15.4 实施定量风险分析，对影响进行量化分析（规划过程）
就已识别的单个风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。
作用：量化整体项目的最大可能性，并提供额外的定量风险信息，以支持风险应对规划。
并非所有项目都需要实施定量风险分析，已最可能适用的情况如下：
1、大型或复杂的项目。2、具有战略重要性的项目。3、合同要求进行定量分析的项目。4、主要干系人要求进行定量分析的项目。
定量风险分析也可以在规划风险应对过程之后展开，以分析已规划的应对措施对降低整体项目风险最大可能的有效性。

输入：
项目管理计划
风险管理计划：确定项目是否需要定量风险分析，详述可用于分析的资源以及预期的分析频率。
项目文件
风险登记册：包含了用作定量风险分析输入的单个风险的详细信息。
资源需求：提供了对变化性进行评估的起点。（获取资源和采购过程需要）
持续时间估算：提供了对进度变化性进行评估的起点。（来自进度过程）
成本估算：提供了对成本变化进行评估的起点。（来自成本过程）

工具与技术：
访谈：用于针对单个项目风险和其他不确定性来源，生成定量风险分析的输入。（在识别风险、定性和定量风险都是做为工具）
不确定性表现方式，如果活动持续时间、成本等不确定，在模型中用概率分布（三角分布、正态分布、对数正态分布、贝塔或离散分布）来表示其数值的区间。
数据分析——二分（敏感性分析、决策树分析）一模（模拟）一图（影响图）
模拟是单变量反复模拟，通常用蒙特卡洛分析。输入成本估算、进度图、持续时间估算等，输出次数的直方图，累计概率分布，S曲线。
敏感性分析，有助于确定哪些风险对项目具有最大的潜在影响，有助于理解项目结果变异与定量风险分析模型中的要素变异之间存在怎么样的关系。（经济性科研过程也用到这个工具）
把所有其他不确定因素固定在基准值，考察每个因素的变化对目标产生多大的影响。敏感性分析表现形式是龙卷风图。用于比较狠不确定的数量和相对稳定的变量之间的相对重要性和相对影响。
决策树分析，在若干备选行动方案中选择一个最佳方案，不同分支代表不同的决策或事件。
机会的EMV通常表示为正直，威胁的EMV表示为负值。EMV是建立在风险是中性的假设之上，既不避险也不冒险。
影响图，不确定条件下决策制定的图形辅助工具，是对变量与结果之间的因果关系、事件事件顺序及其他关系的图形表示。

输出：项目文件更新：风险登记册

15.5 规划风险应对，制定可选策略，选择应对策略并商定应对行动（规划过程）
为了应对风险，而制定可选方案、选择应对策略并商定应对行动的过程。
作用：制定应对整体风险和单个项目风险的适当方法。分配资源，并根据需要将相关活动添加进项目文件和项目管理计划。
风险应对必须：1、与风险的重要性相匹配；2、能经济有效地应对挑战；3、现实可行；4、能获得全体主要干系人的同意；5、由一名责任人具体负责(风险应对责任人)。

输入：项目管理文件
风险管理计划，风险角色和职责、风险临界值。
成本基准：包含了拟用风险应对的应急资金的信息。
项目文件
风险登记册：包含了已识别并排序的、需要应对的单个项目风险的详细信息。
干系人登记册：列出了风险应对的潜在责任人。
项目团队派工单：列明了可用于风险应对的人力资源。
资源日历：确定了潜在的资源何时可用于风险应对。

工具与技术：
威胁应对策略：上报、规避、转移、减轻、接受

机会应对策略：上报、开拓、分享、提高、接受

应急应对策略：仅在特定时间发生时采用的应对措施。
如果确信风险的发生会有充分的预警信号，就应该制定应急应对策略。采用此技术制定的风险应对计划称为应急计划或弹回计划，包括已识别的、用于启动计划的触发事件。
另外注意一下风险：此生风险、残余风险（残留风险，通常克接受）、弹回计划（备胎计划）、权变措施（风险登记册没有记录。未事先制定或事先制定措施无效，针对已发生的未知风险采取的措施）。

输出：变更请求
项目文件更新
风险报告：1、商定的应对策略、、实施应对策略所需的具体行动；2、风险发生的触发条件、征兆和预警信号；3、实施所选应对策略所需的预算和进度活动；4、应急计划、弹回计划、残余风险、次生风险。
风险登记册：1、针对当前整体项目风险敞口和高优先级风险的经商定的应对措施；2、实施这些措施后的预期变化。

15.6 实施风险应对，执行商定的风险应对计划（执行过程）
执行商定的风险应对计划的过程。作用：确保按计划执行商定的风险应对措施，管理整体风险敞口、最小化单个项目威胁、最大化单个项目机会。

输入：项目管理计划
风险登记册：列出了与风险管理相关的项目成员及干系人的角色和职责。
项目文件：风险登记册，记录了每个风险的应对措施和责任人。
工具与技术：人际关系与团队技能
影响力：有些风险应对措施可能由直属项目团队以外的人员去执行，或由存在其他竞争性需求的人员去执行。
这种情况下，项目经理需要施展影响力，去鼓励指定的风险责任人采取所需的行动。
输出：
项目文件更新，风险登记册：更新风险登记册以反映开展本过程所导致的对单个项目风险的已商定应对措施的任何变更。

15.7 监督风险，监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析风险，评估风险管理有效性（监控过程）
在整个项目期间，监督商定的风险应对计划的实施、跟踪已识别风险、监督残余风险、识别新风险、关闭过时的风险，以及评估风险管理过程有效性的过程。
作用：保证项目决策是在整体项目风险和单个项目风险当前信息的基础上进行。

输入：
项目管理计划，风险管理计划：规定如何审查风险、监督风险，遵守哪些政策和程序及报告。
项目文件，风险登记册：有用于评估应对计划有效性的控制措施、残余风险和次生风险等各类信息。
工作绩效数据：已实施的风险应对措施、已发生的风险、仍活跃及已关闭的风险。
工作绩效报告：监督与绩效相关的风险时，需要使用其中包括的偏差分析结果、挣值数据和预测数据。

工具与技术：
数据分析，技术绩效分析（只有在项目风险管理出现）：把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较。要求定义关于技术绩效的客观的、量化的测量指标。实际结果偏离计划的程度可以代表威胁或机会的潜在影响。
储备分析（在成本估算中出现）：在项目的任一时点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理。
风险审计：用于评估风险管理过程的有效性，（第二大审计，针对过程），可开展的位置：日常项目审查会（范围大）、风险审查会（范围中）、专门的风险审计会（范围小）。
会议：适应于该会议包括：风险审查会。

输出：
风险登记册：添加新风险、更新已过时风险或已发生风险、更新风险应对措施。

项目风险：一种不确定事件，一旦发生对一个或多个项目造成积极或消极（机会或威胁）影响。
风险三要素，概率，影响，风险事件。
三属性：收益越大愿意冒风险越大；投入越大愿意冒风险越小；资源越多愿意冒风险越大。
三个可变性：性质的变化、后果的变化、出现新风险。
分类：
按可预测性风险划分：
1、已知风险：可识别可预见。基本成本。
2、未知风险：可识别不可预见。应急储备。
3、不可预测风险：不可识别不可预见，管理储备。
按后果划分（二者在一定条件下可相互转换）：
纯粹风险：造成损失、不造成损失。
投机风险：造成损失、不造成损失、获得利益。
管理人员必须避免投机风险转化为纯粹风险。

风险成本及其负担：
风险成本：风险事件造成的损失或减少的收益以及防止发生风险事件采取预防措施而支付的费用。
划分：
有形成本：直接损失（财产或人员伤亡的价值）。间接损失（直接损失之外的损失，例如停工发生的成本）。
无形成本：由于风险的不确定性而使项目主体在风险发生前或后付出的代价。例如风险损失减少了机会、阻碍了生产率的提高等。
预防和控制风险的成本：投保、咨询、配备人员、培训、维护费等。

风险成本不单右项目主体负担（个体负担成本），与项目有关的其他方面客观上也要负担一部分（社会负担成本）。

什么事风险态度：
个人或组织认为自己应该冒多大的风险，如果风险为超出应该冒的风险，会觉的舒服。个人或团体的风险态度影响其应对风险的方式。
分为：风险冒进者、风险中立者、风险规避者。
风险的偏好和态度：
影响风险的因素：风险偏好（愿不愿意接受）、风险承受力（能不能做）、风险临界值（要不要管）。
合适且正确的做法：风险承受力 > 风险偏好 > 风险临界值。

项目风险管理的实践：非事件类风险
传统关注：事件类风险，可能发生或不可能发生的不确定未来事件的风险。
发展趋势：非事件类风险——变异类风险、模糊类风险。
项目风险管理的实践：整合式风险管理
1、在较高层面识别的风险，授权给团队去管理。
2、较低层面识别的风险，又可能交给上层去管理。
3、采用协调式企业级风险管理方法，来确保所有层面的风险管理工作的一致性和连贯性。

15.1 规划风险管理：定义如何实施项目风险管理活动（规划过程组）
定义如何实施项目风险管理活动的过程。
作用：确保风险管理的水平、方法和可见度与项目风险程度互相匹配。以及确保与项目对组织或其他干系人的重要程度相匹配。

输入：
项目章程（有高层级风险）、项目管理计划、项目文件（干系人登记册）、事业环境因素、组织过程资产。
项目章程：记录了总体描述和边界、总体的需求和风险。
干系人登记册：概述了干系人的角色和对风险的态度。用于确定项目风险管理的角色和职责，以及设定项目风险临界值。

工具与技术：
专家判断、数据分析（干系人分析）、会议
干系人分析：通过分析确定干系人的风险偏好。
会议：规划会议来编制风险管理计划。

输出：风险管理计划：
描述如何安排与实施风险管理活动（风险管理计划无风险）。
通用内容：风险管理战略、方法论、资金、时间安排、文件格式、跟踪等。
非通用内容：
角色与职责：角色与职责:确定每项风险管理活动的领导者、支持者和团队成员，并明确他们的职责。
风险类别——确定对单个项目风险进行分类的方法，通常借助风险分解结构(RBS)来构建风险类别。
干系人风险偏好——应该针对每个项目目标，把干系人的风险偏好表述成可测量的风险临界值。
概率和影响矩阵——把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。通常由组织来设定概卒和影响的各种组合，并据此设定高、中、低风险级别。

风险概率和影响定义：根据具体的项目环境、组织和关键干系人的风险偏好和临界值，来制定风险概率和影响定义。项目可能自行制定具体定义，或者用组织提供的通用定义作为出发点。
风险分解结构(RBS)：是潜在风险来源的层级展现。有助于项目团队考虑单个项目风险的全部可能来源对识别风险或归类已识别风险特别有用。

15.2 识别风险，识别并记录风险（规划过程组）
识别单个项目风险以及整体项目风险的来源，并记录风险特征的过程。
作用：记录现有的单个风险以及整体风险的来源、灰机相关信息以便团队能够恰当应对已知风险。
鼓励所有项目干系人参与单个风险识别工作，团队参与。识别风险是一个迭代的过程，迭代频率和参与程度在风险管理计划中规定。

输入：
项目管理计划（三大基准、风险管理计划等）项目文件（干系人登记册、假设日志、需求文件、问题日志等）、采购文档、协议、事业环境····、组织过程····。
项目管理计划：
风险管理计划：规定了风险管理的角色和职美、描述了风险类别。
范围基准----包括的可交付成果及验收标准可能引发风险；还包括工作分解结构用于风险识别工作的框架。
进度基准----可以找出存在不确定性或模糊性的里程碑日期和可交付成果交付日期。
成本基准----可以找出存在不确定性或模糊性的成本估算或资金需求。

干系人登记册----规定了哪些人参与风险识别，详细说明哪些人适合扮演风险责任人角色。
需求文件：确定哪些需求存在风险。
假设日志（项目整合那制定项目章程中，产生项目章程和假设日志）：记录的假设条件和制约因素可能引发单个项目风险，还可能影响整体项目风险的级别。
问题日志：记录的问题可能引发单个项目风险，还可能影响整体项目风险的级别。
工具与技术：
数据收集（头脑风暴、核查单、访谈）、数据分析（根本原因分析、假设分析、SWOT分析等）、提示清单、风险研讨会。
头脑风暴：可以用风险类别（RBS）做为识别风险的框架。
核对单：类似历史信息和知识来编制核对单。
数据分析（RCA）：用于发现导致问题的深层次原因并制定预防措施。识别风险和机会。
假设条件和制约因素：假设条件的不准确、不稳定、不一致或不完整，识别威胁。通过清除或放松会影响项目过程执行的制约因素，创造机会。
文件分析：对项目文件的结构化审查，识别风险。
SWOT分析：优势、劣势、机会、威胁。
提示清单：关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单。可以用风险分解结构（RBS），底层的风险类别做为提示清单。

输出：风险登记册、风险报告、项目文件更新。
风险登记册：记录已识别的单个风险的信息。其编制始于识别风险的过程。
已识别风险清单、潜在风险责任人、潜在应对措施清单。
风险报告：提供关于整体项目风险的来源、已识别的单个项目风险的概述信息，编制需要渐进式。

15.3 实施定性风险分析：评估风险的概率和影响，对风险进行优先级排序（规划过程）
通过评估单个风险发生的概率和影响及其特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程。
作用：重点关注高优先级的风险。
本过程为每个风险识别出责任人，由他们负责规划风险应对措施，并确保应对措施的实施。在整个项目周期要定期开展本过程，敏捷项目中通常在每次迭代前进行。

输入：项目管理计划(风险管理计划)、项目文件(风险登记册、干系人登记册等)、事业环境因素，组织过程资产。
风险管理计划：本过程中需要特别注意的是风险管理的角色和职责、预算和进度活动安排、风险类别、概率和影响定义、概率和影响矩阵、干系人的风险临界值。
风险登记册：包括将在本过程评估的、已识别的项目风险的详细信息。
干系人登记册：包括可能被指定为风险责任人的项目干系人的详细信息,

工具与技术（访谈、三评一矩一图）：
1、数据收集(访谈)：结构化或半结构化的访谈可以用于评估单个项目风险的概率和影响。
2、数据分析(概率影响评估、其他参数评估、风险数据质量评估)：考虑风险发生的可能性，对每个奉献都要进行概率和影响评估。
3、数据表现(概率和影响矩阵、层级图)，此矩阵对概率和影响进行组合，以便于把单个风险划分不同的优先级组别。
如果威胁处于矩阵高风险(黑色)区域就可能需要采取优先措施和激进的应对策略
处于低风险(白色)区域的威胁，作为观察对象列入风险登记册，或为之增加应急储备，不必采取主动管理措施。
处于高风险(黑色)区域的机会，应该首先抓住。对于低风险(白色)区域的机会，则应加以监督。

层级图：如果使用了两个以上的参数对风险进行分类，则不能使用概率和影响矩阵，需要其他图形，例如气泡图，X、Y轴和气泡大小来表示风险的三个参数。

4、风险分类
5、会议

实施定性风险分析的过程示例：
1、分析每个风险的概率和影响；
2、从“概率量表”和“影响量表”中找到对应的定义等级及分值；这俩表在风险管理计划中。
3、将概率分值*影响分值，将得到的总分从“概率和影响矩阵”中找到对应的组别；
4、在每个优先级组别内根据概率-影响分值对每个风险进行优先级排序；
5、确定风险的应对责任人，这个人负责后续的工作，包括制定和落实应对措施;

输出：项目文件更新(风险登记册、风险报告)
风险登记册——更新内容包括：单个项目风险的概率和影响评估、优先级别或风险分值、指定风险责任人。
风险紧迫性信息或风险类别，以及低优先级风险的观察清单和需要进一步分析的风险。
风险报告：记录最重要的单个项目风险、所有已识别风险的优先级列表以及简要的结论。

监控项目工作

作用：让干系人了解项目状态并认可为处理绩效问题而采取的行动，贯穿整个项目，是唯一输出工作绩效报告的过程。
输入：进度预测、成本预测、工作绩效信息（范围、进度、成本、质量以及项目管理计划中定义的其他工作绩效信息）
工具：
偏差分析：把实际情况和基准比较（范围、进度、成本等）、挣值分析、趋势分析、根本原因分析RCA、备选方案分析、成本效益分析。
决策：投票、一致同意、大多数同意，相对多数原则等。
输出：工作绩效报告，为了制定决策、采取行动或者引起注意。

在管理沟通的过程中，拿着绩效报告跟干系人汇报。

控制质量QC：核实可交付成果
为了评估绩效，确保项目输出完整、正确且满足客户期望，监督和记录质量管理活动执行结果的过程。
输入：
可交付成果、质量测量指标、测试与评估文件、经验教训登记册、批准的变更请求（在 指导与管理项目工作 过程中开始执行，在 管理质量 过程中查看有没有被正确的执行， 管理质量 有个工具 质量审计，质量审计的目标：识别、分享、协助、强调、确认<批准的变更请求有没有被正确实施>）。
工具与技术：
数据收集：核对单（checklist）核查表（checksheets），用核查表收集的关于缺陷数量或者后果的数据，经常使用帕累托图显示。统计抽样、属性抽样、变量抽样、问卷调查。
数据分析：绩效审查、根本原因分析（RCA）用于识别缺陷成因。
检查：检查工作产品是否符合标准。审计审过程，检查查结果。
测试/评估：测试产品质量。
数据表现：控制图，用来确定一个过程是否稳定或者是否具有可预测的绩效。
规格上线和下限，超过就要受处罚，次品，红线（高压线）。
控制上线和下限，一个稳定的自然波动范围。
失控：某个数据点超过控制线，连续7个点在均值上方或下方。无需停产，要查原因。

输出：质量控制测量结果、核实的可交付成果、变更请求和项目文件变更（问题日志、测试与评估文件、风险登记册、经验教训登记册）。
有问题查原因——走变更（缺陷补救）

确认范围
客户或者发起人正式验收可交付成果的过程。
输入：核实的可交付成果、验收标准。
检查：检查可交付成果。
输出：验收的可交付成果，变更请求（验收没通过），记录原因、走变更缺陷补救。

控制质量是内部控制，正确性。内部QC部门进行，通常先做也可以同时进行，依据是是否符合质量测量指标。交付：核实的可交付成果。

确认范围是外部客户确认，客户可接受性。项目发起人/客户发起。看是否满足验收标准，交付：验收完的可交付成果。

附：
质量审计：识别全部正在实施的良好做法、最佳实践；识别全部差距、不足；分享所在组织和/或行业中类似项目的良好实践；积极主动提供协助，改进过程的执行，从而帮助团队提高生产效率；强调每次审计都应对组织经验教训的积累做出贡献。质量审计还可确认已批准的变更请求的实施情况。

风险审计：检查并记录风险应对措施在处理已识别风险及其根源方面的有效性，以及风险管理过程的有效性。项目经理要确保按项目风险管理计划规定的频率来实施风险审计。既可以在日常项目审查会中进行风险审计，也可单独召开风险审计会议。在实施审计前要明确定义审计的格式和目标。

采购审计：对从规划采购到管理采购过程的所有采购过程进行结构化审查。其目的是找出可供本项目其他采购合同或执行组织内其他项目借鉴的成功经验与失败教训。