專案風險管理 第 12 章 2017/3/1

在動態環境中，任何專案都會面臨風險。重點是不要試圖去消除它們，而是管理它們。 ………………………..……未知名作者

專案風險管理 風險是未來不確定事件的產物，重點是我們如何 管理不確定性。 不確定（uncertainty）、機會（opportunity） 和風險（risk）三者彼此互相密切關聯，如圖 12.1。 對於未來事件缺乏足夠知識構成不確定，不確定 包含未來所有可能有利或不利的結果所構成的集 合。 當結果是有利時，稱為機會；而結果是不利時， 稱為風險。

不確定、機會、風險關係圖

專案風險管理 專案風險是指造成專案超出預算、未能如期完工、 未能達成所要求的品質標準的所有可能事件。 PMBOK 2008將專案風險定義為一個不確定的 事件或條件，當事件發生時對至少一個專案目標 會造成正面或負面的影響，專案目標包括專案範 疇、時程、成本、和性能（performance）。 Wideman (1992)將專案風險定義為負面影響專 案目標的所有不確定事件，當這些事件發生時所 累積的效果。

專案風險管理 專案風險以三個因子來描述： （各風險事件的）風險值= 事件發生機率 × 發生 後所造成的衝擊 風險事件（risk event）─任何有不利於專案目標之 事件，均屬之； 風險機率（risk probability）─指風險事件發生之 可能性； 暴險值（amount at risk）─風險發生後對專案目 標影響之嚴重性。 （各風險事件的）風險值= 事件發生機率 × 發生 後所造成的衝擊

專案風險管理 專案風險管理是對專案實施風險管理規劃、辨識、 分析、回應規劃、和監視與控制的過程。 專案風險管理是個主動式（proactive）管理， 或稱預應式管理。 對於已識別出的風險，要建立風險回應方案（risk response action）以降低其對專案的衝擊； 對於未能識別出的風險因而無法預先管理，應建 立管理準備金（management reserve）以作為緩 衝。

專案風險管理 12.1規劃風險管理： 12.2 辨識風險： 12.3 實施質化風險分析： 係界定風險規劃程序如何執行的過程。 係仔細辨識可能影響專案目標的風險事件並記錄 這些風險事件之特徵的過程。 12.3 實施質化風險分析： 係評估已辨識風險事件發生之可能性大小和該事 件發生後對專案目前所造成的衝擊大小等級以建 立風險優先等級的過程。

專案風險管理 12.4 實施量化風險分析： 12.5規劃風險回應： 12.6管制風險： 係針對已辨識個別風險進一步分析其對整體專案 目標的影響，並量化其發生機率和造成時程或成 本等衝擊的過程。 12.5規劃風險回應： 係針對已辨識風險項目擬定風險回應計畫的過程。 12.6管制風險： 係執行風險回應計畫、追蹤已辨識風險、監視剩 餘風險、辨識新風險、和評估整個專案風險管理 過程有效性的過程。

12.1規劃風險管理 規劃風險管理是界定專案如何執行風險管理活動 的過程，過程主要的產出是專案風險管理計畫書。 風險管理計畫書猶如引導專案團隊避開障礙如何 走向成功的路徑圖（roadmap），它提供專案 團隊管理風險的政策和作法以確保專案能夠在預 定的時程和預算內達成顧客對於品質的要求。

12.1規劃風險管理 專案風險管理計畫是界定和記載在專案生命中管 理風險的各項過程。 風險管理計畫書首先在專案規劃階段時界定管理 風險過程，並在專案過程中依所訂定風險管理計 畫執行風險管理。 風險管理計畫書也明確指出各風險領域項目由誰 負責，在專案生命週期中如何識別、分析、回應、 和追蹤風險，應變計畫如何被執行，和如何分配 專案準備金金以應付風險。

12.1規劃風險管理：輸入 專案範疇陳述： 成本管理計畫和時程管理計畫： 每個專案有其特定的風險，因此必須參考範疇陳 述以更深入瞭解專案和其交付標的物。 成本管理計畫和時程管理計畫： 透過檢視成本管理計畫和時程管理計畫可以瞭解 專案已建立那些應變計畫以因應那些影響專案無 法在預定的預算和時程內完成的風險。

12.1規劃風險管理：輸入 溝通管理計畫： 企業環境因素： 組織流程資產： 在溝通管理計畫中會提供可以和誰討論專案風險 和回答等議題。 專案團隊必須識別專案利害關係人對於風險的容 忍度以針對專案風險適度地排序和回應。 組織流程資產： 如組織已建立的風險範本、對於風險的定義、和 風險如何分類等。

12.1規劃風險管理：工具和技術 規劃會議和分析： 風險管理計畫中各項內容需透過會議討論和分析 來達成共識，會議參加人員包括專案經理、相關 專案團隊成員、和相關領域專家。

12.1規劃風險管理：輸出 規劃風險管理過程中輸出祇有一個，即為風險管 理計畫書。 風險管理計畫書內容： 界定使用風險管理方法論、有那些風險假設、角 色和職責、里程碑、風險級別/評分技術、建立風 險門檻值、界定風險溝通、和訂定風險跟蹤程序 等內容。

風險管理計畫書 風險管理方法論： 識別風險： 分類風險： 評估風險事件之風險值 排定風險事件之優先順序 規劃風險回應 追蹤風險回應方案 RBS對照WBS所構成的風險分解矩陣，圖12.3 分為組織、環境、技術、和財務等四大類 評估風險事件之風險值 排定風險事件之優先順序 規劃風險回應 追蹤風險回應方案

風險管理計畫書 監視風險 風險假設： 角色和職責： 風險管理里程碑： 風險級別／評分技術： 定義風險事件對專案衝擊的一些假設。 定義每位專案成員在風險管理所扮演的角色，描述其關 注風險的責任。 風險管理里程碑： 界定風險管理各項活動的里程碑，如風險管理計畫書何 時完成等。 風險級別／評分技術： 依過去的經驗，採取客觀或主觀地評估風險發生機率和 該事件對專案所造成衝擊，以評定其風險等級。

風險管理計畫書 建立風險門檻值： 界定風險溝通： 訂定風險跟蹤程序： 風險門檻值反映出對於風險容忍度的高低。 界定對於風險管理過程中各活動的一些政策和處理 規則，以作為彼此溝通的共通語言。 訂定風險跟蹤程序： 針對超過門檻值的各風險事件的回應策略執行狀況， 必須定期地追蹤以瞭解風險事件是否如預期降低或 消失。

12.2識別風險 識別風險係專案在執行前和執行中找出那些會負 面影響專案目標（時程、成本、範疇、和品質等） 的潛在風險並記錄其風險特徵的過程。 識別風險是一個反覆的過程。 專案經理有必要培養一個開放的專案文化使得參 與專案每一個人願意盡力識別風險並時時地監視 風險的變化，毫不遲疑地舉出風險議題而不將它 們視為是壞消息。

12.2.1識別風險：輸入 專案範疇基線： 專案活動： 利害關係人名冊： 專案管理計畫書： 專案文件： 範疇基線文件是識別專案風險最佳所在。 活動清單、活動屬性、活動資源估計、和活動工期估計等 都是有利於識別風險。 利害關係人名冊： 藉由當面訪談利害關係人以識別出風險因子所在。 專案管理計畫書： 專案管理計畫書有助於識別專案風險。 專案文件： 如實獲值績效衡量、議題記錄、變更記錄、或專案網路等 專案文件均有助於識別專案風險。

12.2識別風險：輸入 組織流程資產： 企業環境因素： 過去類似專案的經驗學習檔案是識別專案風險的 重要參考文件。 競爭對手執行類似專案文件、商業資料庫、和學 術性研究也是識別專案風險的重要參考文件。

12.2識別風險：工具和技術 文件審查： 資訊蒐集技術： 檢核表分析： 假設分析： 對專案各項文件做仔細分析以瞭解關於專案需求或假 設是否存在有任何明顯的風險。 資訊蒐集技術： 包括腦力激盪、德爾非法、訪談法、根源分析法、 SWOT分析等都是。 檢核表分析： 檢核表分析是非常好的工具，它可以和已建立的風險 知識庫做比對檢核。 假設分析： 類似文件審查，藉由審查文件中的假設是否正確、一 致、和完整。

12.2.2識別風險：工具和技術 圖形技術法： 專家判斷： 如魚骨圖和流程圖兩者都是以圖形顯示和記錄風 險根源和其造成影響。 風險可以直接由專家根據在類似專案或商業領域 的經驗。

12.2識別風險：輸出 風險登錄表： 過程的產出主要為風險登錄表，所有識別出的風險應 被記錄並登錄到風險登錄表。風險登錄表包括以下資 訊： 風險識別： WBS編號、風險類別、風險來源說明。 風險評估： 對那個專案目標造成影響、風險事件發生可能程度、和發 生後造成衝擊大小。 風險回應策略： 採取回應策略、回應行動、和風險觸發器。 風險監控： 風險監控負責單位/人、監控頻率、和資料更新日期。

12.3執行質化風險分析 風險分析： 質化風險分析和定量風險分析兩種。 質化風險分析： 以經驗主觀判斷，快速低成本但較不精確； 定量風險分析： 以統計方法或模擬方式客觀和精確分析，缺點是耗時， 其量度是有形的且經校準過的測量。 評估風險發生可能程度和當風險發生時所造成衝 擊程度，將風險判定為高、中、或低等級。

12.3執行質化風險分析：輸入 風險登錄表： 風險管理計畫書： 專案範疇陳述： 組織流程資產： 指已識別出所有風險項目清單。 界定了風險方法論、角色和職責、風險類別、機率和 衝擊尺度。 專案範疇陳述： 範疇陳述有助於判定風險對專案可能的衝擊和可能發 生的機率。 組織流程資產： 從組織過去執行過類似專案和資料庫有助於判定風險 對專案可能的衝擊和可能發生的機率。

12.3執行質化風險分析：工具和技術 風險機率和衝擊評估： 機率和衝擊矩陣： 風險分類： 專家判斷： 可以透過訪談或會議方式評估每個風險之等級和對於 每個專案目標的衝擊。 機率和衝擊矩陣： 機率和衝擊矩陣依所評估出的機率和衝擊，以及已建 立好的等級基準帶入評分模式以計算風險值。 風險分類： 專案風險可依不同方式來加以分類：風險來源（如 RBS）、工作(如WBS)、或專案生命週期(如階段)等。 專家判斷： 質化分析需要主題領域專家以協助評估已識別的風險 發生機率和對專案目標的衝擊。

12.3執行質化風險分析：輸出 風險優先順序： 質化風險分析可以產生風險優先順序，並記錄在 風險登錄表。

12.4執行量化風險分析 針對排序在前的風險或風險值超過專案所設定的 門檻值以上的風險執行量化風險分析。 雖然量化分析是在質化分析之後，但有經驗的風 險分析人員在實際執行風險管理各項過程中會依 所檢視風險的狀況跳過某些過程。 在正式專案管理認證考試時，依序為識別風險→ 質化風險分析→量化風險分析→規劃風險回應。

12.4執行量化風險分析：輸入 風險登錄表： 風險管理計畫書：如12.1所述。 成本管理計畫書： 時程管理計畫書： 組織流程資產： 指已識別出所有風險項目清單。 風險管理計畫書：如12.1所述。 成本管理計畫書： 計畫書中提供專案中活動的成本是在何種假設或基於 何種分配估計等資訊。 時程管理計畫書： 計畫書提供專案中活動的工期是在何種假設或基於何 種分配估計等資訊。 組織流程資產： 從組織過去執行過類似專案和資料庫有助於判定風險 對專案可能的衝擊和可能發生的機率。

12.4執行量化風險分析：工具和技術 資料蒐集和呈現技術： 量化風險分析和和模型建立技術 訪談： 機率分配： 敏感度分析： 係透過與主題領域專家或有經驗的專家訪談以蒐集必要 的資訊，據此量化對專案目標的風險之機率和衝擊。 機率分配： 在估計活動的時間或成本時，常常以機率分配的數學模 型來描述不確定性。 量化風險分析和和模型建立技術 敏感度分析： 敏感度分析依不確定性因素每次變動數目的多少，可分 為單因素和多因素敏感度分析兩種。敏感性分析最常用 的顯示方式是龍捲風圖。

12.4執行量化風險分析：工具和技術 期望貨幣價值分析（EMV）： 專家判斷： 計算某一風險事件未來可能各種情境的發生機率 和各種情境發生時所造成衝擊的乘積再總和，即 為該風險的期望貨幣價值或風險值。常和決策樹 一起使用。 專家判斷： 量化分析需要具有相關領域或近期經驗的專家以 協助評估風險發生機率和衝擊，和資料的解讀。

12.4執行量化風險分析：工具和技術 決策樹分析：

12.4執行量化風險分析：輸出 風險登錄表更新： 執行量化風險分析過程所分析出的風險發生機率、 可能造成衝擊、和風險優先順序等資訊均應更新 於風險登錄表。

12.5規劃風險回應 規劃風險回應是發展風險回應策略選擇和決定行 動以對專案目標有利的機會予以強化，而不利的 威脅能夠減少的過程。 專案經理和專案團隊需識別風險最佳回應策略， 並選擇具體的行動執行此策略，必要的話並估計 減少風險所需預算和時程。

12.5規劃風險回應 風險回應三種類型風險行動： 風險回應： 應變計畫： 退路計畫： 指在風險尚未發生之前，採取適當策略以影響風險 發生機率和發生後對專案所造成的衝擊。 應變計畫： 當風險發生時該採取何種作為以降低其對專案造成 的衝擊。 退路計畫： 當應變計畫也失敗時上路，因此它可以視為應變計 畫的應變計畫。

12.5規劃風險回應 風險回應成本： 應變計畫和退路計畫成本： 二次風險： 納入成本基線。 應變計畫和退路計畫成本： 納入管理預備金 原因是它們是非確定的事。 二次風險： 執行風險回應策略後可能引發另外的風險。 剩餘風險（residual risk）是指那些發生機率和衝 擊尚在組織的容忍度內的風險，以及那些沒有合理 回應計畫的風險。

12.5規劃風險回應 機會回應策略 接受： 分享： 強化： 剝削： 風險經過回應行動後仍然存在和／或任何回應策略不具成本 效益時、或當風險是無法被控制時，祇有採取接受策略。 分享： 分享一個正面風險時涉及分享機會所有權至最能掌握對專案 有利機會的第三團體。 強化： 藉由增加機率和／或報酬以修正機會的大小，和主動地瞄準 和增強風險啟動條件。 剝削： 藉由增加機率和／或報酬以尋求強化專案利益的最大化。

12.5規劃風險回應 威脅回應策略 接受： 規避： 轉移： 降低： 如機會回應策略。 改變專案管理計畫以消除威脅、降低專案目標要求水準以避 免受到風險的衝擊、或藉由延長專案時程或縮小專案範疇以 減輕專案目標的危急。 轉移： 透過合約委託給具有此技術的組織或團體，將風險轉移出去。 降低： 透過採取適當早期行動以降低負向風險發生機會和／或衝擊 至可接受的門檻。

12.5規劃風險回應：輸入 風險登錄表： 風險管理計畫書： 該表提供已識別的風險、風險的根本原因、潛在 回應清單等資訊。 該計畫書包含高、中、低風險的風險門檻值，風 險門檻值協助團隊識別那些風險需要規劃風險回 應等內容。

12.5規劃風險回應：工具和技術 負向風險或威脅的策略： 正向風險或機會的策略： 專家判斷： 對威脅的回應策略有規避、降低、轉移、和接受 等。 正向風險或機會的策略： 對機會的回應策略有剝削、強化、分享、和接受 等。 專家判斷： 規劃風險回應需要具有相關領域或近期經驗的專 家以協助對每一個風險該採取何種回應策略。

12.5規劃風險回應：輸出 風險登錄表更新： 風險相關的合約決策： 專案管理計畫和專案文件更新： 對於每個風險所採用的風險回應、應變計畫、和 退路計畫應被記載和更新到風險登錄表。 風險相關的合約決策： 對於風險回應中的轉移風險（威脅）或分享風險 （機會）的合作夥伴，應簽訂適當的合約以律定 彼此權力義務。 專案管理計畫和專案文件更新： 受到風險回應而導致時程和成本變更應修正到專 案管理計畫和專案相關文件。

12.6管制風險 專案風險是屬於動態變化，不會因完成規劃風險 回應後就靜止不變。 新的風險會出現、風險回應也不會依規劃進行， 還有風險的特徵也會產生變化。 管制風險是執行風險回應、追蹤已識別風險、監 視剩餘風險、識別新風險、和整個專案中評估風 險過程有效性的過程。

12.6管制風險：輸入 工作績效資訊： 績效報告： 包括交付標的物執行狀況、工作進度和成本支用 等都是提供管制風險的重要資訊。 如PV、EV、AC、SV、SV(t)、CV、SPI(t)、 CPI等實獲值衡量值是績效報告的主要資訊。

12.6管制風險：工具和技術 風險重新評估： 風險稽核： 差異和趨勢分析： 在管制風險過程中會識別出新的風險、重新評估現有 的風險、和將處理過的風險撰寫成經驗學習報告。 風險稽核： 風險稽核是稽核專案團隊是否確實依所擬訂風險管理 計畫執行，其目的檢視風險管理過程的有效性。 差異和趨勢分析： 差異分析是運用績效報告資訊如CV和SV，比較實際 執行結果和規劃之間的差異，以管制正在進行中風險 的風險回應之成效。

12.6.2管制風險：工具和技術 技術績效衡量： 準備金分析： 現況會議： 在定期風險監控會議中會檢討和分析技術績效衡 量的差異值以評估成功達成專案目標的程度和專 案曝露在技術風險的程度。 準備金分析： 比較為因應應變計畫所剩餘的準備金額度和專案 還有那些風險要處理以瞭解剩餘準備金是否適當？ 現況會議： 每次現況會議均應檢討風險最新狀況，以瞭解風 險回應策略之成效。

12.6管制風險：輸出 工作績效資訊： 變更需求： 專案管理計畫和專案文件更新： 關於描述風險現況的工作績效資訊包括有多少已識別 和未識別的風險已經發生、有多少新的風險被識別、 風險回應計畫的有效性、和已經動用多少應變準備金 和管理準備金等資訊。 變更需求： 執行應變計畫和退路計畫可能導致變更需求，所有變 更需求都應提送到整合變更管制委員會。 專案管理計畫和專案文件更新： 當已核准的變更需求應即時修正專案管理計畫書和相 關專案文件之相對應內容並重新公布。

本 章 結 束