项目管理第十一章项目风险管理

1. 项目风险管理：项目风险管理的目的在于提高正面风险的概率和影响，降低负面风险的概率和影响，从而提高项目成功可能性。其过程包括：
   1. 规划风险管理：定义如何实施风险管理活动的过程。
   2. 识别风险：识别单个项目风险，以及整个项目风险的来源，并记录风险特征的过程。
   3. 实施定性风险分析：通过评估单个风险发生的概率和影响以及其他特征，对风险进行优先级排序，从而为后续分析或行动提供基础的过程。
   4. 实施定量风险分析：就已识别的单个项目风险和其他不确定性的来源对整体项目目标的综合影响进行定量分析的过程。
   5. 规划风险应对：为处理整体项目风险敞口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程。
   6. 实施风险应对：实现商定的风险应对计划的过程。
   7. 监督风险：在整个项目期间，监督商定的风险应对计划的实施、跟踪已识别风险，识别和分析新风险，以及评估风险管理有效性的过程。
2. 风险、起因、条件：
   1. 项目的未来充满风险（Risk）。
   2. 风险是一种不确定的事件或条件，一旦发生，会对至少一个项目目标造成影响。
   3. 风险可能有一种或多种起因（cause），一旦发生可能有一项或多项影响。
   4. 风险的起因包括可能引起消极或积极结果的需求、假设条件、制约因素或某种状况。
   5. 风险条件（conditions）则是可能引发项目风险的各种项目或组织环境因素。
3. 机会和威胁：
   1. 机会：风险事件产生的正面影响。
   2. 威胁：风险事件产生的负面影响。
   3. 风险敞口：无应对方案的风险。
   4. 我们应利用和强化正面风险，规避或减轻负面风险，将风险敞口保持在可接受的范围内。
   5. 一般我们只讨论风险的负面影响或结果。
4. 项目风险管理的核心理念：
   1. 项目会充满风险，不仅面对各种制约因素和假设条件，还要应对可能相互冲突和不断变化的相关方期望。
   2. 应由目的地以可控方式去冒项目风险，以便平衡风险和回报，并创造价值。
   3. 项目风险管理过程要兼顾两个层面的风险：单个项目风险，整体项目风险。
   4. 风险承受力：组织或个人能承受的风险程度、数量和容量。
   5. 风险临界值：是指能够承受的风险的严重性的最高限度。
   6. 承受力Tolerance指相关方主观上对不同各类和内容的风险的忍受程度。
   7. 临界值Thresholds是指一种客观描述的量化控制界限，即能够承受的风险严重性的限度。
5. 项目风险管理的趋势和新兴实践：
   1. 非事件风险
      1. 变异性风险：已规划事件、活动或决策的某些关键方面存在不确定性。可用蒙特卡洛分析加以处理。
      2. 模糊性风险：知识不足或对未来可能发生什么，存在不确定性。可用专家判断或最佳实践、增量开发、原型或模拟处理。
   2. 项目韧性针对“未知一未知”风险，通过加强项目韧性来应对突发风险。
   3. 整合式风险管理在项目、项目集、项目组合和组织等适当的层面承担和管理风险。
6. 已知风险、未知风险、已发生的风险：
   1. 已知风险（KnownRisk）是指已经识别并分析过的风险，从而可对这些风险规划应对措施。
   2. 对具体的未知风险（UnknownRisk），则无法主动进行管理，项目团队应该为未知风险创建应急计划。
   3. 已经发生的项目风险也可视为一个问题（Issue）。

规划风险管理

1. 规划风险管理：是定义如何实施项目风险管理活动的过程。
   1. 确保风险管理的水平、方法和可见度与项目风险程度，以及项目对组织和其他相关方的重要程度相匹配。
   2. 规划风险管理过程在项目构思阶段就应开始，并在项目规划阶段的早期完成，项目项目后期可能有必要重新开展。

规划风险管理的输入：

1、项目章程，2、项目管理计划，3、项目文件，4、事业环境因素，5、组织过程资产

规划风险管理的工具与技术：

1、专家判断，2、数据分析，3、会议

1. 风险偏好分类：
   1. 风险追随者
   2. 风险中立者
   3. 风险回避者
2. 会议：项目团队举行规划会议来制定风险管理计划。参会者可包括项目经理、选定的项目团队成员和相关方、组织中负责管理风险规划和应对活动的任何人员，以及需要参加的其他人员。

规划风险管理的输出：

1、风险管理计划

1. 风险管理计划：描述将如何安排与实施项目风险管理。项目管理计划的子计划包括以下内容：
   1. 风险管理计划
   2. 方法论
   3. 角色与职责
   4. 资金
   5. 时间安排
   6. 风险类别
   7. 相关方风险偏好
   8. 风险概率和影响的定义
   9. 概率影响矩阵
   10. 报告格式
   11. 跟踪
2. 风险分解结构（RBS）示例：

3. 风险概率和影响的定义：
   1. 根据具体的项目环境，组织和关键相关方的偏好和临界值，来制定风险概率和影响定义。更多级别（五级）应对更详细的风险管理办法，更少级别（三级）对应于更简单的方法。

4. 概率影响矩阵：

识别风险

1. 识别风险：是识别单个项目风险以及整体项目风险的来源，并记录风险特征的过程。
   1. 记录现有的单个项目风险，以及整体项目风险的来源。
   2. 项目团队的参与尤其重要，以便培养和保持主人翁意识和责任感。
   3. 是一个反复进行的迭代过程。
   4. 应该采用统一的格式对风险进行描述，确保可以把项目中一个风险都被清楚、明确地理解，从而为有效的分析和应对措施制定提供支持。

识别风险的输入：

1、项目管理计划，2、项目文件，3、协议，4、采购文档，5、事业环境因素，6、组织过程资产

1. 协议：如果需要从外部采购项目资源，协议所规定的里程碑日期、合同类型、验收标准和奖罚条款等，都可能造成威胁或创造机会。
2. 采购文档：如果需要从外部采购项目资源，就应该审查初始采购文档，因为从组织外部采购可能提高或降低整体风险，并可能引发更多的单个项目风险。

识别风险的工具与技术：

1、专家判断，2、数据收集，3、数据分析，4、人际关系与团队技能，5、提示清单，6、会议

1. 数据收集：
   1. 核对单：
      1. 根据历史信息，编制风险识别核对单
      2. 风险分解结构的最底层可用于做风险核对单
      3. 优点：风险识别过程迅速简便
      4. 缺点：核对单不可能包罗万象
      5. 应该探讨核对单中未列出的事项
      6. 在项目收尾，应对核对单进行审查和改进
   2. 头脑风暴
   3. 访谈
2. 数据分析：
   1. 根本原因分析：发现导致问题的深层原因并制定预防措施，可以用问题陈述作为出发点，也可以用收益陈述作为出发点。
   2. 假设条件和制约因素分析：项目受一系列制约因素的限制，探索假设条件和制约因素的有效性，确定哪些会引发项目风险。
   3. 文件分析：对项目文档进行结构化审查，可以识别一些风险。
   4. SWOT分析：对项目的优势，劣势，机会和威胁。
3. 提示清单：关于可能引发单个项目风险以及可作为整体项目风险来源的风险类别的预设清单。提示清单可作为框架用于协助项目团队形成想法。常见的战略框架如：
   1. PESTLE政治、经济、社会、技术、法律、环境
   2. TECOP技术、环境、商业、运营、政治
   3. VUCA易变性、不确定性、复杂性、模糊性

识别风险的输出：

1、风险登记册，2、风险报告，3、项目文件更新

1. 风险登记册：供内部使用
   1. 风险登记册的编制始于风险识别过程。
   2. 供其他风险管理过程和项目管理过程使用。
   3. 记录已识别单个项目风险的详细情况。
   4. 以后的风险管理过程，都是对其进行更新。
   5. 最初的风险登记册包括如下信息：
      1. 已识别风险清单
      2. 潜在风险责任人
      3. 潜在风险应对措施清单
2. 风险报告：供相关方
   1. 提供关于整体项目风险的信息，以及关于已识别的单个项目风险的概述信息。
   2. 风险报告的编制是一项渐进式的过程，内容可能包括：整体项目风险的来源，关于已识别单个项目风险的概述情况。

实施定性风险分析

1. 实施定性风险分析：
   1. 通过评估已识别单个项目风险发生的概率和影响以及其他特征，对风险进行优先排序，从而为后续分析或行动提供基础的过程。
   2. 主要作用是关注高优先级的风险。
   3. 这类评估基于项目团队和其他相关方的风险感知程度，从而具有主观性，因此纠正偏见很重要。
   4. 为每个风险识别出责任人，以便由他们负责规划风险应对措施，并确保应对措施的实施。

实施定性风险分析的输入：

1、项目管理计划，2、项目文件，3、事业环境因素，4、组织过程资产

实施定性风险分析的工具与技术：

1、专家判断，2、数据收集，3、数据分析，4、人际关系与团队技能，5、风险分类，6、数据表现，7、会议

1. 数据分析：
   1. 风险数据质量评估
      1. 风险数据是开展定性风险分析的基础。
      2. 风险数据质量评估旨在评价关于单个风险的数据的准确性和可靠性。
      3. 低质量的风险数据，可能导致定性风险分析对项目没用。
      4. 数据质量不可接受，就可能需要收集更好的数据。
   2. 风险概率和影响评估
      1. 风险概率评估考虑特定风险发生的可能性，评估风险对项目目标的潜在影响。
      2. 风险评估可以采用访谈或会议的形式。
      3. 低概率和影响的项目将被列入风险登记册中的观察清单，以供未来监控。
      4. 具有低等级概率和影响的风险，将被列入观察清单中，或为之增加应急储备，而不需采取积极管理措施，只是供将来进一步监测。
   3. 其他风险参数评估：紧迫性、邻近性、潜伏期、可管理性、可控性、可检测性、连通性、战略影响力、密切度。
2. 数据表现：
   1. 概率和影响矩阵：每一风险按其发生概率及一旦发生所造成的影响评价级别。矩阵中所示组织规定的低风险、中等风险小i风险的临界价确定了风险的得分
   2. 层级图：两个以上参数对风险进行分类，就必须使用其他图形，如气泡图

3. 会议：
   1. 召开专门的风险研讨会，对已识别单个项目风险进行讨论，逐一为单个项目风险分配风险责任人。
   2. 配备一名熟练的引导者能提高会议的有效性。
   3. 以后由风险责任人规划应对措施和报告风险管理工作的进展情况。

实施定性风险分析的输出：

1、项目文件更新

1. 风险登记册更新：根据实施定性风险分析的结果，对其进行更新：
   1. 每项单个项目风险的概率和影响评估
   2. 优先级别或风险分值
   3. 制定风险责任人
   4. 风险紧迫性或风险类别
   5. 低优先级风险的观察清单
   6. 需要进一步分析的风险

实时定量风险分析

1. 实施定量风险分析：
   1. 是就已经识别的单个项目风险和不确定性的其他来源对整体项目目标的影响进行定量分析的过程。
   2. 量化整体项目风险敞口，并提高额外的定量风险信息，以支持风险应对规划（本过程非必需）。
   3. 能够开展稳健的分析取决于高质量数据和扎实的项目基准。定量风险分析适用于：
      1. 大型或复杂项目
      2. 具有战略重要性的项目
      3. 合同要求进行定量分析的项目
      4. 主要相关方要求进行定量分析的项目
   4. 评估所有单个风险对结果的综合影响，定量分析就成为评估整体项目风险的唯一可靠的方法。

实施定量风险分析的输入：

1、项目管理计划，2、项目文件，3、事业环境因素，4、组织过程资产

实施定量风险分析的工具与技术：

1、专家判断，2、数据收集，3、人际关系与团队技能，4、不确定性表现方式，5、数据分析

1. 数据收集

   1. 访谈：向专家征求信息，利用经验和历史数据，对风险概率及其对项目目标的影响进行量化分析。

2. 人际关系与团队技能

   1. 引导：专门的风险研讨会中，配置一名熟练的引导员，有助于更好地收集数据。

3. 不确定性表现方式：建立定量风险分析模型，以概率分布来表示数值的可能区间，常用的如：三角分布>正态分布>对数正态分布>贝塔分布>均匀分布>离散分布。单个风险的表现形式：概率分布图，概率分支

4. 数据分析，常用技术：

   1. 模拟
      1. 模拟旨在使用模型，通过输入以评估他们对项目目标的影响
      2. 模拟通常采用蒙特卡洛技术
      3. 每次运行时，都从这些变更的概率分布中随机抽取数值作为输入
      4. 通过多次计算，其输出构成了项目可能结果的区间
      5. 对于成本风险分析，需要使用成本估算进行模拟
      6. 对于进度风险分析，需要使用进度网络图和持续时间估算进行模拟
      7. 累计概率分布S曲线：

   

   2. 敏感性分析
      1. 敏感性分析有助于确定哪些单个项目风险或其他不确定性来源对项目结果具有最大的潜在影响。
      2. 分析的常见表现形式是龙卷风图，标出定量风险分析模型中每个要素与其能影响的项目结果之间的关联系数，按关联强度降序排列。

   

   3. 决策树分析
      1. 用决策树在若干备选行动方案中选择一个最佳方案，不同的分支代表不同的决策或事件，即项目的备选路径，终点表示沿特定路径发展的最后结果，可以是正面或负面的结果（计算预期货币价值）。

   

   4. 影响图：将一个项目或项目中的一个情景表现为一系列实体、结果和影响，以及它们之间的关系和相互影响。可以借助其他的技术来得出结果，如蒙特卡洛分析、s曲线图和龙卷风图

实施定量风险分析的输出：

1、项目文件更新

1. 风险报告更新：更新风险报告，反应定量风险分析的结果：
   1. 对整体项目风险敞口的评估结果主要有两种测试方式
      1. 项目成功的可能性
      2. 项目固定的变异性
   2. 项目详细概率分析的结果
   3. 单个项目风险优先级清单
   4. 定量风险分析结果的趋势
   5. 风险应对建议

规划风险应对

1. 规划风险应对：
   1. 为处理整体项目风险敞口，以及应对单个项目风险，而制定可选方案、选择应对策略并商定应对行动的过程。
   2. 制定应对整体项目风险和单个项目风险的适当方法，本过程还分配资源，并根据需要将相关活动添加进项目文件和项目管理计划。
   3. 有效和适当的风险应对可以最小化单个威胁，最大化单个机会，并降低整体项目风险敞口。
   4. 风险应对方案应与风险重要性相匹配，能经济有效的应对挑战，在当前项目背景下现实可行，能获得全体相关方同意，并由一名责任人具体负责。
2. 规划风险应对术语：有若干种风险应对策略可供使用，应该为每个风险选择最可能有效的策略或策略组合。
   1. 应急应对策略
   2. 弹回计划（fallackplan）：包括一组备用的行动和任务，以便在主计划因问题、风险或其他原因而需要被废弃时采用。
   3. 应急计划：如果项目团队相信其发生会有充分的预警信号，那么就应该制定仅在某些预定条件出现时才执行的应对计划。
   4. 应对计划：还应该对次生风险（secondayrik）—由应对策略导致的风险进行审查。

规划风险应对的输入：

1、项目管理计划，2、项目文件，3、事业环境因素，4、组织过程资产

规划风险应对的工具与技术：

1、专家判断，2、数据收集，3、人际关系与团队技能，4、威胁应对策略，5、机会应对策略，6、应急应对策略，7、整体项目风险应对策略，8、数据分析，9、决策

1. 消极风险或威胁的应对策略：
   1. 上报
      1. 威胁不在项目范围内，或提议的应对措施超出了项目经理的权限，就应该采用上报策略。
      2. 在项目集层面、项目组合层面或组织的其他相关部门加以管理，组织中的相关人员必须愿意承担应对责任这一点非常重要。
      3. 一旦上报，就不再由项目团队做进一步监督，虽然仍可出现在风险登记册中供参考。
   2. 规避
      1. 指项目团队采取行动来消除威胁，或保护项目免受威胁的影响。它可能适用于发生概率较高，且具有严重负面影响的高优先级威胁。
      2. 彻底消除威胁，将它的发生概率降低到零。
      3. 规避措施可能包括消除威胁的原因、延长进度计划、改变项目策略、或缩小范围。有些风险可以通过澄清需求、获取信息、改善沟通或取得专有技能来加以规避。
   3. 转移
      1. 转移涉及到将应对威胁的责任转移给第三方，让第三方管理风险并承担威胁发生的影响。
      2. 采用转移策略，通常需要向承担威胁的一方支付风险转移费用。
      3. 风险转移可能需要通过一系列行动才得以实现，包括（但不限于）：使用担保书，购买保险，使用履约保函，使用保证书，签订协议等。
   4. 减轻
      1. 风险减轻是指采取措施来降低威胁发生的概率和（或）影响。
      2. 提前采取减轻措施通常比威胁出现后尝试进行弥补更加有效。
      3. 列子：
         1. 采用复杂性较低的流程
         2. 进行更多的测试
         3. 选用比较稳定的供应商
         4. 原型开发
         5. 加入冗余部件
   5. 接受
      1. 指承认威胁的存在，但不主动采取措施。
      2. 可用于低优先级威胁，也可用于无法以任何其他方式加以经济有效地应对的威胁。
      3. 该策略可以是被动或主动的。
      4. 主动接受策略是建立应急储备，包括预留时间、资金或资源以应对出现的威胁。
      5. 被动接受策略则不会主动采取行动，而只是定期对威胁进行审查，确保其并未发生重大改变。
2. 积极风险或机会的应对策略
   1. 上报
      1. 威胁不在项目范围内，或提议的应对措施超出了项目经理的权限，就应该采用上报策略。
      2. 在项目集层面、项目组合层面或组织的其他相关部门加以管理，组织中的相关人员必须愿意承担应对责任这一点非常重要。
      3. 一旦上报，就不再由项目团队做进一步监督，虽然仍可出现在风险登记册中供参考。
   2. 开拓
      1. 如果组织想确保把握住高优先级的机会，就可以选择开拓策略。
      2. 将特定机会的出现概率提高到100%，确保其肯定出现，从而获得与其相关的收益。
      3. 开拓措施可能包括：把组织中最直能力的资源（牛人）分配给项目来缩短完工时间，采用全新技术或技术升级来节约项目成本并缩短项目持续时间。
   3. 分享
      1. 将应对机会的责任转移给第三方，使其享有机会所带来的部分收益。
      2. 必须仔细为已分享的机会安排新的风险责任人，让那些最有能力为项目抓住机会的人担任。
      3. 通常需要向承担机会应对责任的一方支付风险费用。
      4. SHARE分享措施包括：建立合伙关系、合作团队、特殊公司或合资企业来分享机会。
   4. 提高
      1. 旨在提高机会的发生概率和/或积极影响。
      2. 通过关注其原因，可以提高机会出现的概率。
      3. 如果无法提高概率，也许可以针对决定其潜在收益规模的因素来提高机会发生的影响。
      4. 提高机会的例子包括为尽早完成活动而增加资源（挫人）。
   5. 接受
      1. 指承认机会的存在，但不主动采取措施。
      2. 可用于低优先级威胁，也可用于无法以任何其他方式加以经济有效地应对的威胁。
      3. 该策略可以是被动或主动的。
      4. 主动接受策略是建立应急储备，包括预留时间、资金或资源以应对出现的机会。
      5. 被动接受策略则不会主动采取行动，而只是定期对机会进行审查，确保其并未发生重大改变。
3. 风险应对策略举例：
   1. 从项目中删除工作包或活动一规避
   2. 尽早分派团队成员经常去供应商的生产场地去了解他们所交产品的问题—减轻
   3. 把工作包完成的日期定在当有经验的资源能够被利用的时候一开拓
   4. 尽早与供应商谈判以确保价廉物美一提高
   5. 把工作包外包出去以获得机会一分享
   6. 通知管理层，当不采取阻止风险发生的行动时，费用可能会上涨一接受
   7. 从项目中去除有麻烦的资源一规避
   8. 为经验有限的团队成员提供额外的培训一减轻
   9. 把难以完成的工作外包给更有经验的公司一转移
   10. 要求客户来处理部分工作一转移
   11. 为具有设计风险的设备制作原形一减轻
4. 应急应对策略：
   1. 可以针对某些特定事件，专门设计一些应对措施。
   2. 对于有些风险，项目团队可以制定应急应对策略，即只有在某些预定条件发生时才能实施的应对计划。
   3. 如果确信风险的发生会有充分预警信号，就应该制定应急应对的策略（应急计划）。
   4. 例如：未实现中间的里程碑，或获得卖方更高程度的重视。
5. 整体项目风险应对策略
   1. 规避
      1. 如果整体项目风险有严重的负面影响，并已超出商定的项目风险临界值，就可以采用规避策略。
      2. 此策略涉及采取集中行动，弱化不确定性对项目整体的负面影响，并将项目拉回到临界值以内。
      3. 如果无法将项目拉回到临界值以内，则可能取消项目。
   2. 开拓
      1. 如果整体项目风险有显著的正面影响，并已超出商定的项目风险临界值，就可以采用开拓策略。
      2. 例如：
         1. 在项目范围中增加高收益的工作，以提高项目对相关方的价值或效益。
         2. 也可以与关键相关方协商修改项目的风险临界值，以便将机会包含在内。
   3. 转移或分享
      1. 如果整体项目风险的级别很高，组织无法有效加以应对，就可能需要让第三方代表组织对风险进行管理。
      2. 例如：
         1. 建立买方和卖方分享整体项目风险的协作式业务结构、成立合资企业或特殊目的公司，或对项目的关键工作进行分包。
   4. 减轻或提高
      1. 涉及变更整体项目风险的级别，以优化实现项目目标的可能性。
      2. 例如：
         1. 重新规划项目、改变项目范围和边界、调整项目优先级、改变资源配置、调整交付时间等。
   5. 接受
      1. 即使整体项目风险已超出商定的临界值，如果无法针对整体项目风险采取主动的应对策略，组织可能选择继续按当前的定义推动项目进展。

规划风险应对的输出：

1、变更清求，2、项目管理计划更新，3、项目文件更新

1. 风险登记册更新：包括：
   1. 商定的应对策略。
   2. 实施所选应对策略所需要的具体行动。
   3. 风险发生的触发条件、征兆和预警信号。
   4. 实施所选应对策略所需要的预算和进度活动。
   5. 应急计划，以及启动该计划所需的风险触发条件。
   6. 弹回计划，供风险发生且主要应对措施不足以应对时使用主采取预定应对措施之后仍然存在的残余风险，以及被有意接受的风险。
   7. 由实施风险应对措施而直接导致的次生风险。
2. 其他项目文件更新：
   1. 假设日志：风险应对措施的制定会导致信息变化。
   2. 成本预测及项目进度计划。
   3. 风险报告：更新风险报告，记录针对当前整体项目风险敞口和高优先级风险的经商定的应对措施，以及实施这些措施之后的预期变化。

实施风险应对

1. 实施风险应对：
   1. 实施风险应对是执行商定的风险应对计划的过程。
   2. 确保按计划执行商定的风险应对措施，来管理整体项目风险敞口、最小化单个项目威胁，以及最大化单个项目机会。
   3. 只有风险责任人以必要的努力去实施商定的应对措施，项目的整体风险敞口和单个威胁及机会才能得到主动管理。
   4. 发现，识别，定性，定量，应对。
   5. 发生了：
      1. 有应对：
         1. 应对
         2. 应急
         3. 变更
      2. 无应对：
         1. 权变
         2. 变更

实施风险应对的输入：

1、项目管理计划，2、项目文件，3、组织过程资产

1. 项目文件
   1. 经验教训登记册：项目早期获得的与实施风险应对有关的经验教训，可用于项目后期提高本过程的有效性。
   2. 风险登记册：风险登记册记录了每项单个风险的商定风险应对措施，以及负责应对的指定责任人。
   3. 风险报告：包括对当前整体项目风险敞口的评估，以及商定的风险应对策略，还会描述重要的单个项自风险及其应对计划。

实施风险应对的工具与技术：

1、专家判断，2、人际关系与团队技能，3、项目管理信息系统

实施风险应对的输出：

1、变更请求，2、项目文件更新

1. 项目文件：
   1. 问题日志：作为实施风险应对过程的一部分，已识别的问题会被记录到问题日志中。
   2. 经验教训登记册：更新经验教训登记册，记录在实施风险应对时遇到的挑战、本可采取的规避方法，以及实施风险应对的有效方式。
   3. 项目团队派工单：一旦确定风险应对策略，应为每项与风险应对计划相关的措施分配必要的资源，包括用于执行商定的措施的具有适当资质和经验的人员、合理的资金和时间，以及必要的技术手段。
   4. 风验登记册：可能需要更新风险登记册，反映开展本过程所导致的对单个项目风险的已商定应对措施的任何变更。
   5. 风险报告：可能需要风险报告，反映开展本过程所导致的对整体项目风险敞口的已商定应对措施的任何变更。

监督风险

1. 监督风险：
   1. 监督商定的风险应对计划的实施、跟踪已识别风险、识别和分析新风险，以及评估风险管理有效性的过程。
   2. 使项目决策都基于关于整体项目风险敞口和单个项目风险的当前信息。
   3. 通过监督风险过程对项目工作进行持续监督，来发现新出现、正变化和已过时的单个项目风险。

监督风险的输入：

1、项目管理计划，2、项目文件，3、工作绩效数据，4、工作绩液报告

监督风险的工具技术：

1、数据分析，2、审计，3、会议

1. 数据分析
   1. 技术绩效分析：开展技术绩效分析，把项目执行期间所取得的技术成果与取得相关技术成果的计划进行比较。它要求定义关于技术绩效的客观的、量化的测量指标。
   2. 储备分析：储备分析是指在项目的任一时点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理。可以用各种图形（如燃尽图）来显示应急储备的消耗情况。
2. 审计：
   1. 风险审计是一种审计类型，可用于评估风险管理过程的有效性。
   2. 项目经理负责确保按项目风险管理计划所规定的频率开展风险审计。
   3. 在实施审计前，要明确定义审计的格式和目标。
3. 会议：风险再评估
   1. 风险审查会应该定期安排风险审查，来检查和记录风险应对在处理整体项目风险和已识别单个项目风险方面的有效性。风险审查包括：
      1. 识别出新的单个项目风险（包括已商定应对措施所引发的次生风险）
      2. 重新评估当前风险
      3. 关闭已过时风险
      4. 讨论风险发生所引发的问题
      5. 总结可用于当前项目后续阶段或未来类似项目的经验教训

监督风险的输出：

1、工作绩效信息，2、变更请求，3、项目管理计划更新，4、项目文件更新，5、组织过程资产更新

1. 权变措施（Workaround）：
   1. 对已经发生的不利风险的应对。
   2. 与应急计划不同的是，权变措施在风险发生之前并未事先安排。
   3. 主要针对以往未曾识别或被动接受的、目前正在发生的风险而采取的未经事先计划的应对措施。
2. 项目文件更新：
   1. 风险登记册
      1. 记录在监督风险过程中产生的关于单个项目风险的信息，可能包括添加新风险、更新已过时风险或已发生风险，以及更新风险应对措施等。
   2. 风险报告
      1. 反映重要单个项目风险的当前状态
      2. 整体项目风险的当前级别
      3. 风险审计给出的关于风险管理过程有效性的的结论