风险不只是坏事:双面定义与七步循环
PMBOK 把风险(risk)定义为一个不确定的事件,一旦发生会对项目目标产生影响——注意,影响可以是负面的(威胁 threat),也可以是正面的(机会 opportunity)。『某模块可能比预期提前完成』和『供应商可能延迟交付』一样,都是风险。
国际上还有 ISO 31000 标准把风险管理思维提升到组织层面。核心心法:不确定性无法消灭,但可以被识别、评估、应对和监控——把『可能出事』提前变成『有预案』。
风险管理不是开工时想一遍就完事,而是贯穿全程的循环过程,PMBOK 分七步:
1. 规划风险管理——定方法、定角色;
2. 识别风险——把『可能出事/可能有利』尽量列全;
3. 定性分析——概率×影响快速排序;
4. 定量分析(可选)——给要紧的风险算数;
5. 规划应对——每条风险定策略;
6. 实施应对——把策略落成行动;
7. 持续监控——新风险冒出来、老风险在变,循环回去更新。

识别与评估:登记册怎么写、P-I 矩阵怎么筛、EMV 怎么算
识别风险是把潜在的『可能出事/可能有利』尽量列全,常用手段:头脑风暴、检查清单(历史项目的常见风险)、专家判断、假设分析(把每个假设当潜在风险问『万一不成立呢』)、SWOT。识别得越早越全,后面越主动。
产出是风险登记册(risk register)——一份活文档,每条记:风险描述、负责人(owner)、发生概率、影响、拟定应对。两个要点:① 登记册要持续更新(新风险随项目冒出来),不是写一次就归档;② 风险要描述成『原因→不确定事件→后果』,而不是笼统一句『有风险』。
识别出一堆风险后,先做定性分析(qualitative analysis)快速排序:给每条风险评发生概率(低/中/高)与影响程度(低/中/高),画到概率-影响矩阵(P-I matrix)上——落在『高概率×高影响』红区的优先盯、优先应对,『低×低』的可先接受/观察。它主观、靠判断,但快、便宜,是最常做的第一道筛——把有限精力集中到真正要紧的少数风险上。
对大项目或定性筛出的高优先风险,再做定量分析(quantitative analysis):① 预期货币价值 EMV = 概率 × 货币影响——如 30% 概率亏 10 万,EMV = −3 万,用来比较风险大小、给应急储备定额;② 蒙特卡洛模拟——对工期/成本做大量随机抽样,得出『按期完成的概率』『最可能成本区间』。定性回答『哪些重要』,定量回答『到底多重要、该留多少缓冲』——定量只对真正要紧的少数做,不是每条都算。

应对与兜底:威胁四招、机会四招、两种储备
对威胁(负面风险),PMBOK 给四种应对策略:
- 规避(avoid)——改变计划、消除风险根源,让它根本不会发生(砍掉高风险范围、换成熟技术);
- 转移(transfer)——把影响转给第三方,自己不直接承担(买保险、外包、合同条款);
- 减轻(mitigate)——降低发生概率或影响(多做测试、加冗余、做原型);
- 接受(accept)——不主动处理:主动接受则设应急储备兜底,被动接受就只是出事再说。
PMBOK 6 还加了上报(escalate):超出项目权限的风险上交给上级/组织。选哪招看风险大小与代价——不是所有风险都值得花钱规避。
对机会(正面风险),对应也有四招:
- 开拓(exploit)——确保机会一定发生,投入最强资源去抓;
- 分享(share)——和有能力的伙伴合作以共同抓住(合资、联盟);
- 提高(enhance)——提升机会发生的概率或好处;
- 接受(accept)——不主动追,但来了就笑纳。
例如某模块比预期快完成(机会),项目经理调最强资源、顺势提前启动下一阶段——这就是开拓。
项目要为不确定性留缓冲,但分两种:已知风险(known risks)——识别出来、放进登记册的,留应急储备(contingency reserve)(时间/钱),通常算进成本/进度基准里,由项目经理自行动用;未知风险(unknown-unknowns)——根本没想到、无法事先识别的,留管理储备(management reserve),放在基准之上,动用通常要管理层批准。已知风险靠预案+应急储备,未知风险靠管理储备这层总兜底——别把两者混为一谈,也别假装项目零意外、不留任何缓冲。

自测 · 学完检查一下
想真正动手做题、记进度、攒连胜?到互动课里练。
按 PMBOK 的定义,下面关于『风险(risk)』的说法哪个是对的?
答案:风险是一个不确定的事件,一旦发生会对项目目标产生影响——影响可以是负面的(威胁),也可以是正面的(机会)
PMBOK 把风险定义为『一个不确定的事件,一旦发生会对项目目标产生影响』——影响可以是负面的(威胁 threat),也可以是正面的(机会 opportunity),所以『抓住好机会』同样是风险管理的一部分。风险是还没发生的不确定事件,不等于已经发生的问题;而不确定性无法消灭,只能被识别、评估、应对和监控——把『可能出事』提前变成『有预案』。(出处:PMBOK Guide (6th ed.) — Project Risk Management;ISO 31000:2018)
判断:按 PMBOK,风险管理是贯穿项目全程的循环过程——规划风险管理→识别风险→定性分析→定量分析(可选)→规划应对→实施应对→持续监控,而不是开工时做一次就结束。
答案:正确
正确。PMBOK 把项目风险管理分为七步并循环运转:① 规划风险管理 → ② 识别风险 → ③ 定性分析 → ④ 定量分析(可选)→ ⑤ 规划应对 → ⑥ 实施应对 → ⑦ 持续监控。新风险随项目推进不断冒出、老风险的概率/影响在变,所以必须全程监控、循环回去更新登记册;ISO 31000:2018 同样把持续监控与沟通列为风险管理的组成部分。(出处:PMBOK Guide (6th ed.) — Project Risk Management;ISO 31000:2018)
团队开始建风险登记册(risk register)。下面哪种做法是对的?
答案:每条记录写清风险描述、负责人(owner)、发生概率、影响和拟定应对,并随项目推进持续更新
风险登记册是一份『活文档』,每条要记:风险描述、负责人(owner)、发生概率、影响、拟定应对——缺 owner 的风险没人跟踪,缺概率/影响没法排优先级,缺应对就只是记录不是管理。而且登记册要随项目持续更新(新风险不断冒出来、老风险在变),写一次就归档等于做样子。(出处:PMBOK Guide (6th ed.) — Identify Risks;ISO 31000:2018 — Risk identification)
判断:在风险登记册里写一句『本项目存在技术风险』,就算完成了合格的风险描述——写得越笼统,覆盖面越广越安全。
答案:错误
错误。风险要描述成『原因→不确定事件→后果』,而不是笼统一句『有风险』:比如『因为核心模块依赖第三方接口(原因),对方可能延迟交付(不确定事件),导致联调阶段推迟两周(后果)』。笼统描述评不了概率、算不了影响、定不了应对;结构化描述才给后面的定性/定量分析和应对规划留下抓手。(出处:PMBOK Guide (6th ed.) — Identify Risks)
你识别出了 30 条风险,但团队精力有限。定性分析后:风险 A 落在『高概率×高影响』,风险 B 落在『低概率×低影响』。按概率-影响矩阵的用法,接下来应该怎么做?
答案:优先盯住并应对红区的 A;B 这类『低×低』的可先接受或观察
定性分析的意义就是快速排序:给每条风险评发生概率与影响程度,画到概率-影响矩阵上——落在『高概率×高影响』红区的优先盯、优先应对,『低×低』的可先接受/观察。它主观、靠判断,但快、便宜,是最常做的第一道筛,把有限精力集中到真正要紧的少数风险上,而不是对一长串风险平均用力;定量分析(如蒙特卡洛)更费力,只对定性筛出的高优先风险做,不是每条都算。(出处:PMBOK Guide (6th ed.) — Perform Qualitative Risk Analysis)
某风险有 20% 的概率发生,一旦发生将造成 50 万元损失。按预期货币价值(EMV)计算,这条风险的 EMV 是多少?
答案:−10 万元——EMV = 20% × (−50 万)
预期货币价值 EMV = 概率 × 货币影响 = 20% × (−50 万) = −10 万元(同理,30% 概率亏 10 万 → EMV = −3 万)。它把概率和影响折成一个数,用来比较不同风险的大小、给应急储备定额——既不是按最坏情况全额计提,也不是没发生就当零。定量分析更严谨但更费力,通常只对定性筛出的高优先风险做。(出处:PMBOK Guide (6th ed.) — Perform Quantitative Risk Analysis)
精密设备在长途运输中可能损毁,团队决定为这批设备购买运输保险,让保险公司来承担损失。这属于威胁应对四招中的哪一招?
答案:转移(transfer)——把影响转给第三方承担
买保险是典型的转移(transfer):把风险的影响转给第三方,自己不直接承担——外包、合同条款也属此类。注意区分:规避是改变计划、消除根源让风险根本不会发生(如砍掉高风险范围、换成熟技术);减轻是降低概率或影响(多做测试、加冗余、做原型);接受是不主动处理(主动接受则设应急储备兜底)。PMBOK 6 还补了上报(escalate):超出项目权限的风险上交给上级/组织。(出处:PMBOK Guide (6th ed.) — Plan Risk Responses (threats))
某核心模块比预期提前两周完成(一个正面风险,即机会),项目经理立即调配最强资源,确保顺势提前启动下一阶段、让这个机会百分之百兑现。这属于机会应对四招中的哪一招?
答案:开拓(exploit)——投入最强资源确保机会一定发生
『调最强资源、确保机会一定发生』正是开拓(exploit)——PMBOK 里机会应对的第一招;某模块比预期快完成、顺势提前启动下一阶段就是它的典型例子。四招区分:开拓=确保机会必然兑现;分享=与有能力的伙伴合资/联盟共同抓住;提高=提升机会发生的概率或好处;接受=不主动追、来了笑纳。只盯威胁、对机会视而不见,是把风险管理做了一半。(出处:PMBOK Guide (6th ed.) — Plan Risk Responses (opportunities))
判断:已识别进登记册的『已知风险』用应急储备(contingency reserve)兜底,通常算进成本/进度基准、由项目经理自行动用;而『未知风险(unknown-unknowns)』靠管理储备(management reserve),放在基准之上,动用通常需要管理层批准。
答案:正确
正确。两种储备对应两类不确定性:已知风险(识别出来、放进登记册的)留应急储备(时间/钱),通常算进成本/进度基准里,项目经理可自行动用;未知风险(根本没想到、无法事先识别的)留管理储备,放在基准之上,动用通常要管理层批准。已知风险靠预案+应急储备,未知风险靠管理储备这层总兜底——别把两者混为一谈,也别假装项目零意外、不留任何缓冲。(出处:PMBOK Guide (6th ed.) — Contingency vs Management Reserve)
判断:只要团队建立了风险登记册,就说明风险管理已经做到位了。
答案:错误
错误。这是典型误区:登记册若没有负责人、没有应对、没人跟踪,就只是一张纸;真正的风险管理是『识别→评估→有人负责的应对→持续监控』的闭环,产出不是文档,而是更少的意外和更快的反应。另外两个常见误区:『风险开工时列个清单就完事』(错——新风险不断冒出,必须全程监控、定期复盘更新)和『风险只指坏事』(错——PMBOK 明确风险含机会,只防威胁不抓机会是半套)。(出处:PMBOK Guide (6th ed.) / ISO 31000:2018)