1、规划风险管理
    在项目章程的指导下,参考项目管理计划中已有的内容,编制风险管理计划,风险管理计划必须与项目管理计划中已有的内容想协调。
    项目文件中的相关方登记册,有助于邀请相关方参加风险管理计划的编制,有助于根据相关方的情况(如风险态度)确定本项目的风险管理该如何开展。
    2、识别风险
    因为项目的方方面面都存在可能影响项目目标的不确定性事件,所以识别风险过程的输入其实是非常多的。可以说,项目上的任何一种计划或文件,都可以作为识别风险过程的输入。识别出来的风险及其特性,都应该写入风险登记册,并汇编进风险报告。
    当然必须根据项目管理计划中的风险管理计划来识别风险。此外,项目管理计划中的其他子计划和项目基准,也都是识别风险的依据。例如,应该识别与范围基准、进度基准或成本基准有关的风险,即哪些风险可能妨碍这些基准的实现。
    《PMBOK指南》列出了作为识别风险过程的输入的下列主要项目文件:

    • 相关方登记册。应该邀请尽可能多的相关方参与风险识别。还可以根据相关方登记册预选风险责任人。
    • 假设日志。所需的假设条件越多,所面临的制约因素越多,单个项目风险就越多,整体项目风险也会越高。
    • 需求文件。各种需求都有实现不了的风险。
    • 成本估算。有助于识别不能在规定的成本内完成项目工作的风险。
    • 持续时间估算。有助于识别不能在规定时间内完成项目工作的风险。
    • 问题日志。虽然问题本身不是风险,但是问题可能引发新的风险。
    • 经验教训登记册。重复开展本过程时,需要参考以前的经验教训。

    对于外包出去的工作,协议和采购文档有助于识别与采购有关的风险。例如,卖方可能不能完全按要求履行合同。
    应该邀请尽可能多的相关方参与识别风险,应该尽可能全面地识别出项目风险。
    3、实施定性风险分析
    在风险管理计划的指导下,对前一个过程得到的风险登记册中的所有风险都进行定性分析。在定性分析中,需要分析相关方登记册中的哪些人适合作为各种风险的责任人。作为一种项目文件的假设日志,有利于对风险进行定性分析;例如,某个风险与多个假设条件有关,其发生的可能性就会加大。定性分析的结果,应该写入风险登记册,并汇编进风险报告。更新后的风险登记册和风险报告都属于项目文件更新。
    4、实施定量风险分析
    在风险管理计划的指导下,对前一个过程得到的风险登记册中的某些风险进行定量分析,然后用这些定量分析的信息,风险登记册中的所有风险的相关结果,以及有关项目不确定性的其他信息,作为输入数据,对整体项目风险进行定量分析。定量分析的结果应该汇编进风险报告。更新后的风险报告属于项目文件更新。
    《PMBOK指南》中虽然没有指明本过程需要更新风险登记册,但实际上也需要更新。
    项目管理计划中的范围基准、进度基准和成本基准,有助于定量分析实现这些基准将面临的风险。例如,有15%的可能性不能在既定的成本基准内完工。
    《PMBOK指南》中还列出了作为输入的以下项目文件:

    • 风险报告。已有的风险报告,可以作为当前开展整体项目风险定量分析提供依据。
    • 假设日志。项目的假设条件和制约因素,都是开展整体项目风险定量分析的依据。
    • 成本估算、持续时间估算、估算依据和资源需求。即是某些单个项目风险进行定量分析的依据,也是对整体项目风险进行定量分析的依据。
    • 里程碑清单、成本预测和进度预测。应该定量分析实现里程碑、成本预测或进度预测的可能性。例如,按期实现某个里程碑的可能是80%,这就意味着还有20%的风险。

    5、规划风险应对
    在风险管理计划的指导下,针对风险登记册和风险报告中的风险情况,制定风险应对策略和措施。应对策略和措施,必须与资源管理计划中用于应对风险的资源相对应,必须与成本基准中用于风险应对的资金相对应。
    《PMBOK指南》还列出了作为输入的以下项目文件:

    • 相关方登记册。制定应对策略和措施,应该邀请相关方参与,征求相关方的意见。
    • 项目进度计划。有助于把风险应对活动与进度计划中相关活动协调起来。
    • 项目团队派工单,从中找出谁应该负责哪些风险应对活动。
    • 资源日历。从中了解哪些资源何时可用于风险应对。
    • 经验教训登记册。重复开展本过程时,需要参考过去的经验教训。

    规划风险应对过程的结果,应该记入风险登记册和风险报告。更新后的风险登记册和风险报告都属于项目文件更新。重复开展规划风险应对过程,通常都会引发需要调整项目计划。所以,本过程会提出变更请求。
    6、实施风险应对
    在风险管理计划的指导下,由风险责任人负责执行风险登记册中的单个项目风险应对策略和措施,由项目经理负责执行风险报告中的整体项目风险应对策略和措施。重复开展本过程时,需要参考已记录在经验教训登记册中的经验教训。风险应对情况需要写入风险登记册和风险报告。更新后的风险登记册和风险报告都属于项目文件更新。
    开展本过程,可能提出对项目计划的变更请求。
    7、监督风险
    在风险管理计划的指导下,由风险责任人监督已写入风险登记册的单个项目风险的应对策略和措施的实施情况,由项目经理监督已写入风险报告的整体项目风险的应对策略和措施的实施情况。作为一种项目文件的问题日志,有助于监督可能引发风险的各种问题的解决情况。重复开展本过程时,需要参考已写入经验教训登记册的经验教训。
    从工作绩效数据和工作绩效报告中,可以看出风险应对或发生的实际情况,作为监督风险的依据。
    单个项目风险的实际发生情况与预计发生情况的偏离,需要作为工作绩效信息加以记录。
    在监督风险过程中所产生的信息需要写入风险登记册和风险报告。更新后的风险登记册和风险报告都属于项目文件更新。
    后六个过程的最主要的输入是项目管理计划中的风险管理计划,以及前一个过程所得到的风险登记册和风险报告;最主要的输出则是完整程度不等的风险登记册和风险报告。
    需要根据监督发现的情况,提出必要的变更请求。
    因为存在两个层面的风险,即整体项目风险和单个项目风险,所以每个风险管理过程其实都可以分两个不同层面的,即整体项目风险层面的和单个项目风险层面的。这两个层面的风险管理过程,既有联系又有区别。