※專案都具有風險;專案的限制與假設常與利害關係人期望衝突;組織應於可管制範圍內,有計畫的選擇承受專案風險,以在風險與報酬間製造價值。
※專案風險管理目標為其他管理過程所無法涵蓋的風險,若不予管理,可能使專案偏離或導致目標無法達成。
※風險二層次:
§專案個別風險(Individual risks):可能影響一個或多個專案目標
§專案整體風險(Overall project risk):不確定性的所有來源(包含個別風險)對專案整體所造成的影響,表示利害關係人在專案結果變動下面臨的正面或負面風險暴露
※目標在於增加專案正面風險(Opportunities, 機會)的機率與衝擊、減少專案負面風險(Threats, 威脅)的機率與衝擊,使專案成功機會最佳化。
※掌握機會可能獲得效益;未管理的威脅可能產生議題(Issues)或問題(Problems)。
※風險會持續出現,且在專案剛開始時對專案影響最大;應持續監視與管理風險,以確保專案處於正軌,並處理突發性風險。
※為有效管理風險,專案團隊需要瞭解在追求各個專案目標時可接受的風險暴露值;由可衡量的風險門檻(Risk thresholds)來定義:可接受的專案目標變異程度,反應組織予專案利害關係人的風險偏好(Risk Apprtite)。
| 風險態度 (Risk Attitute) |
風險偏好 |
風險容忍度 (Risk Tolerance) |
風險門檻 (Risk Threshold) |
|
| 定義 |
利害關係人面對風險時的心理狀態: 規避(Averse):保守 追求(Seeker):冒險 中性(Neutral):客觀 容忍(Tolerant):不在乎 |
為追求價值,組織願意承擔的風險額度: 高風險/高回報; 低風險/低回報 |
在風險偏好內,對專案各個KPI訂定明確的可接受/不可接受界線 | 專案採取回應措施的起始點 |
| 要點 |
概念層次; 影響PM對已辨識風險優先順序判斷; PM要為Risk Neutral,對數據客觀判斷; 為企業環境因素之一 |
戰略層次; 公司觀點為要獲利; 一個陳述(Statement); 追求機會的行為 |
戰略層次; 專案觀點為達成目標; 一個界線; 落實機會的行為 |
戰略層次; 專案觀點為達成目標; 一個點(事件); 落實機會的行為 |
| 範例 | -- | 以貸款推動專案 | 人事費忍受度200萬元,可承受100日後才付款 | 同左,門檻可能為200萬2000元及第101天,任一點達標即採取風險回應措施 |
※趨勢與新興的實務作法:
§非事件類風險(Non-event risks)越來越受重視:事件類(Event-based risks)風險如供應商倒閉、客戶變更需求等
○可變風險(Variability):任何預定事件、活動或是決策皆具有不確定性。如生產力高或低於目標、測試發現的錯誤數量高或低於預期、反常的天氣狀況等。採用蒙地卡羅分析機率分佈反應變異的區間值,再採取行動減低可能成果的分佈。
○模糊風險(Ambiguity):未來可能發生的不確定因素。專案中不完善的知識影響專案達成目標之能力,如需求或技術方案、既有系統複雜性等。先定義不了解的區域,獲得外部專家或漸進式開發、雛型打造、模擬仿真來處理。
§專案復原力(Project resilience):應付未知的未知、突發性風險。包含:合宜的應變用預算與時程;有彈性的專案過程(包括變更管理)保持專案往整體目標前進;自主專案團隊,在明確目標及有共識的限制下完成工作;頻繁的檢視示警徵兆,早期辨識突發性風險;取得利害關係人明確的意見。
§整合風險管理(Integrated risk management):專案的組織背景,如專案集與專案組合;風險存在各層次;風險由專案團隊管理或是專案外的層級管理;確保各階層處理的一致性與一貫性,建立最佳整體價值。
※裁適的考量因素:專案規模;專案複雜度;專案的重要性;開發手法。
※在敏捷或調適性環境中需要考慮的因素:高變化性環境產生更多不確定性與風險,故需頻繁審查漸進的工作產品、跨功能專案團隊的知識共享、常更新需求並訂定優先順序。
11.1 規劃風險管理(Plan Risk Management) [規劃過程組]
如何處理專案風險管理活動的過程,確保洽當的風險管理程度、形式與能見度。執行一次或在事先定義的時間點執行。
| Input | T/T | Output |
|
1. 專案章程 2. 專案管理計畫書
3. 專案文件
4. 企業環境因素 5. 組織過程資產 |
1. 專家判斷 2. 資料分析
3. 會議 |
1. 風險管理計畫書 |
§專案構思階段就要開始進行規畫風險管理過程,並在專案規畫初期完成。
§主要的階段(Major phase)變更、範疇顯著變更、風險有效性審查,可能須重新執行本過程。
T/T
2. 資料分析:透過利害關係人分析,確定專案利害關係人的風險偏好(Risk Appetite)。
OUTPUT
1. 風險管理計畫書(Risk management plan):如何安排與進行風險管理活動,包含:
※風險策略
※方法論
※角色與責任:定義風險管理計畫書中,每種形式的活動之領導、支援與風險管理團隊成員,並確定其責任
※時機:專案生命週期中,何時及多久進行風險管理過程
※風險分類:風險分解結構(Risk Breakdown Structure, RBS),有助於考慮個別專案風險的全部可能來源,也有助於識別風險、或歸類已識別風險。替代方案:簡單的類別清單。
※利害關係人的風險偏好:需紀錄,因可看出規畫風險管理過程的詳細度;以可測量之風險門檻來表達,風險門檻決定專案整體風險暴露的可接受程度,並用來制定評量與排定專案各別風險之優先順位時所使用的的風險機率與衝擊定義。
※風險機率與衝擊之定義:組織預備或專案自行定義,層級可以五層或三層,反應專案風險管理過程要求的詳細程度。
※機率與衝擊矩陣(Probability and impact matrix):同時列出機會與威脅,可用描述性術語或數值(需相乘)表達,數值可幫助評估每項優先等及中個別風險的相對順序。
※報告格式:對專案風險管理過程的成果,如風險登錄表、風險報告,如何文件化、分析與溝通。
※追蹤(Tracking):如何紀錄風險活動及風險如何被稽核。
11.2 辨識風險(Identify Risks) [規劃過程組]
辨識各別的專案風險與整體專案風險的來源,並記錄其特性。整個專案都要執行之。
| Input | T/T | Output |
|
1. 專案管理計畫書
2. 專案文件
3. 協議 4. 採購相關文件 5. 企業環境因素 6. 組織過程資產 |
1. 專家判斷 2. 資料蒐集
3. 資料分析
4. 人際關係與團隊技巧
5. 提示清單 6. 會議 |
1. 風險登錄表 2. 風險報告 3. 專案文件更新
|
§所有的專案利害關係人都應該被鼓勵去辨識個別的專案風險。
§使用一致的格式,確保每個風險清楚、明白的被瞭解,以支援有效的分析及回應發展。
§可以先提名個別的專案風險負責人(Risk Owner),並在11.3進行定性風險分析中確定。
§可以先紀錄初步的風險回應(Preliminary risk responses),並在11.5規畫風險回應中審查與確定。
§為反覆的過程,反覆頻率應事先定議在風險管理計畫書中。
T/T
2. 資料蒐集:
※檢核表(Checklist):自歷史資訊、知識、其他類似專案匯集而成;是辨識個別風險有效的辦法,快速簡單但不可能萬無一失,團隊仍須探討不在檢核表的項目;必須時常更新審查,移除或歸檔過時的資訊。
3. 資料分析:
※假設與限制的分析(Assumption and constraint analysis):用來探究假設事項與限制條件是否有效,從而決定專案的風險;從假設事項的不確定、不穩定、不一致性或不完整性來辨識專案的威脅;藉由移除或放寬限制條件,產生機會。
※SWOT分析(SWOT analysis):從優勢(Strengths)、劣勢(Weaknesses)、機會(Opportunities)、威脅(Threats)的觀點來檢視專案。可將內部風險納入考量,增加已辨識風險的廣度。
5. 提示清單(Prompt lists):預先制定(Predetermined)的風險種類清單,可產生個別或整體專案風險;協助團隊使用風險辨識技術時產生想法;風險分解結構最低層的風險種類,可以做為個別專案風險的提示清單。以下為通用的策略框架,適合用於辨識整體專案風險來源:
※PESTLE - 政治(Political)、經濟(Economic)、社會(Social)、技術(Technological)、法律(Legal)、環境(Environmental)
※TECOP - 技術(Technical)、環境(Environmental)、商業(Commercial)、營運(Operational)、政治(Political)
※VUCA - 易變性(Volatility)、不確定性(Uncertainty)、複雜性(Complexity)、不明確性(Ambiguity)
T/T
1. 風險登錄表(Risk register):第一版,記錄已識別的個別專案風險的詳細資訊。可能包含:已辨識的風險清單、可能的風險負責人、可能的風險回應清單、風險摘要、風險種類、風險現況、對專案目標的n個影響、風險觸發事件或條件、受影響的WBS組件、時機資訊。
2. 風險報告(Risk report):顯示整體專案風險來源、已辨識的個別專案風險摘要資訊(數目、分布情形、指標、趨勢等)。其後11.3 進行定性風險分析、11.4 進行定量風險分析、11.5 規畫風險回應、11.6 實施風險回應、11.7 監視風險的產出也包含在風險報告。
11.3 進行定性風險分析(Perform Qualitative Risk Analysis) [規劃過程組]
評量風險發生的機率與衝擊並結合其他特性,對個別專案風險排定優先等級。整個專案都要執行之。
| Input | T/T | Output |
|
1. 專案管理計畫書
3. 專案文件
3. 企業環境因素 4. 組織過程資產 |
1. 專家判斷 2. 資料蒐集
3. 資料分析
4. 人際關係與團隊技巧
5. 風險分類 6. 資料呈現
7. 會議 |
1. 專案文件更新
|
§依機率與衝擊評量已辨識個別風險的優先度是主觀的(Subjective),明確辨識及管理主要參與者的風險態度甚為重要。
§風險感知會將偏見帶入已辨識風險的評量之中,處理偏見是主持人(Facilitator)角色的關鍵部分。
§對每項個別專案風險指定風險負責人,負責規劃適當的回應,並確保回應被進行。
§本過程依風險管理計畫書定義反覆執行;敏捷式開發在每個迭代開始前就要執行本過程。
T/T
3. 資料分析:
※風險資料的品質評量(Risk data quality assessment):確保使用高品質的風險資料,確保精準、可靠,以做為定性分析的基準。可藉由問卷調查來評量專案利害關係人對各種特性的感知:完整性(Completeness)、客觀性(Objectivity)、關聯性(Relevancy)、適時性(Timeliness)。
※風險機率與衝擊評量(Risk probability and impact assessment):每項風險的風險機率等級與對目標的衝擊,在訪談或會議中評量。低機率及低衝擊的風險,將納入風險登錄表中,做為觀察清單的部份,供未來監視之用。
※其他風險參數之評量:其他風險特性如急迫性(Urgency)、接近性(Proximity)、螫伏性(Dormancy)、可管理性(Manageability)、可控性(Controllability)、可偵測性(Detectability)、聯結性(Connectivity)、策略影響性(Strategic impact)、緊鄰性(Propinquity)。
5. 風險分類(Risk categorization):藉由風險來源、專案影響的區域、專案階段、專案預算、角色與職掌、共同的肇因等方式分類,決定專案受到不確定因素影響最顯著的區域。可藉由聚焦最高風險暴露直的區域、發展通用的風險回應處理相關風險來發展更有效的風險回應。
6. 資料呈現:
※階層圖(Hierarchical charts):當風險分類使用兩個以上的參數時,機率衝擊矩陣便無法使用,需改用圖形來表達,如氣泡圖(Bubble chart)可表達三維的資料。
11.4 進行定量風險分析(Perform Quantitative Risk Analysis) [規劃過程組]
量化整體專案風險暴露值,提供額外量化風險資訊,用以支持風險回應的規劃。整個專案都要執行之。
| Input | T/T | Output |
|
1. 專案管理計畫書
3. 專案文件
3. 企業環境因素 4. 組織過程資產 |
1. 專家判斷 2. 資料蒐集
3 人際關係與團隊技巧
4. 不確定性呈現方式 5. 資料分析
|
1. 專案文件更新
|
§並非所有專案都需本過程,大形複雜或關鍵利害關係人要求的專案才需要。
§仰賴於個別專案風險、其他不確定來源的高品質資料,正確的範疇、成本及時程基準。
§需要特殊的風險軟體,消耗額外的時間與成本。
§評量整體專案風險,也可在規畫風險回應過程後執行,確定規畫回應的可能效果,降低整體風險暴露值。
T/T
4. 不確定性的呈現方式(Representations of uncertainty):預定活動的期程、成本或資源的需求具不確定性時,數值範圍的機率分佈呈現方式。其他風險不確定來源亦可用機率分支(Branch)呈現,以描述專案過程中的多種選擇途徑。
5. 資料分析: 必考!!
※模擬(Simulations):專案導向式,模擬個別專案風險與其他不確定性來源的綜合效應,來評量對達成專案目標的潛在衝擊<決定專案整體風險>。通常使用蒙地卡羅(Monte Carlo)技術。成果呈現:機率累積圖(S Curve)。
※敏感性分析(Sensitivity analysis):事件導向式,依據各交互關係的強度依序排列<找出風險高的項目>。成果呈現:龍捲風圖(Tornado diagram)。
※決策樹分析(Decision tree analysis):事件導向式,計算每個分支(待選方案)的期望值(The expected value of each branch),找出最佳路徑<找出最佳回應>。成果呈現:決策樹圖。
※影響圖(Influence diagrams):圖項輔助工具,在不確定情況下做決策分析。為實體、成果、影響彼此間的交互關係,呈現專案或專案中遇到的情況。
11.5 規劃風險回應(Plan Risk Responses) [規劃過程組]
發展選擇方案(Options):選定策略與認同行動(Actions)來處理專案整體風險暴露值與個別專案風險。整個專案都要執行之。
| Input | T/T | Output |
|
1. 專案管理計畫書
3. 專案文件
3. 企業環境因素 4. 組織過程資產 |
1. 專家判斷 2. 資料蒐集
3. 人際關係與團隊技巧
4. 威脅回應策略 5. 機會回應策略 6. 應變回應策略 7. 專案整體風險回應策略 8. 資料分析
8. 決策制定
|
1. 變更申請 2. 專案管理計畫書更新
3. 專案文件更新
|
§有效且適當的風險回應,可以將個別威脅最小化、個別機會最大化、並降低整體專案風險暴露值。
§風險被辨識、分析與排定優先性後,風險負責人必須發展回應計畫處理每個個別的專案風險;專案經理必須考慮如何適當回應現有專案整體風險。
§規畫風險回應需:與風險的顯著性相稱;符合成本效益以面對挑戰;在專案背景中必須實際可行;所有參與人同意;有專責的負責人;從多個備案中挑顯出最佳的風險回應。
§採用策略後的可承擔的風險(Accepted Risks)發生,可發展應變計畫(Contingency Plan)(備援計劃, Fallback Plan),但可能仍有殘留風險(Residual Risks);並辨識各種衍生風險(Secondary Risks),即因實施風險回應所直接造成的新生風險。
§應變儲備(Contingency Reserve)通常針對時程或成本進行配置,可包括觸發的辨識資訊。
§決定如何回應將影響專案管理計畫書最大,例如採購及成本。
T/T
4. 威脅回應策略(Strategies for threats):負面風險回應
5. 機會回應策略(Strategies for opportunities):正面風險回應
| 回應 | 威脅 | 威脅/機會範例 | 機會 |
| 超出專案範疇 | 逐級呈報 (Escalate) |
對方要接受負責,不追蹤後續 | 逐級呈報 (Escalate) |
| 回應力道大 | 規避 (Avoid) |
產品召回/二代玉 | 開拓 (Exploit) |
| 與第三方有關 | 移轉 (Transfer) |
保險/合資企業 | 共享 (Share) |
| 回應力道小 | 減輕 (Mitigate) |
配備雨衣/形象升級、週邊商品 | 增強 (Enhance) |
| 無行動 | 承擔 (Accept) |
積極:建立應變儲備 消級:僅定期審查 |
承擔 (Accept) |
6. 應變回應策略(Continfent responses strategies):只在發生某特定事件時才觸發使用的回應。例如:錯過某個里程碑。
11.6 實施風險回應(Implement Risk Responses) [執行過程組]
履行一致同意的風險回應計畫。整個專案都要執行之。
| Input | T/T | Output |
|
1. 專案管理計畫書
3. 專案文件
3. 組織過程資產 |
1. 專家判斷 2. 人際關係與團隊技巧
3. 專案管理資訊系統 |
1. 變更申請 2. 專案文件更新
|
§專案管理的通病:已規劃好但未採取行動管理風險;風險負責人須投入必須的努力,主動管理整體專案風險暴露值與專案個別威脅與機會。
T/T
2. 人際關係與團隊技巧:
※影響力(Influencing):有些風險回應行動可能由專案團隊外或具競爭的人負責,專案經領會是負責促成此風險過程的人,需要動用「影響」來骨力只定的負責人在必要時採取必要行動。
11.7 監視風險回應(Monitor Risk) [監視與管制過程組]
持續監視是否有新的、改變的、過時的個別專案風險,及整體專案風險程度的變化。整個專案都要執行之。
| Input | T/T | Output |
|
1. 專案管理計畫書
3. 專案文件
3. 工作績效資料 4. 工作績效報告 |
1. 資料分析
2. 稽核 3. 會議 |
1. 工作績效資訊 2. 變更申請 3. 專案管理計畫書更新
4. 專案文件更新
5. 組織過程資產更新 |
§判定:實施風險回應、專案假設事項是否有效;整體專案風險、已辨識個別專案風險是否改變;新的個別專案風險是否產生;風險管理方法是否適當;風險管理政策及程序是否被遵循;時程、成本的應變儲備是否修正,專案策略是否合理。
T/T
1. 資料分析:
※技術性能分析(Technical performance analysis):將完成的技術性能工作與時程表上的目標進行比對。此法需已定義的目標及績效數值化量測值,分析得出的偏差值可只出各種威脅或機會的潛在影響。
※儲備分析(Reserve analysis):詳7.2,將剩餘應變儲備金與專案後續風險比較,以確認剩餘儲備是否足夠;可由燃盡圖表示。
留言列表
