标准规范下载简介

在线阅读

中华人民共和国国家标准

项目风险管理 应用指南

Project risk management-Application guidelines
(IEC 62198：2001，IDT)
GB／T 20032-2005

发布日期：2005年9月5日
实施日期：2006年1月1日

中华人民共和国国家质量监督检验检疫总局
      中国国家标准化管理委员会               发布

前言

    本标准等同采用IEC 62198：2001《项目风险管理——应用指南》。
    本标准的附录A是资料性附录。
    本标准由中国标准化研究院提出。
    本标准由全国质量管理和质量保证标准化技术委员会归口。
    本标准由中国标准化研究院负责起草。
    本标准起草单位：中国标准化研究院、中国合格评定国家认可中心、中国航空综合技术研究所、北京市计划劳动管理干部学院。
    本标准主要起草人：尹旭峰、咸奎桐、叶如意、杨铭、蒋家东、连艳萍。

引言

    风险管理是与建立总体框架，识别、分析、评价、评定、处理、监视以及沟通风险有关的管理方针、程序和惯例的系统应用，使组织能够以高效费比的方式达到损失最小化和机会最大化。本标准是针对将风险管理应用于项目提出的。
    项目管理及其相关的过程在GB／T 19016-2005／ISO 10006：2003中阐述。所有项目都包含风险。项目风险与项目本身及其产品有关。图1所示为影响项目的风险因素示例。

图1 影响项目的风险因素示例

    本标准提供了以系统和协调的方式管理风险的过程。为获得最大利益，风险管理活动应于项目的最早可能阶段启动并在其后的阶段中持续进行。
    本标准的潜在使用者是决策者，包括项目管理者、风险管理者和企业管理者。
    本标准的应用需根据特定项目的情况加以剪裁。因此，一般认为强制实行风险管理从业者认证体系在总体上是不适宜的。
    本标准并不专用于处理与安全有关的问题。尽管标准的应用可能产生与安全有关的问题，但对此类风险的管理应按照安全类标准或产品标准进行而不包括在本标准中。

1 范围

    本标准适用于包含技术性内容的所有项目，也可应用于其他类型的项目。
    本标准概括介绍了项目风险管理、项目风险管理过程与影响因素。这些项目风险管理过程是：
    ——建立总体框架，包括确认项目目标；
    ——风险识别；
    ——风险评定，包括风险分析与评价；
    ——风险处理；
    ——评审与监视；
    ——沟通(包括咨询)；
    ——项目总结。
    这些指南是根据组织实施与项目各阶段相适应的风险管理过程的要求而提出的。
    在特定情况下，将本标准中的所有条款都包括在一份合同中可能是不适当的。因此，无论合同形式如何，即使合同有关各方明确要求参照和引用本标准(或其中某些部分)，并要求在合同中包括它们，本标准也仅应当用于构成合同的一部分。

2 规范性引用文件

    下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。
    GB／T 7826-1987 系统可靠性分析技术 失效模式和效应分析(FMEA)程序(idt IEC 812：1985)
    GB／T 7829-1987 故障树分析程序(neq IEC 56)
    GB／T 19016-2005 质量管理体系 项目质量管理指南(ISO 10006：2003，IDT)
    IEC 60050-191：1990 国际电工词汇 191章：可信性和服务质量
    IEC 60300-3-3：1996 可信性管理——第3部分：应用指南——第3节：寿命周期费用分析

3 术语和定义

    IEC 60050-19 确立的以及下列术语和定义适用于本标准。

3．1
    产品 product
    活动或过程的结果，可以包括服务，硬件，软件，流程性材料，或它们的组合

3．2
    项目 project
    由一组有起止日期的、相互协调的受控活动组成的独特过程，该过程要达到符合包括时间、成本和资源的约束条件在内的规定要求的目标
    [GB／T 19000-2000，术语和定义3．4．3(不包括注)]
    注1：单个项目可作为一个较大项目结构中的组成部分。
    注2：在一些项目中，随着项目的进展，目标和范围被更新，产品特性被逐步确定。
    注3：项目产品(见GB／T 19000-2000，术语和定义3．4．2)通常在项目范围中确定，可以是一项或若干项产品，可以是有形的或无形的产品。
    注4：项目组织通常是临时的，是根据项目的生命期而建立的。
    注5：项目活动之间相互作用的复杂性与项目规模之间没有必然的联系。

3．3
    过程 process
    一组将输入转化为输出的相互关联或相互作用的活动
    注1：一个过程的输入通常是其他过程的输出。
    注2：组织为了增值通常对过程进行策划并使其在受控条件下运行。
    [GB／T 19000-2000，定义3．4．1(不包括注3)]

3．4
    项目风险 project risk
    事件发生的可能性及其对项目目标影响的组合

3．5
    风险管理 risk management
    与建立总体框架，识别、分析、评价、处理、监视以及沟通风险有关的管理方针、程序和惯例的系统应用

3．6
    风险处理 risk treatment
    修正风险的措施的选择与实施过程
    注1：术语“风险处理”有时用于指措施本身。
    注2：风险处理措施可以包括规避、选择、转移或控制风险。

4 项目风险管理概述

4．1 风险管理的作用
    所有项目及其生命期中的每一过程与决策都存在风险。因此，在项目进行的每一阶段都应当对风险进行管理，并且风脸管理过程应当与项目管理过程以及与产品有关的过程相结合。风险管理需要全员参与。要求建立结构化的风险管理过程，以利于促进开放性沟通和风险的高效费比管理。
    有效的项目风险管理的一个前提是项目内、外部均有坦率与开放性的沟通。

4．2 过程框架
    项目风险管理过程始于建立项目实施的总体框架。这包括识别相关方，理解项目的目标和输出，确定某一特定项目风险管理活动的范围与界限。也应当确定该项目与任何其他项目的接口与重叠，以及项目运行所受到的组织的、战略的约束。
    风险管理过程的下一步骤是风险识别。这是风险管理过程中的基础性工作。
    对每一项已被识别的风险都应当实施后继的风险管理活动，如风险评定、风险处理、评审与监视。
    首先可以在总体上识别一般性的风险问题，然后再更详尽地观察特定的风险以及它们的出现方式。在项目的每一阶段都应当对风险进行管理，项目本身及其产品的风险也应当进行评审。
    项目风险管理过程的概念如图2所示。

图2 项目风险管理概念

5 组织

5．1 管理职责
    项目经理对作为整个项目管理职能一部分的项目风险管理工作负责。根据项目的规模和复杂性，风险管理工作可由项目经理或其代表实施。这些工作包括：
    ——建立项目风险管理过程总体框架；
    ——管理风险识别活动；
    ——管理风险分析和评价活动；
    ——建议、启动和实施风险处理活动，直至风险水平可容忍；
    ——申请针对相互冲突的风险问题的执行决定；
    ——验证决定的实施及其有效性；
    ——在项目生命周期内以适当且及时的方式沟通关于风险问题的信息；
    ——确保已制定应急计划；
    ——识别和记录有关风险管理的任何问题；
    ——监视风险管理过程，并在需要时实施纠正措施；
    ——提供文件以确保可追溯性。
    应当规定项目风险管理职权及其与其他职能的接口并形成文件。

5．2 资源
    项目经理应当确保项目风险管理所需资源的可得性，包括有足够经验的人员。应当考虑项目风险管理的成本。

5．3 沟通

5．3．1 总则
    风险管理依赖于整个项目生命周期中其他方面信息的可得性。在风险管理和诸如以下方面之间应当正式建立和保持沟通的接口和渠道：
    ——质量与可信性；
    ——技术状态控制；
    ——商业功能；
    ——设计与开发；
    ——项目后支持，包括产品支持。
    这些接口应当在职权的足够层级上确定，并且要足够详尽，以便做出尽可能快的反应，这可使风险发生后对项目的影响最小。
    为确保那些实施风险管理的责任人和相关方了解制定决策的依据、相应的角色与职责，以及要求采取特定措施的原因，有效的内、外部沟通是重要的。

5．3．2 风险报告与会议
    作为管理决策过程的输入和为项目目标的可实现性提供信心，风险问题的报告是必需的。所有项目会议都为讨论与解决风险事项提供了机会。风险会议可以是正式的或非正式的，但有关风险的所有讨论和决策应当予以记录和报告。
    关于风险事项的讨论可包括：
    ——识别和评定风险；
    ——评审项目风险记录单；
    ——评审风险的状态以及相关的风险处理活动；
    ——识别和认可任何对风险资料的变更，并对变更进行再分析；
    ——评定风险管理过程的有效性；
    ——讨论合同方之间的关系。
    应当在项目风险管理计划中规定风险报告的要求。

5．4 文件

5．4．1 目的
    文件有利于风险管理过程的实施和控制，特别是在项目不同阶段的交接过程中。
    文件有助于策划、进展评价和追溯。风险管理过程、风险及其处理都应当形成文件。

5．4．2 项目风险管理计划
    项目风险管理计划描述了拟用于该项目的风险管理的结构化过程。
    作为项目计划的一部分，项目风险管理计划可以包括或涉及：
    ——项且的总体框架和界限，包括项目风险管理目标；
    ——建议的风险管理方法、过程和接口；
    ——负责风险管理活动的人员；
    ——职责、权限以及报告渠道；
    ——内、外部的接口；
    ——风险管理会议方案；
    ——项目风险记录单；
    ——评审过程；
    ——与其他项目文件和计划的关系；
    ——相应的组织程序；
    ——适当时，来自其他方面(例如，分包方)的风险管理计划。
    项目风险管理计划应当定期评审并按要求更新。

5．4．3 项目风险记录单
    项目风险记录单是记录风险状态变化的载体。其内容是在项目管理层级上定期报告，以及在项目会议上对风险及其处理进行讨论的基础。
    项目风险记录单应当从风险识别阶段开始。它可以由一个包括与已识别的风险相关的所有信息的数据库构成。它至少应当包括已识别的风险、已识别风险的等级、负责处理风险的人员名单。应当分配和注明唯一的标识号，并且对数据源的可追溯性也应当加以记录。
    处理每一项风险的计划都应当形成文件，其中包括所要求的措施，负责人和日程表。

6 项目风险管理过程

    注：附录A给出了一个项目风险管理过程的流程图。

6．1 建立总体框架
    应当确定风险总体框架，包括可能限制或使项目重新定位的技术的、公司的、商业的、政治的、财务的、法律的、合同的及市场的目标等。为满足项目自身、公司和顾客的要求，项目各个阶段中要达到的目标应当被识别，并用于对风险的识别和分级。
    风险的可接受性和可容忍性准则应当予以考虑。这些准则被用于在过程的后续阶段评价风险。

6．2 风险识别
    风险识别的目的是为了发现、列举和描述可能影响到既定的项目或项目阶段性目标的实现的风险。该过程也可以揭示风险管理的机会。
    有效的风险管理从根本上取决于对风险的识别。因此，它应当是一个系统性的过程。在多数情况下，风险识别依赖于对预期问题的预测和分析。
    风险识别的方法有很多，它们包括：
    ——头脑风暴；
    ——专家意见；
    ——结构化访谈；
    ——问卷调查；
    ——检查单；
    ——历史数据；
    ——经验；
    ——测试和建模；
    ——对其他项目的评价。
    在识别风险时，应当使用任何可用的源。要求规范、工作分解结构、工作说明书等都可以作为出发点。
    风险识别应当考虑风险对所有项目目标的影响。这些目标一般包括成本、时间和质量。也可以包括与遵守法规和政府管理、担保、可信性、债务、安全、健康与环境相关的其他目标。
    项目起始时的设想可能成为风险识别的一种源，应当定期测试其有效性。
    风险识别可以发生在IEC 60300-3-3中的所有或部分产品阶段。表1为典型的项目或产品生命周期不同阶段中某些可能很突出的风险域的示例。

表1 与阶段相关的风险域示例

    风险可能从项目的前一阶段遗留下来。在项目的转换阶段，应当确定出带入项目下一阶段的风险。
    编制适于组织使用的项目的检查单以覆盖风险域对组织可能是有用的。

6．3 风险评定

6．3．1 总则
    风险评定的目的是分析和评价已识别的风险以决定是否需要进行处理。

6．3．2 风险分析
    风险分析是识别风险的限度和影响范围、识别风险与项目之间的依赖关系、确定风险发生的可能性以及对既定目标的相关影响。
    在风险分析过程中，为使项目风险更为清晰，回溯到风险识别过程可能是必要的。
    风险分析可以分为定性分析与定量分析。当缺少数据或数据不可靠时，初步的定性分析可以在项目生命周期的前期进行，当有较多可得资料时可以进行定量分析。

    诸如图3中示例可用于说明风险。这个图可用矩阵的形式展示(见图4)。

图3 风险图

    分析风险时，可以应用例如故障树分析程序(见GB／T 7829-1987)、失效模式与效应分析(见GB／T 7826-1987)、事件树分析、灵敏度分析、统计技术和网络分析等技术。

6．3．3 风险评价
    风险评价包括将风险的水平与可容忍性准则相比较并制定处理风险的初始优先顺序。

图4 风险矩阵

6．3．4 风险的接受
    有些风险可以不进行处理(或进一步处理)就被接受。这些风险应当被包括在项目风险记录单中，以便能够进行有效的监视。不可接受的风险要进行处理。

6．4 风险处理

6．4．1 目的
    风险处理的目的是识别与实施使风险可容忍的高效费比措施。它是决定和实施处理已识别风险的方案的过程。其所包括的措施可以起到以下作用：
    ——完全地规避风险；
    ——降低风险发生的可能性；
    ——降低风险发生后的影响；
    ——转移或分担风险；
    ——保留风险并制定计划以补救其影响。
    风险处理自身可能产生应予以考虑的新的风险。
    图5说明了风险处理的过程。

6．4．2 风险处理职责
    对每一项风险处理，都应任命专人负责。最适当的人选可以是：
    ——对产生风险的活动负责的人员；
    ——能够最好地控制风险发生可能性的人员；
    ——所处职位最适于对风险的发生作出反应、补救或降低其影响的人员；
    ——有适当职权处理风险的人员。

6．4．3 处理方案评定
    选择一个风险处理方案或方案组合，应当考虑处理成本或补救成本，以及实施相应风险处理方案的潜在收益。风险是相互关联并且互为依存的，所以应当可以在所考虑的不同风险处理方案之间进行权衡。
    应当考虑在方案实施后仍遗留的风险以明确其是否可容忍。如果风险不能容忍，应当考虑取消项目或实施可能的进一步处理。
    如果认为风险可以容忍并予以接受，就应当考虑是否需要处理意外后果的补救战略。如果需要补救战略，应当准备风险补救计划以充实该战略。

6．4．4 风险规避
    所设计的从项目中排除风险的成本应是合理的，否则可考虑取消该项目。

图5 风险处理过程

6．4．5 减少风险发生可能性
    减少风险发生可能性主要指减少或消除发生风险的原因。
    将一种风险与其他风险组合起来有时可能会减少该风险，组合后的风险具有与其组成风险不同的特性。组合后的风险可能更易于处理。但是，减少一类风险可能会引入不同特性的风险。

6．4．6 限制后果
    风险的后果可以被限制。例如，如果已意识到风险，可通过设计与开发来降低其负面影响，并可通过策划进行补救。
    项目的时间安排及其不同方面的执行顺序可能影响风险和管理它们的能力。在达到项目目标的前提下，可以改变项目的日程安排来改进对风险的管理。确保识别因改变项目活动的顺序而出现的新风险是很重要的。

6．4．7 风险分担
    减少后仍存在的风险可被转移或分担给项目外部有偿地进行处理的某方，例如分包或进行保险。
    但是彻底转移风险几乎是不可能的，并且当风险被转移或分担时，可能会引入新的风险。
    分担风险的可行性取决于确定某些问题，例如：
    ——何方能够最好地控制风险发生的原因?
    ——风险一旦发生，何方能够最好地管理和承受其后果?
    ——风险分担方提出的费用能否接受?
    ——是否会由于风险转移而产生新的风险?

6．4．8 补救战略
    补救计划假设风险已经发生。风险发生后的情况可能已被预见到，也可能未被预见。在已预见到的情况下，如果事先已经制定和设立，补救战略通常更易于实现。
    补救战略财务上的适宜性取决于：
    ——风险处理方案实施后仍存在的风险的等级；
    ——潜在后果的严重性；
    ——风险发生前进行适当处理的不可行性；
    ——补救战略成本的有效性。
    如果确认需要补救战略，设置用于风险发生情况的应急资金就可能是适宜的。当预设情形出现时，将启动补救战略。该种情形可根据成本、日程安排、运行状况或其他准则等因素预设。

6．5 风险评审与监视

6．5．1 持续性
    风险评审与监视的主要目的是识别新出现的风险，并确保风险处理保持有效。风险管理过程的有效性也应当进行评审。
    项目生命周期内的风险评审可确保相关的文件、标准、程序和记录单的更新和保持。
    风险监视应当在项目生命周期内持续进行。它应当包括对项目预算、项目系统与来自项目的其他输入的检查。主要监视活动可在项目活动的关键阶段或项目环境发生重大改变时进行。

6．5．2 项目后续工作
    项目完成后，应当进行风险评审以确保风险管理过程的有效性，并决定未来项目中该过程如何改进。多数情况下都可以总结出经验，其要点应当予以提炼并纳入到程序和过程之中。

附录A 项目风险管理——综述

下载地址