全面风险管理

浙江师范大学研究生课程论文封面课程名称：项目管理专题开课时间：2016.3-2016.4学院经济与管理学院学科专业工商管理学号姓名潘刘蕾学位类别学术型硕士任课教师张永胜交稿日期2016.5.25成绩评阅日期评阅教师签名浙江师范大学研究生学院制目 录一、项目风险管理理论依据3（一） 项目风险管理的概念3（二） 项目风险管理的进程4（三） 企业项目风险管理的维度5二、IT项目全面风险管理体系构建前提5（一） 强化对项目的全面风险管理的认识6（二） IT项目全面风险管理框架体系构建原则6 1.有效性原则6 2.全面性原则6 3.系统性原则7 4.成本效益原则7三、IT项目全面风险管理体系的内容7（一） 时间维度7（二） 逻辑维度7（三） 知识维度7（四） 组织维度8四、IT项目全面风险管理体系的内容8（一） 风险管理计划8（二） 风险识别9 1.需求风险9 2.计划编制风险9 3.组织和管理风险10 4.人员风险10 5.开发环境风险10 6.客户风险10 7.承包商风险10 8.产品风险10 9.设计和实现风险10 10.过程风险11（三） 风险评估11（四） 风险应对计划12（五） 风险控制13（六） 后评价和持续改进14IT行业项目管理中的全面风险管理体系构建摘要：本文在对项目全面风险管理方法论思考和内涵研究的基础上，提出了构建项目全面风险管理的原则，并依据原则体系构建了项目全面风险管理结构框架，包括九个基本模块：项目环境，风险计划、风险管理目标设定，风险识别，风险评估，风险应对，控制活动，风险信息管理，后评价和持续改进。对具体框架展开分析，主要包括各个流程的任务结构及相关的风险管理方法分析。关键词：IT行业；项目管理；全面风险管理 一、项目风险管理理论依据 （一）项目风险管理的概念 最早提出风险概念的美国学者Haynes John Haynes.Risk as an Economic Factor.Quarterly Journal of Economics.1895.9(4):409-449提到风险一词在经济学和其他学术领域中并无任何技术上的内容，它意味着损害或损失的可能性。偶然性的因素是划分风险的本质特征，某种行为能否产生有害的后果应以其不确定性而定。如果某种行为具有不确定性，则该行为就承担了风险”。1921年，Knight（奈特）通过对风险与不确定性的区分，认为风险是“可测定的不确定性”，只有当变化及其结果是不可预测的时候，才可能带来利润。这种不可预测的变化及其结果就是不确定性，不确定性具有比风险更深一层的含义，不确定性实质上规定着风险。只有在企业家的创造性活动之后，风险才开始存在。Wayne Snider 最早提出风险管理的概念，并得到美国管理协会和美国保险管理学会的承认和支持，其后许多学者致力于对风险管理进行研究，如梅尔与赫尔奇斯、威廉姆斯与汉斯等学者，越来越多的企业也开始重视风险管理，企业的风险管理成为公司三大管理活动（策略管理，经营管理和风险管理）之一。 对于风险管理的定义都普遍认为风险管理至少有风险的辨识、估计、控制和监督等几个部分组成，目前对于风险管理的定义主要是从两个方面阐述，一是从风险管理作为一组活动入手进行定义，一是着重从风险管理过程入手阐述风险管理的定义：威廉姆斯与汉斯指出风险管理是通过对风险的识别、衡量和控制，以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法；美国国防部认为，风险管理是处理风险的行为或实践，它包括风险计划、估计辨识和分析风险区域、制定风险解决方案、监督风险事件以确定风险评估值的变化，并且归档整体风险管理方案、认为：风险管理指辨识、分析和控制风险的活动，风险管理过程指系统化的和显式的风险管理活动中认为风险管理是一种分析问题的手段，它釆用风险概率模型来估计某种情况下的风险，以达到对相关风险更为精确的了解；风险管理内容包括风险识别、分析、优先级排序和控制；赵晓玲 赵晓玲：企业风险管理，河北理工学院学报（社会科学版），2013。从技术方法的角度，对制定企业风险管理计划、识别评估企业风险、制定风险应对计划这些风险管理流程进行了介绍，使得险管理更具可操作性；马敬川 马敬川：企业风险管理研究，商场现代化，2005。认为风险管理的内容主要包括风险识别、风险的分析与预测、风险管理的策略及措施。风险管理应用到项目管理领域是近十几年才兴起的，在1987年出版的“A Guide to Project Management Body of Knowledge”一书中，风险管理才单独作为项目管理的一个知识领域被显式地提出来。美国项目管理学会（PMD）的项目管理知识体系把项目管理划分为个知识领域，风险管理就是其中之一。我国于2001年推出的中国项目管理知识体系对风险管理进行了详细规范，以作为项目管理规范化运作的理论基础和技术指南。（二）项目风险管理的进程早期的风险管理的内容主要是针对信用风险和财务风险，局限在某些单一、局部或分离性的层面上，没有涉及到众多层面的风险管理的问题：方法缺乏系统性和全局性；主要是事后的管理，只有上级管理人员认为风险存在的时候才对风险进行处理和管理，而且与企业的经营战略脱节，被排除在整个企业的经营管理体系之外。二十世纪八十年代末至九十年代初，随着国际金融行业和工商企业的不断发展，企业面对的社会环境和经济环境都发生了很大的变化，风险也更加多样化和复杂化，风险管理不仅是对过去的单个业务的单个风险进行管理，而应从整个系统的角度对所有风险综合管理，学者们提出了整体风险管理及全面综合的风险管理（GRM）。GRM的核心理念是对金融机构面临的所有风险做出连贯一致、准确和及时的度量；建立一种严密的程序用来分析系统风险在交易、资产组合和各种经营活动范围内的分布，以及对不同类型的风险怎样进行定价和合理配置资本；同时，在金融机构内部建立专门负责风险管理的部门，致力于防范和化解并且消化由此带来的成本。但由于TRM和GRM般只用于金融界，故而其在理论界的研究和企业界的应用受到了一定的限制。随着企业风险管理范围的扩大、复杂程度的加深及风险呈现的相互联系和互动性，传统的风险管理已不能满足要求，企业应采用更广泛的和整合的方法进行风险管理。2004年9月，美国内部控制研究发起组织发布了企业风险管理整合框架，COSO框架以及其提出的全面风险管理理论对企业界的风险管理运作的影响是巨大的。 COSO框架给出的企业全面风险管理定义为：企业全面风险管理是企业的董事会、符理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险，对企业目标的实现提供合理的保证。2006年6月，国务院国有资产监督管理委员会为指导其作为出资人的企业开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展，制定了中央企业全面风险管理指引，指引中对企业全面风险管理给出的定义为：企业全面风险管理指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。目前国外的全面风险管理研究主要集中在对现有的实施全面风险管理的企业的具体实施状况进行分析，并从中总结经验，再提升到理论高度，从而为所有的企业成功实施全面风险管理提供指导，企业风险管理在企业中的应用及其实施效果和效率的研究和尝试是这一阶段的主流。国内对于企业全面风险管理的研究大多处于理论的引进阶段，已经有部分学者致力于企业全面风险管理的理论思想在某些行业领域的应用理论研究，如模型。（三）企业项目风险管理的维度 企业风险管理整体框架具有三个维度：第一维是企业的目标；第二维是企业风险管理的构成要素；第三维是企业的各个层级。第一维的企业目标有四个，即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理构成要素有八个，即内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息和沟通、监控。第三个维度是企业的层级，包括整个企业、各职能部门、业务单位及各子公司。企业全面风险管理三个维度的关系是，全面风险管理的八个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上八个方面进行风险管理。 为了实现风险管理的有效性，需要企业风险管理的八个构成要素的支持，各要素相互独立、相互联系又相互制约，贯穿在企业的管理过程之中，共同构成了全面风险管理这一有机体系。内部环境是全面风险管理的平台，风险管理理念和风险偏好影响决定了风险管理目标设定；目标设定是风险识别、风险评估和风险应对的前提，具体风险管理战略和流程都要符合风险管理政策的要求，实现风险管理的目标；事件识别、风险评估、风险应对是风险管理的具体实施流程，是对风险管理政策的细化和执行；控制活动是风险管理目标实现和风险管理流程有效运行的保障；风信息沟通是保障全面实施风险管理的媒介，风险管理的各项活动都要形成风险信息并通过风险报告机制传递；监控是对风险管理体系进行再控制和再完善，以保持风险管理体系的科学性和适宜性。 二、IT项目全面风险管理体系构建前提将全面风险管理理论应用到项目中需要我们首先从思想上理清对风险管理的认识、设计机理上把好方向，据此提出设计准则，最后形成IT项目全面动态的风险管理体系框架。（1） 强化对项目的全面风险管理的认识 项目都是在风险中寻找机会、走向成功，所以开展风险管理的目的不在于消除风险，而是要提供更多的风险决策信息和方案，以使部分风险的可能性降低，或减轻风险发生后的危害，或利用我们的知识回避开风险，最大限度地降低风险带给IT项目建设的不确定性。风险管理以项目应该怎样才不会失败为出发点，项目管理是以项目怎样做才会成功为着眼点，二者殊途同归的，因此在进行项目管理是也应该建立健康的正确对待项目风险的企业文化，让人人都关心风险的识别、估计和跟踪控制。风险管理活动是一个连续的动态活动，客观世界在变、IT技术在变，所以风险管理体系除了应该有适应性外，还应该有包容性和开放性。全面风险管理要求以系统思想解决复杂系统问题，所以要系统、整合的看待IT项目风险，不要孤立片面的看问题。风险管理既是科学也是艺术，一方面需要用理性的数学知识和技术建模求解，另一方面也需要借助心理学、社会学等方面的知识诱导风险根源。IT项目的成本大部分是潜在的成本，也与企业的其他因素密切相关，不能单纯对IT项目的效益进行定量分析而应从长远着手从宏观分析IT项目全面风险管理给企业IT项目的成功实施带来的好处，IT项目风险管理应得到高层领导的重视。进行全面风险管理不是以消除风险为目的，需要根据成本收益原则来实施风险管理，选择确的应对策略，例如对于像知识的缺乏和交流的不畅等引起的风险，在解决时我们需要考虑排除的代价；源于环境或技术进步等我们无法阻止的风险，我们要预先设计备选方案，规避其中不口接受的风险。IT项目是劳动密集型项需求不确定性是一切密集项目的最大风险之一，企业往往会在IT项目实施过程中会通过对实际情况分析改变其需求，IT项目承包方此时就需要根据其具体的需求，使项目成果随着项目相关方对企业的认识程度加深而成熟。（二）IT项目全面风险管理框架体系构建原则 构建IT项目全面风险管理框架体系构建原则构建项目的全面风险管理框架体系，必须遵循以下几条原则：1. 有效性原则有效的风险管理必须是能够在项目实施过程中得到贯彻执行并发挥作用，保证项目顺利实现目标。风险管理框架必须有效，它必须适用于企业和IT项目的具体特点，必须能够发现和化解所面临的风险。制定的各项风险管理制度要与企业内部管理和IT项目的发展相适应。2.全面性原则构建项目的全面风险研究模型一定要遵循全面性原则，全面性体现在以下几个方面：全过程性，风险管理要贯穿于企业经营管理活动的各个方面；全方位性，管理者应针对人、财、物、信息各要素及各业务活动领域，构建相对全面的风险管理框架，使其触角摄入企业经营的各项业务和各个操作环节，涵盖所有的部门和岗位；全员性，它涉及到企业中所有部门和全体员工。3. 系统性原则在设计风险管理模型时，必须按照系统论的观点，将各部门和各岗位形成既相互制约又具有纵横交错关系的统一整体，以保证各部门和岗位均能按照特定的目标相互协调的发挥作用，从而发挥风险管理框架的总体功能，实现风险管理总体目标。4. 成本效益原则 风险管理可以帮助企业抵御风险，增强抗风险能力，合理保证目标实现，但是建立、维护风险管理框架总要付出一定的代价，如风险管理的构建成本、风险管理运行中的人力和物力支出、不适当的风险管理措施对企业产生的不良影响等。建立风险管理框架必须贯彻成本效益原则，通过运用科学化的经营管理方法以降低其成本，提高经济效益，力争以最小的管理成本获収最大的经济效益。 三、IT项目全面风险管理体系的内容 本文借鉴企业风险管理整体框架，软件项风险管理思想，SEI的连续风险管理和项目管理中的风险规划、风险识别、风险评估、风险应对计划、风险监视与控制的风险管理流程，选用适当的方法和工具，针对IT项目特点，以实现项目的全面风险管理为目标，设计了一类项目的全面风险管理体系。全面风险管理在逻辑上要求将风险管理要素有机地集成起来。IT项目全面风险管理需要将IT项目风险管理全过程进行集成化，以系统论和全面风险管理理论为依据，将时间（维度项目生命周期）、组织维度（风险管理机构、人员）、逻辑维度（项目风险管理逻辑过程）和知识维度（风险管理理论、技术与方法）集成起来，形成项目全面风险管理运作的过程框架。（1） 时间维度。它是指项目寿命周期的各个阶段是从时间维度对项目展幵过程的描述。项目一般划分为规划阶段、软件开发阶段、运行和维护阶段、终结。（2） 逻辑维度。它是指项目风险管理的逻辑过程，包括风险计划，风险识别，风险评估，风险应对，控制活动，后评价和持续改进等活动。在项目寿命周期的每个阶段其风险管理活动都要经历这个步骤循环往复。（3） 知识维度。它是指为完成项目风险管理各项工作所需的各种知识和专门技术的总和。包括风险识别工具和技术、风险估计与评价方法、风险应对措施、风险监控方法等。（4） 组织维度。它是指参与项目风险管理的组织机构和人员，既包括决策层，也包括操作层；既包括企业内部人员，也包括企业外部人员。 构建项目全面风险管理体系，首先，必须全面考虑项目中的所有风险，实现全面风险管理应该与项目管理实现无缝融合；项目全面风险管理体系应能尽可能早期地识别风险并保持风险管理在整个项目生命期内的连续性，还要保证风险管理各组成部分之间的结构性和连续性。各项风险管理活动应该是一个有机的过程整体，各部分之间相互依托，相互补充。体系框架如图所示：风险计划目标设定项目环境控制识别评估应对风险信息管理后评价与持续改进 四、IT项目全面风险管理体系的内容（一）风险管理计划风险管理计划是决定如何采取和计划一个项目的风险管理活动的过程，包括风险管理实施的目标、策略、方法、机制。项目风险管理计划就是依据项目的相关信息，如：项目章程（目标、计划）、范围说明书、项目管理计划、组织过程资产、环境和组织因素、历史信息、风险承受能力和计划在风险上的投入等在项目计划会议上由项目关键干系人和对风险计划编制和应对措施负有责任的人员共同讨论编制出一个风险管理计划书。风险管理计划书是风险管理的导航图，它告诉项目组织，如何保障项目从当前所处状态到达所希望的未来状态。风险管理计划应该清楚、易于操作，主要包括风险管理的目标，风险管理的工作方向和工作重点，风险管理策略，风险管理过程及其标准和程序，风险管理机制、方法、技术，风险管理资源和成本预算等。（2） 风险识别 风险识别是项目风险管理的基础和重要组成部分，主要工作为确定何种风险事件可能影响项目，并将这些风险的特性整理成文档，存入风险管理数据库。没有风险识别的风险管理是盲目的。通过风险识别，才能使理论联系实际，把风险管理的注意力集中到具体的事件上来。 风险识别的主要内容包括：识别并确定项目有哪些潜在风险；识别引起这些风险的主要因素；识别项目风险可能的后果；将已知风险编写为文档，进行存储和交流。风险识别是以收集的历史和项目信息为依据，主要包括项目章程、项目管理计划、项目范围说明书、风险管理数据库和组织过程资产等等，综合应用多种结构化和非结构化的风险监测识别方法，如头脑风暴法、德尔菲法、访谈法、分析法、因果分析图法、系统或作业流程图法、影响图法、检查表法等等，以便全面彻底的识别出潜在的风险。现在使用的风险识别办法，可以分为宏观领域中的决策分析（可行性分析、投入产出分析等）和微观领域的具体分析（资产负债分析、损失清单分析等。主要方法有生产流程分析法（又称流程图法，是指在生产工艺中，从原料投入到成品产出，通过一定的设备按顺序连续地进行加工的过程。强调根据不同的流程，对每一阶段和环节，逐个进行调查分析，找出风险存在的原因）、风险专家调查列举法（由风险管理人员对该企业、单位可能面临的风险逐一列出，并根据不同的标准进行分类）、资产财务状况分析法、分解分析法、环境分析、保险调查、事故分析等。企业在识别风险时，应该交互使用各种方法。对风险的识别是准确度量风险的甜提，本文主要通过风险专家调查列举法分析总结出了影响IT项目成功的十大关键因素，确定IT项目生命周期内可能发生的风险一般包括： 1.需求风险：需求已经成为项目基准，但需求还在继续变化；需求定义欠佳，而进一步的定义会扩展项目范畴；添加额外的需求；产品定义含混的部分比预期需要更多的时间；在做需求中客户参与不够；缺少有效的需求变化管理过程； 2.计划编制风险：计划、资源和产品定义全凭客户或上层领导口头指令，并且不完全一致；计划是优化的，是“最佳状态”，但计划不现实，只能算是“期望状态”；计划基于使用特定的小组成员，而那个特定的小组成员其实指望不上；产品规模（代码行数、功能点、与前一产品规模的百分比）比估计的要大；完成目标日期提前，但没有相应地调整产品范围或可用资源；涉足不熟悉的产品领域，花费在设计和实现上的时间比预期的要多； 3.组织和管理风险：仅由管理层或市场人员进行技术决策，导致计划进度缓慢，计划时间延长；低效的项目组结构降低生产率；管理层审查/决策的周期比预期的时间长；预算削减，打乱项目计划；管理层作出了打击项目组织积极性的决定；缺乏必要的规范，导致工作失误与重复工作；非技术的第三方的工作（预算批准、设备釆购批准、法律方面的审查、安全保证等）时间比预期的延长； 4.人员风险：作为先决条件的任务（如培训）不能按时完成；幵发人员和管理层之间关系不佳，导致决策缓慢，影响全局；缺乏激励措施，士气低下，降低了生产能力；某些人员需要更多的时间适应还不熟悉的软件工具和环境；项目后期加入新的开发人员，需进行培训并逐渐与现有成员沟通，从而使现有成员的工作效率降低；由于项目组成员之间发生冲突，导致沟通不畅、设计欠佳、接口出现错误和额外的重复工作；不适应工作的成员没有调离项目组，影响了项目组其他成员的积极性；没有找到项目急需的具有特定技能的人； 5.开发环境风险：设施未及时到位；设施虽到位，但不配套；设施拥挤、杂乱或者破损；开发工具未及时到位；开发工具不如期望的那样有效，开发人员需要时间创建工作环境或者切换新的工具；新的开发工具的学习期比预期的长，内容繁多； 6.客户风险：客户对于最后交付的产品不满意，要求重新设计和重做；客户的意见未被采纳，造成产品最终无法满足用户要求，因而必须重做；客户对规划、原型和规格的审核决策周期比预期的要长；客户没有或不能参与规划、原型和规格阶段的审核，导致需求不稳定和产品生产周期的变更；客户答复的时比预期长；客户提供的组件质量欠佳，导致额外的测试、设计和集成工作，以及额外的客户关系管理工作； 7.承包商风险：承包商没有按承诺交付组件；承包商递交的组件质量低下，无法接收，必须花时间加以改进；承包商没有购进项目开发需要的工具，从而无法提供需要的性能水平； 8.产品风险：矫质量低下的不可接受的产品，需要比预期更多的测试、设计和实现工作；开发额外的不需要的功能镀金，延长了计划进度；严格要求与现有系统兼容，需要进行比预期更多的测试、设计和实现工作；要求与其他系统或不受本项目组控制的系统相连，导致无法预料的设计、实现和测试工作；在不熟悉或未经检验的软件和硬件环境中运行所产生的未预料到的问题；发一种全新的模块将比预期花费更长的时间；依赖在开发中的技术将延长计划进度； 9.设计和实现风险：设计质量低下，导致重复设计；一些必要的功能无法使用现有的代码和库实现，幵发人员必须使用新的库或者自行开发新的功能；代码和库质量低下，导致需要进行额外的测试，修错误，或重新制作；过高估计了增强型工具对计划进度的节省量；分别开发的模块无法有效集成，需要重新设计或制作； 10.过程风险：大量的纸面工作导致进程比预期的慢；前期的质量保证行为不真实，导致后期的重复工作；太不正规（缺乏对软件开发策略和标准的遵循），导致沟通不足，质量欠佳，甚至需重新开发；过于正规教条地竖持软件幵发策略和标准，导致过多耗时于无用的工作；向管理层撰写进程报告占用开发人员的时间比预期的多；风险管理粗心，导致未能发现重大的项目风险。（三）风险评估风险评估包括对识别风险通过风险发生的概率及影响程度的综合评价确定风险的优先级排序。风险管理资源有限，不可能对所有的风险进行分析和减轻。我们应该把重点放在关键风险，并花较多的时间和资源管理它们，因此我们必须对风险进行排序。风险评估的主要活动包括以下几步，在实际操作时他们既可以重复，也可以同时进行：1. 对已识别的风险进行度量，评估风险发生的可能性及其后果。风险度量有定性、定量和混合等多种方法如主观评分法决策树法、层次分析法、模糊风险综合评价法、故障树分析法和蒙特卡洛模拟法等等。但是对项目由于其自身的许多独特的特点，而且缺少丰富的历史数据，损失难以确切预测等诸多原因，难以准确量化，而且项目对评估结果数据的精确度要求不高，因此，方法的选择多以定性分析为主，重在可行和高效。2. 归类与合并风险：对风险从不同的角度进行分类，将类似的风险归为一组，以便全面的了解风险形势。可以按照项目发展阶段、风险所属的领域、项目的属性对风险进行分类归属，以便分别对每个阶段或领域的风险进行排序，对各阶段、领域的相对风险量进行比较，找出其中影响比较大的风险。3. 分析风险事件的发生时段和何时采取行动才能阻止风险的发生。利用因果分析图、网络图和等，对风险来源、驱动因素和风险影响的区域和范围进行确定，找出风险根源、发展路径、风险间的关系及转化影响过程，具体找出风险驱动因素。把风险对号入座，据此得到风险分布图，找出风险集中的区域，记录重复发生的风险的次数及每次出现的时间和领域，以了解其重要性。4. 利用以上分析结果，确定风险最大的类、阶段、受影响最大的风险项目、哪些是局部风险、哪些是全局风险、哪些风险会频繁发生，得出最终的风险排序表，把排序较前的风险作为风险管理的重点，并优化完善风险管理数据库。风险评估可从定性和定量两个方面进行，并且要尽量数据量化地确定受险程度。IT项目的风险评估中常用的分析方法包括层次分析法和概率影响风险评分矩阵等等。 （四）风险应对计划 风险应对是根据风险环境、风险管理目标和项目约束，幵发制定一些程序和技术手段等风险应对策略，用来提高实现项目目标的机会和减少风险对实现项目目标的威胁。风险应对策略包括风险避免、转移、缓解、接受、储备以及退避等，根据风险管理的成本收益原则，选择最佳的风险解决途径。我们一般通过对风险指标的量化和风险阈值的设立建立风险预警触发机制，我们对每一风险的控制行动计划都设置特定的启动阈值，风险阈值为可以接受非最低风险指标量化值。风险阈值根据风险指标的量化设定（如表所示），用于定义风险的开端，当项目风险指标达到阈值时便启动项目预警机制，并实施以此为依据编写风险监控计划、风险应对计划。风险应对计划中存储风险控制行动计划的相关信息，主要包括：风险编号、风险控制目标、控制策略类型、策略描述、所需资源、使用的方法和工具、行动计划、识别期、执行期、持续时间、责任人、执行效果、启动阈值、备用方案。阀值设定风险指标计划目标阀值需求变更率小于10%30%进度落后率010%. 风险应对策略从风险的定义出发，从减少发生的概率、减少损失的大小和改变风险后果等方面提出的策略，包括风险预防、转移、缓解、接受、储备、回避等。预防风险是一种主动的风险管理策略，防止风险发生或造成不利后果，此策略会在定程度上增加项目的成本，因此决策时需要进行成本效益分析；转移风险是将风险转移至参与该项目的其他人或其他组织，所以又叫合伙分担风险。其目的不是降低风险发生的概率和减轻不利后果，而是借用合同或协议，在风险事件一旦发生时将损失的一部分转移到有能力承受或控制项目风险的个人或组织，实行这种策略要遵循两个原则：第一，必须让承担风险者得到相应的回报；第二，对于各具体风险，谁最有能力管理就让谁分担；缓解风险是通过缓和或预知等手段来减轻风险，降低风险发生的可能性或减轻风险带来的不利后果，以达到风险减少的目的；接受风险是有意识地选择承担风险后果，当觉得自己可以承担损失时，就可用这种策略。接受风险可以是主动的，也可以是被动的。由于在风险规划阶段已对一些风险有了准备，所以当风险事件发生时马上执行应急计划，这是主动接受。被动接受风险是指在风险事件造成的损失数额不大，不影响项目大局时，项目管理组将损失列为项目的一种费用。当采取其他风险应对方法的费用超过风险事件造成的损失数额时，可采取接受风险的方法；储备风险是指制定项目风险应急措施。一旦项目实际进展情况与计划不同，就动用后备应急措施。主要针对两种类型的风险：一是高危害的风险，以防缓解策略失败，二是不能或没有采取行动缓和的风险。项目风险应急措施主要有费用、进度和技术三种。预算应急费是用于补偿差错、疏漏及其他不确定性对项目费用估计精确性的影响；回避风险一一是指当项目风险潜在威胁发生可能性太大，不利后果也太严重，又无其他策略可用时，主动放弃项目或改变项目目标与行动方案，从而规避风险的一种策略。 总之，风险应对管理后的结果应包括以下几项内容：风险记录；已识别的风险及其描述，受影响的项目领域，风险成因及如何影响项目目标；风险责任人及其职责，定性定量的分析过程的结果；一致同意的应对策略；应对策略的具体行动；应对策略执行后的残留风险水平；风险发生的预警和信号；执行风险应对策略的预算和时间；启动应急计划非触发条件；执行应对措施引发的新风险；需要的应急储备量；风险相关的合同协议。 （五）风险控制 风险控制过程是指执行风险行动计划，以求使风险得到有效的防范、使风险指标回落到可以接受的范围内、并校正风险行动计划，积累风险经验。要及时的对触发事件的通知做出反应；按照风险应对计划开展风险应对措施，及时存储、报告和评审风险应对的结果，加强项目组内部交流。如果实施结果不能令人满意，就必须换用其他途径，必要时还需要采取校正行动，重新对风险进行评估，对风险控制行动计划乃至风险管理计划做出修正，以保证重要风险得到恰当控制。风险控制阶段用到的工具主要有风险评估、风险审计、定期的风险评审、技术绩效评估、差异和趋势分析、预留管理等等。要根据风险控制结果更新风险检查表和风险管理数据库。 风险管理全过程都需要当前项目信息和记录风险信息的风险数据库支撑，风险管理数据库可以用来辅助存储风险相关信息，以便于风险管理活动中的信息交流和管理跟踪。项目管理本身对知识和经验的积累有很大的依赖性。项目全面风险管理应特别重视对知识、经验的积累的学习，不断地对风险管理数据库进行更新、丰富和完善。根据本文的风险管理模型，本文拟建立的风险管理数据库包含了项目表、风险表、风险计划表、风险跟踪表，括号内是数据表中个属性的基本字段描述。 1.目标表（目标编号、目标描述）； 2.风险表（风险编号、名称、类别、事件描述、可能性、后果、风险大小、风险优先级、发生时段、所处阶段、风险场景、风险状态、影响范围、触发器、阈值）； 3.风险行动计划表（风险编号、风险控制目标、控制策略类型、策略描述、所需资源、使用的方法和工具、行动计划、识别期、执行期、持续时间、责任人、执行效果、启动阈值、备用方案）； 4.风险跟踪表（风险编号、跟踪期、风险状态、上次优先级、当前优先级、进入前十位的次数）。 （六）后评价和持续改进 项目风险管理部门应该对全部规章制度，项目管理流程，风险管理流程的执行情况进行后评价，并建立相应的授权调整和问责制度，确保风险管理体系的运行。同时，风险管理部门应根据外部环境，监管当局要求以及后评价中发现的问题，对风险管理体系中有关内容提出调整和完善意见，由项目决策层来对全面风险管理体系进行持续改进。被识别或评估为不重要的风险，其重要