学习目标
1.理解何为风险，以及做好项目风险管理的重要性。
2.讨论风险管理规划涉及的要素和风险管理规划的内容。
3.列举在IT项目中常见的风险源。
4.描述风险识别的过程，制作风险登记册。
5.讨论定性风险分析的过程，并解释如何去估算风险因子、创建概率与影响矩阵和采用前10大风险条目跟踪法去划分风险等级。
6.解释定量风险分析的过程，，以及如何利用决策树、模拟方法和灵敏度分析去作风险的定量分析。
7.举例说明如何使用各种风险应对计划去同时应对积极和消极方面的风险。
8.讨论风险监控涉及哪些因素。
9.描述软件如何辅助做好项目风险管理。
开篇案例
　　柯利福 布兰奇是一家小型IT咨询公司的总裁，该公司专门从事网络应用程序的开发，并提供全方位的服务支持。公司员工由程序员、商业分析师、数据库专家、Web设计员、项目经理等组成。公司现有员工50名，计划在下一年至少再招聘10名员工，并增加兼职顾问的数量。公司在过去几年业绩一直不错，但最近生意不那么顺了。在处理目标客户的各种需求建议书方面所花的时间和资源更多。签订合同之前，许多客户开始要求做产品演示，甚至要求原型开发。
　　柯利福知道自己及爱冒险，喜欢选择能带来最大收益的项目。他在决策之前不会用系统的方法去评估各种项目的风险。他关注的是潜在收益的大小和项目有多大的挑战性。而今，他的这种战略却给公司带来了麻烦。因为过去公司在准备提案上花费了很多的资源，但签订的合同却很少。好几个已经不在项目中工作的顾问却还照常领着公司的薪水；一些兼职的顾问因为没有充分利用，还在从事其他项目。柯利福和他的公司要怎么做才能更好地认识"项目风险”呢？在决定该寻求什么项目时，柯利福是否应该调整战略？怎么调整？
11.1 项目风险管理的重要性
　　项目风险管理既是一门艺术又是一门科学。它通过识别、分析和应对整个项目生命周期中的风险来最大程度地满足项目目标。作为在项目管理中常被忽视的一个方面，风险管理能对项曰的最终成功起极大的促进作用。风险管理对项目选择、项目范围的确定、制定现实可行的进度和成本估计都有积极的作用。它能帮助项目利益相关者更好地理解项目的性质，让团队成员参与辨识优势和劣势，并有助于把其他的项目管理知识结合到一起。
　　好的项目风险管理往往让人觉察不到它的存在，这和危机管理不同。在危机管理中，会有一个危及项目成功的很明显的威胁。这样的话，危机就会得到项目团队的密切关注。成功地化解危机，有着更大的可视性，并常常伴随着管理部门的奖励。相反，当有效地开展了风险管理时，它会导致问题的减少，并能为那些所剩不多的问题带来更多的、快捷的解决方案。外部观察者很难判断一个新系统的顺利开发是归于风险管理还是运气。但是项目团队成员深知，正是良好的风险管理才让他们的项目更好地运行。项目风险管理需要专门的、有才干的专业人士。为了满足这一需求，项目管理协会(PMI)于2008年推出了项目风险管理专业证书(PMI-PMP)，详情参照PMI网站。
　　所有的行业，尤其是软件开发行业，都容易忽视项目风险管理的重要性。威廉伊布斯和郭永勋进行了一项评估项目管理成熟度的研究调查。38个参加调查的组织单位被分成4个行业小组：工程与建设、电信、信息系统／软件开发和高科技制造。参与调查者回答了148道多项选择题，分别评价他们的组织在项目的范围、时间、成本、质量、人力资源、沟通、风险和采购等项目管理知识领域的成熟程度。其中的评分等级从1-5不等，5表示最高成熟等级。调查的结果参见表11-1。值得注意的是，风险管理是唯一一个得分全都少于3分的知识领域。这项调查表明，所有的组织都应该在项口风险管理上花更多的精力，尤其是信息系统／软件开发行业。这些行业的风险管理得分最低，只有2.75。

2003年，对南非、毛里求斯的软件开发公司也进行了类似的调查。结果，所有的知识领域平均成熟等级只有2.29。评级范围仍是1-5，5为最高成熟等级。在这项调查中，项目风险管理领域依然获得最低的成熟等级，平均只有1.84分。成本管理获得最高的成熟等级，为2.5分。调查负责人指尚，接受调查的组织往往关注的是成本超支，并随时关注成本控制。他们还发现，成熟等级和项目的成功率是紧密相关的，并指H{风险管理的成熟度较低很可能是项目出现问题或失败的原因。
　　KLCL研究小组在2001年调查了全球范围的260家软件行业的组织，依此来研究软件行业的风险管理实践。以下是他们的一些发现：
　　-97%的受调查者提到他们拥有识别和评估风险的相应程序。
　　-80%认为风险管理的主要收益是能预先防范和避免问题的发生。
　　-70%的组织都已明确规定了软件开发程序。
　　-64%都拥有一个项目管理部门。
　　以这些被调查者为例，图11-l展示了软件行业风险管理实践的主要益处。除了预先预防或避免问题发生，风险管理实践还有助于软件项目管理者去预防意外情况，提高谈判能力，履行对顾客的承诺，减少进度超期和成本超支等。

虽然很多组织认识到其项目风险管理工作做得不好，但在改进项目风险管理方面，无论从项目层面还是从企业层面，都没有什么进展。最近几年，有很多关于这一话题的书籍和文章。例如，2008年股市下跌之后不久，大卫希尔森博士写了一篇文章，阐述了项目风险管理的重要性。希尔森说：毫无疑问，目前各产业和社会部门面临的真正挑战在于，处理信贷紧缩引发的后果。但是在困难时期，不应认为风险管理无关紧要而缩减这方面的开支。相反，组织应该运刚风险处理的方法，以确保将来可以应对那些不可避免的不确定性，并且以最佳的状态胜出。鉴于我们身处的环境瞬息万变，风险管理比以往任何时候都重要。因此，忽略风险管理的重要性，或是缩减在这方面的投入，将导致虚假经济。我们应该把风险管理看成是解决方案的主要内容，而不是问题的一部分。
　　在你能改善项目风险管理之前，你必须先要理解什么是风险。一本基础字典是这样解释的：风险是-损失或损害的可能性。这个定义突出了风险的负面意义，也表明了其不确定性。项目风险管理即是要懂得那些发生在项目里的潜在问题，以及如何对项目的成功起阻碍作用。《项目管理知识体系》（第4版）中称这种风险为消极风险或威胁。当然，项目管理中也存在积极的风险或机会，对项目起正向作用。因此，项目风险(risk)的一般定义是，一种对实现项目目标产生消极或积极影响的不确定性。
　　在很多情况下，负风险的管理就像是一种保险。它是一项用来减轻项目中潜在不利因素的影响的活动。而正风险管理就像是对机会的投资。要把风险管理看成是一项投资，这很重要，幽为这其中会有成本发生。一个组织愿意在风险管理活动中花多少投资，这取决于项目的性质、项目团队的经验和对前两者的约束条件。在许多情况下，风险管理的成本都不会超过其潜在的收益。
　　如果在IT项目中有那么多的风险，为什么那些组织还要实施这些项目呢？许多公司至今仍在经营着，正是因为他们管好了那些能带来极好机会的风险。组织只有追逐机会才能保持企业的长青。而信息技术往往就是一个企业战略的关键；没有它，许多企业可能就生存不下去了。既然所有的项目都会有产生消极或积极结果的不确定性，于是问题就在于，如何决定哪个项目该去追求，在整个项目生命周期中又如何去识别与管理项目风险。
　　好几位风险研究专家都指出，无论是组织还是个人，都是努力在项目的一切方面或个人生活中寻找风险与机会之间的平衡。这种想法意味着不同的组织和个人对风险有着不同的容忍度。有些组织或个人对风险的容忍度处于中等水平，有些则偏好规避风险，另外一些则偏好冒风险。而这3种对风险的偏好就是风险效用理论的部分。
　　风险效用(risk utility)或风险容忍度(risk tolerance)是指从潜在的权衡中得到的满足或愉悦程度。图11-2表明了在风险规避、风险中立和风险偏好这3种偏好之间的基本差异。其中，Y坐标表示效用，或冒风险所带来的满意度。X坐标表示潜在的权衡、机会，或是风险的机会所等同的货币价值量。风险回避(risk-averse)的人的边际效用是递减的。换句话说，权衡越重，或者风险价值越大，偏好回避风险的组织或个人的满足度就越低，或者说风除容忍度更低。而风险偏好(risk-seeking)的组织或个人则有更高的风险容忍度。他们的满意度会随着风险价值的提高而增加。风险偏好者更喜欢不确定的结果，且常愿意接受风险带来的损失。而风险中立(risk-neutral)者则喜好寻找风险与收益之间的一种平衡。
　　项目风险管理的目的可以看做是：在最小化潜在的负风险的同时最大化潜在的正风险。已知风险-这个词有时用来描述那些项目团队已经识别和分析过的风险。对已知风险可以有计划地进行管理；但是对于未知的风险，也就是未经识别和分析的风险，就不好管理了。正如你会想到的，优秀的项目管理者知道，花时间去识别和管理风险是值得的。风险管理共包含6个主要的过程：
　　-风险管理规划，指定义如何实施项目风险管理活动的过程。根据项目范围说明、成本管理计划、进度管理计划、沟通管理计划、企业环境因素以及组织的过程资产，项目团队可以针对特定的项目讨论和分析风险管理活动。这个过程的主要输出是一份风险管理计划。

-风险识别，指判断哪些风险会影响项目并记录其特征的过程。这个过程的主要输出是最初的风险登记册，其具体内容将在本章后面论述。
　　-定性风险分析，指按照发生的可能性和影响程度对风险进行优先排序的过程。在识别风险之后，项目团队可以利用各种不同的工具和方法来对风险进行分级，并更新风险登记册里的信息。这个过程的主要输出是风险登记册的更新。
　　-定量风险分析，指就已识别风险对项目整体目标的影响进行定量分析的过程。这一过程的主要输出也是风险登记册的更新。
　　-风险应对计划，指采取措施来增加实现项目目标的几率，减少风险对实现项目目标的威胁的过程。利用上面步骤的输出结果，项目团队可以制定风险应对战略，这也就会导致再次更新风险登记册、项目管理计划和其他项目文件，以及与风险相关的合同协议．
　　-风险监控，指在项目生命周期中，监控已知的风险，识别新的风险，执行风险应对计划，并评估风险对策效果的过程。这个过程的主要输出包括变更请求，以及对风险登记册、组织过程资产、项目管理计划和项目文件的更新。
　　图11-3对这些过程和结果作了总结，并表明了各过程在具体项目中的发生时间。

项目风险管理的第一步就是通过进行风险管理规划来决定如何着手开始风险管理。
11.2风险管理规划
　　风险管理规划是决定如何去看待和规划一个项目的风险管理活动的过程，其主要输出是一份风险管理计划。风险管理计划(risk management plan)是一份针对整个项目生命周期内风险管理程序的计划文档。项目团队应该在项目的早期多次召开计划会议，以商讨制定风险管理计划。他们应该审阅一些项目文件，还有公司的风险管理政策、风险分类、过去项目的经验教训和风险管理计划的模板等。重新检视各个利益相关者的风险容忍度也很必要。例如，如果项目发起人是风险回避型的，这与发起人是位风险偏好者的情况相比，项目就需要一些不同的方法措施。
　　刚硷管理计划概括了一个特定项目将如何进行风险管理。像其他专门的知识领域的计划一样，风险管理计划也是项目管理计划的一个子集。表11-2列出了风险管理计划应该应对的一般主题。弄清楚各自的角色和责任，准备好预算，为风险管理的相关工作做好进度估计，并识别好风险的类型，这些都很重要。同样重要的是，把如何进行风险管理描述出来，包括对风险可能性和影响的估计，以及创建与风险相关的文档。风险管理计划的详尽程度会因项目的需要而不尽相同。

除了风险管理计划外，许多项目都还包括应急计划、退路计划和应急储备。应急计划(con-tingency plans)事先确定了在意外风险事件发生时项目团队应采取的行动。例如，如果项目团队了解到一个新发行的软件包不能及时用到项目中的话，他们就会启用应急计划，采用现有的或旧的软件版本。退路计划(fallback  plans)是为对实现项目目标具有很大影响的风险编制的计划，并且如果企图降低风险的措施难以奏效，则该计划可以作为补充。例如，一个大学毕业生会有一个毕业后将在哪儿生活的主计划和几个应急计划，但是如果这些计划都无法奏效的话，就会有个退路计划：先在家住一段时间。有时，应急计划和退路计划这两个词可以互换使用。应急储备(contingency reserves)是项目发起人或者组织掌握的预备资源，以防范成本风险或者进度波动超过可接受的水平。例如，如果一个项目因为员工对新的技术不熟悉，且团队也没有识别到这种风险而出了偏差，项目发起人也许就会从应急储备中拿出额外的资金，雇用一名外部顾问来培训和帮助项目成员掌握新技术。
　　在你真正能在IT项目中理解和使用其他的项目风险管理方法之前，认识和了解常见的风险源是十分必要的。
11.3 IT项目中常见的风险源
　　有研究表明，IT项目具有一些共同的风险源。例如，斯坦迪什集团为他们称为“未完航程”的CHAOS研究作了一个跟踪调查。这个调查召集了60个IT项目专家来详尽阐述如何去估计一个项目成功的总体可能性。表11-3给出了斯坦迪什集团的成功潜力评分表和项目成功标准的相对重要性。如果一个未来要做的项目没有得到一个起码的得分，那么组织将会放弃它，或在往项目投入时间和金钱之前先想方设法降低其风险。

斯坦迪什集团为每个成功的标准设定了具体的问题，以方便决定给一个项目该打多少分数。例如，与用户参与相关的5个问题如下：
　　-我拥有正确的用户吗？
　　-我及早并经常让用户参与项目了吗？
　　-我和用户的关系是否良好？
　　-用户的参与是否便捷？
　　-我是否了解用户的需求？
　　对应每个成功标准的问题个数决定了每个问题被肯定同答时所得的分数。比如，在用户参与里有5个问题。有一个肯定的同答，你就会得到3.8( 19/5)分；19表示这个标准的权重，而5表示问题的个数。所以，你能肯定回答一个问题，那么你的用户参与标准里的相对值就会多加3.8分。
　　许多组织都自行设计他们自己的分析调查问卷。这些问卷里的风险大类一般包括：
　　-市场风险：如果一个IT项目将产出一种新产品或提供一种新服务，那么这种产品或服务对组织是否有用处？或别人对它是否有需求？用户会接受和使用这种产品或服务吗？是否会有其他的组织生产出一种更好的产品或提供更快捷的服务，以至于浪费了这个项目所占用的时间和金钱，
　　-财务风险：组织能支付得起这个项目的运行吗？项目干系人是否在资金预算方面有足够的信心？项目是否满足NPV、ROI和投资回收期的要求？如果不能，组织是否有财力继续支持这个项目？这个项目是使用组织资金的最佳方式吗？
　　-技术风险：项目在技术上是否可行？它将使用成熟的、前沿的还是最先锋但未成熟的( bleeding edge)技术？将在什么时候决定使用哪种技术？硬件、软件和网络功能是否完善？技术是否能及时到位，以保证项目目标的实现？在能生产出合格产品之前，技术是否会过时或被淘汰’如果有必要，你也可以将技术风险细分为硬件、软件和网络技术方面的风险。
　　-人员风险：组织是否拥有或能找到掌握所需技术的人来顺利完成项目？员工是否拥有合格的管理和专门技能？他们是否有足够的经验？高层管理是否支持这个项目？是否有一个项目倡议者？组织对项目发起人或顾客是否熟悉？和项目发起人或顾客的关系是否良好？
　　-结构或过程风险：新的项目将给用户和业务流程带来多大的变化？项目要满足多少个不同的顾客群的需要？新的项目或系统将和多少其他的系统相互之间有影响？组织是否有成功完成项目所需的过程？
错在哪里
　　毕马威会计师事务所在1995年发表了一份研究报告。报告显示，55%的失控项目(runa-way projects)----即成本显著超支或时间显著延期的项目----根本没有进行风险管理，38%有一定程度的风险管理（但是有一半在项目进行时没有使用他们的风险管理的成果），而7%不知道他们到底有没进行过风险管理。这份研究说明，风险管理对提高项目成功率和避免项目失控起着很重要的作用。
　　风险管理的时机也是一个需重点考虑的因素。例如，总部位于俄亥俄州辛辛那提市的Comair公司是地区性的航空公司，服务于117个城市，每天有1 130个班次，日载客量大约为30 000人次。在20世纪90年代，公司的IT管理者明白，他们必须更换掉公司里一个即将过时了的系统，这个系统是用于管理空勤人员的。这个公司最老之一的应用系统（有11年历史了）是用Fortran语言编写的（Comair公司没人熟悉这门语言），而且是仅刺的一个在公司旧的IBM AIX平台运行的系统。尽管管理层和员工有了更换这个系统的备选方案，但因为其他更紧急的事而推迟了这个更换工作。一个代替旧系统的新系统终于在2004被检验通过了，但是这个更换工作还是没有及时进行。在假期期间，这个一直遗留着的系统失灵了，整个航空公司也随之瘫痪了。因此被迫取消或延误了3 900个航班次，并耽误了大概200 000位乘客。这个网络的瘫痪致使Comair和它的母公司损失了2 000万美元，更损害了航空公司的声誉并致使交通部要介入调查。如果Comair或Delta（三角洲航空）早点行动更换系统，他们就能采取措施降低风险，避免这场事故了。
　　用斯坦迪什研究小组的成功标准、风险调查问卷或者任何其他类似的工具来重新审视提议的项目，都不失为一个了解IT项目中常见风险源的好方法。当然，电可以重新审视项目的工作分解结构( WBS)，看是否存在工作分解结构分类中的特殊风险。比如，如果一个工作分解结构中的工作细曰涉及准备一个新闻发布，而且项目团队中没人做过这种工作，那这个问题如果不能很好解决的话，它就会成为一个负风险了。
　　风险分解结构是一个有用的工具，能辅助项口管理者辨认不同分类中的潜在风险。与工作分解结构中的结构相似，风险分解结构( risk breakdown structure)就是一个项目中的潜在风险类别的层次结构。图11-4就是一个可用于多数IT项目的风险分解结构样例。最高层的类型是商业、技术、组织和项目管理。竞争者、供应商和资金流是属于商业风险类别下的。技术风险下面又分硬件、软件和网络风险。要注意的是，风险分解结构如何能提供一个简单的、只有一页纸篇幅的图示，帮助确保一个项目团队考虑到了一切与IT项目相关的重要的风险类型。例如，在“开篇案例”中，柯利福和管理者们如果考虑了项日管理类别下的几个细分风险类型--估算、沟通和资源风险，他们就可以从中有所受益。他们本来可以通过讨论这些风险，以及其他的与其投标的项目相关的风险，然后制定出适当的战略，来达到最大化正风险并最小化负风险的目的。
　　除了要基于项目性质或生产的产品来识别风险外，按照项目管理知识领域来识别潜在的风险同样重要，例如项目范围、时间、成本和质量。要注意图11-4中作为风险分解结构重要分类之一的项目管理类风险。表11-4列举了在每个知识领域都会存在的潜在负风险的情况。

弄清常见的风险源将对项目风险管理的下一步----风险识别十分有益。
11.4风险识别
　　风险识别就是弄清哪些潜在事件会对项目有害或有益的过程。及早识别出潜在的风险至关重要，但是你还必须在不断变化的项目环境下持续地进行风险识别。要记住，如果你不能先识别出风险，也就无所谓管理风险了。通过了解常见的风险源，回顾项日的风险管理计划、成本管理计划、进度管理计划、质量管理计划、活动成本估算、活动时间估算、范围基准、利益相关者登记册、项目文件、企业环境网素和组织过程资产项目管理者和同队就可以识别出很多潜在的风险。
11.4.1识别风险的几点建议
　　这里有好几种识别风险的工具和方法。项目团队常常是这样来开始风险识别的工作的：审读项目相关文件，最近的或以前的有关组织的信息，以及一些可能影响项目的假定。团队成员和外部专家常召开会议来讨论这些信息，如果它们与风险有关就会提出一些相关的重要问题。经过这些初始会议的风险识别之后，项目团队会使用不同的信息采集技术来进一步识别风险。常用的5个信息采集技术是：头脑风暴法、德尔菲法、访谈法、根本原网分析法和SWOT分析法。
　　头脑风暴法(brairistorming)是这样一项技术，利用这种方法，一群人通过收集本能产生的和未加判断的想法，试图形成看法或者找到具体问题的解决途径。这种方法可以帮助群体更多地找出可能的风险，以供随后的定性和定量分析来处理。有经验的主持人应该会保证头脑风暴法的顺利进行，并引入一些新的潜在风险类型来激发出参与者的想法。在收集了这些意见之后，主持人可以对其进行分门别类以便作进一步分析。但千万不要滥用或误用头脑风暴法。虽然企业都广泛应用头脑风暴法来寻求创新想法，但是有心理学的资料表明，各人单独行动产生的想法总数要比同样的人一起进行头脑风暴法产生的想法数要稍多一些。像害怕别人指责、权威层级的压力和一两个能说会道的人左有了会议等，这样的群体效应常常阻碍了参与者众多时意见的产生。
　　德尔菲法就是一种可以防止头脑风暴法中出现的一些负面群体效应的信息采集方法。德尔菲法(Delphi technique)的基本含义是用于在专家团体中达成一致意见的方法，从而对将来的发展做出预测。这种方法是在20世纪60年代晚期由兰德公司为美国空军首创的，是一种在对未来事件的预测进行独立且匿名地输入信息的情况下，系统性的、交互性的预测方法。德尔菲法通过重复多次的提问和回答，其中包括对前一轮的反馈，来利用群体的输入信息，而避免了在小组口头讨论中可能产生偏见的情况。使用德尔菲法时，你必须挑选一组擅长某个领域的专家。例如“开篇案例”里的柯利福·布兰奇，他就可以用德尔菲法来帮助找出公司生意不再像过去那样红火的原因。柯利福可先召集一组他所在业务领域的专家。每名专家要回答与柯利福遇到的情况相关的问题，然后他或者主持人将评价他们的回答，得出一些意见和判断，接着在下一轮把这些反馈给每位专家。柯利福将继续重复这个过程，直到大家的回答都集中于某个特定的方案。如果回答还有分歧，这个德尔菲法的主持人就要确定一下是否过程中出现了什么问题。
　　访谈法(interviewing)是通过面谈、电活、电子邮件或即时信息交流来收集信息的一种实情调查方法。对有类似项目经验的人进行访谈是识别风险的一种重要途径。又如，如果一个新项目要用到一种特殊的硬件或软件，那么近来有过使用这种硬件或软件经验的人就能描述出他在过去项目中遇到的问题。如果有人和一个特殊的顾客工作过，他就会向你提供和这种顾客群体打交道的建议。做好如何引导访谈过程的准备工作不容忽视；先做出问题的提纲，往往有助于引导好访谈过程。
　　有时人们识别出问题或机会，却并不真正了解它们，这种情况并不少见。在提出行动之前的重要工作就是要识别出一个问题或机会的根本原因。第8章有关于根本原因分析法的叙述。根本原因分析法常常能为一个项目识别出更多的潜在风险。
　　另外一个方法，SWOT分析法（优势、劣势、机会和威胁），在第4章中已讨论过了。这种方法常用于战略规划中，但它也能帮助团队识别项目在更广阔范围内的潜在风险。例如，在写一份具体的项目提泌之前，柯利福·布兰奇可以先召集一批员工来仔细讨论一下他们公司在项目方面的优势和劣势分别是什么，存在哪些机会和威胁。他们是否知道有好几个竞争对手更可能拿到那个合同？他们是否明白赢得一份合同将可能赢得了未来的合同，并有助于拓展业务。把SWOT分析法用于某个可能的项目，能帮助识别在那种境况中更广泛存在的风险和机会。
　　另外，3个识别风险的方法是核对表、假设分析和图解技术。
　　-核对表：根据以往类似项目遇到的风险编制而成，为了解当前项目中的风险提供有益的参考。你可以使用斯坦迪什或其他研究团队开发的核减清单来帮助识别IT项目中的风险。
　　-假设分析：分析项目的假定，以确定它们是否还有效，这很重要。不完整、不准确或不存在的假定将会导致识别出的风险比实际存在的要多。
　　-图表技术：包括使用因果图或鱼骨图、流程图和影响图。回顾第8章可知，鱼骨图可以帮助你找到问题的根源。系统或过程的流程图（fow chart）则是反映一个系统各个要素间互相联系的图。例如许多程序员都做流程图，以表明程序的逻辑。第8章中还给出了流程图的一个样例。另一种图表，即影响图(influence diagram)，通过列出关键要素，包括决策、不确定性、因果关系、目标以及各要素间如何相互影响，来表明要决策的问题。关于影响图的详细信息可以参见其他资料，如www lumina. com/software/influencediagrams. html。
11.4.2风险登记册
　　风险识别过程的主要输出是一份已识别出的风险清单和其他用来作风险登记册的信息。风险登记册( risk register)就是一份文档，包含了各种风险管理过程的输出，通常以表格或电子数据表格的形式出现。它是一种把潜在风险事件和相关信息文档化的工具。风险事件(risk event)是指会对项目造成不利或有利影响的特定的且不确定的事件。例如，负风险事件包括：作为项目一部分的产品的性能故障；不能按时完成工作，预算成本提高；供应短缺；针对公司的诉讼、罢工等。正风险事件的例子包括：提前或低于预算完成工作；和供应商合作生产出了更好的产品；项目的完成提高了公司的名声等。
　　表11-5提供了一个风险登记册的样例，可供“开篇案例”中柯利福和他的管理者们在新项目中予以使用。可在这些风险中输进的实际数都包括在表中。注意，主标题常常包括在这个风险登记册中。表中的许多条目将会在本章后面予以详尽介绍。
　　-每个风险事件的标识号：项目团队需要整理或快速寻找某个特定的风险事件，因此他们需要用一种唯一的标志符号来找出每个风险，比如给一个编号。
　　-每个风险事件的等级：等级往往是一个数字，1就表示最高级的风险。
　　-风险事件的名字：例如，服务器故障，测试不能按时完成，咨询成本降低，或好的名声。
　　-风险事件的描述：因为一个风险事件的名字往往太过简短，所以还可以提供一个更详细的描述。例如，降低了的咨询成本可以扩展描述为，组织能用低于平均成本的价钱雇用一位顾问，这是因为这位顾问真的很喜欢在提供的这个职位上为这家公司工作。
　　-风险事件所属的类别：例如，服务器故障可以归入到技术或硬件技术这个大类里。
　　-风险的根本原因：服务器故障的根本原因也许是电源供电不足。
　　-风险触发器：触发器(trigger)是风险事件实际发生的迹象或征兆。比如，早期活动的成本溢出可能是成本估计不善的征兆；有缺陷的产品可能是供应材料质量低的征兆。把项目风险的潜在征兆文档化也有助于项目团队识别更多的潜在风险事件。
　　-每个风险的可能应对措施：一个可能的应对服务器故障这个风险事件的办法是，遵照与供应商的合同中的相关条款，在谈判达成的成本范围内和在一定时间内，更换这个有缺陷的服务器。
　　-风险责任人(risk owner)或者对风险及其相关风险应对战略和任务负责的人：例如总有一个人来负责任何与服务器相关的风险事件，并执行应对的战略。
　　-风险发生的概率：如何一个风险事件的发生总有一个或大、或中等、或小的概率。例如，服务器发生故障的概率也许比较小。
　　-风险发生时对项目的影响：如果风险事件真的发生了，总会对项目的成功有一个或大、或中等程度、或小的影响。一台有故障的服务器可能对按时、成功地完成项目产生大的影响。
　　-风险的状态：这个风险事件发生过吗？相应的应对策略执行了吗，这个风险是否和项目不再有什么关系了？例如，在执行了合同里的相关条款之后，服务器故障这个风险就已处理完了。

举个例子，下面的数据就可以像下面所写的那样填人登记册中的第一个风险。要注意的是柯利福的团队在采取一种非常积极的方式来处理这个风险。
　　-编号：R44
　　-等级：1
　　-风险：新客户
　　-描述：我们以前没有为这个组织做过项目，且对他们不是很了解。我们公司的优势之一是善于建立良好的客户关系。这个优势常使我们赢得了更多的和客户合作的机会。由于他们是我们的新客户，所以和这个客户工作，我们也许会遇到麻烦
　　-类型：人际风险
　　-触发器：项目经理和其他高管认识到，我们对这个客户不是很了解，因而会很容易误解他们的需求或期望
　　-风险应对：务必使项目经理对以下一点保持敏感：这是个新客户，要花时间去了解他们。让项目经理组织一次会面以了解这个客户，并弄清他们的期望。还要让柯利福参加这个会面
　　-风险责任人：我们的项目经理
　　-概率：中等
　　-影响：大
　　-状态：项目经理将在这周内组织这次会面
　　在识别风险之后，下一步就是通过进行定性风险分析去找出哪些风险是最重要的。
11.5实施定性风险分析
　　定性风险分析是指评估已经识别出的风险发生的可能性及其影响，以确定它们的重要性和优先级。本节描述了使用概率与影响矩阵做出风险优先排序的例子。同时还提供了这样一个例子，采用前10大风险条目跟踪法做出项目风险的整体等级排列，并在定性风险分析中跟踪其发展趋势。最后，讨论了专家判断法在风险分析中的重要性。
11.5.1  用概率与影响矩阵估算风险因子
　　人们常常用高、中（或一般）、低3个水平来描述风险的概率或影响。例如，一名气象员会预报在某一天将有大概率或很大可能下暴雨。如果那天刚好是你结婚的日子，且你正计划一场盛大的露天婚礼，那么这场暴雨的后果或影响就会很大了。
　　项目经理可以在概率与影响矩阵里面把风险的概率和影响描绘出来。概率与影响矩阵或图表（probability/impact matrix or chart）在矩阵的一边或轴上标出风险发生的相对概率，在另一边或轴上标出风险的相对影响。许多项目团队都得益于用这个简便的方法来确定他们需要注意的风险。项目的干系人用这种方法来列出他们认为会在项目里发生的风险，然后从风险事件发生的概率和事件发生后的影响两方面来给每个风险评级，并标注为高、中和低3个等级。
　　项目经理接着就把结果总结在概率与影响矩阵中，如图11-5所示。例如在“开篇案例”中，柯利福布兰奇和他的一些项目管理者们可以每人为一个具体项目识别3个潜在的负风险和正风险。然后他们从概率和影响两个方面来给每个风险等级标注为高、中或低。再如，一名项目经理可以把严重的市场衰退归为负风险，这个风险概率低但影响大。而柯利福却可能把同样的风险的概率和影响都标为中等。团队接着就可以把所有的风险绘制在一个矩阵或图表里，合并同类的风险，并决定哪些风险应该放于矩阵的哪个位置。然后团队就可以集中关注那些在矩阵里概率和影响都处于高位的风险了。又如，风险1和风险4在概率和影响上都是高的；风险6的概率高，但影响小；风险9的概率高，而影响是中等，如此等等。然后团队就应该讨论如何应对那些风险了，这些都将在11 7节讨论。

分别为负风险和正风险单独制作概率与影响矩阵，或许将有助于确保把这两种风险都处理好。一些项目团队也通过参照是正面还是负面影响范围、时间和成本目标，基于风险的概率和影响来收集数据。通常定性风险分析可以很快就做完，因此，项目团队必须决定哪种方法对他们的项目最有帮助。
　　有些项目团队通过简单地把概率的得分值乘以影响的得分，从而得到一个风险的唯一得分。估算风险因子则是一种更结构化地利用概率／影响矩阵的方法。为了将风险的概率和影响定量化，美国国防系统管理学院(DSMC)开发了一种估算风险因子(risk factor)方法--能算出一个基于风险发生概率和其发生后的影响而代表特定事件的整体风险的数字。这种方法就利用了列出风险发生概率及其发生后的影响的概率／影响矩阵。
　　估算一个风险的概率要考虑好几个因素，而这些冈素又由每个项目的独特性质所决定。例如，估算潜在硬件或软件技术风险的网索包括技术不成熟、技术太复杂和对技术开发的支持不够。风险发生后的影响包括退路方案的可行性，没有满足绩效、成本和进度估计的后果等。
　　图11-6举例说明使用风险网子绘制一个研究课题中各种拟采用技术的失败概率及后果，图的作者曾在这个研究课题中参与设计一个性能更可靠的航天器。图中根据失败的概率和后果把潜在的技术风险（即图中的圆点）分为高、中和低3类。课题的研究者强烈建议美国空军投资于有低风险或中等风险的技术，而建议不要追求高风险的技术。相比于简单地将风险概率或结果描述为高、中或低，使用概率／影响矩阵和风险因子更精确，更有说服力。
11.5.2 前十大风险条目跟踪法
　　前十大风险条目跟踪法(top ten risk item tracking)是一个定性的风险分析工具。除了能识别风险外，它还通过帮助监测风险使人们在整个项目周期内保有风险意识。它涉及与管理层，有时也选择性地和客户一起，对项目中最重要的风险条目进行定期的评审。评审首先要对项目的前十大风险源进行一个总结。这个总结包括每个风险条目现在和过去的排列等级；它们一定时期内出现在这个登记册上的次数；自上次评审以来这个风险条目有了哪些发展等。微软解决方案框架(MSF)是一个风险管理的模型，可做出并监测前十大风险条目的列表。MSF是微软用来管理项目的工具，它把软件设计和开发、建立并部署基础架构等各方面都结合到一个单独的项目生命周期里，以管理和引导各种技术解决方案。登录微软的网站可以查到更多关于MSF的信息（www．microsm．com/rnsf）。

表11-6就是前十大风险条目跟踪表的例子，它可以用于项目的管理评审会议。这个具体的例子只包括了前5个负风险事件。需要注意的是，每个风险事件都是参照其在当前月份、上个月份和它在十大风险列表中已经停留了多少个月来进行排列的。表中最后一栏简单描述了应对每个具体风险条目所取得的进展情况。你可以分别为正、负风险单独做表，也可以把两者合并在一个表中。

风险管理评审能达到多个目的。第一，它、止管理层和客户（如果包括的话）列那些对项目成功起阻碍或促进作用的关键事件保持关注度。第二，通过让客户参与进来，项目团队可以为应对风险考虑更多的备选战略。第三，通过向管理层和客户证明，团队考虑到了关键的风险，并有适当的战略且正在有效执行当中，因此，它不失为一种提高项目同队信心的方式。
　　定性风险分析的主要输出是风险登记册的更新。风险器记册的等级一栏应该参照风险事件的相应概率和影响来填人一个数值，用高、中、低来表示等级。通常，还应为风险事件添加一些额外的信息，比如那些识别出来的近期需要更多关注或要放在监视清单里的风险。监视清单(watch list)也列出了一系列风险，这些风险虽优先级较低，但仍被识别为潜在的风险。定性分析也能识别出那些应该进一步做定量分析的风险，这将在下一节予以讨论。
11.6实施定量风险分析
　　在定性风险分析之后往往就是定量风险分析，而这两个过程既可以一起进行，也可以分别进行。在一些项目中，团队可能只进行定性风险分析。项目的性质，还有时间和资金的充足程度，都会影响风险分析方法种类的选用。定量风险分析的主要方法有资料聚集、定量风险分析和模型法。资料聚集法常包括访淡、专家判断和概率分布信息的汇集。本节集中讨论定量风险分析法，包括决策树分析、模拟和灵敏度分析的模型法。
11.6.1决策树和期望货币价值
　　决策树(decision tree)是一种图表分析方法，用于在未来结果不确定的情况下辅助选择最优的行动。决策树分析法一般会涉及计算期望货币价值。期望货币价值( expected monetary value，EMV)是考虑风险事件概率及其货币价值的产物。图11-7用一个组织可能会追求哪些项目的决策来解释了这个概念。假设柯利福·布兰奇的公司正决定他们是应该向项目1、项目2两者都提交项目提案呢，还是向一个项目提交提案，还是两个项目都不提交提案。该团队可以画一个有两个分支的决策树，一个分支代表项目1，另一个代表项日2。然后公司就可以计算期望货币价值来帮助决策。

要想做出决策树并具体计算出期望货币价值，你必须估算某个风险事件发生的概率或可能性。如图11-7所示，柯利福的公司赢得项目1的合同的概率或可能性为20%（P=0.20)，其中项目1的利润估算为300 000美元--见图中最顶层分支的产出项。而得不到项目1合同的概率是80%(P=0.80)，且结果估算为- 40 000美元，这意味着这个公司将不得不投资40 000美元在项目l上，如果签不到这个合同将拿不到退款。每个项目的发生概率的总和必须等于1（对于项目l，就是20%加上80%）。概率通常由专家判断来决定。柯利福或公司里的其他人应该对赢得某个项目的概率具有一定的判断能力。
　　图11-7也给出了项目2的概率和结果。假如柯利福的公司有20%的概率在项目2上损失50 000美元，10%的概率将损失20 000美元，而70%的概率获利60 000美元。同样地，专家们要去估算这些钱数和概率。
　　要计算每个项目的期望货币价值，先把每个项目的每个潜在结果的价值乘以其相应的概率，然后再把这些结果加起来。要计算项目1的期望货币价值，就将其从左到右把每个分支的结果数值乘以其概率，再把结果相加起来。在这个例子里，项目1的EMV是28 000美元，计算如下：0.2(300000) +0.8（- 40 000）= 60 000 - 32 000 =28 000项目2的EMV等于30 000美元，计算如下：0.2(- 50 000)+0.1(- 20 000)+0. 7(60 000)= -10 000 -2 000 +42 000=30 000。
　　因为EMV为决策的总货币价值提供了一个估算值，所以你需要的是一个正的值；EMV越高越好。既然项目1和项日2的EMV都是正的，柯利福的公司期望一个正的收入结果，自然两个项目都可以投资。如果它必须在两个项目间做出选择，也许由于资源有限，而项目2的EMV更高，柯利福的公司应废投向项目2。
　　还要注意到在图1l-7中，如果你只是看两个项目的潜在结果的话，项目l看起来会更诱人。你可以从项目l中赚到300 000美元，但项目2你最多只能赚到60 000美元。如果柯利福是个风险偏好者，往往会投向项目1。尽管如此，获得项目l的300 000美元的概率只有20%，而获得项目2的60 000美元的概率有70%。通过利用EMV，有利于考虑到所有的可能结果和它们的发生概率，从而降低了追求过于冒进或过于保守的两种极端的可能性。
11.6.2模拟法
　　模拟是一种更复杂的定量风险分析方法。模拟法用系统的一个模型来分析这个系统的期望行为或绩效。大部分模拟法是建立在蒙特卡罗分析法的基础上的。蒙特卡罗分析法(Monte Carlo a-nalysis)通过多次模拟模型的结果来为所计算的结果提供统计分布。蒙特卡罗法能确定一个项目将在某一日期完成的概率只有10%，还可以确定项目将在另外一个日期完成的概率有50%。换句话说，蒙特卡罗分析法能预测在某一日期完成的概率，或是成本等于或少于某个值的概率。
　　在进行蒙特卡罗分析时，你可以用好几种不同的分布函数。下面的例子是一种简化的方法。蒙特卡罗分析法的基本步骤如下：
　　(1)估计所考虑变量的范围。也就是说，为模型中的变量找到最有可能性、最乐观和最悲观的估计。例如，如果你正在试图确定达到项目进度目标的可能性，那么项目网络图就可以作为你的模型。你可以为每个任务做出最有可能性、最乐观和最悲观的时间估计。你会注意到，这个步骤与进行计划评审技术估算时的数据收集类似。但是，这里不是采用同样的计划评审技术的加权平均方式，在进行蒙特卡罗分析时你是直接进入下面的步骤。
　　(2)确定每个变量的概率分布。变量落在最乐观和最大可能估计值之间的概率是多少？例如，如果一个被分配承担某个任务的专家给出了一个10周完工的最大可能估计、一个8周的最乐观估计和一个l5周的最悲观估计，然后求在8周和10周之间完成任务的概率是多少。专家会回答有20%的概率。
　　(3)为每个变量，如一个任务的时间估计，根据变量发生的概率分布选择一个随机的值。例如，同样是上面的情况，你会有20%的概率随机选到一个在8-10周之间的值，而有80%的概率随机选到一个10-15周之间的值。
　　(4)利用每个变量所选值的组合进行一次确定性分析，或贯穿整个模型的分析。例如，上述的那个任务可以在第一轮取到12这个值。所有其他的任务都会在第一轮取到一个随机的值，这也是根据他们的估计和概率分布。
　　(5)多次重复步骤(3)和(4)，以获得模型结果的概率分布。重复的次数取决于结果所需的变量数目和置信度，但是一般都会落在100 -1 000之间。就拿项目进度来看，最后的模拟结果将让你看到在一定时期内完成整个项目的概率。
　　图11-8给出了一个项目进度基于蒙特卡罗法模拟的结果。这个模拟是用微软项目+风险软件来完成的。图ll-8的左边是一个含柱形图和一条S型曲线的图表。每个柱形的高度可通过图表左边的刻度读取，它代表这项目在模拟中在一定时间内完成的次数，即样本容量。在这个例子中，时间的间隔是两个工作日，模拟进行了250次。第一个柱形表示在模拟中项目截至1月29日仅完成了两次。S型曲线看图的右边刻度来读取，表示在给定时间或之前完成项目的累计概率。图的右边则用表格来表示信息。例如，在2月8日完成项目的概率为10%，2月17日完成的概率为50%，而2月25日完成的概率为90%。
　　正如你所想的那样，人们会用软件来执行在蒙特卡罗分析中所需的步骤。好些基于PC平台的软件包都可以用于蒙特乍罗模拟法。基于模拟的结果，许多产品都会给你列出主要的风险动因是什么。例如，项目进度中大多数的不确定性都是因为对某个任务范同估计过于宽泛所导致的。你将在本章的后面部分了解到更多关于模拟和与项目风险管理相关的软件方面的信息。

对在哪里
　　一家大型宇航公司在好几个高级设计工程项目中都使用了蒙特卡罗分析法来辅助风险的定量化分析。美国国家航天飞机项目(NASP)涉及诸多风险。这个耗资数十亿美元的项目目标是设计和开发一种能单级入轨的飞行器。单级入轨意味着这个飞行器必须在不使用火箭推进器的情况下达到25马赫（25倍音速）。20世纪80年代中期，一批工程师和行业专家一起研制可为开发项目做时间和成本估算的软件模型。这个模型和模拟软件一起用来确定项目的成本和进度方面的风险源。公司接着用蒙特卡罗分析的结果来决定如何使用公司内部的研发经费。尽管这个项目后来停止了，但其研究成果已经用于开发许多现代航空器使用的更高级的材料和推进系统。
　　微软Excel是进行定量风险分析的常用工具。微软还在它的网站上提供了如何使用Excel来进行蒙特卡罗模拟的例子，并解释了一些公司是如何使用蒙特卡罗模拟来作为决策的重要工具的。
　　-通用汽车公司用模拟法来预测公司的净收入、汽车的结构性成本和采购成本，以及确定公司对不同风险的敏感度，如利率和汇率的变动。
　　-礼来公司用模拟法来确定用于制造每个药品的最佳植物性能。
　　-宝洁公司用模拟法来做模型和最优化处理外汇风险。
11.6.3灵敏度分析
　　用灵敏度分析(sensitivity analysis)是来查看改变一个或多个变量对结果的影响，许多人都熟悉它。例如，不少人都用灵敏度分析来决定在不同的贷款利率或贷款期条件下，他们每月的还款额是多少。如果你以6%的利率贷款100 000美元贷30年，你每月的抵押付款是多少？如果利率是7%时，每月的抵押付款又是多少？如果你是以5%利率贷15年呢？ 
　　许多专家都拿灵敏度分析来辅助作一些常见的业务决策，比如确定在不同条件下的收支平衡点。人们常用像Excel这样的表格软件来进行灵敏度分析。图11-9给出了一个Excel文件的例子，可用来快速找出在不同的输入下，一个产品的收支平衡点的，这些输入有：单位销售价格，单位制造成本和固定的月度费用。表格里显示的是在已售6 250单位产品这个收支平衡点的输入。这个表格的使用者可以改变输入，并查看这种变化对图表中收支平衡点的影响。项目幽队常做同样的模型来确定各种项目变量的敏感度。例如，柯利福的团队可以开发敏感分析模型来估箅在不同的工作时间和每小时不同的成本等条件下的利润。

定量风险分析的主要输出是风险登记册的更新，如重新检查风险的等级排列或这些排列后而的详细信息。定量分析还提供了关于完成特定项目目标的高一级信息。这些信息可能会导致项目管理者做出变更应急储备的建议。在一些情况下，基于定量分析，项目还可能重新定向或取消，或者还可能导致新项目的诞生，以辅助当前的项目顺利进行，比如在“对在哪里”中的NASP项目。
11.7风险应对规划编制
　　组织在识别和定量化风险之后，就必须对风险做出适当的应对。剥风险做出应对，包括要形成选择方案和确定战略，以减少负风险和增强正风险。
　　对于负风险，4个基本的应对策略如下：
　　(1)风险回避(risk avoidance)，即通过消除风险的条件来消除一个特定的威胁。当然，不是所有的风险都能被消除，但就特定的风险事件而言还是可以的。例如，一个项目团队会决定继续在项目上使用某种硬件或软件，因为他们熟悉这些硬件或软件。其他产品用在项目里也是可以的。但如果项目团队对它们不熟悉，就会引发巨人的风险。使用熟悉的硬件或软件就可以消除这些风险。
　　(2)风险接受(risk acceptance)，即一旦风险发生，承担其产生的后果。例如，一个项目团队在筹备一个大型项目评审会议，而申请在一个特定地点开会是有可能得不到批准的，那么项目团队可以通过准备应急或退路计划，以及应急储备，积极主动地面对这类风险。另一方面，他们可以以积极的态度，接受组织给他们提供的任何场所。
　　(3)风险转移(risk transference)，即把管理的风险和责任转移给第三方。例如，风险转移常用来应付金融风险的暴发。项目团队可为一个项目所需的硬件购买特定的保险或担保。如果硬件出故障的话，保险公司必须在约定的时间内更换它。
　　(4)风险缓解(risk mitigation)，即通过降低风险事件发生的概率，从而降低风险事件的影响。在本章的开头就给出了减少IT项目常见风险源的建议。其他风险缓解的例子包括：使用经证明可用的技术；拥有有竞争力的项目人力资源；使用不同的分析和确认方法；从转包商那里购买维护或服务协议。
　　表11-7列出了项目中在应对技术、成本和进度风险上常用的风险缓解策略。要注意的是，增加项目监测的频率、使用工作分解结构和关键路径法是应对这3个领域风险时都适合使用的对策。增加项目管理者的权力是减轻技术和成本风险的对策，而选择最有经验的项目管理者可用于降低进度风险。提高沟通效率同样是减轻风险的有效方法。

在应对正风险时，也有4种基本战略：
　　(1)风险开发(risk exploitation)，即竭尽所能促使积极的风险发生。例如，假定柯利福的公司发起了一个项目，为附近一个贫困的学校提供新的电脑教室。项目经理会组织对项目的新闻报道，写一条新闻发布信息，或进行一些其他的公关行为，来确保这个项目能为公司带来良好的公共影响，这样就有希望带来更多的生意。
　　(2)风险共担(risk sharing)，即把风险的所有权分配给其他部分。还是看一下提供新的电脑教室的例子，项目经理可以和学校的校长、学校董事会和家民教师联合会建立伙伴关系，以共担项目的责任，建立良好的公共关系。或者公司可以和当地的培训公司合作，就如何使用新电脑，由培训公司来负责为所有的老师提供免费的培训。
　　(3)风险增大(risk enhancement)，即通过识别和最大化正风险的关键动因来改变风险发生的几率。例如，为电脑教室项目建立良好公共关系的一个重要动因是让学生、家艮和老师都能意识到，并为这个项目感到高兴。接着他们可以做一些正式和非正式的广告，宣传这个项目和柯利福的公司，这样就可以引起其他组织的注意并能带来更多的业务。
　　(4)风险接受(risk acceptance)，也可以用来应对正风险，这适合在项目团队不能或没有选择对风险采取任何行动时的情况。例如，电脑教室项目的管理者可以认为，如果不采取任何额外的行动，项目也将可以为公司带来良好的公共关系。
　　风险应对计划的主要输出包括与风险相关的合同协议、项目管理计划的更新和风险登记册的更新。例如，在电脑教室项目中，如果柯利福的公司决定和当地的培训公司合作，以共享获得良好公共关系机会的话，它就会和培训公司签订合同。如果风险应对战略需要额外的任务、资源或时间去才能实施的话，项目管理计划和相关计划就需要更新。风险应对战略常会造成WBS和项目进度的变动，因此，包含相关信息的计划都必须更新。风险应对战略还通过描述风险应对、风险责任人和状态信息来为风险登记册带来更新信息。
　　正如先前所描述的，风险应对战略除了包括应急计划和储备外，还常包括对剩余和次级风险的识别。残留风险(residual risk)是指实施所有风险应对措施之后剩下的风险。例如，即使项目使用的是一种比较稳定的硬件产品，也仍然会有一些风险无法处理好。次级风险(secondary risk)是实施一种风险应对后的一个直接结果。例如，使用比较稳定的硬件可能会导致周围设备功能运行出错的风险。
11.8风险监控
　　风险监控涉及的是执行风险管理过程以应对风险事件。执行风险管理过程意味着确保项目团队在整个项目周期一直保持着风险意识。项目风险管理并非在最初的风险分析完成后就停止了。识别过的风险可能不会发生，或者可以最小化它们发生的概率及其引起的损失。仓促识别的风险可能会有更大的发生概率或预计损失值。类似的是，新的风险将会被看成是项目取得的进展。最近识别的风险跟那些在开始的风险评估中识别过的风险一样，都需要经过同样的程序。由于风险暴露出的相关变化，在风险管理中进行资源再分配就显得十分必要了。
　　执行单个的风险管理计划包括根据定义的里程碑来监测风险，并做出有关风险及其应埘战略的决策。如果原先战略失效的话，就必须改变战略，执行计划中的应急措施，或者在一个风险不复存在时把它从潜在风险列表中去掉。当没有应急计划时，项日团队有时会使用迂回的应对方案(workarounds)——当没有应急计划时，对风险采取随机应变的应对措施。
　　实施风险监控的工具和技术包括：风险再评估、风险审计、偏差和趋势分析、技术性能测量、储备分析、状态会议以及定期风险评审（如前十大风险条目跟踪法）。这个过程的输出是风险登记册的更新、组织过程资产的更新（比如有利于将来项目的经验教训）、变更请求、项目管理计划的更新及其他项目文件的更新。
11.9用软件辅助项目风险管理
　　正如本章多次提到的那样，你可以用软件工具来强化项目风险管理过程。大多数组织都使用软件来创建、更新和分配在风险登记册中的信息。风险登记册通常就是一个简单的Word或Excel文件，但也可以是一个更复杂的数据库的一部分。电子表格程序可以辅助跟踪和定量化风险，制作图表和进行灵敏度分析。软件还可以帮助作决策树分析和估算期望货币价值。
　　更复杂的风险管理软件，比如蒙特卡罗模拟软件，还能帮助你开发模型并使用模拟法分析和应对各种风险。一些高端的项曰管理软件包含了模拟法的功能。你也可以购买附加的软件，用Excel来进行蒙特卡罗模拟（如Decisioneering Crystal Ball或Palisade@ Risk for Excel）或者Project2007（如CS Solutions Risk+或者Palisade@ Risk for Project）。还有一些软件包是专门为项目风险管理开发的。需要注意的是，尽管新的软件工具使得复杂的风险分析更便捷，但项目团队在实施项目风险管理过程中，不应过度依赖于软件。如果一个风险没有得到识别，就不能对其进行管理。因此，需要有才能、有经验的人员做好风险识别工作。
　　成功地实施项目，就好比首席小提琴手的表演，赢得一枚奥运田径赛的金牌，或者说写一本获普利策奖的书，看起来几乎不费力气。那些外人，无论是观众、客户或管理者，都体会不到成功背后的艰辛。他们也看不到练习的时间、修改过的草稿，或者使表象变得轻松的背后的付出。要想改进IT项目的管理，项目经理应该努力让他们的工作看起来容易，这可是一个成功项目应有的表现。