學習目標
1.理解何為風險，以及做好項目風險管理的重要性。
2.討論風險管理規劃涉及的要素和風險管理規劃的內容。
3.列舉在IT項目中常見的風險源。
4.描述風險識別的過程，制作風險登記冊。
5.討論定性風險分析的過程，并解釋如何去估算風險因子、創建概率與影響矩陣和采用前10大風險條目跟蹤法去劃分風險等級。
6.解釋定量風險分析的過程，，以及如何利用決策樹、模擬方法和靈敏度分析去作風險的定量分析。
7.舉例說明如何使用各種風險應對計劃去同時應對積極和消極方面的風險。
8.討論風險監控涉及哪些因素。
9.描述軟件如何輔助做好項目風險管理。
開篇案例
　　柯利福 布蘭奇是一家小型IT咨詢公司的總裁，該公司專門從事網絡應用程序的開發，并提供全方位的服務支持。公司員工由程序員、商業分析師、數據庫專家、Web設計員、項目經理等組成。公司現有員工50名，計劃在下一年至少再招聘10名員工，并增加兼職顧問的數量。公司在過去幾年業績一直不錯，但最近生意不那么順了。在處理目標客戶的各種需求建議書方面所花的時間和資源更多。簽訂合同之前，許多客戶開始要求做產品演示，甚至要求原型開發。
　　柯利福知道自己及愛冒險，喜歡選擇能帶來最大收益的項目。他在決策之前不會用系統的方法去評估各種項目的風險。他關注的是潛在收益的大小和項目有多大的挑戰性。而今，他的這種戰略卻給公司帶來了麻煩。因為過去公司在準備提案上花費了很多的資源，但簽訂的合同卻很少。好幾個已經不在項目中工作的顧問卻還照常領著公司的薪水；一些兼職的顧問因為沒有充分利用，還在從事其他項目。柯利福和他的公司要怎么做才能更好地認識"項目風險”呢？在決定該尋求什么項目時，柯利福是否應該調整戰略？怎么調整？
11.1 項目風險管理的重要性
　　項目風險管理既是一門藝術又是一門科學。它通過識別、分析和應對整個項目生命周期中的風險來最大程度地滿足項目目標。作為在項目管理中常被忽視的一個方面，風險管理能對項曰的最終成功起極大的促進作用。風險管理對項目選擇、項目范圍的確定、制定現實可行的進度和成本估計都有積極的作用。它能幫助項目利益相關者更好地理解項目的性質，讓團隊成員參與辨識優勢和劣勢，并有助于把其他的項目管理知識結合到一起。
　　好的項目風險管理往往讓人覺察不到它的存在，這和危機管理不同。在危機管理中，會有一個危及項目成功的很明顯的威脅。這樣的話，危機就會得到項目團隊的密切關注。成功地化解危機，有著更大的可視性，并常常伴隨著管理部門的獎勵。相反，當有效地開展了風險管理時，它會導致問題的減少，并能為那些所剩不多的問題帶來更多的、快捷的解決方案。外部觀察者很難判斷一個新系統的順利開發是歸于風險管理還是運氣。但是項目團隊成員深知，正是良好的風險管理才讓他們的項目更好地運行。項目風險管理需要專門的、有才干的專業人士。為了滿足這一需求，項目管理協會(PMI)于2008年推出了項目風險管理專業證書(PMI-PMP)，詳情參照PMI網站。
　　所有的行業，尤其是軟件開發行業，都容易忽視項目風險管理的重要性。威廉伊布斯和郭永勛進行了一項評估項目管理成熟度的研究調查。38個參加調查的組織單位被分成4個行業小組：工程與建設、電信、信息系統／軟件開發和高科技制造。參與調查者回答了148道多項選擇題，分別評價他們的組織在項目的范圍、時間、成本、質量、人力資源、溝通、風險和采購等項目管理知識領域的成熟程度。其中的評分等級從1-5不等，5表示最高成熟等級。調查的結果參見表11-1。值得注意的是，風險管理是唯一一個得分全都少于3分的知識領域。這項調查表明，所有的組織都應該在項口風險管理上花更多的精力，尤其是信息系統／軟件開發行業。這些行業的風險管理得分最低，只有2.75。

2003年，對南非、毛里求斯的軟件開發公司也進行了類似的調查。結果，所有的知識領域平均成熟等級只有2.29。評級范圍仍是1-5，5為最高成熟等級。在這項調查中，項目風險管理領域依然獲得最低的成熟等級，平均只有1.84分。成本管理獲得最高的成熟等級，為2.5分。調查負責人指尚，接受調查的組織往往關注的是成本超支，并隨時關注成本控制。他們還發現，成熟等級和項目的成功率是緊密相關的，并指H{風險管理的成熟度較低很可能是項目出現問題或失敗的原因。
　　KLCL研究小組在2001年調查了全球范圍的260家軟件行業的組織，依此來研究軟件行業的風險管理實踐。以下是他們的一些發現：
　　-97%的受調查者提到他們擁有識別和評估風險的相應程序。
　　-80%認為風險管理的主要收益是能預先防范和避免問題的發生。
　　-70%的組織都已明確規定了軟件開發程序。
　　-64%都擁有一個項目管理部門。
　　以這些被調查者為例，圖11-l展示了軟件行業風險管理實踐的主要益處。除了預先預防或避免問題發生，風險管理實踐還有助于軟件項目管理者去預防意外情況，提高談判能力，履行對顧客的承諾，減少進度超期和成本超支等。

雖然很多組織認識到其項目風險管理工作做得不好，但在改進項目風險管理方面，無論從項目層面還是從企業層面，都沒有什么進展。最近幾年，有很多關于這一話題的書籍和文章。例如，2008年股市下跌之后不久，大衛希爾森博士寫了一篇文章，闡述了項目風險管理的重要性。希爾森說：毫無疑問，目前各產業和社會部門面臨的真正挑戰在于，處理信貸緊縮引發的后果。但是在困難時期，不應認為風險管理無關緊要而縮減這方面的開支。相反，組織應該運剛風險處理的方法，以確保將來可以應對那些不可避免的不確定性，并且以最佳的狀態勝出。鑒于我們身處的環境瞬息萬變，風險管理比以往任何時候都重要。因此，忽略風險管理的重要性，或是縮減在這方面的投入，將導致虛假經濟。我們應該把風險管理看成是解決方案的主要內容，而不是問題的一部分。
　　在你能改善項目風險管理之前，你必須先要理解什么是風險。一本基礎字典是這樣解釋的：風險是-損失或損害的可能性。這個定義突出了風險的負面意義，也表明了其不確定性。項目風險管理即是要懂得那些發生在項目里的潛在問題，以及如何對項目的成功起阻礙作用?！俄椖抗芾碇R體系》（第4版）中稱這種風險為消極風險或威脅。當然，項目管理中也存在積極的風險或機會，對項目起正向作用。因此，項目風險(risk)的一般定義是，一種對實現項目目標產生消極或積極影響的不確定性。
　　在很多情況下，負風險的管理就像是一種保險。它是一項用來減輕項目中潛在不利因素的影響的活動。而正風險管理就像是對機會的投資。要把風險管理看成是一項投資，這很重要，幽為這其中會有成本發生。一個組織愿意在風險管理活動中花多少投資，這取決于項目的性質、項目團隊的經驗和對前兩者的約束條件。在許多情況下，風險管理的成本都不會超過其潛在的收益。
　　如果在IT項目中有那么多的風險，為什么那些組織還要實施這些項目呢？許多公司至今仍在經營著，正是因為他們管好了那些能帶來極好機會的風險。組織只有追逐機會才能保持企業的長青。而信息技術往往就是一個企業戰略的關鍵；沒有它，許多企業可能就生存不下去了。既然所有的項目都會有產生消極或積極結果的不確定性，于是問題就在于，如何決定哪個項目該去追求，在整個項目生命周期中又如何去識別與管理項目風險。
　　好幾位風險研究專家都指出，無論是組織還是個人，都是努力在項目的一切方面或個人生活中尋找風險與機會之間的平衡。這種想法意味著不同的組織和個人對風險有著不同的容忍度。有些組織或個人對風險的容忍度處于中等水平，有些則偏好規避風險，另外一些則偏好冒風險。而這3種對風險的偏好就是風險效用理論的部分。
　　風險效用(risk utility)或風險容忍度(risk tolerance)是指從潛在的權衡中得到的滿足或愉悅程度。圖11-2表明了在風險規避、風險中立和風險偏好這3種偏好之間的基本差異。其中，Y坐標表示效用，或冒風險所帶來的滿意度。X坐標表示潛在的權衡、機會，或是風險的機會所等同的貨幣價值量。風險回避(risk-averse)的人的邊際效用是遞減的。換句話說，權衡越重，或者風險價值越大，偏好回避風險的組織或個人的滿足度就越低，或者說風除容忍度更低。而風險偏好(risk-seeking)的組織或個人則有更高的風險容忍度。他們的滿意度會隨著風險價值的提高而增加。風險偏好者更喜歡不確定的結果，且常愿意接受風險帶來的損失。而風險中立(risk-neutral)者則喜好尋找風險與收益之間的一種平衡。
　　項目風險管理的目的可以看做是：在最小化潛在的負風險的同時最大化潛在的正風險。已知風險-這個詞有時用來描述那些項目團隊已經識別和分析過的風險。對已知風險可以有計劃地進行管理；但是對于未知的風險，也就是未經識別和分析的風險，就不好管理了。正如你會想到的，優秀的項目管理者知道，花時間去識別和管理風險是值得的。風險管理共包含6個主要的過程：
　　-風險管理規劃，指定義如何實施項目風險管理活動的過程。根據項目范圍說明、成本管理計劃、進度管理計劃、溝通管理計劃、企業環境因素以及組織的過程資產，項目團隊可以針對特定的項目討論和分析風險管理活動。這個過程的主要輸出是一份風險管理計劃。

-風險識別，指判斷哪些風險會影響項目并記錄其特征的過程。這個過程的主要輸出是最初的風險登記冊，其具體內容將在本章后面論述。
　　-定性風險分析，指按照發生的可能性和影響程度對風險進行優先排序的過程。在識別風險之后，項目團隊可以利用各種不同的工具和方法來對風險進行分級，并更新風險登記冊里的信息。這個過程的主要輸出是風險登記冊的更新。
　　-定量風險分析，指就已識別風險對項目整體目標的影響進行定量分析的過程。這一過程的主要輸出也是風險登記冊的更新。
　　-風險應對計劃，指采取措施來增加實現項目目標的幾率，減少風險對實現項目目標的威脅的過程。利用上面步驟的輸出結果，項目團隊可以制定風險應對戰略，這也就會導致再次更新風險登記冊、項目管理計劃和其他項目文件，以及與風險相關的合同協議．
　　-風險監控，指在項目生命周期中，監控已知的風險，識別新的風險，執行風險應對計劃，并評估風險對策效果的過程。這個過程的主要輸出包括變更請求，以及對風險登記冊、組織過程資產、項目管理計劃和項目文件的更新。
　　圖11-3對這些過程和結果作了總結，并表明了各過程在具體項目中的發生時間。

項目風險管理的第一步就是通過進行風險管理規劃來決定如何著手開始風險管理。
11.2風險管理規劃
　　風險管理規劃是決定如何去看待和規劃一個項目的風險管理活動的過程，其主要輸出是一份風險管理計劃。風險管理計劃(risk management plan)是一份針對整個項目生命周期內風險管理程序的計劃文檔。項目團隊應該在項目的早期多次召開計劃會議，以商討制定風險管理計劃。他們應該審閱一些項目文件，還有公司的風險管理政策、風險分類、過去項目的經驗教訓和風險管理計劃的模板等。重新檢視各個利益相關者的風險容忍度也很必要。例如，如果項目發起人是風險回避型的，這與發起人是位風險偏好者的情況相比，項目就需要一些不同的方法措施。
　　剛鹼管理計劃概括了一個特定項目將如何進行風險管理。像其他專門的知識領域的計劃一樣，風險管理計劃也是項目管理計劃的一個子集。表11-2列出了風險管理計劃應該應對的一般主題。弄清楚各自的角色和責任，準備好預算，為風險管理的相關工作做好進度估計，并識別好風險的類型，這些都很重要。同樣重要的是，把如何進行風險管理描述出來，包括對風險可能性和影響的估計，以及創建與風險相關的文檔。風險管理計劃的詳盡程度會因項目的需要而不盡相同。

除了風險管理計劃外，許多項目都還包括應急計劃、退路計劃和應急儲備。應急計劃(con-tingency plans)事先確定了在意外風險事件發生時項目團隊應采取的行動。例如，如果項目團隊了解到一個新發行的軟件包不能及時用到項目中的話，他們就會啟用應急計劃，采用現有的或舊的軟件版本。退路計劃(fallback  plans)是為對實現項目目標具有很大影響的風險編制的計劃，并且如果企圖降低風險的措施難以奏效，則該計劃可以作為補充。例如，一個大學畢業生會有一個畢業后將在哪兒生活的主計劃和幾個應急計劃，但是如果這些計劃都無法奏效的話，就會有個退路計劃：先在家住一段時間。有時，應急計劃和退路計劃這兩個詞可以互換使用。應急儲備(contingency reserves)是項目發起人或者組織掌握的預備資源，以防范成本風險或者進度波動超過可接受的水平。例如，如果一個項目因為員工對新的技術不熟悉，且團隊也沒有識別到這種風險而出了偏差，項目發起人也許就會從應急儲備中拿出額外的資金，雇用一名外部顧問來培訓和幫助項目成員掌握新技術。
　　在你真正能在IT項目中理解和使用其他的項目風險管理方法之前，認識和了解常見的風險源是十分必要的。
11.3 IT項目中常見的風險源
　　有研究表明，IT項目具有一些共同的風險源。例如，斯坦迪什集團為他們稱為“未完航程”的CHAOS研究作了一個跟蹤調查。這個調查召集了60個IT項目專家來詳盡闡述如何去估計一個項目成功的總體可能性。表11-3給出了斯坦迪什集團的成功潛力評分表和項目成功標準的相對重要性。如果一個未來要做的項目沒有得到一個起碼的得分，那么組織將會放棄它，或在往項目投入時間和金錢之前先想方設法降低其風險。

斯坦迪什集團為每個成功的標準設定了具體的問題，以方便決定給一個項目該打多少分數。例如，與用戶參與相關的5個問題如下：
　　-我擁有正確的用戶嗎？
　　-我及早并經常讓用戶參與項目了嗎？
　　-我和用戶的關系是否良好？
　　-用戶的參與是否便捷？
　　-我是否了解用戶的需求？
　　對應每個成功標準的問題個數決定了每個問題被肯定同答時所得的分數。比如，在用戶參與里有5個問題。有一個肯定的同答，你就會得到3.8( 19/5)分；19表示這個標準的權重，而5表示問題的個數。所以，你能肯定回答一個問題，那么你的用戶參與標準里的相對值就會多加3.8分。
　　許多組織都自行設計他們自己的分析調查問卷。這些問卷里的風險大類一般包括：
　　-市場風險：如果一個IT項目將產出一種新產品或提供一種新服務，那么這種產品或服務對組織是否有用處？或別人對它是否有需求？用戶會接受和使用這種產品或服務嗎？是否會有其他的組織生產出一種更好的產品或提供更快捷的服務，以至于浪費了這個項目所占用的時間和金錢，
　　-財務風險：組織能支付得起這個項目的運行嗎？項目干系人是否在資金預算方面有足夠的信心？項目是否滿足NPV、ROI和投資回收期的要求？如果不能，組織是否有財力繼續支持這個項目？這個項目是使用組織資金的最佳方式嗎？
　　-技術風險：項目在技術上是否可行？它將使用成熟的、前沿的還是最先鋒但未成熟的( bleeding edge)技術？將在什么時候決定使用哪種技術？硬件、軟件和網絡功能是否完善？技術是否能及時到位，以保證項目目標的實現？在能生產出合格產品之前，技術是否會過時或被淘汰’如果有必要，你也可以將技術風險細分為硬件、軟件和網絡技術方面的風險。
　　-人員風險：組織是否擁有或能找到掌握所需技術的人來順利完成項目？員工是否擁有合格的管理和專門技能？他們是否有足夠的經驗？高層管理是否支持這個項目？是否有一個項目倡議者？組織對項目發起人或顧客是否熟悉？和項目發起人或顧客的關系是否良好？
　　-結構或過程風險：新的項目將給用戶和業務流程帶來多大的變化？項目要滿足多少個不同的顧客群的需要？新的項目或系統將和多少其他的系統相互之間有影響？組織是否有成功完成項目所需的過程？
錯在哪里
　　畢馬威會計師事務所在1995年發表了一份研究報告。報告顯示，55%的失控項目(runa-way projects)----即成本顯著超支或時間顯著延期的項目----根本沒有進行風險管理，38%有一定程度的風險管理（但是有一半在項目進行時沒有使用他們的風險管理的成果），而7%不知道他們到底有沒進行過風險管理。這份研究說明，風險管理對提高項目成功率和避免項目失控起著很重要的作用。
　　風險管理的時機也是一個需重點考慮的因素。例如，總部位于俄亥俄州辛辛那提市的Comair公司是地區性的航空公司，服務于117個城市，每天有1 130個班次，日載客量大約為30 000人次。在20世紀90年代，公司的IT管理者明白，他們必須更換掉公司里一個即將過時了的系統，這個系統是用于管理空勤人員的。這個公司最老之一的應用系統（有11年歷史了）是用Fortran語言編寫的（Comair公司沒人熟悉這門語言），而且是僅刺的一個在公司舊的IBM AIX平臺運行的系統。盡管管理層和員工有了更換這個系統的備選方案，但因為其他更緊急的事而推遲了這個更換工作。一個代替舊系統的新系統終于在2004被檢驗通過了，但是這個更換工作還是沒有及時進行。在假期期間，這個一直遺留著的系統失靈了，整個航空公司也隨之癱瘓了。因此被迫取消或延誤了3 900個航班次，并耽誤了大概200 000位乘客。這個網絡的癱瘓致使Comair和它的母公司損失了2 000萬美元，更損害了航空公司的聲譽并致使交通部要介入調查。如果Comair或Delta（三角洲航空）早點行動更換系統，他們就能采取措施降低風險，避免這場事故了。
　　用斯坦迪什研究小組的成功標準、風險調查問卷或者任何其他類似的工具來重新審視提議的項目，都不失為一個了解IT項目中常見風險源的好方法。當然，電可以重新審視項目的工作分解結構( WBS)，看是否存在工作分解結構分類中的特殊風險。比如，如果一個工作分解結構中的工作細曰涉及準備一個新聞發布，而且項目團隊中沒人做過這種工作，那這個問題如果不能很好解決的話，它就會成為一個負風險了。
　　風險分解結構是一個有用的工具，能輔助項口管理者辨認不同分類中的潛在風險。與工作分解結構中的結構相似，風險分解結構( risk breakdown structure)就是一個項目中的潛在風險類別的層次結構。圖11-4就是一個可用于多數IT項目的風險分解結構樣例。最高層的類型是商業、技術、組織和項目管理。競爭者、供應商和資金流是屬于商業風險類別下的。技術風險下面又分硬件、軟件和網絡風險。要注意的是，風險分解結構如何能提供一個簡單的、只有一頁紙篇幅的圖示，幫助確保一個項目團隊考慮到了一切與IT項目相關的重要的風險類型。例如，在“開篇案例”中，柯利福和管理者們如果考慮了項日管理類別下的幾個細分風險類型--估算、溝通和資源風險，他們就可以從中有所受益。他們本來可以通過討論這些風險，以及其他的與其投標的項目相關的風險，然后制定出適當的戰略，來達到最大化正風險并最小化負風險的目的。
　　除了要基于項目性質或生產的產品來識別風險外，按照項目管理知識領域來識別潛在的風險同樣重要，例如項目范圍、時間、成本和質量。要注意圖11-4中作為風險分解結構重要分類之一的項目管理類風險。表11-4列舉了在每個知識領域都會存在的潛在負風險的情況。

弄清常見的風險源將對項目風險管理的下一步----風險識別十分有益。
11.4風險識別
　　風險識別就是弄清哪些潛在事件會對項目有害或有益的過程。及早識別出潛在的風險至關重要，但是你還必須在不斷變化的項目環境下持續地進行風險識別。要記住，如果你不能先識別出風險，也就無所謂管理風險了。通過了解常見的風險源，回顧項日的風險管理計劃、成本管理計劃、進度管理計劃、質量管理計劃、活動成本估算、活動時間估算、范圍基準、利益相關者登記冊、項目文件、企業環境網素和組織過程資產項目管理者和同隊就可以識別出很多潛在的風險。
11.4.1識別風險的幾點建議
　　這里有好幾種識別風險的工具和方法。項目團隊常常是這樣來開始風險識別的工作的：審讀項目相關文件，最近的或以前的有關組織的信息，以及一些可能影響項目的假定。團隊成員和外部專家常召開會議來討論這些信息，如果它們與風險有關就會提出一些相關的重要問題。經過這些初始會議的風險識別之后，項目團隊會使用不同的信息采集技術來進一步識別風險。常用的5個信息采集技術是：頭腦風暴法、德爾菲法、訪談法、根本原網分析法和SWOT分析法。
　　頭腦風暴法(brairistorming)是這樣一項技術，利用這種方法，一群人通過收集本能產生的和未加判斷的想法，試圖形成看法或者找到具體問題的解決途徑。這種方法可以幫助群體更多地找出可能的風險，以供隨后的定性和定量分析來處理。有經驗的主持人應該會保證頭腦風暴法的順利進行，并引入一些新的潛在風險類型來激發出參與者的想法。在收集了這些意見之后，主持人可以對其進行分門別類以便作進一步分析。但千萬不要濫用或誤用頭腦風暴法。雖然企業都廣泛應用頭腦風暴法來尋求創新想法，但是有心理學的資料表明，各人單獨行動產生的想法總數要比同樣的人一起進行頭腦風暴法產生的想法數要稍多一些。像害怕別人指責、權威層級的壓力和一兩個能說會道的人左有了會議等，這樣的群體效應常常阻礙了參與者眾多時意見的產生。
　　德爾菲法就是一種可以防止頭腦風暴法中出現的一些負面群體效應的信息采集方法。德爾菲法(Delphi technique)的基本含義是用于在專家團體中達成一致意見的方法，從而對將來的發展做出預測。這種方法是在20世紀60年代晚期由蘭德公司為美國空軍首創的，是一種在對未來事件的預測進行獨立且匿名地輸入信息的情況下，系統性的、交互性的預測方法。德爾菲法通過重復多次的提問和回答，其中包括對前一輪的反饋，來利用群體的輸入信息，而避免了在小組口頭討論中可能產生偏見的情況。使用德爾菲法時，你必須挑選一組擅長某個領域的專家。例如“開篇案例”里的柯利福·布蘭奇，他就可以用德爾菲法來幫助找出公司生意不再像過去那樣紅火的原因?？吕？上日偌唤M他所在業務領域的專家。每名專家要回答與柯利福遇到的情況相關的問題，然后他或者主持人將評價他們的回答，得出一些意見和判斷，接著在下一輪把這些反饋給每位專家。柯利福將繼續重復這個過程，直到大家的回答都集中于某個特定的方案。如果回答還有分歧，這個德爾菲法的主持人就要確定一下是否過程中出現了什么問題。
　　訪談法(interviewing)是通過面談、電活、電子郵件或即時信息交流來收集信息的一種實情調查方法。對有類似項目經驗的人進行訪談是識別風險的一種重要途徑。又如，如果一個新項目要用到一種特殊的硬件或軟件，那么近來有過使用這種硬件或軟件經驗的人就能描述出他在過去項目中遇到的問題。如果有人和一個特殊的顧客工作過，他就會向你提供和這種顧客群體打交道的建議。做好如何引導訪談過程的準備工作不容忽視；先做出問題的提綱，往往有助于引導好訪談過程。
　　有時人們識別出問題或機會，卻并不真正了解它們，這種情況并不少見。在提出行動之前的重要工作就是要識別出一個問題或機會的根本原因。第8章有關于根本原因分析法的敘述。根本原因分析法常常能為一個項目識別出更多的潛在風險。
　　另外一個方法，SWOT分析法（優勢、劣勢、機會和威脅），在第4章中已討論過了。這種方法常用于戰略規劃中，但它也能幫助團隊識別項目在更廣闊范圍內的潛在風險。例如，在寫一份具體的項目提泌之前，柯利福·布蘭奇可以先召集一批員工來仔細討論一下他們公司在項目方面的優勢和劣勢分別是什么，存在哪些機會和威脅。他們是否知道有好幾個競爭對手更可能拿到那個合同？他們是否明白贏得一份合同將可能贏得了未來的合同，并有助于拓展業務。把SWOT分析法用于某個可能的項目，能幫助識別在那種境況中更廣泛存在的風險和機會。
　　另外，3個識別風險的方法是核對表、假設分析和圖解技術。
　　-核對表：根據以往類似項目遇到的風險編制而成，為了解當前項目中的風險提供有益的參考。你可以使用斯坦迪什或其他研究團隊開發的核減清單來幫助識別IT項目中的風險。
　　-假設分析：分析項目的假定，以確定它們是否還有效，這很重要。不完整、不準確或不存在的假定將會導致識別出的風險比實際存在的要多。
　　-圖表技術：包括使用因果圖或魚骨圖、流程圖和影響圖?；仡櫟?章可知，魚骨圖可以幫助你找到問題的根源。系統或過程的流程圖（fow chart）則是反映一個系統各個要素間互相聯系的圖。例如許多程序員都做流程圖，以表明程序的邏輯。第8章中還給出了流程圖的一個樣例。另一種圖表，即影響圖(influence diagram)，通過列出關鍵要素，包括決策、不確定性、因果關系、目標以及各要素間如何相互影響，來表明要決策的問題。關于影響圖的詳細信息可以參見其他資料，如www lumina. com/software/influencediagrams. html。
11.4.2風險登記冊
　　風險識別過程的主要輸出是一份已識別出的風險清單和其他用來作風險登記冊的信息。風險登記冊( risk register)就是一份文檔，包含了各種風險管理過程的輸出，通常以表格或電子數據表格的形式出現。它是一種把潛在風險事件和相關信息文檔化的工具。風險事件(risk event)是指會對項目造成不利或有利影響的特定的且不確定的事件。例如，負風險事件包括：作為項目一部分的產品的性能故障；不能按時完成工作，預算成本提高；供應短缺；針對公司的訴訟、罷工等。正風險事件的例子包括：提前或低于預算完成工作；和供應商合作生產出了更好的產品；項目的完成提高了公司的名聲等。
　　表11-5提供了一個風險登記冊的樣例，可供“開篇案例”中柯利福和他的管理者們在新項目中予以使用?？稍谶@些風險中輸進的實際數都包括在表中。注意，主標題常常包括在這個風險登記冊中。表中的許多條目將會在本章后面予以詳盡介紹。
　　-每個風險事件的標識號：項目團隊需要整理或快速尋找某個特定的風險事件，因此他們需要用一種唯一的標志符號來找出每個風險，比如給一個編號。
　　-每個風險事件的等級：等級往往是一個數字，1就表示最高級的風險。
　　-風險事件的名字：例如，服務器故障，測試不能按時完成，咨詢成本降低，或好的名聲。
　　-風險事件的描述：因為一個風險事件的名字往往太過簡短，所以還可以提供一個更詳細的描述。例如，降低了的咨詢成本可以擴展描述為，組織能用低于平均成本的價錢雇用一位顧問，這是因為這位顧問真的很喜歡在提供的這個職位上為這家公司工作。
　　-風險事件所屬的類別：例如，服務器故障可以歸入到技術或硬件技術這個大類里。
　　-風險的根本原因：服務器故障的根本原因也許是電源供電不足。
　　-風險觸發器：觸發器(trigger)是風險事件實際發生的跡象或征兆。比如，早期活動的成本溢出可能是成本估計不善的征兆；有缺陷的產品可能是供應材料質量低的征兆。把項目風險的潛在征兆文檔化也有助于項目團隊識別更多的潛在風險事件。
　　-每個風險的可能應對措施：一個可能的應對服務器故障這個風險事件的辦法是，遵照與供應商的合同中的相關條款，在談判達成的成本范圍內和在一定時間內，更換這個有缺陷的服務器。
　　-風險責任人(risk owner)或者對風險及其相關風險應對戰略和任務負責的人：例如總有一個人來負責任何與服務器相關的風險事件，并執行應對的戰略。
　　-風險發生的概率：如何一個風險事件的發生總有一個或大、或中等、或小的概率。例如，服務器發生故障的概率也許比較小。
　　-風險發生時對項目的影響：如果風險事件真的發生了，總會對項目的成功有一個或大、或中等程度、或小的影響。一臺有故障的服務器可能對按時、成功地完成項目產生大的影響。
　　-風險的狀態：這個風險事件發生過嗎？相應的應對策略執行了嗎，這個風險是否和項目不再有什么關系了？例如，在執行了合同里的相關條款之后，服務器故障這個風險就已處理完了。

舉個例子，下面的數據就可以像下面所寫的那樣填人登記冊中的第一個風險。要注意的是柯利福的團隊在采取一種非常積極的方式來處理這個風險。
　　-編號：R44
　　-等級：1
　　-風險：新客戶
　　-描述：我們以前沒有為這個組織做過項目，且對他們不是很了解。我們公司的優勢之一是善于建立良好的客戶關系。這個優勢常使我們贏得了更多的和客戶合作的機會。由于他們是我們的新客戶，所以和這個客戶工作，我們也許會遇到麻煩
　　-類型：人際風險
　　-觸發器：項目經理和其他高管認識到，我們對這個客戶不是很了解，因而會很容易誤解他們的需求或期望
　　-風險應對：務必使項目經理對以下一點保持敏感：這是個新客戶，要花時間去了解他們。讓項目經理組織一次會面以了解這個客戶，并弄清他們的期望。還要讓柯利福參加這個會面
　　-風險責任人：我們的項目經理
　　-概率：中等
　　-影響：大
　　-狀態：項目經理將在這周內組織這次會面
　　在識別風險之后，下一步就是通過進行定性風險分析去找出哪些風險是最重要的。
11.5實施定性風險分析
　　定性風險分析是指評估已經識別出的風險發生的可能性及其影響，以確定它們的重要性和優先級。本節描述了使用概率與影響矩陣做出風險優先排序的例子。同時還提供了這樣一個例子，采用前10大風險條目跟蹤法做出項目風險的整體等級排列，并在定性風險分析中跟蹤其發展趨勢。最后，討論了專家判斷法在風險分析中的重要性。
11.5.1  用概率與影響矩陣估算風險因子
　　人們常常用高、中（或一般）、低3個水平來描述風險的概率或影響。例如，一名氣象員會預報在某一天將有大概率或很大可能下暴雨。如果那天剛好是你結婚的日子，且你正計劃一場盛大的露天婚禮，那么這場暴雨的后果或影響就會很大了。
　　項目經理可以在概率與影響矩陣里面把風險的概率和影響描繪出來。概率與影響矩陣或圖表（probability/impact matrix or chart）在矩陣的一邊或軸上標出風險發生的相對概率，在另一邊或軸上標出風險的相對影響。許多項目團隊都得益于用這個簡便的方法來確定他們需要注意的風險。項目的干系人用這種方法來列出他們認為會在項目里發生的風險，然后從風險事件發生的概率和事件發生后的影響兩方面來給每個風險評級，并標注為高、中和低3個等級。
　　項目經理接著就把結果總結在概率與影響矩陣中，如圖11-5所示。例如在“開篇案例”中，柯利福布蘭奇和他的一些項目管理者們可以每人為一個具體項目識別3個潛在的負風險和正風險。然后他們從概率和影響兩個方面來給每個風險等級標注為高、中或低。再如，一名項目經理可以把嚴重的市場衰退歸為負風險，這個風險概率低但影響大。而柯利福卻可能把同樣的風險的概率和影響都標為中等。團隊接著就可以把所有的風險繪制在一個矩陣或圖表里，合并同類的風險，并決定哪些風險應該放于矩陣的哪個位置。然后團隊就可以集中關注那些在矩陣里概率和影響都處于高位的風險了。又如，風險1和風險4在概率和影響上都是高的；風險6的概率高，但影響小；風險9的概率高，而影響是中等，如此等等。然后團隊就應該討論如何應對那些風險了，這些都將在11 7節討論。

分別為負風險和正風險單獨制作概率與影響矩陣，或許將有助于確保把這兩種風險都處理好。一些項目團隊也通過參照是正面還是負面影響范圍、時間和成本目標，基于風險的概率和影響來收集數據。通常定性風險分析可以很快就做完，因此，項目團隊必須決定哪種方法對他們的項目最有幫助。
　　有些項目團隊通過簡單地把概率的得分值乘以影響的得分，從而得到一個風險的唯一得分。估算風險因子則是一種更結構化地利用概率／影響矩陣的方法。為了將風險的概率和影響定量化，美國國防系統管理學院(DSMC)開發了一種估算風險因子(risk factor)方法--能算出一個基于風險發生概率和其發生后的影響而代表特定事件的整體風險的數字。這種方法就利用了列出風險發生概率及其發生后的影響的概率／影響矩陣。
　　估算一個風險的概率要考慮好幾個因素，而這些岡素又由每個項目的獨特性質所決定。例如，估算潛在硬件或軟件技術風險的網索包括技術不成熟、技術太復雜和對技術開發的支持不夠。風險發生后的影響包括退路方案的可行性，沒有滿足績效、成本和進度估計的后果等。
　　圖11-6舉例說明使用風險網子繪制一個研究課題中各種擬采用技術的失敗概率及后果，圖的作者曾在這個研究課題中參與設計一個性能更可靠的航天器。圖中根據失敗的概率和后果把潛在的技術風險（即圖中的圓點）分為高、中和低3類。課題的研究者強烈建議美國空軍投資于有低風險或中等風險的技術，而建議不要追求高風險的技術。相比于簡單地將風險概率或結果描述為高、中或低，使用概率／影響矩陣和風險因子更精確，更有說服力。
11.5.2 前十大風險條目跟蹤法
　　前十大風險條目跟蹤法(top ten risk item tracking)是一個定性的風險分析工具。除了能識別風險外，它還通過幫助監測風險使人們在整個項目周期內保有風險意識。它涉及與管理層，有時也選擇性地和客戶一起，對項目中最重要的風險條目進行定期的評審。評審首先要對項目的前十大風險源進行一個總結。這個總結包括每個風險條目現在和過去的排列等級；它們一定時期內出現在這個登記冊上的次數；自上次評審以來這個風險條目有了哪些發展等。微軟解決方案框架(MSF)是一個風險管理的模型，可做出并監測前十大風險條目的列表。MSF是微軟用來管理項目的工具，它把軟件設計和開發、建立并部署基礎架構等各方面都結合到一個單獨的項目生命周期里，以管理和引導各種技術解決方案。登錄微軟的網站可以查到更多關于MSF的信息（www．microsm．com/rnsf）。

表11-6就是前十大風險條目跟蹤表的例子，它可以用于項目的管理評審會議。這個具體的例子只包括了前5個負風險事件。需要注意的是，每個風險事件都是參照其在當前月份、上個月份和它在十大風險列表中已經停留了多少個月來進行排列的。表中最后一欄簡單描述了應對每個具體風險條目所取得的進展情況。你可以分別為正、負風險單獨做表，也可以把兩者合并在一個表中。

風險管理評審能達到多個目的。第一，它、止管理層和客戶（如果包括的話）列那些對項目成功起阻礙或促進作用的關鍵事件保持關注度。第二，通過讓客戶參與進來，項目團隊可以為應對風險考慮更多的備選戰略。第三，通過向管理層和客戶證明，團隊考慮到了關鍵的風險，并有適當的戰略且正在有效執行當中，因此，它不失為一種提高項目同隊信心的方式。
　　定性風險分析的主要輸出是風險登記冊的更新。風險器記冊的等級一欄應該參照風險事件的相應概率和影響來填人一個數值，用高、中、低來表示等級。通常，還應為風險事件添加一些額外的信息，比如那些識別出來的近期需要更多關注或要放在監視清單里的風險。監視清單(watch list)也列出了一系列風險，這些風險雖優先級較低，但仍被識別為潛在的風險。定性分析也能識別出那些應該進一步做定量分析的風險，這將在下一節予以討論。
11.6實施定量風險分析
　　在定性風險分析之后往往就是定量風險分析，而這兩個過程既可以一起進行，也可以分別進行。在一些項目中，團隊可能只進行定性風險分析。項目的性質，還有時間和資金的充足程度，都會影響風險分析方法種類的選用。定量風險分析的主要方法有資料聚集、定量風險分析和模型法。資料聚集法常包括訪淡、專家判斷和概率分布信息的匯集。本節集中討論定量風險分析法，包括決策樹分析、模擬和靈敏度分析的模型法。
11.6.1決策樹和期望貨幣價值
　　決策樹(decision tree)是一種圖表分析方法，用于在未來結果不確定的情況下輔助選擇最優的行動。決策樹分析法一般會涉及計算期望貨幣價值。期望貨幣價值( expected monetary value，EMV)是考慮風險事件概率及其貨幣價值的產物。圖11-7用一個組織可能會追求哪些項目的決策來解釋了這個概念。假設柯利福·布蘭奇的公司正決定他們是應該向項目1、項目2兩者都提交項目提案呢，還是向一個項目提交提案，還是兩個項目都不提交提案。該團隊可以畫一個有兩個分支的決策樹，一個分支代表項目1，另一個代表項日2。然后公司就可以計算期望貨幣價值來幫助決策。

要想做出決策樹并具體計算出期望貨幣價值，你必須估算某個風險事件發生的概率或可能性。如圖11-7所示，柯利福的公司贏得項目1的合同的概率或可能性為20%（P=0.20)，其中項目1的利潤估算為300 000美元--見圖中最頂層分支的產出項。而得不到項目1合同的概率是80%(P=0.80)，且結果估算為- 40 000美元，這意味著這個公司將不得不投資40 000美元在項目l上，如果簽不到這個合同將拿不到退款。每個項目的發生概率的總和必須等于1（對于項目l，就是20%加上80%）。概率通常由專家判斷來決定?？吕；蚬纠锏钠渌藨搶A得某個項目的概率具有一定的判斷能力。
　　圖11-7也給出了項目2的概率和結果。假如柯利福的公司有20%的概率在項目2上損失50 000美元，10%的概率將損失20 000美元，而70%的概率獲利60 000美元。同樣地，專家們要去估算這些錢數和概率。
　　要計算每個項目的期望貨幣價值，先把每個項目的每個潛在結果的價值乘以其相應的概率，然后再把這些結果加起來。要計算項目1的期望貨幣價值，就將其從左到右把每個分支的結果數值乘以其概率，再把結果相加起來。在這個例子里，項目1的EMV是28 000美元，計算如下：0.2(300000) +0.8（- 40 000）= 60 000 - 32 000 =28 000項目2的EMV等于30 000美元，計算如下：0.2(- 50 000)+0.1(- 20 000)+0. 7(60 000)= -10 000 -2 000 +42 000=30 000。
　　因為EMV為決策的總貨幣價值提供了一個估算值，所以你需要的是一個正的值；EMV越高越好。既然項目1和項日2的EMV都是正的，柯利福的公司期望一個正的收入結果，自然兩個項目都可以投資。如果它必須在兩個項目間做出選擇，也許由于資源有限，而項目2的EMV更高，柯利福的公司應廢投向項目2。
　　還要注意到在圖1l-7中，如果你只是看兩個項目的潛在結果的話，項目l看起來會更誘人。你可以從項目l中賺到300 000美元，但項目2你最多只能賺到60 000美元。如果柯利福是個風險偏好者，往往會投向項目1。盡管如此，獲得項目l的300 000美元的概率只有20%，而獲得項目2的60 000美元的概率有70%。通過利用EMV，有利于考慮到所有的可能結果和它們的發生概率，從而降低了追求過于冒進或過于保守的兩種極端的可能性。
11.6.2模擬法
　　模擬是一種更復雜的定量風險分析方法。模擬法用系統的一個模型來分析這個系統的期望行為或績效。大部分模擬法是建立在蒙特卡羅分析法的基礎上的。蒙特卡羅分析法(Monte Carlo a-nalysis)通過多次模擬模型的結果來為所計算的結果提供統計分布。蒙特卡羅法能確定一個項目將在某一日期完成的概率只有10%，還可以確定項目將在另外一個日期完成的概率有50%。換句話說，蒙特卡羅分析法能預測在某一日期完成的概率，或是成本等于或少于某個值的概率。
　　在進行蒙特卡羅分析時，你可以用好幾種不同的分布函數。下面的例子是一種簡化的方法。蒙特卡羅分析法的基本步驟如下：
　　(1)估計所考慮變量的范圍。也就是說，為模型中的變量找到最有可能性、最樂觀和最悲觀的估計。例如，如果你正在試圖確定達到項目進度目標的可能性，那么項目網絡圖就可以作為你的模型。你可以為每個任務做出最有可能性、最樂觀和最悲觀的時間估計。你會注意到，這個步驟與進行計劃評審技術估算時的數據收集類似。但是，這里不是采用同樣的計劃評審技術的加權平均方式，在進行蒙特卡羅分析時你是直接進入下面的步驟。
　　(2)確定每個變量的概率分布。變量落在最樂觀和最大可能估計值之間的概率是多少？例如，如果一個被分配承擔某個任務的專家給出了一個10周完工的最大可能估計、一個8周的最樂觀估計和一個l5周的最悲觀估計，然后求在8周和10周之間完成任務的概率是多少。專家會回答有20%的概率。
　　(3)為每個變量，如一個任務的時間估計，根據變量發生的概率分布選擇一個隨機的值。例如，同樣是上面的情況，你會有20%的概率隨機選到一個在8-10周之間的值，而有80%的概率隨機選到一個10-15周之間的值。
　　(4)利用每個變量所選值的組合進行一次確定性分析，或貫穿整個模型的分析。例如，上述的那個任務可以在第一輪取到12這個值。所有其他的任務都會在第一輪取到一個隨機的值，這也是根據他們的估計和概率分布。
　　(5)多次重復步驟(3)和(4)，以獲得模型結果的概率分布。重復的次數取決于結果所需的變量數目和置信度，但是一般都會落在100 -1 000之間。就拿項目進度來看，最后的模擬結果將讓你看到在一定時期內完成整個項目的概率。
　　圖11-8給出了一個項目進度基于蒙特卡羅法模擬的結果。這個模擬是用微軟項目+風險軟件來完成的。圖ll-8的左邊是一個含柱形圖和一條S型曲線的圖表。每個柱形的高度可通過圖表左邊的刻度讀取，它代表這項目在模擬中在一定時間內完成的次數，即樣本容量。在這個例子中，時間的間隔是兩個工作日，模擬進行了250次。第一個柱形表示在模擬中項目截至1月29日僅完成了兩次。S型曲線看圖的右邊刻度來讀取，表示在給定時間或之前完成項目的累計概率。圖的右邊則用表格來表示信息。例如，在2月8日完成項目的概率為10%，2月17日完成的概率為50%，而2月25日完成的概率為90%。
　　正如你所想的那樣，人們會用軟件來執行在蒙特卡羅分析中所需的步驟。好些基于PC平臺的軟件包都可以用于蒙特乍羅模擬法?；谀M的結果，許多產品都會給你列出主要的風險動因是什么。例如，項目進度中大多數的不確定性都是因為對某個任務范同估計過于寬泛所導致的。你將在本章的后面部分了解到更多關于模擬和與項目風險管理相關的軟件方面的信息。

對在哪里
　　一家大型宇航公司在好幾個高級設計工程項目中都使用了蒙特卡羅分析法來輔助風險的定量化分析。美國國家航天飛機項目(NASP)涉及諸多風險。這個耗資數十億美元的項目目標是設計和開發一種能單級入軌的飛行器。單級入軌意味著這個飛行器必須在不使用火箭推進器的情況下達到25馬赫（25倍音速）。20世紀80年代中期，一批工程師和行業專家一起研制可為開發項目做時間和成本估算的軟件模型。這個模型和模擬軟件一起用來確定項目的成本和進度方面的風險源。公司接著用蒙特卡羅分析的結果來決定如何使用公司內部的研發經費。盡管這個項目后來停止了，但其研究成果已經用于開發許多現代航空器使用的更高級的材料和推進系統。
　　微軟Excel是進行定量風險分析的常用工具。微軟還在它的網站上提供了如何使用Excel來進行蒙特卡羅模擬的例子，并解釋了一些公司是如何使用蒙特卡羅模擬來作為決策的重要工具的。
　　-通用汽車公司用模擬法來預測公司的凈收入、汽車的結構性成本和采購成本，以及確定公司對不同風險的敏感度，如利率和匯率的變動。
　　-禮來公司用模擬法來確定用于制造每個藥品的最佳植物性能。
　　-寶潔公司用模擬法來做模型和最優化處理外匯風險。
11.6.3靈敏度分析
　　用靈敏度分析(sensitivity analysis)是來查看改變一個或多個變量對結果的影響，許多人都熟悉它。例如，不少人都用靈敏度分析來決定在不同的貸款利率或貸款期條件下，他們每月的還款額是多少。如果你以6%的利率貸款100 000美元貸30年，你每月的抵押付款是多少？如果利率是7%時，每月的抵押付款又是多少？如果你是以5%利率貸15年呢？ 
　　許多專家都拿靈敏度分析來輔助作一些常見的業務決策，比如確定在不同條件下的收支平衡點。人們常用像Excel這樣的表格軟件來進行靈敏度分析。圖11-9給出了一個Excel文件的例子，可用來快速找出在不同的輸入下，一個產品的收支平衡點的，這些輸入有：單位銷售價格，單位制造成本和固定的月度費用。表格里顯示的是在已售6 250單位產品這個收支平衡點的輸入。這個表格的使用者可以改變輸入，并查看這種變化對圖表中收支平衡點的影響。項目幽隊常做同樣的模型來確定各種項目變量的敏感度。例如，柯利福的團隊可以開發敏感分析模型來估箅在不同的工作時間和每小時不同的成本等條件下的利潤。

定量風險分析的主要輸出是風險登記冊的更新，如重新檢查風險的等級排列或這些排列后而的詳細信息。定量分析還提供了關于完成特定項目目標的高一級信息。這些信息可能會導致項目管理者做出變更應急儲備的建議。在一些情況下，基于定量分析，項目還可能重新定向或取消，或者還可能導致新項目的誕生，以輔助當前的項目順利進行，比如在“對在哪里”中的NASP項目。
11.7風險應對規劃編制
　　組織在識別和定量化風險之后，就必須對風險做出適當的應對。剝風險做出應對，包括要形成選擇方案和確定戰略，以減少負風險和增強正風險。
　　對于負風險，4個基本的應對策略如下：
　　(1)風險回避(risk avoidance)，即通過消除風險的條件來消除一個特定的威脅。當然，不是所有的風險都能被消除，但就特定的風險事件而言還是可以的。例如，一個項目團隊會決定繼續在項目上使用某種硬件或軟件，因為他們熟悉這些硬件或軟件。其他產品用在項目里也是可以的。但如果項目團隊對它們不熟悉，就會引發巨人的風險。使用熟悉的硬件或軟件就可以消除這些風險。
　　(2)風險接受(risk acceptance)，即一旦風險發生，承擔其產生的后果。例如，一個項目團隊在籌備一個大型項目評審會議，而申請在一個特定地點開會是有可能得不到批準的，那么項目團隊可以通過準備應急或退路計劃，以及應急儲備，積極主動地面對這類風險。另一方面，他們可以以積極的態度，接受組織給他們提供的任何場所。
　　(3)風險轉移(risk transference)，即把管理的風險和責任轉移給第三方。例如，風險轉移常用來應付金融風險的暴發。項目團隊可為一個項目所需的硬件購買特定的保險或擔保。如果硬件出故障的話，保險公司必須在約定的時間內更換它。
　　(4)風險緩解(risk mitigation)，即通過降低風險事件發生的概率，從而降低風險事件的影響。在本章的開頭就給出了減少IT項目常見風險源的建議。其他風險緩解的例子包括：使用經證明可用的技術；擁有有競爭力的項目人力資源；使用不同的分析和確認方法；從轉包商那里購買維護或服務協議。
　　表11-7列出了項目中在應對技術、成本和進度風險上常用的風險緩解策略。要注意的是，增加項目監測的頻率、使用工作分解結構和關鍵路徑法是應對這3個領域風險時都適合使用的對策。增加項目管理者的權力是減輕技術和成本風險的對策，而選擇最有經驗的項目管理者可用于降低進度風險。提高溝通效率同樣是減輕風險的有效方法。

在應對正風險時，也有4種基本戰略：
　　(1)風險開發(risk exploitation)，即竭盡所能促使積極的風險發生。例如，假定柯利福的公司發起了一個項目，為附近一個貧困的學校提供新的電腦教室。項目經理會組織對項目的新聞報道，寫一條新聞發布信息，或進行一些其他的公關行為，來確保這個項目能為公司帶來良好的公共影響，這樣就有希望帶來更多的生意。
　　(2)風險共擔(risk sharing)，即把風險的所有權分配給其他部分。還是看一下提供新的電腦教室的例子，項目經理可以和學校的校長、學校董事會和家民教師聯合會建立伙伴關系，以共擔項目的責任，建立良好的公共關系?；蛘吖究梢院彤數氐呐嘤柟竞献鳎腿绾问褂眯码娔X，由培訓公司來負責為所有的老師提供免費的培訓。
　　(3)風險增大(risk enhancement)，即通過識別和最大化正風險的關鍵動因來改變風險發生的幾率。例如，為電腦教室項目建立良好公共關系的一個重要動因是讓學生、家艮和老師都能意識到，并為這個項目感到高興。接著他們可以做一些正式和非正式的廣告，宣傳這個項目和柯利福的公司，這樣就可以引起其他組織的注意并能帶來更多的業務。
　　(4)風險接受(risk acceptance)，也可以用來應對正風險，這適合在項目團隊不能或沒有選擇對風險采取任何行動時的情況。例如，電腦教室項目的管理者可以認為，如果不采取任何額外的行動，項目也將可以為公司帶來良好的公共關系。
　　風險應對計劃的主要輸出包括與風險相關的合同協議、項目管理計劃的更新和風險登記冊的更新。例如，在電腦教室項目中，如果柯利福的公司決定和當地的培訓公司合作，以共享獲得良好公共關系機會的話，它就會和培訓公司簽訂合同。如果風險應對戰略需要額外的任務、資源或時間去才能實施的話，項目管理計劃和相關計劃就需要更新。風險應對戰略常會造成WBS和項目進度的變動，因此，包含相關信息的計劃都必須更新。風險應對戰略還通過描述風險應對、風險責任人和狀態信息來為風險登記冊帶來更新信息。
　　正如先前所描述的，風險應對戰略除了包括應急計劃和儲備外，還常包括對剩余和次級風險的識別。殘留風險(residual risk)是指實施所有風險應對措施之后剩下的風險。例如，即使項目使用的是一種比較穩定的硬件產品，也仍然會有一些風險無法處理好。次級風險(secondary risk)是實施一種風險應對后的一個直接結果。例如，使用比較穩定的硬件可能會導致周圍設備功能運行出錯的風險。
11.8風險監控
　　風險監控涉及的是執行風險管理過程以應對風險事件。執行風險管理過程意味著確保項目團隊在整個項目周期一直保持著風險意識。項目風險管理并非在最初的風險分析完成后就停止了。識別過的風險可能不會發生，或者可以最小化它們發生的概率及其引起的損失。倉促識別的風險可能會有更大的發生概率或預計損失值。類似的是，新的風險將會被看成是項目取得的進展。最近識別的風險跟那些在開始的風險評估中識別過的風險一樣，都需要經過同樣的程序。由于風險暴露出的相關變化，在風險管理中進行資源再分配就顯得十分必要了。
　　執行單個的風險管理計劃包括根據定義的里程碑來監測風險，并做出有關風險及其應塒戰略的決策。如果原先戰略失效的話，就必須改變戰略，執行計劃中的應急措施，或者在一個風險不復存在時把它從潛在風險列表中去掉。當沒有應急計劃時，項日團隊有時會使用迂回的應對方案(workarounds)——當沒有應急計劃時，對風險采取隨機應變的應對措施。
　　實施風險監控的工具和技術包括：風險再評估、風險審計、偏差和趨勢分析、技術性能測量、儲備分析、狀態會議以及定期風險評審（如前十大風險條目跟蹤法）。這個過程的輸出是風險登記冊的更新、組織過程資產的更新（比如有利于將來項目的經驗教訓）、變更請求、項目管理計劃的更新及其他項目文件的更新。
11.9用軟件輔助項目風險管理
　　正如本章多次提到的那樣，你可以用軟件工具來強化項目風險管理過程。大多數組織都使用軟件來創建、更新和分配在風險登記冊中的信息。風險登記冊通常就是一個簡單的Word或Excel文件，但也可以是一個更復雜的數據庫的一部分。電子表格程序可以輔助跟蹤和定量化風險，制作圖表和進行靈敏度分析。軟件還可以幫助作決策樹分析和估算期望貨幣價值。
　　更復雜的風險管理軟件，比如蒙特卡羅模擬軟件，還能幫助你開發模型并使用模擬法分析和應對各種風險。一些高端的項曰管理軟件包含了模擬法的功能。你也可以購買附加的軟件，用Excel來進行蒙特卡羅模擬（如Decisioneering Crystal Ball或Palisade@ Risk for Excel）或者Project2007（如CS Solutions Risk+或者Palisade@ Risk for Project）。還有一些軟件包是專門為項目風險管理開發的。需要注意的是，盡管新的軟件工具使得復雜的風險分析更便捷，但項目團隊在實施項目風險管理過程中，不應過度依賴于軟件。如果一個風險沒有得到識別，就不能對其進行管理。因此，需要有才能、有經驗的人員做好風險識別工作。
　　成功地實施項目，就好比首席小提琴手的表演，贏得一枚奧運田徑賽的金牌，或者說寫一本獲普利策獎的書，看起來幾乎不費力氣。那些外人，無論是觀眾、客戶或管理者，都體會不到成功背后的艱辛。他們也看不到練習的時間、修改過的草稿，或者使表象變得輕松的背后的付出。要想改進IT項目的管理，項目經理應該努力讓他們的工作看起來容易，這可是一個成功項目應有的表現。