风险管理是一个跨越组织层级的综合框架。除了简单地预测可能发生的情况,风险管理还旨在制定各种方法,为实现组织目标、战略愿景和创造价值提供支持。
风险管理会对企业、项目组合、项目集和项目这些层级的决策产生强烈影响。在企业层面,整个组织战略是一系列策略和业务管理行动,它们旨在应对业务威胁和利用业务机会。这些决定和行动通常在项目组合(其部分组件包括项目集、项目和运营)中执行。
在每个项目组合、项目集和项目管理领域中,关于风险管理的各种看法和观点会以迭代、交互和动态的方式相互影响。风险可能是相互关联的,存在依赖关系,并通过反馈循环相互作用(见图2-2)。第5、6和7章提供了关于这种相互作用的详细信息。
图2-2 将风险管理策略连续传递到项目组合、项目集和项目中
风险管理的主要目的是创造和保护价值。企业风险管理(ERM)是一种识别组织面临的主要风险并预测这些风险对业务流程的影响的方法。这种管理风险的方法反映了组织创造和维持价值的文化、能力和战略。ERM在组织层面处理风险,包括对与企业的项目组合(包括项目集和项目)有关的所有风险进行汇总。
在探索备选策略时,ERM会使每个项目组合、项目集和项目与组织战略保持一致。ERM通过自下而上地上报已识别风险和自上而下地定义风险管理策略,建立了各个治理层级之间的联系。这种自上而下的流程触发了旨在利用特定机会和解决业务威胁的项目集、项目和其他活动的创建。
ERM针对以下方面提供了系统化、组织有序和结构化的方法:
◆ 识别和评估组织面临的所有风险;
◆ 制定合适的应对措施;
◆ 与干系人沟通状态;
◆ 根据组织的战略目标分配监督和管理风险的职责。
ERM是一个持续的过程,可为持续改进的“计划—实施—检查—行动”序列提供支持。ERM的范围不仅限于合规和披露要求,ERM也不能取代内部控制和审计。ERM的应用因组织而异,而且可能因整体风险偏好、干系人的期望和要求以及内部和外部环境而逐年不同。
在执行ERM方面,没有一种万能的方法。各个组织中ERM的职能、结构和活动各不相同。ERM负责确保所有组织风险都得到处理、妥善管理和监督。
在综合的项目组合、项目集和项目管理的企业管理环境中,风险管理包括:
◆ 制定风险治理框架;
◆ 识别综合治理框架各个层级的业务和背景风险,包括消极风险(威胁)和积极风险(机会);
◆ 从定性和定量两个角度分析已识别的风险,并根据项目组合、项目集和项目管理框架内已制定的上报规则确定最适合管理这些风险的治理层级;
◆ 根据提高积极风险(机会)的查率和/或影响以及降低消极风险(威胁)的查率和/或影响,制定适当的风险管理策略;
◆ 确定风险责任人并分配风险;
◆ 实施与预期和/或响应行动有关的相应策略和活动;
◆ 监督企业、项目组合、项目集和项目管理框架内部署的风险管理策略的有效性和效率;
◆ 确保项目组合、项目集和项目管理风险治理模式与ERM战略保持一致;
◆ 通过风险管理文化促进整个企业内部进行有效的风险管理。
项目组合风险管理将风险分为结构风险、组件风险和整体风险。结构风险是与一组项目的组成方式和各组件之间的潜在相互依赖关系有关的风险。项目组合层面的组件风险是指组件经理上报至项目组合层面以供参考或采取行动的风险。总体而言,项目组合风险考虑了组件之间的相互依赖关系,因此不仅仅是单个组件风险的总和。风险效率是在项目组合层面管理风险的关键要素。通过调整项目组合组件的组成方式,可以平衡风险和回报,从而管理整体项目组合风险敞口,进而实现效率。
有效的项目组合风险管理系统的规划、设计和实施取决于组织文化、高层管理人员的承诺、干系人参与以及开放而公平的沟通过程。如果由于组件问题而造成的价值损失巨大,或者一个组件的风险影响了另一个组件的风险,则项目组合风险管理对于成功管理项目组合非常重要。
如《项目组合管理标准》 [2] 中所定义的那样,项目组合风险管理可确保组件能在组织战略和业务模式的基础上尽可能取得最大成功。项目组合风险管理可被视为与调整项目组合各组件的组成方式以适应组织业务环境变化有关的管理活动。与企业战略类似,项目组合风险管理策略的结果是定义和启动新的组件或关闭其他组件。在与组织整体业务战略保持一致的前提下,项目组合组件可以成为针对已确定的威胁或机会的应对措施。
项目集风险管理策略可确保有效管理组织战略面临的任何可能导致项目集路线图与其所支持的目标不一致的风险。它包括定义项目集风险临界值、进行初始的项目集风险评估以及制定项目集风险应对策略。
项目集风险管理可确定如何将风险传达给组织的治理层和战略层。这一层级的策略一致性要求项目集风险临界值必须考虑组织战略和风险态度。项目集风险超过了项目集内每个项目的风险总和。项目集风险管理将项目组合风险管理的查念应用于一组项目集组件。
《项目集管理标准》 [3] 将项目集风险管理策略描述为:
◆ 确定项目集风险临界值;
◆ 进行初始项目集风险评估;
◆ 制定高层级的项目集风险应对策略;
◆ 确定如何在治理过程中传达和管理风险。
项目集风险管理汇总了组成项目和活动的运营风险,并处理项目集层面的特定风险,具体取决于项目组合、项目集和项目治理模式中界定的责任层级。此外,项目集层面的风险视角更侧重于风险的直接影响,而非预期收益。
项目风险管理是项目管理的一个知识领域,它可识别和管理可能影响成本、进度计划或范围基准的项目风险。
《项目管理知识体系指南》(简称“《PMBOK ® 风险指南》”) [4] 将项目风险管理描述为:规划风险管理、识别风险、分析风险、规划风险应对、实施风险应对和监督风险。项目风险管理的目标在于提高机会的查率和/或影响,降低威胁的查率和/或影响,从而尽可能提高项目成功的可能性。《PMBOK ® 指南》指出,如果不妥善管理,这些风险有可能导致项目偏离计划,从而无法达成既定的项目目标。因此,项目的成功与项目风险管理的有效性直接相关。
项目风险管理通过调整或实施行动方案和项目活动,以利用项目环境中新出现的变化,从而支持项目目标。因此,项目基准(范围、进度和成本)是基于风险指引制定的。当风险对基准产生影响和/或需要分析多种风险的综合影响时,会对所有风险进行定性分析,而对某些风险进行定量分析。