项目管理中如何做好风险管控？

风险，是项目中消极面向的不确定因素，科学管控风险是项目成功的保障。

许多团队觉得做好风险识别就行了，这其实是对风险管理的错误认知。 

PMBOK第八版中，风险管理被定义为包括规划风险管理、识别风险、执行风险分析、规划风险应对、实施风险应对和监督风险这六个相互衔接的闭环。

落地了这个闭环，才能最大化地规避风险，保障项目顺利交付。

一、在真实项目中，全面的风险管理落地难

理想状态下，风险管理闭环应当被全面执行。但很多项目中，风险闭环很难被真正实施。

这主要有两个原因：

第一个原因是成本高。要搭建一套可落地的风险管理SOP，从流程设计、角色定义、模板统一，到试运行和迭代优化，投入的时间和人力和验证成本都不低，很多团队不是不想做，而是做不起。

第二个原因是落实难。就算有了流程，风险信息依然是模糊和分散的。

比如，团队做了风险评估报告，但这份报告有没有人认真看？不同的人看完理解是否一致？会上讨论的结论，有没有真正落实到后续工作中？

等真的出事了，复盘时一拍大腿，发现早就有人提醒过。

风险管理有这些难处，那该如何更好的落地呢？

二、如何更完善地落实风险管理

（一）规划风险管理——借助平台工具降低成本

风险管理最基础的一步，是要规划如何实施项目风险管理活动。没有健全的风险管理组织流程，后续的所有风险管控环节都是空谈。

但很多中小型团队没有那么多预算、时间和经验去规划完善的体系，那么借助工具中成熟的风险管理整体框架，就是一个更科学高效的选择。

下面我会结合我们团队现在用的禅道项目管理工具，详细介绍风险识别、分析、应对、实施、监督都是怎么落地的。

（二）识别风险——让风险可视化、信息标准化

规划执行阶段，识别风险是风险管理工作的重中之重。只有看清潜在危险，才能预防损失，保障经营与目标实现。

风险识别的关键在于减少局限性。光靠主观猜测，没有结构化的风险筛查方法和记录字段，很容易造成风险源判断失误，风险点遗漏。

更完善的风险识别，应当遵循RBS风险分析结构系统化辨识风险。

RBS风险分析基本结构标准为：顶层是最大的风险类别，向下逐层分解为更具体的子类别和风险事件。其余细节可以根据项目和组织特点定制。

通过层级化的分解，团队能够实现更全面的风险识别。

在识别出风险后，还需要用标准化字段记录风险信息，将识别动作落于可溯源、可监控的书面资料。很多团队的风险记录缺乏标准，对于风险信息，甲写一段话，乙写两行字，非常不利于后续的风险分析。

正确做法是：设计合理的风险条目格式，用标准化字段描述风险，记录风险来源、类型、所属执行等。

（三）执行风险分析——定性分析+定量分析

一个稍微复杂的项目，识别出的风险少则几十、多则上百。团队的精力和资源是有限的，不可能也没必要对所有风险投入同等的关注度。

风险分析，就是判断风险的影响大小，让团队知道精力该花在哪里。

PMBOK 将风险分析分为定性分析和定量分析，两者各有侧重点。

1.定性分析：指通过评估风险的发生概率与潜在影响，对已识别风险进行优先级排序的过程。对一些小团队或者小型项目来说，可能用不到复杂的数学模型，只需要一个简单、可重复使用的优先级规则。

实际分析时，用“影响程度 × 发生概率”得出风险系数，然后按系数高、中、低进行排序。让团队不用开会讨论谁先谁后，一眼就能看到哪些是需要立刻应对的。

2.定量分析：指对已识别的重要风险进行数字建模，通过计算其概率分布与后果区间，将不确定的风险转化为可视化的具体数值。对于大型、复杂或高关键性项目，定性分析不够，需要用数值方法量化风险的可能性和影响，常用方法有蒙特卡洛模拟、决策树分析等。或是使用专业数据分析工具，增加准确性和效率。

（四）规划风险应对——对症下药

规划风险应对，是指为每个风险制定应对策略和具体计划。在实际的工作中，团队往往只重视了对风险的识别和分析，没有关注具体的落地措施。

风险应对不是一刀切，而是要根据风险的特性，对症下药。

在项目管理标准体系（PMBOK）中，风险应对策略分为四大类，分别对应不同的风险级别和管理场景。

1.接受：这是最基础、最常用的策略。承认风险的存在，但不主动干预，留出缓冲来吸收风险发生后的影响。适用于低优先级风险，或应对成本高于风险损失的情况。

2.缓解：采取措施降低风险发生的概率或减小风险发生后的影响程度。适用于需要主动干预但无法彻底消除的风险。

3.转移：将风险的财务后果或履约责任转移给第三方，风险本身并未消失，但谁承担损失发生了转移。比如提前购买保险。适用于风险影响极大、但团队自身无力承担的情况。

4.规避：最彻底的策略。如果风险优先级极高，且具备消除条件，团队可以采用规避策略。但需注意，规避往往伴随成本增加或范围缩减。

决定好应对策略后，还要提前规划具体的应对措施、响应措施、解决措施，以便于在风险真正发生时，能够从容应对。

（五）实施应对方案——联动具体任务

在完整的风险管控体系中，策略定方向，措施定动作，而落地执行定结果。

很多团队敲定应对方案后，仅将措施记录在文档中，不跟进、不督办，等到风险造成不可挽回的影响，会议复盘，才发现某项应对措施没有真正被执行过。

想要破解风险措施纸上谈兵的痛点，核心操作细则为：

1.将风险措施关联到具体任务。

2.为每一条风险任务指定唯一负责人。负责人全权承担任务的执行、跟进、反馈与汇报工作，同时可根据任务复杂度，配置协同人员。 

3.明确任务周期。紧急风险任务设置开始、完成时间；常态化预防措施设置固定执行频次。

4.跟进、考核风险任务。在任务看板中随时查看风险应对任务完成进度，明确任务验收标准、异常反馈机制。

（六）监督风险——实时掌握风险变化

监督风险是贯穿整个项目周期的常态化工作。风险的状态不是一成不变的，因此，做好风险实时监控，避免信息脱节是风险监督工作的重点。

这里给大家一些风险监督的办法：

第一，及时更新风险登记册，切换以下四种风险状态，避免风险演变为实际问题。

1.开放：风险当前处于活跃状态，正在被跟踪和管理。

4.取消：风险被判定为无效或不再适用，终止跟踪。

第二，每次更新要写跟踪日志，记录进展、概率、影响是否变化。

最后，及时通知相关干系人，防范风险信息滞后。

（七）沉淀经验——从项目资产到组织资产

项目做完，风险关闭，并不意味着就可以把之前的风险管理记录丢到一边。

不管项目顺利与否，团队都要将典型风险记录到风险库中，实现经验复用、问题避坑，为后续同类项目提供宝贵的经验。

把项目过程中验证过的典型风险沉淀下来，变成组织层面的资产，整个风险管理的闭环，才算真正跑通。

风险管理，绝非简单完成风险识别便万事大吉。

跳出片面认知，扎实走完规划、识别、分析、应对、实施、监督全流程；借助工具，实现风险管理闭环的完整落地；不断沉淀经验，打磨团队抗风险能力，才能真正实现对项目风险的科学管控。

如果你的团队也面临风险管理闭环难题，可以联系阿道，备注「风险」，体验使用禅道的相关功能。