風險共分成三類
第一類叫已知風險 (known risks)
第二類叫已知未知風險 (known unknown risks)
第三類叫未知未知風險 (unknown unknown risks)
若是由風險發生的機率來看:
已知風險機率為1,未知未知風險機率為0,唯有已知未知風險風險是介於0和1之間。
已知風險又稱為問題 (Problem)是現況與預期的落差,
你所提報的500萬預算上級只核批300萬就是問題。
管理問題最好的方法就是上人所開示的:面對它、接受它、處理它、放下它。
本專案的已知風險為30天內確定有7天會出國洽公,不見得有時間上網發表文章,可能會中斷,回應策略為事先存好該週要發表的文章請秘書代為發表。
未知未知風險又稱為議題(Issue),每逢選舉政客紛紛拋出各項議題來製造風險
統一、獨立、世界末日皆是議題,
不過既然議題的發生機率為0,管理議題的方法就是記錄它、追蹤它,靜觀其變,千萬不要貿然去處理它,議題萬一成真,就只能做危機處理,危機處理是無法預先管理的,
本專案目前並無未知未知風險,
唯有已知未知風險才是真正需要風險管理的風險,
颱風、地震、恐怖攻擊都是已知未知風險,
你知道它一定會發生,但是你不確定它什麼時候會發生,更不知道後果有多嚴重,只能做好萬全準備未雨綢繆。
本專案的已知未知風險包含身體不適、網路故障、忙到抽不出時間....
風險管理計畫是說明如何組織與實施專案風險管理的文件,包含如何辨識風險、如何分析風險、以及如何擬定風險回應策略。
辨識風險是指利用系統思考的方法,辨識風險來源以及風險可能造成的損失,確定哪些風險會影響專案,並將其特性記載成文件。參加風險辨識的人員通常包括專案經理人、專案團隊成員、風險管理團隊、顧客、專案團隊之外的相關領域達人、最終使用者、其他專案經理人、關係人以及風險管理專家。雖然上述人員是風險識別流程的關鍵參與者,但應鼓勵所有專案人員進行風險的辨識。
辨識風險是一項持續反覆進行的活動,隨著專案生命週期的進展,可能會出現新風險。專案團隊應參與辨識風險,以便對風險以及風險應對措施,形成並保持責任感,專案團隊之外的關係人也可為專案提供客觀的資訊。辨識風險流程,通常會直接引入風險定性分析。有時,若辨識風險是由經驗豐富的風險經理人完成的,則可直接進入風險定量分析。若干情況下,僅透過辨識風險,就可以確定風險回應策略。
風險就是還沒發生的問題。或許你會認為「今日的問題就是昨日的風險,今日的風險就是明日的問題」,可是這句話對風險管理是沒有任何幫助的,必須認知到問題是會一再重複出現的,體認到「昨日的問題就是今日的風險」的事實,並將組織各專案過去曾遇到的且排名在前20名的問題表列出來,作為下一個專案的初始風險清單。
每個人都會進行專案事後檢討,但唯有將事後檢討的結果當作風險管理的依據才是創新。發生過的問題一再發生的可能性甚高,所以要將專案的初始風險清單和風險應對策略清單,建構成風險資料庫。
如果能夠在可行性評估階段,就先行確認風險,那麼就可選擇出最有利的專案,也可以針對風險特性選擇不同的合約總類,並於簽訂合約時,適切地擬定風險分攤條件。風險辨識乃風險管理的首要基本工作,透過風險的辨識,分析風險的可能來源,了解須控管的變數以及可能產生的影響。辨識風險的技術,包括專家諮詢、腦力激盪、SWOT分析、財務報表分析、流程圖分析、問卷調查和歷史統計記錄資料等。透過這些技術確認風險發生的可能性,並找出可能發生損失的所在、性質以及範圍。
風險辨識的主要目的是,在專案中找出與成本相關之不確定事件的潛在風險,繼而定義風險,調查潛在風險對專案成本管控可能造成影響的因素,將所有潛在風險做最妥善的分類與整理。專案的風險可分為正面風險和負面風險,正面風險又稱為機會,負面風險又稱為威脅,SWOT分析就是常用的風險辨識工具。
SWOT分析辨識風險可分別從優勢、劣勢、機會和威脅等4個觀點來檢驗專案,藉助內部產生的風險資料庫,來增加風險的辨識廣度。一般會先用腦力激盪法辨識組織的優勢和劣勢,再辨識組織優勢所帶來的機會,以及組織劣勢所帶來的威脅。
風險辨識工作可透過專案人員、領域專家、風險管理師等成員,共同組成風險管理小組,再配合會議腦力激盪,逐項檢討此專案可能產生的風險,並將之彙整於相關表單。因此在風險管理初期,專案經理人應該主動召集、邀請專案關係人,共同組成專案風險管理小組,以利後續風險管理的運作與執行。風險管理小組依據個人專案經驗,透過會議與腦力激盪程序,結合歷史統計資料來分析風險,儘可能將專案中所有關於成本控管的潛在風險辨識出來,建立專案風險清單。再將專案可能遭遇到的風險,依不同的生命週期階段廣泛地予以記錄。初步的風險清單,應儘可能涵蓋所有風險項目。
風險分析(Risk Analysis)是針對已辨識風險,建立其相互關係的風險分析模型,並分析各風險可能產生的影響和發生的機率。一般而言,風險分析的範圍和深入程度,需視專案的需求、策略、時間以及預算的可行程度決定之。風險分析的目的,乃是評估風險預期影響的高低。
風險管理小組經多次會議討論、蒐集,建立起風險資料庫,確立每項風險的影響和發生機率,以掌握風險對於專案目標的期望影響程度,並且評估風險應對策略的優劣。風險分析分為定性分析與定量分析。
定性風險分析(Qualitative Risk Analysis)涉及後續的定量風險分析或風險回應規劃等行動,因此必須先對已識別風險進行排序。組織可通過80/20法則,關注高優先順序風險,有效地改善專案績效。定性風險分析透過考慮風險發生的機率、風險發生後對專案目標的影響,以及其他諸如時間、成本、進度、範圍或品質的風險承受度等因素,對已識別風險的優先順序進行評估。
風險處理行動的急迫性,可能會誇大風險的嚴重程度。對目前已掌握的專案風險資訊進行品質評估,有助於理解風險對專案的重要性。定性風險分析通常是為風險回應規劃確立優先度的最經濟、有效且快捷的方法,並能為定量風險分析奠定基礎。
在專案生命週期內,應該對定性風險分析進行重新審查,以確保其反應專案風險的即時變化。定性風險分析需要使用規劃風險和辨識風險的成果。定性風險分析完成後,可進入定量風險分析或直接進入風險回應規劃。
「風險影響大小」是指風險事件可能造成的影響程度(Impact, 簡稱I),依照危害與影響的程度,可分成5個等級:「非常輕微(0.1)」、「輕微(0.2)」、「普通(0.4)」、「嚴重(0.6)」、「非常嚴重(0.8)」。每一項風險皆應視為單一獨立事件來進行個別評估。
「風險可能性」是指風險事件可能發生的機率(Probability, 簡稱P),通常以概率、頻率,或暴露頻率和概率的組合表示,可分成5個等級:「非常不可能(0.1)」、「不可能(0.3)」、「普通(0.5)」、「可能(0.7)」、「非常可能(0.9)」。
為了排列出風險的優先順序,並辨識「需要進一步分析」的風險,可將風險的機率和影響結合成矩陣。在風險管理中,最常用在評估風險等級的定性分析工具之一,就是透過繪製「風險機率/影響矩陣」(如圖5-1所示)來進行風險監控。「風險機率/影響矩陣」結合了機率和影響等級,產生25種風險承擔(Risk Exposure)可能性:
風險承擔(E)=機率(P)× 影響(I)
風險機率/影響矩陣的繪製原則如下:
1.區分風險發生的機率,如圖中所示,定義為0.1, 0.3, 0.5, 0.7, 0.9等5個等級。
2.區分風險一旦發生,對專案目標所造成影響,定義為0.1, 0.2, 0.4, 0.6, 0.8等5個等級。
3.套用上述風險承擔(E)公式,將機率和影響相乘的結果(0<E<1),填入於矩陣的相對位置中。
4.設定區塊範圍,將矩陣分為紅、黃、綠3區,定義如下:
紅色區:0.40 ≤ E < 1.00
黃色區:0.10 ≤ E < 0.40
綠色區:0.00 < E < 0.10
(抱歉 風險機率/影響矩陣圖上傳不了,求救!)
依據圖中所示的不同區塊,將風險承擔分類為R1、R2、R3等3個等級,排列出專案風險的優先處理順序,說明如下:
1.綠燈R1(可忍受Tolerable):不急迫也不重要,可先列入觀察名單,保持平常心,運用日常程序處理即可。這種風險雖然較小,但是仍須進行一些因應活動來降低風險。
2.黃燈R2(不理想Undesirable):不急迫但是重要,必須規定管理責任。這種風險也是不可能被接受,須研擬對策,消除或降低風險,通常會列入需進一步做定量風險分析名單中。
3.紅燈R3(不可忍受Intolerable):急迫且重要,必須立即採取措施。這種風險最大、最不可能被接受,是最需要特別照顧與控管的,必須利用任何有效的手段來降低風險。
執行定性風險分析,經理人將得到風險影響、風險機率等資訊,經理人可以運用期望貨幣價值、決策樹、敏感度分析等定量風險分析(Quantitative Risk Analysis)工具或技術,將上述風險處理優先順序為R2的風險,依照關係人分析、專案既定的成本基準與時程基準等因素,作進一步的定量分析。
將不確定性量化,可以讓經理人掌握不確定的範圍。決策樹分析顯示當環境存在不確定因素時,如何在不同替代方案中做決策,計算決策樹每一分枝的期望貨幣價值(EMV),也就是計算每一分枝之風險承擔(機率X影響)的總合。
請問iT人,您參與過無數專案,可曾見過或撰寫過風險管理計畫?
(第30之12篇完)
Hold 30天鍊成PMP鐵人 系列連結
上一篇http://ithelp.ithome.com.tw/question/10075501
下一篇http://ithelp.ithome.com.tw/question/10075939