(此圖片由 AI 生成)

風險管理在專案管理中是非常重要的環節，隨著專案的推進，不確定性隨時可能出現，對這裡指的正是前幾天文章「專案的八大績效」提及的不確定性。

這些不確定性帶來的風險，無論是正面的還是負面的，都需要妥善應對。今天，我們就來探討一下 PMP 中的風險管理，並分別從不確定性、正面風險、負面風險，以及七個風險管理流程來簡單了解一下。

不確定性

專案的八大績效中，提到不確定性，在任何專案中，不確定性是無法避免的。

這些不確定性可以來自於技術、資源變化、商業市場變動，甚至是天災。不確定性之所以重要，是因為它們可能對專案的成功產生重大影響，所以風險管理不僅僅是處理問題，更是預防問題、掌握專案全局的能力。

正面的風險

談到風險第一時間想到是負面的影響，但風險其實也可以帶來正面效益。

正面風險稱為「機會」，如果能被利用，往往可以帶來額外的價值。例如，新技術的突破、市場的有利變化、或是意外取得滋源，這些都屬於正面的風險。風險管理不僅要識別負面的風險，也要主動尋找和利用這些正面的機會，讓專案在不確定中找到成長的契機。

正面風險的回應方式

開拓 Exploit

確保機會一定發生。這種策略適用於希望保證獲得機會的情況，例如當機會的收益極高或對專案有關鍵影響時。

提升 Enhance

增強機會發生的可能性或影響力。這種策略專注於調整專案的條件或優化策略，以增加機會發生的概率或其帶來的好處。

分享 Share

與第三方合作或組織共享機會，這種策略適合當專案團隊無法獨自充分利用機會時，通過合作來實現雙贏。

例如：與不同類型的公司產品合作，進行雙11購物節的綑綁聯賣優惠，提升市場佔有率。

接受 Accept

接受機會，不採取任何積極措施。

如果機會影響不大或成本太高，團隊可能選擇接受該機會，但不積極處理，而是持續觀察好在未來做出反應。

負面的風險

負面的風險可能導致專案延期、成本超支，甚至導致專案失敗。對於負面的風險，PM 需要制定應對策略，這些策略可以分為避免（Avoid）、轉移（Transfer）、減輕（Mitigate）和接受（Accept）。每種策略都有其適用的情境，最終目標是將負面風險的影響降到最低，確保專案能夠順利進行。

負面風險的回應方式

避免 Avoid

消除風險或將其影響降至為零。這種策略適用於風險的可能性或影響非常大，無法接受的情況。通過調整專案範疇、目標、計劃等，消除風險的發生。

例子：在開發新專案進行技術選擇時，團隊意識到，雖然選擇某個成熟的技術框架(或函式庫)，其本身並無資安風險，並且效能良好，開發體驗極佳。但一但脫離了官方核心套件，審視其踴躍的海外技術社群，發現相較其他同性質框架(或函式庫)有更多政治上的疑慮，開發者只好含淚選擇別種技術，避免社群（與背後大量提供的第三方元件）或哪天突然牙起來的社會風潮帶來風險。

減輕 Mitigate

降低風險發生的可能性或減少風險的影響。這種策略通過採取措施減少風險的威脅程度，使其變得更加可接受。

轉移 Transfer

將風險的負面影響或責任轉移給第三方。這種策略適用於專案團隊無法直接控制風險，或風險管理成本太高的情況。常見方法包括保險、外包或簽訂合約。

例子：購買旅遊平安險來轉移出國玩時遇到的突發狀況風險。

接受 Accept

承擔風險，並在風險發生時制定應急計劃或儲備資源。這種策略適用於風險的影響不大或風險管理成本超過其效益的情況。接受分為主動接受（設置應急預案）和被動接受（不做任何特別準備）。

升級 Escalate

當風險超出了 PM 的控制範圍或權限時，將風險上報給更高層級的組織管理者來處理。這種策略適用於風險對組織戰略有較大影響或需要更高層次的決策。

在 PMP 的題目中，鼓勵 PM 在專案團隊既有得資源、體制內解決問題，所以向上呈報雖然是一個解法，但通常和其他選項放一起就不是最佳解，要按照題目與其他選項的含義審慎選擇。

七個風險管理流程

另外在 PMBOK 中，風險的管理被系統化為七個關鍵流程：

規劃風險管理

這是第一步，確定如何進行風險管理活動。要制定風險管理計劃，明確風險管理的目標和方法。除了制定風險管理計劃之外，規劃風險管理還包括定義風險的分類標準、風險的應對策略，以及「如何」在整個專案生命週期中監控和報告風險。

此外，這個步驟不僅包括確定風險管理活動的範圍和方法，還應明確團隊中的風險管理角色與責任，確保每個成員知道他們在風險管理中的作用。同時定義風險評估的標準和風險應對的策略，確保團隊對風險評估的流程和方法有一致的理解。

以軟體開發為例，就像是在平日事先定義好假日的排班人員（有誰？人選怎麼來的？）遇到問題時第一時間可以怎麼處理？是否有過去發生過的事情和對應處理的例子，SOP 流程是什麼？

識別風險

這一步驟要求專案團隊主動識別可能影響專案的所有風險。可以通過專家訪談、風險檢查表等方法進行識別，在識別的過程中，還應考慮所有可能的風險來源，包括內部和外部因素，並將其登錄在風險登錄表（Risk Register）記錄和追踪所有已識別的風險。

考試時要注意，如果遇到題型是：某某法規變動或發生了什麼事件，「可能」導致專案被影響，要注意「可能」代表的是不確定，也就是不確定影響是正面、也不確定是負面，搞不好最後也根本沒影響，所以這時候先看有沒有識別分險的選項。先冷靜想想，不要馬上急著應對。

定性風險分析

在識別出風險後，需要對這些風險進行優先排序。這步驟主要是評估風險的發生概率及其影響，以確定哪個風險需要更優先處理。

定量風險分析

這一步是對風險進行數量化分析，通常用於比較重大或複雜的風險。定量分析能夠提供更精確的數據，幫助專案經理做出更好的決策。

規劃風險應對

這步驟需要制定具體的應對計劃，無論是針對正面還是負面的風險。目標是最大化機會，最小化威脅。例如，對於高機率發生的高影響力風險，可以採取「避免」或「減輕」策略，而對於低機率的低影響立風險，則可能「接受」或「觀察」。此外，還應考慮各種應對措施的成本效益，確保應對措施不會引發新的風險。

實施風險應對

根據前面的分析和規劃，專案團隊需要執行風險應對措施，確保風險管理計劃得以實施，還應持續溝通風險狀態和應對進度，以保持團隊內部和利害關係人之間的透明度。

監控風險

風險管理不是一次性的過程，而是需要「持續監控」的。專案進行中要不斷檢查風險，並隨時調整應對措施，確保專案始終處於可控狀態。而且，既然是「持續監控」，那也要持續地尋找新的風險、檢討風險應對的效果，以及不斷更新在「識別風險」提到的風險登記表（Risk Register）以保持專案的適應度和堅韌性。

結語

無論是正面的機會還是負面的威脅，風險管理的精髓在於提前識別、合理分析和應對。

舉例風險應對不是事後吃感冒藥，而是在事前就要打預防針，只要事先有做足準備，就能避免專案在風雨飄搖中迷失方向。以筆者 7/30 應考心得而言，當日風險管理的題目非常之多（僅供參考），建議大家風險相關的章節可以多注意一下風險類的全真考題，相信會有幫助的！