风险评估

风险评估通常包含两个方面：风险的发现和风险的排序。风险的发现主要指列出项目中所有可能的风险。基本上说，所有会把项目引入歧途的那些事情都要想到。在风险的排序中，需要考虑风险的方方面面，并为它们排定优先级别。尽管这是两项不同的工作，但是往往需要同时进行。就是说，一个项目经理往往会同时识别和分析风险。

风险识别

对于一个项目来说，任何的条件，情形，甚至说有可能发生的任何危及项目成败的事情都会形成风险。因而识别风险本身就是对你的“不祥预感”的一种练习。风险清单、调查问卷、会议、头脑风暴、评价计划和进程、施工文档等都会给风险的识别带来帮助。列出频繁暴发的风险可能是最为常见的一种风险识别手段。SEI(是什么？）也提供了一种风险分类法来促进风险的识别。

在Infosys中，那些常常发生的风险通常被积累起来。然后以这个风险列表作为本项目风险识别的开端。时不时地，本项目的风险也会加入到风险的积累中。

项目经理可以使用一些辅助的工具来从风险数据库中检索到类似的项目所包含的那些风险。参考以前的风险，也往往能激发管理者发现那些与此项目有关，但是又没有出现在风险档案中的那些风险。

项目经理可以通过他们的判断和经验来估算当前形势，进而发现潜在风险。另外也可以通过评论项目管理计划、召开座谈会等形式来从别人那里取得一些见解。

风险的优先级排定

识别风险只是给出了那些有可能危及项目目标的事件。风险的后果却是各不相同的。在你将要进行下一步的风险管理之前，你必须为它们排定优先级顺序，这样管理资源才能够集中于那些事实上更为重要的风险。

要排定优先级，就要分析当事情确实发生时，都会产生哪些影响。就是说，风险一旦到了眼前，对项目而言会产生哪些损失？损失的表现形式会很直接，比如失去了商业机会，比如使得员工士气低落，等等。基于这些，你就可以计算风险曝光数据，通过这个数据，排定风险的顺序。

这是一种“量化”的评估，而它正是基于风险的可能性和风险的后果。通常，很少有历史数据来帮助你得出这个量化的结论。因为风险总是“有可能”发生的，这就是说 ，他们发生得不频繁，所以有关风险真正发生时的数据的收集也很困难。进一步讲，即使有这样的数据，也需要考虑到有关的情形。因为无论如何它们总是处于一种“管理”之下。这个事实暗示着风险的优先级排定更多的是基于经验的。在Infosys中，风险的发生机率被划分为低、中、高。下图给出了这种划分所对应的界限。

要为风险的影响划定级别，你就必须选用一组压力指数。为了简化管理，Infosys项目经理把风险的压力指数按照1到10进行划分。基于这种形式，风险又被划分为低，中，高，最高。下图给出了它们的分布关系。

有了这些规则和范围，可以通过下面的方法来为风险进行简单排序：

1、对于每一个风险，基于发生的可能性，分别标记上低，中，高。如果必要的话，为它们也指定好风险发生可能性的指标值。

2、对每一个风险，用低，中，高，很高来标记它们对于项目的压力。如果必要的话，为它们标记压力指标值。

3、依照风险的可能性，风险的影响来进行优先级顺序的排列。比如一个发生概率为高，危害也为高的风险的等级应当比发生概率为中，危害为高的风险的等级要高。一旦有冲突，动用你的判断力来决定（这个时候，指标值就起作用了）。

4、选择位置最高的几个风险进行跟踪和控制。

这里对于风险优先级别的评定只是让你集中管理那些等级高的风险，但是如果你想进行一些费用上的分析，它不会给你提供多少帮助。因为这个风险的评级是基于“规模”而不是“价值（有关钱的）”，你无法通过这种方法来测算财政上面预期的损失。进而你也无法从钱的角度来考虑对于一个风险的预防策略是否值得。当然这些考虑也是不必要的。难道你打算从风险管理中赚些钱吗？另一方面，如果你真的要考虑对于一个风险的管理在财政上来讲是否合适，你就必须知道，财政上的压力也会带来风险。