风险分析与管理
1 目的
风险分析与管理识别出可能对价值产生负面影响的不确定性领域,分析并评估这些不确定性,并制定和管理应对风险的方法。
2 描述
未能识别和管理风险可能会对解决方案的价值产生负面影响。 风险分析和风险管理 1包括识别、分析和评估风险。 如果尚未实施足够的控制措施,商业分析师会制定计划来避免、减少或调整风险,并在必要时执行这些计划。
风险管理是一项持续性活动。与涉众 2的持续协商和沟通有助于识别新风险并监控已识别的风险。
3 元素
.1 识别风险
风险通过专家判断、涉众反馈、实验、以往经验以及对类似倡议和情况的历史分析相结合的方式发现和识别。目的是确定一组全面的相关风险,并尽量减少未知因素。风险管理是一项持续不断的活动。
风险事件可以是一个事件,也可以是多个事件,甚至可能不会发生。风险条件可以是一个条件,也可以是一组条件。一个事件或条件可能会产生多种后果,而一种后果可能是由多个不同的事件或条件引起的。
每个风险都可以在一个支持对这些风险进行分析并制定应对措施的风险登记册中进行描述。
表 1: 风险注册示例
| 序号 | 风险事件或条件 | 后果 | 发生概率 | 影响程度 | 风险等级 | 风险修正计划 | 风险负责人 | 剩余风险概率 | 剩余风险影响 | 剩余风险等级 |
|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 如果工会不同意修改职位描述 | 则计划中的人员调动将无法进行 | 中等 | 中等 | 中等 | 最迟于下个月开始与工会进行磋商 | 玛尔塔 | 低 | 低 | 低 |
| 2 | 若无法获得主题专家参与需求收集 | 则项目范围和质量将减少,交付日期将延后 | 中等 | 高 | 高 | 制定计划以确定何时需要专家参与,组织现场研讨会 3,并获取赞助商对专家参与的确认 | 迪帕克 | 低 | 中等 | 低 |
| 3 | 若收到的客户调查问卷 4数量不足 | 则我们将无法获得具有代表性的客户需求样本 | 中等 | 高 | 高 | 与专门从事调查管理的公司签订合同,委托其制定和执行调查问卷 | 弗朗索瓦 | 低 | 中等 | 低 |
| 4 | 如果组织结构未能适应新的业务流程 | 则企业将无法达到计划的效能提升,且业务需求 5将无法满足 | 高 | 高 | 高 | 业务发起人必须在部署前批准组织结构调整,并确保在部署前完成结构调整 | 姬慧 | 中等 | 低 | 中等 |
.2 分析
对风险的分析包括了解风险并估计其严重程度。有时,控制措施可能已经到位来应对某些风险,并且在分析风险时应考虑这些措施。
发生可能性可以表示为数字比例上的概率,也可以用低、中、高等值来表示。
风险后果以对潜在价值的影响来描述。任何风险的影响可以按成本、持续时间、解决方案范围、解决方案质量或其它经各涉众同意的因素如声誉、遵约性或社会责任等来描述。
表 2:风险影响等级示例
| # | 范围 | 质量 | 成本 | 工作量 | 工期 | 声誉 | 社会责任 |
|---|---|---|---|---|---|---|---|
| 低影响 | 较小范围受影响 | 小质量问题 | 影响成本小于1% | 额外工作日少于2% | 延迟最多3% | 对企业声誉极轻微影响 | 轻微阻碍 |
| 中等影响 | 大范围受影响但存在可实施的变通方案 | 显著的质量问题,但产品仍可使用 | 影响成本大于1%但小于3% | 额外工作日在2%至10%之间 | 延迟3%至10% | 对企业声誉中等程度的影响 | 重大阻碍 |
| 高影响 | 产品不能满足业务需求 | 产品不可用 | 影响成本大于3% | 额外工作日超过10% | 延迟超过10% | 对企业声誉造成严重影响 | 极大阻碍 |
虽然企业可能会有一个标准或基准风险影响量表,但成本、努力和声誉等类别的阈值可以调整以考虑潜在价值和可接受的风险水平。通常,会使用三个到五个大类来描述如何解释潜在的影响。
给定风险水平可以表示为发生概率和影响之间的函数。在很多情况下,它是概率和影响的简单乘积。根据其级别,对风险进行优先排序。近期可能发生的风险可能比预期后期发生的风险具有更高的优先级 6。某些类别的风险(如声誉或合规性)可能比其他风险类别具有更高的优先级。
.3 评价
风险分析结果与变化或解决方案的潜在价值进行比较,以确定风险水平是否可接受。可以将所有单个风险级别相加来确定总体风险水平。
.4 治疗
有些风险是可以接受的,但对其他风险可能需要采取措施来降低风险。
可以考虑一种或多种处理风险的方法,任何方法都可以用来应对风险:
- 避免:要么消除风险源,要么调整计划以确保风险不会发生。
- 转移:处理风险的责任转移到第三方,或与第三方共担。
- 减轻:降低风险发生的可能性,或者如果发生风险,则降低可能产生的负面影响。
- 接受:决定不对风险采取任何行动。如果该风险确实发生,届时会制定解决方案。
- 增加:决定承担更多风险以追求机会。
一旦选择了应对特定风险的方法,就会制定并分配给负责该风险的责任人和授权人一个 风险应对计划。 在风险规避的情况下,责任人会采取措施确保风险概率或影响降为零。 对于那些不能降低到零的风险,负责人有责任监控风险,并实施 风险缓解计划。
重新评估风险以确定残余风险,即采取措施修改风险后的新概率和新影响。 可以进行成本效益分析,以确定所采取措施的成本和工作量是否足以使风险降至足够低的程度。 风险可以按残余风险来重新评估。
涉众应被告知修改风险的计划。
4 使用考虑因素
.1 优势
- 可以应用于 影响企业长期价值的战略 7风险、影响变化价值的战术风险以及影响解决方案一旦改变的价值的操作风险。
- 通常,一个组织在许多倡议中都会面临类似的挑战。一项倡议的成功风险应对可以为其他倡议提供有用的教训。
- 变化或解决方案的风险水平可能会随时间而变化。持续的风险管理有助于识别这种变化,并重新评估风险以及计划响应的适当性。
.2 限制
- 大多数举措可能涉及的风险数量很容易变得难以管理。 可能只能管理潜在风险的一个子集。
- 有可能识别不出重大的风险。