间的关系,与要求分析同时开展。该措施多用于不可接受区域的风险。
b) 风险降低:承认风险,并尽力减少风险发生的可能性,或后果的影响程度或范围。选择风险降低措施应对相应的资源投入和预期效益进行权衡分析,整体评估应对效果,关注剩余风险或可能产生的次生风险。
c) 风险转移(分担):将风险可能产生的后果全部或部分有偿地转移(分担)给其他业务相关方,如分包或保险;风险也可以转移或重新分配到不同的工作分解结构单元或工作包中。应分析采用风险转移(分担)措施可能产生的次生风险。
d) 风险承担(接受):判定风险可以容忍并予以接受。该措施多用于可接受区域的风险,在特殊需求下,也可能用于其他区域的风险。
7.3.2 考虑因素
选择风险应对措施时,应考虑以下方面:
a) 风险应对措施的及时性、有效性,及其与风险的重要性或优先序的匹配度。
b) 评估其剩余风险的性质和程度,判断是否可以容忍。如果剩余风险不可容忍,应调整或选择新的风险应对措施,并评估应对效果,直到剩余风险可以容忍。
c) 可能产生的次生风险,对次生风险也应开展评估、应对和监督。
d) 从备选措施中选择一项综合效益最佳的风险应对措施,并获得业务相关方的同意。
e) 风险应对措施与风险管理计划、项目管理计划、项目预算和进度计划等的协调性,必要时,对相关计划性文件做出调整。
7.3.3 记录风险应对措施
记录风险应对措施的过程与结果信息,应将以下主要信息纳入风险登记册:
a) 风险应对措施描述;
b) 应对责任人;
c) 应对时限与资源要求等。
7.4 风险应对方案
7.4.1 编制与审批风险应对方案
对于不可接受区域的风险,针对确定的风险应对措施,可单独编制详尽的风险应对方案,并提交项目管理责任人或风险管理委员会审批。必要时,可提交订购方确认。风险应对方案的主要信息亦应纳入风险登记册。对于中间区域或可接受区域的风险,一般不再单独编制风险应对方案。编制与审批流程见图4。
7.4.2 风险应对方案的内容
风险应对方案的内容应是现实可行、可度量、可考核的,尽可能详尽到根据其描述可以采取具体应对行动。风险应对方案的主要内容参见附录G。
7.5 实施风险应对
根据已获批准的风险应对措施或方案,实施具体的风险应对工作。并跟踪、监督风险应对效果和项目环境信息的变化。必要时,调整或重新制定风险应对措施或方案。
7.6 风险应对的输出
风险应对的输出主要包括:
a) 选定的风险应对措施;
b) 应对责任人、时限、资源等信息;
c) 必要的风险应对方案;
d) 应对效果的评价基准;
e) 项目环境信息(更新);
f) 风险管理计划和变更记录;
g) 过程记录或其他必要文件。