9-项目风险管理

（十）项目风险管理
10-1 风险的概念
10.10：项目风险的定义
在进入风险管理领域之前，也许我们需要改变一下思维的角度。

如果此前我们习惯于用积极的态度去对待一切事情的话，那么现在开始，我们需要用消极的眼光去看待一切了。

在采购供应链管理的章节中，我们追求零库存的境界，以最大限度地节约成本；但是当风险降临时我们才发现库存的必要性，手中有粮，才能心中不慌。

戴着泊诺的黄帽子，我们会建议公司的名称最好与产品的品牌保持一致，因为一旦品牌打响了公司会随之扬名。

可是当我们戴上泊诺的黑帽子时，就会认为公司名称最好与产品品牌保持不同，因为万一产品砸了牌子，公司不至于被拖累致死，还有东山再起的机会。

图-10.10给出了项目风险的定义。

这个定义至少包含了三个含义：
外因：风险来自于项目所处的外部环境的不确定性和不稳定性，因此很多来自外部影响力的变化难以预见。

内因：风险来自于项目团队不能准确预见和不能控制的因素，这不但由于人们认识事物的局限性，而且由于信息的不完备性及滞后性。

结果：除了不确定的外因和内因，认定风险还必须有结果，即项目的绩效偏离了干系人的预期。

不过仅仅偏离预期还不一定都是风险，提前完成任务也是偏离预期，只有负面偏离预期并形成了损失，才叫做风险。

风险并不一定都是灾难性的，项目实施中最常见的风险就是项目的质量不合格，成本超预算，工期拖延，也就是说项目的实施突破了图-1.30中质量、时间、成本三条边的约束。

这意味着风险随时都有可能发生，它天天睡在我们身边。

10.11：风险的认知状态
人类对事物的认知，是一个渐进的过程，认识风险的过程亦是如此。

这个认识过程可以分为三种占有信息的状态，也可以视为三个渐进的阶段：1）完全没有信息的状态；2）部分掌握信息的状态；3）完全掌握信息的状态。

如图-10.11所示，这三种掌握信息的状态，决定着我们对风险的三种认知程度：
在完全没有信息的状态下，风险几乎是不可能预见的。

例如“非典”，它给全中国带来了意想不到的灾难，使很多项目中途搁浅，但是由于从前没有关于它的任何记
录，任何迹象，因此谁也不可能事先预见它的光顾。

几乎所有风险在第一次发生的
时候都属于这种情况。

在部分掌握信息的状态下，风险可能预见，但是难以准确预测。

人们往往用已知部分的信息去推断未知部分的信息，这种推断有一定根据，但是谁也不敢保证完全准
确。

“非典”发生过一次之后，就从不可能预见的风险变成了可能预见但是难以准
确预测的风险了，人们从上一次的记录中知道了它的存在形态、传播方式和条件，但是它是否还会再一次出现，何时出现，以什么形式出现，后果如何，谁都没有把
握准确预测。

其他项目有过各种各样失误或失败的记录，这些经验教训也被写进了
教科书，但是它们是否能够避免在你的项目上重演，一半靠我们对于掌握信息的分
析判断，另一半恐怕还得靠运气。

在完全掌握信息的状态下，风险就是可以准确预测的了。

例如天气变化，这类风险无时不刻处于人类的监控之中。

建立在人类数千年历史记录上的气象监测技术，几
乎可以准确预测一个地区几天之内的降水概率、温度、风速。

如果你周末准备到野
外郊游，只要抓起电话，一般都可以得到气候风险的准确预测。

在项目风险管理中，完全不能预测的风险和可以准确预测的风险都属于极端现象，对前者的管理无从着手；对后者的管理已成规范，因此都不必给予更多关注。

现实中的绝大部分情况都属于第二种类型的风险，这类风险才是风险管理的主要关注点。

信息的不完备导致风险不能准确预测，这既有客观因素也有主观因素。

客观原因是有关风险的信息本身不完备，即使你完全掌握也不足以准确判断风险；主观原因是有关风险的信息已比较完备，但是你掌握的信息不足以准确判断风险。

而后一种情况，本身就构成管理风险，也是风险管理重点中的重点。

10.12：项目风险的分类
人类总是在鉴别和对比中认识事物的，我们也将这样认识风险。

鉴别和对比是通过分类实现的，图-10.12中的矩阵表，显示了项目风险的基本分类。

从客观的角度出发，项目的风险可以横向划为内外两个范畴：
项目所处的外部环境产生的风险，被称为系统风险，系统风险是项目组织无法回避也无法控制的，只能被动应对，力求减少风险损失。

项目内部原因产生的风险，被称为非系统风险。

非系统风险是项目组织有可能主动预防和控制的，这取决于组织的风险管理水平。

海起风浪是系统风险，船出故障是非系统风险；亚洲金融危机是系统风险，而项目财务危机是非系统风险；非典疫情导致异地交流项目中止，是系统风险，组织防疫措施不力导致病毒扩散，是非系统风险。

一般情况下，系统风险对项目的危害性要大于非系统风险，但项目经理对非系统风险的责任却大于系统风险。

老天爷要下雨谁也怨不得，可是若自己没带伞就活该了。

俗话说：天作孽尚可恕，自作孽不可恕。

从主观的角度出发，项目的风险又可以纵向分为三个层次：
认识风险，指那些难以预见的风险。

它考验的是组织的学习能力；
决策风险，指那些难以预防的风险。

它考验的是组织的管理能力；
控制风险，指那些难以应对的风险。

它考验的是组织的执行能力；
未能识别“非典”病毒，是认识风险；识别了不知道该怎样对付它，是决策风险；有了对策但挡不住疫情蔓延，是控制风险。

一般情况下，认识风险要大于决策风险，因为认识是决策的前提；而决策风险又要大于控制风险，因为决策是应对的基础。

但如果在认识不足且决策未定的情况下就鲁莽行事，那么应对就变成最大的风险了。

盲人骑瞎马误入雷区，风险被一网打尽了。

魏文王问扁鹊，他行医的兄弟三人中，谁的医术最好。

扁鹊回答，长兄最好，二哥次之，自己最差。

魏王听了很诧异，说你扁鹊载誉全国，被奉为神医，怎么会不如你那两个默默无闻的兄长？扁鹊说，我大哥可以在病态还没有暴露之前就采取预防措施将病因排除，因此在人们眼里就是个保健医生；我二哥可以在病状刚刚露头的时候就及时扑灭病灶，因此在人们眼里仅是个能治小病的乡村庸医；而我自己擅长治病危的病人，死马当做活马医，若是没能救活，死者不会抱怨，也不会传话告诉别人去诋毁我；而一旦碰上个起死回生的病例，凭患者现身说法的口碑就足以名扬天下了。

扁鹊三兄弟的医术正体现了上述三个层次的风险管理水平。

大哥擅长预见风险，二哥擅长预防风险，扁鹊则擅长应对风险。

谁的水平高？
10.13：项目风险的特征
风险是项目管理中最复杂的概念，因为它在很大程度上涉及的是对未发生事件的推测，它既体现客观存在，也含有主观臆断。

如图-10.13所示，风险的识别和平估，本身都带有很大的不确定性，我们需要从以下三个方面去把握它的特征：
1.风险发生的随机性。

风险事件往往是偶然的，这就造成了预测它的困难。

然而这正
是风险之所以存在的理由，如果风险的发生都变成规律性的，后果都变成了必然性
的，就不再是风险了。

人类已经熟知了冬季必有严寒降临，就不再把严寒当作风险
了，它变成了理所当然并司空见惯的事情；人们已经确认吃砒霜必然致命，砒霜就
不再是风险了，除非发生自杀或谋杀。

游泳有风险，因为可能淹死人，但是什么人
会被淹死则完全是随机事件，很难有规律可循。

风险的随机性为它的识别和量化带
来了很大困难，不过，一旦它能够被识别并量化，风险性也就大大降低了。

2.风险后果的相对性。

风险在某种程度上是相对于当事人的承受能力而言的，赌博输
了一千元钱，对于一个年收入只有两千元的穷人就是巨大的风险，而对于一个年收
入逾百万元的富人，只是个娱乐游戏。

一次伤风感冒对于一个身强力壮的年轻人不
算什么大风险，但是对于一个九十多岁的垂暮老人就是致命的危机。

一个女人三十
五岁仍未结婚，人们会担心她独身，一个男人三十五岁未婚，人们会羡慕他自由。

这说明，风险的承受能力有客观指标，也有主观倾向，后者涉及到人的心理因素，这就为风险的量化带来了很大的弹性空间，常常令实证主义的科学手段捉襟见肘。

3.风险发展的渐变性。

风险的内因和外因都有一个从量变到质变的演变过程。

正因为
描述并监控这种演变，人们才需要为风险的进程设置里程碑并划分阶段。

有些风险
表面上看是突发的，这是由于它的潜伏征兆长期被视若无睹的结果。

心脏病是突发
的，但是血管硬化是几十年累积的；地震海啸是突发的，但这是地壳长期运动的结
果；项目的质量事故看起来是突发的，但这是管理松弛所酿成的苦果。

风险的渐变
性，使我们有可能采取抽样过去的方法来推断未来，通过分析量变的进程去捕捉风
险临近的脚步。

上述的三个特征，让人类在面对风险时处于一个非常尴尬的局面。

一方面，我们需要通过进程去推断结局，这中间隐含着大量的随机因素和主观臆断，但另一方面，我们又不愿意最终证实那个自己推断的结局。

就像你天天警告你的孩子吃饭不洗手就会得病，但是又绝不愿意亲眼看到那个验证你警告的真理。

也就是说，在和风险的博弈中，我们总是在捕捉一个
自己都不愿意抓住的影子，其中最大的成就就是没有成就。

10.14：风险管理三阶段
风险的渐进性，使我们有可能为它的发展进程设置里程碑。

图-10.14告诉我们，风险的历程可以分为三个阶段，在不同阶段，风险管理各有不同的内容和重点。

在风险的潜伏阶段，风险尚未显现，但其可能性存在于各种征兆之中。

这个阶段的风险管理重在预防：
1.识别潜在的风险，这是预防风险的第一要务，不能识别就无法预防。

识别风险
的一个重要手段是量化。

我们在前面的章节中多次阐述，量化的好处是可以通
过对比来鉴别风险征兆，可以设置临界点作为预警指标。

例如，我们识别出高
血压是引发心脏病的重大风险，为此我们设置出一套检测血压的量化指标，把
预警临界值设置在90/140。

这样，我们就可以通过与正常指标的对比来监测高
血压的风险了。

2.规避和转移风险，是预防潜在风险的另一个有效办法。

当你识别出某件事情可
能会有风险时，只要放弃做这件事，或者换一种较稳妥的方式去做它，就可以
避免风险发生。

如果你知道喝酒有可能导致高血压或心脏病，只要避免喝酒或
者改喝红酒或啤酒，就可以规避风险。

转移风险最常用的办法之一是买保险。

即使你不幸患了心脏病，医疗费有保险公司买单，可以大大减少生命危险和经
济损失。

3.准备风险应对方案和危机处理预案，是预防风险的核心内容。

一旦风险和危机
来临，有应对预案就可以有效地降低风险的损失和危机的灾难。

你可以把常用
的药物分放在家里和办公室容易拿到的地方，把医院的电话输入电话机，预先
嘱咐身边的人如何处理，这就是风险预案。

一旦心脏病突发，这些事先准备好
的预案就足以挽救你的生命。

很多人就是因为没有这些预案而猝死非命。

也许
有些风险预案永远也用不上，但是这并不说明它们是多余的。

只有风险降临的
危机关头，人们才会感觉到它们性命攸关的价值。

在风险的发生阶段，风险已经来临，风险将带来的损失已经不难预料，这个阶段的风险管理重在应对：
1.选择和实施风险应对预案。

事先准备的预案可以大大提高风险应对的决策效
率，把决策简化到抉择。

例如，当飞行故障发生时，油料往往只够飞半个小时，
没有时间决策，只能在预先准备的预案中选择实施。

当你的电脑系统被病毒侵
袭的时候，当你的技术关键人突然辞职的时候，当你的主要客户因故拖延付款
的时候，当你的主要供应商突然宣布提高价格的时候，如果你能够事先准备好
应付的预案，你就会有更多的选择余地，有充分的应对时间，就不会在突然降
临的风险打击下束手无策。

2.采取权宜措施缓解风险。

有些时候实施风险预案需要时间和条件，权宜措施就
是为了争取时间和创造条件。

面对绑匪，你首先应该派遣的不是军队而是谈判
代表，后者将为前者的部署争取时间；面对航班脱期后愤怒的旅客，你首先需
要调动的不是飞机而是饮料和食品，以抚慰旅客激动的情绪；当你的电脑被病
毒袭击而瘫痪的时候，你首先要做的也许不是修复系统而是抢救文件；当客户
拖延付款的时候，你当务之急也许不是催讨债款而是拆借周转资金。

在很多情
况下，权宜措施也是构成风险预案的组成部分，但是当风险预案没有料到的情
况发生时，应急的权宜措施最能考验一个管理者的应变能力。

3.采取补救措施抵消损失。

当风险造成的损失不可避免的时候，可以堤外损失堤
内补救。

例如出口产品如果在进口国因质量问题退货，则“出口转内销”，挽
回部分损失；如果客户无力偿还债务，可以用汽车及电脑之类的资产抵扣部分
损失；如果因下雨不能户外施工，就安排培训，以免浪费时间。

失之桑榆，收
之东隅。

在风险的后果阶段，风险造成的损失已经成为事实，形势危急，这个阶段的风险管理重在应急和善后：
1.选择和实施危机处理预案。

如果血栓梗塞了心肌；如果洪水冲破了大堤；如果
飞机掉进了海里；如果被媒体揭穿了老底；如果电脑文件全军覆没；如果欠债
客户卷款逃逸；这时风险就变成了危机，应对就变成了应急。

应急实际上和风
险应对没什么区别，不过预案的作用会更突出，因为危机时刻没有时间容你深
思熟虑，只能选择过去准备好的主意。

2.实施灾难救助措施。

危机往往伴随着灾难性的后果，损失已经铸成事实，形势
无法逆转，因此需要考虑善后措施，如抢救生命，抚恤家属，挽回信誉，收拾
残局，另寻替代方案等等。

3.资料存档总结教训。

这是善后要做的最后一件事情，但是它常常被忽略忘记。

所有的风险和灾难留下的记录都是人类的遗产，它将为后人识别风险提供宝贵
的线索。

今天的人是站在前人肩膀上进步的，如果没有前人留下的资料，我们
至今还在黑暗中摸索，还会在同一块石头上绊倒无数次。

文档化管理，是我们
迈向学习型组织必须跨过的门槛。

10.15：风险管理的目标
项目风险管理的理想目标是规避所有的系统风险，消灭所有的非系统风险。

但是由于项目本身的特性，这个目标是很难达到的。

根据上述风险管理阶段，我们将风险管理目标分解为四个可行的阶段性目标：
尽早识别项目的各种风险，这是风险潜伏阶段的管理目标。

识别全部风险是不可能的，因此我们强调尽早识别，风险被认识得越早，组织就越有对付它的主动权。

尽力避免风险事件的发生，这也是风险潜伏阶段的管理目标。

完全避免风险发生很难，因此我们强调竭尽全力。

敌人何时进攻也许我们管不着，我们能尽力的是建好
预防工事。

哪怕风险不来，自己也要严阵以待，举轻若重，以万变应不变。

尽量降低风险造成的损害，这是风险发生阶段的管理目标。

既然风险已经发生，完全避免损失已经不太可能，我们只能强调尽量，即最大限度地减少风险的危害性。

尽责总结风险带来的教训，这是风险后果阶段的管理目标。

人们最容易犯的错误是好了疮疤忘了疼，因此我们强调尽责，把风险的教训形成文档。

这不但是对组织负
责，以免在同一块石头上绊倒第二次；这同时也是对历史负责，把教训留给子孙后
代，提高全人类应付各种风险的能力。

上述管理目标又被称为“四尽原则”，由于风险管理的目标难以量化验证，所以我们只能强调主观因素：尽早、尽力、尽量、尽责，如果我们尽到最大的努力，仍然逃不过风险的打击，那只能说是运气不好。

毕竟谋事在人，成事在天。

10-2 风险的识别
10.20：风险识别的过程
如图-10.20所示，风险识别过程的输入依据是：
项目范围说明。

项目范围说明书阐述了项目可交付成果，立项宗旨，可交付成果的
功能和效益，这一切寄托着所有干系人的期望值，也是衡量风险的依据。

如果项目
实施的结果偏离了这些预期，就意味着风险。

集成管理计划。

即各领域的管理计划，其中也包括风险管理计划。

计划是评估绩效的尺度，只要实施绩效偏离了计划，就意味着风险。

事业环境因素。

包括了项目的范围、质量、工期、成本等所有内在约束条件，同时也包括了法律法规、社会习俗、信誉环境、市场背景等外在约束条件。

项目的实施
过程突破这些约束边界，是最常见的风险。

组织过程资产。

主要指历史信息和组织的经验教训。

前人经历风险所留下的资料，是我们今天识别风险的线索。

团队成员的经验教训，是识别项目风险最直接最有价
值的无形资产。

有时文字传载的参考信息，不如印在脑子里的直觉判断，长者的阅
历在风险识别中最为可贵。

难怪古话曰：不听老人言，吃亏在眼前。

风险识别的输出就是风险识别的清单，其中包括风险的来源、风险征兆和潜在的风险。

关于风险识别的工具和技术，我们将在后面的章节中详细讨论。

10.21：风险识别三段论
图-10.21演示了风险识别的三段流程：首先是观察分析，筛选出可疑征兆进行鉴别，然后做出疑因假设，通过监测对疑因进行观察分析，排除不相关的因素，再进一步征兆鉴别，对比征兆进行判断，验证最初的假设，再对缩小了范围的疑因假设进行新一轮监测和观察分析……，这个过程周而复始，直至锁定风险确切原因为止。

上述三段论流程实际上与医生看病、侦探破案、科学探索、甚至我们日常修理汽车或电脑故障等流程都非常相似。

在整个过程中，关键的环节是疑因假设。

要判断一个人是不是好医生，好侦探，大科学家，好修理工，好项目经理，就看他是否能够准确地假设疑因。

要是这个假设错了方向，整个团队都跟着瞎忙。

10.22：风险识别的结果
风险识别的结果可以分为三个层次：
显性风险，即那些已经被识别出来的常规性风险。

所属不同行业的项目会有不同的常规风险，技术人员流失在科研开发项目中是常规风险，但在一般土建工程中就不
属于常规风险，而恶劣气候对土建工程是常规风险，但在科研开发项目中就未必。

还有很多常规风险是所有项目共同的，比如工期拖延，质量事故，成本超支，客户
倒账等。

对常规的显性风险可以用制度性的措施来防范，例如财务审计制度，库存
盘点制度，事故责任制度，技术保密制度等等。

潜在风险，即那些暂时没有形成威胁，而需要特定条件才能诱发的风险因素。

例如，项目组织技术档案不健全，这本身不一定是风险，只要技术关键人在职，技术方案
都在他们脑子里或电脑里，不至于出大问题，但是一旦技术关键人流失，危机立即
就爆发，整个项目有可能陷入瘫痪。

团队成员之间的个人恩怨，看起来不属于项目
的风险，但是一旦矛盾双方在某项工作上形成合作关系，掣肘摩擦事件就会层出不
穷，风险就暴露出来了。

潜在的风险就像路上埋的地雷，是可以主动避免的风险。

识别潜在的风险就像扫雷，比识别显性风险困难得多，但只要你察觉到了地雷的存
在，风险就消除了一大半，因为你就有机会在它爆炸之前避开它或排除它了。

风险征兆，如果潜在的风险是需要特定条件诱发的话，那么风险征兆就是诱发它们的那些特定条件。

气候干燥不是祸，但它是引起火灾的诱因；过度疲劳不是病，但
它是疾病来临的前奏；纪律松弛不是事故，但它是事故发生的温床；拙于沟通不构
成错误，但它是点燃客户怒火的引信。

特定的条件往往需要一个量变的积累，如果
我们能够在风险征兆尚未积累成因的时候就捕捉到它，就可以釜底抽薪，把风险扼
杀在摇篮里。

风险征兆的另一个含义，是预示系统风险降临之前的典型迹象，如暴
风雨之前的闷热，股市崩盘之前的泡沫繁荣，政策大转弯之前的媒体舆论，对于这
种外部的系统风险，只能被动地应变，如果我们能够掌握这些迹象出现的规律，就
等于有了预示风险的预警指标，就有了提前实施应变措施的主动权。

质量控制中的七点失控原理，为我们识别潜在风险和风险征兆提供了一个有效的工具。

如果你做一个工作，结果连续七次都从一边偏离了正常标准，尽管哪一次也没有超出可容忍范围，你也需要认真检查一下，是否什么地方潜藏着风险的隐患。

10.23：风险因素分析法
风险因素分析法又被称为情景分析法，是风险因素识别的重要工具。

其功能是分析判定在构成风险的各种要素中，何种因素对项目的影响最大。

图-10.23提供了一个似曾相识的画面，让我们想起了质量管理中的实验设计法，两者的工作原理其实同出一辙，只不过实验设计法检测的是各要素对过程的正面作用，而风险因素。