基礎
風險評估的基礎是首先要對以下幾項內容進行估計:風險事件發生的可能性大小;可能的結果範圍和危害程度;預期發生的時間;一個風險因素所產生的風險事件的發生頻率。
項目管理的本質是計畫、預測、預算和估算,這都表明了項目中的確定因素是很少的。因此,要決定項目的不確定性就需要考慮項目的方方面面。但這是非常不切實際的,因為評估需要的成本和時間是有限的,因此,一般需要保證的是,風險評估的對象必須是那些在項目中受到最嚴重的約束和具有最大不確定性的地方。另外,需要強調的是,這個評估的過程事實上是反覆的,只有當評估者和項目經理都認為所有未發現的風險都是無關緊要的時候,風險評估才能完成。評估過程允許風險承擔者定義風險類型。可以根據機率和影響,或者根據安全措施和冒險。影響表示的是作用於預算、項目完成時間表、工作質量或者項目安全性的影響的嚴重程度。風險發生的機率及風險影響的程度究竟是高還是低,是風險評估者和項目經理所關心的問題。
工具
常用的方法工具包括:風險可能和危害分析等級矩陣、項目假定測試(projectassumptionstesting)、數據精度分級(dataprecisionranking)。
(1)風險可能和危害分析等級矩陣。風險的大小是由兩個方面決定的,一是風險發生的可能性,另一個是風險發生後對項目目標所造成的危害程度,對這兩方面,可以用一些定性的描述詞分別進行描述,如“非常高的”、“高的”、“適度的”、“低的”和“非常低的”等。
(2)項目假定測試。風險評估中的項目假定測試是一種模擬技術,它是分別對一系列的假定及其推論進行測試,進而發現風險的一些定性信息。
(3)數據精度分級。風險估計需要準確的、不帶偏見的有益於管理的數據,數據精度分級就是套用於這方面的一種技術,它可以估計有關風險的數據對風險管理有用的程度。它包括如下的方面:風險的了解範圍;有關風險的數據;數據的質量;數據的可信度和真實度等。
基本步驟
要讓所有的事情都去掉主觀性是很困難的,但是實踐和經驗可以提高項目經理預測風險的機率和影響的能力。通常的風險評估過程都由以下六個基本步驟構成。
(1)評估所有的方法。所有不同的方法都應該考慮到,所有影響風險的因素都必須考慮。頭腦風暴法或其他的風險識別方法應該使用得透徹,所有可能影響風險發生的因素都應該考慮到。
(2)考慮風險態度。決策者的風險態度是需要重點考慮的。不同的人會用不同的態度估計風險,並且使用同樣的數據做出不同的決定。一些決策者,與其他的決策者相比較,或多或少是厭惡風險的,並且會根據給定的數據,對風險的發生和影響做出不同的主觀評估。
(3)考慮風險的特徵。風險是否已經識別、它們是否可控和它們的影響將會怎樣,這些都是需要考慮的。控制已經識別(例如內部可控的)的風險而不是其他的(例如外部不可控的)風險,這是可能的。所有可能的風險特徵都需要識別。
(4)建立測量系統。風險需要用定量或定性(或綜合的)方法測量和評估。一些方法是使用已經建立的模型,這些模型輸入了風險的特徵和風險面臨的情況,這樣,根據歷史經驗就可以做出預測。
(5)解釋結果。測量中生產的數據需要解釋。這種解釋同樣也有定性的或定量的。測量過程的結果給預測和可能的結果提供了一種暗示,但是這些仍需要解釋。兩個不同的解釋人員可能用的是同樣的數據和結果,但他們所做的評價卻不相同。解釋可能會根據觀察到的數據用外推法對未來的結果做出預測。
(6)做決策。整個過程的最後階段需要決定哪些風險會保留,哪些風險要轉移出去。風險是否保留取決於組織的實際情況和決策者的態度。
依據
(一)已識別的風險 已識別的科技計畫項目風險是項目風險評估的基礎。
(二)項目的進展情況 在項目的不同階段,所面臨的風險程度是不同的。一般來說,隨著項目的進展,項目的風險和不確定性就會逐步降低。
(三)項目的性質和規模 由於各科技計畫項目的性質不同,風險對其影響程度也不一樣。一般來說,較小的科技計畫項目風險程度較低,大型、複雜的項目或高新技術項目的風險程度則會比較高。
(四)數據的準確性和可靠性 數據的準確性和可靠性都會影響項目風險評估的結果,所以要對數據的準確性和可靠性進行評估。
可採用的方法
項目風險評估一般有定性和定量兩種方法。在項目管理實踐中,將專家和項目管理人員的估計與有限數據相結合,成為項目風險評估中運用較多的方法。在項目風險評估中,採用何種方法,取決於項目風險的來源、發生的機率、風險的影響程度和管理者對風險的態度。
定性風險評估
1.歷史資料法
在項目情況基本相同的條件下,通過觀察各個潛在的風險在長時期內已經發生的次數,就能估計每一可能事件發生的機率,這種估計是基於每一事件過去已經發生的頻率。
2.理論機率分布法
當項目的管理者沒有足夠的歷史信息和資料來確定項目風險事件的機率時,可根據理論上的某些機率分布來補充或修正,從而建立風險的機率分布圖。
常用的風險機率分布是常態分配,常態分配可以描述許多風險的機率分布,如交通事故、財產損失、加工製造的偏差等。除此之外,在風險評估中常用的理論機率分布還有離散分布、等機率分布、階梯形分布、三角形分布和對數常態分配等。
3.主觀機率
由於項目的一次性和獨特性,不同項目的風險往往存在差別。因此,項目管理者在很多情況下要根據自己的經驗,去測度項目風險事件發生的機率或機率分布,這樣得到的項目風險機率被稱為主觀機率。主觀機率的大小常常根據人們長期積累的經驗、對項目活動及其有關風險事件的了解而估計。
4.風險事件後果的估計
風險事故造成的損失大小要從三個方面來衡量:風險損失的性質、風險損失範圍的大小和風險損失的時間分布。
定量風險評估
定量風險評估包括訪談法、盈虧平衡分析、敏感性分析、決策樹分析和非肯定型決策分析。
結果
項目風險評估最重要的結果就是量化了的項目風險清單。該清單綜合考慮了項目風險發生的機率、風險後果的影響程度等因素,因此項目承擔單位可依此對項目風險進行排序,從而確定採取什麼樣的風險應對措施以及控制措施應實施到什麼程度。
項目風險清單一般可包括以下內容:
①項目風險發生機率的大小。
②項目風險可能影響的範圍。
③對項目風險預期發生時間的估算。
④項目風險可能產生的後果。
⑤項目風險等級的確定。
項目風險分成的四個等級:
a.災難級——這類等級的風險必須立即予以排除。
b.嚴重級——這類風險會造成項目偏離目標,需要立即採取控制措施。
C.輕微級——暫時不會對項目產生危害,但也要考慮採取應對措施。
d.忽略級——這類風險可以忽略,不採取控制措施。