《1 前言》

1 前言

风险矩阵是在项目管理过程中识别风险 (风险集) 重要性的一种结构性方法, 并且还是对项目风险 (风险集) 潜在影响进行评估的一套方法论。这种方法是美国空军电子系统中心 (ESC, Electronic Systems Center) 的采办工程小组于1995年4月提出的。自1996年以来, ESC的大量项目都采用风险矩阵方法对项目风险进行评估。为了改进风险矩阵方法的应用, 美国的MITRE公司还开发了一套风险矩阵应用软件, 软件中增添了新的风险分析功能。新的功能和方法包括自动交叉检查风险矩阵所分析出的风险等级, 并能动态测量风险降低的过程。风险矩阵应用软件以Excel 5.0为工具, 具有跨平台使用的兼容性, 可以在Macintosh型计算机上使用, 也可以在PC机上使用。笔者主要介绍原始风险矩阵的应用, 并分析其适用性, 同时提出我国开展技术性项目风险管理的思路。

《2 原始风险矩阵 [1]》

2 原始风险矩阵 [1]

项目风险是指某些不利事件对项目目标产生负面影响的可能性和可能遭受的损失。在风险矩阵中, 风险是指采用的技术和工程过程不能满足项目需要的概率。风险矩阵方法主要考察项目需求与技术可能两个方面, 以此为基础来分析辨识项目是否存在风险。一旦识别出项目风险 (风险集) 之后, 风险矩阵下一步要分析的是:评估风险对项目的潜在影响, 计算风险发生的概率, 根据预定标准评定风险等级, 然后实施计划管理或降低风险。

风险矩阵通常在项目组织中由一体化产品风险管理小组来完成, 其成员应包括项目管理办公室的人员和熟悉项目所涉及技术问题的专家组成。他们一起完成对项目风险的识别和风险对项目影响的概率评估。评估结果输入项目风险矩阵的分析应用软件, 或记录在项目技术报告的相应栏目中。表1 是ESC于1995年提出的一个原始风险矩阵的例子, 每一栏说明如下:

需求栏 (requirements) 列出项目的基本需求, 通常包括两个部分:高级操作要求和项目管理需求, 前者如项目操作要求文件 (ORD, operational requirements document) , 后者如项目管理指南 (PMD, program management directive) 中所列出的需求方面。

技术栏 (technology) 列出了根据具体需求可以采用的技术。如果所用技术不存在或不够成熟从而不能满足需求, 则风险发生的概率就会高一些。

风险栏 (risks) 识别、描述具体的风险。

影响栏 (impact, 记为I) 评估风险对项目的影响。一般将风险对项目的影响分为五个等级, 见表2。

风险发生概率栏 (probability of occurrence, 记为Po) 评估风险发生的概率。风险描述与对应的概率水平如表3所示。

风险等级栏 (risk rating, 记为R) 通过将 (I, Po) 值输入风险矩阵确定风险等级, 见表4。

风险管理/降低栏 (manage/mitigate) 风险管理小组制定具体战略管理/降低风险。

表1 一个风险矩阵的例子

Table 1 An example of risk matrix

 

《表1》

项目需求 所用技术 风险 风险
影响
风险概率
/%
风险
等级
风险管理
VHF单通道通信 ARC-186 设计不合理 关键 0~10 把演示论证作为资源取舍工作的重要部分

对讲系统 SINCGARS
ARC-210
ARC-201
GRC-114
1) 算法导致误解
2) ICD问题
关键 41~60 把演示论证作为资源取舍工作的重要部分

160 km通话要求
ARC-210 天线性能 严重 61~90 获得测试项目的关键参数

A-10和F-16的 JSTARS 和ABCCC系统
当前技术不
可用
1) 错误的电源等级供应
2) 错误连接
3) Cosite 问题
一般 0~10 通过地面小组会议对战斗机进行检查研究

无线电信号前段控制
没有/不成熟 难以得到飞行员一致同意 一般 91~100 控制前端技术的早期演示论证

联合项目办公室
没有/不成熟 不同的用户 严重 41~60 建立信息和决策系统

进度:2年交付
没有/不成熟 一体化周期 严重 11~40 采用激励手段保证及时交付

 

 

表2 风险影响等级的定义

Table 2 Illustration of risk influence

 

《表2》


风险影响等级
定义或说明

关键 (critical)
一旦风险事件发生, 将导致项目失败。

严重 (serious)
一旦风险事件发生, 会导致经费大幅增加, 项目周期延长, 可能无法满足项目的二级需求。

一般 (moderate)
一旦风险事件发生, 会导致经费一般程度的增加, 项目周期一般性延长, 但仍能满足项目一些重要的要求。

微小 (minor)
一旦风险事件发生, 经费只有小幅增加, 项目周期延长不大, 项目需求的各项指标仍能保证。

可忽略 (negligible)
一旦风险事件发生, 对项目没有影响。

 

 

表3 风险发生概率的解释性说明

Table 3 Interpretation of risk probability

 

《表3》


风险概率范围/%
解释说明

0~10
非常不可能发生

11~40
不可能发生

41~60
可能在项目中期发生

61~90
可能发生

91~100
极可能发生

 

 

表4 风险级别对照表

Table 4 Risk rating scale

 

《表4》


风险概率范围/%
可忽略 微小 一般 严重 关键

0~10

11~40

41~60

61~90

91~100

 

 

《3 Borda序值法》

3 Borda序值法

当风险矩阵确定并有了一组输入值之后, 接下来的问题就是确定哪一种风险是最关键的, 应当将资源分配在哪里以消除项目最可能产生的风险。表4只给出了三个直观的风险等级 (高、中、低) , 而原始矩阵中评估风险等级的方法只能产生出一些风险结 (risks tie, 风险结是处于同一等级具有基本相同的属性还可以继续细分的风险模块) 。以表1为例, 属于高风险等级的有两个风险结 (对讲系统SINCGARS和无线电信号前段控制模块中产生的风险) , 属于中等风险等级的有四个风险结, 属于低风险级别的有一个风险结。在对复杂系统风险的评估中, 在高风险、中等风险和低风险区域分布的风险结可能有几十个之多 [1]。如此多的风险结, 使得很难从对项目失败影响不大的风险区域中分离出最关键的风险。

为了处理风险结, ESC的研究人员将投票理论应用到风险矩阵软件中, 提出了Borda序值方法 [1,2,3,4]。使用风险矩阵进行分析时, 采用Borda方法根据下面提到的多个评价准则, 将风险按照重要性进行排序。

N为风险总个数 (与风险矩阵中的行数相同) , 设i为某一个特定风险, k表示某一准则。原始风险矩阵只有两个准则:用k=1表示风险影响I, k=2表示风险概率Po。如果rik 表示风险i在准则k下的风险等级, 则风险i的Borda数可由下式给出:

bi=(Ν-rik)(1)

风险等级就由这些Borda数给出。表5是应用风险矩阵分析出的结果, 与表1最大的区别是增添了Borda序列。Borda方法是结合IPo 的序列对所有风险进行排序, 风险等级序列显示在Borda序列栏中。一个给定风险的Borda序值表示其他关键风险因素的个数。例如, 风险2的Borda序值为0, 说明该风险为最关键的风险。风险7的Borda序值为5, 说明另外五种风险更为关键。

Borda方法在应用中的优点表现在:

1) 它标示的风险较按表4中的方法标示的风险具有更少的风险结。当两种风险具有相同的风险等级或Borda序值时就会形成一个风险结。例如, 表1中两种风险属高风险级, 四种风险属一般风险级。而在表5中只有两种风险具有相同的Borda序值。这个例子同时也说明, Borda方法不能消除所有的风险结。

2) Borda方法除了IPo 的原始输入外, 不需要其他的主观评估。相比较而言, 表4中的风险级别的确定完全基于主观评估。

3) Borda序值能够对风险矩阵中的风险进行跨类别等级评定, 如表5所示需要与表1相同的输入。除了降低风险结, Borda方法和原始矩阵法对风险排序是有区别的。例如, Borda方法给风险3的优先级比风险5要高, 而表1中风险5比风险3有更高的优先级。

表5 风险矩阵电子表格

Table 5 Spreadsheet of risk matrix

 

《表5》

风险
序号
项目需求 所用技术 风险 风险
影响
风险概
率/%
Borda
序值
风险
等级
风险管理
1 VHF单通道通信 ARC-186 设计不合理 关键 10 4 把演示论证作为资源取舍工作的重要部分

2
对讲系统SINCGARS ARC-210
ARC-201
GRC-114
1) 算法导致误解
2) ICD问题
关键 60 0 把演示论证作为资源取舍工作的重要部分

3
160 km通话要求 ARC-210 天线性能 严重 90 1 获得测试项目的关键参数

4
A-10和F-16的 JSTARS 和 ABCCC系统 当前技术不
可用
1) 错误的电源等级供应
2) 错误连接
3) 跨场合问题
一般 10 6 通过地面小组会议对战斗机进行检查研究

5
无线电信号前段控制 没有/不成熟 难以得到飞行员一致同意 一般 100 2 控制前端技术的先期演示论证

6
联合项目办公室 没有/不成熟 不同的用户 严重 60 2 建立信息和决策系统

7
进度:2年交付 没有/不成熟 一体化周期 严重 40 5 采用激励手段保证及时交付

 

 

4) 对给定风险, 可用Borda方法对IPo进行敏感性分析。这样一种分析可以反映出对某一特定风险要产生非关键性的序值, 需要做出什么样的改进。

《4 风险降低过程监控 [4]》

4 风险降低过程监控 [4]

风险矩阵分析的应用软件提出了一种对风险降低过程进行监控的方法, 共分为五个步骤。

Step 1 做出风险降低计划, 包括降低风险的一系列任务。从实时监控的角度来看, 风险降低活动中的每一个任务都有一个特定的状态 (status) , 比如“已经完成”或“正在进行”。

Step 2 对每一个任务分配的任务状态可用四种颜色进行标识, 即蓝、绿、黄、红。每一种颜色标识的状态如表6所示。

Step 3 将每一种颜色转变成该项任务可能导致失败的概率。默认值如表6所示, 在项目管理中它们可以根据实际情况进行调整。

表6 任务颜色评估与对应概率

Table 6 Assessment colors for an action plan task and its probability

 

《表6》


颜色
解释与说明 默认失败概率

蓝色
任务完成 0.0

绿色
任务按计划进行 0.1

黄色
任务可能不能按时完成 0.5

红色
任务不能被执行 1.0

 

 

Step 4 基于一项风险降低活动计划对每项任务颜色的评估, 这一步中风险降低活动失败的概率 (Papf) 用下式计算:

Ρapf=1-j(1-v(yj)),(2)

式 (2) 中, yj 表示风险降低活动中第j项任务被标识的颜色状态, v (yj) 表示实施这项任务可能失败的概率。例如, 如果yj是黄色的, 根据表6, v (yj) 对应的概率值为0.5。如果风险降低活动中的任务是成序列的并各自独立的, 这个公式给出了该风险降低活动可能失败的概率。对于一个任务串联的系统, 当且仅当风险降低计划中的每一个任务都成功实施, 才会保证整个风险降低计划的成功。

也可能出现例外的情况, 例如, 由若干任务组成的并行系统, 当其中一项任务成功时, 整个风险降低计划活动也会取得成功。一个给定的风险降低计划也可能是由串联任务和并联任务组成的混合系统。另外, 一些任务可能是统计不独立的。可靠性理论为这些情形进行了界定:

首先, 如果风险管理计划是连贯的 (即不存在互不相关的任务) , 则计划失败的概率不超过所有顺次相连的任务失败概率。

其次, 如果风险管理计划的任务都是相互关联的 (即它们不存在负的协方差) , 串联系统风险降低失败概率的上界可以通过将各项任务看作相互独立的量而求得。

结合上面的结果, 说明式 (2) 提出了针对任何相互关联任务的风险管理失败概率的严格上界。

风险降低活动失败的概率Papf为风险降低过程提供了方法, 故接下来的工作即完成最后一个步骤。

Step 5 根据Borda数对风险排序, 使用Papf而不是Po作为风险分析和管理的准则之一。如果风险管理计划不能针对某一风险而定, 项目会继续使用Po作为该风险分析的准则。

当使用上述方法时, 用户只需对Step 1和Step 2负责。当各子任务确定并且其状态颜色被评估确定之后, 项目会自动执行下面的步骤。

这种跟踪监控方法具有以下三个优点:

1) 风险矩阵收集的数据和评估结果可以在整个风险管理过程中应用。风险管理过程一般包含四个基本阶段, 即风险规划、风险评估、风险分析和风险处置。原始风险矩阵可以支持前三个步骤, 具有风险降低监控功能的软件应用, 则支持第四个阶段。

2) 那些需要给予密切关注的风险可以通过Borda数来识别。这些关键性风险指的是其风险降低活动失败的概率Papf和风险影响都比较高的风险。

3) 风险管理规划任务的颜色状态若能够给予周期性的评估, 则任一种风险的Borda序值和Papf都可以被实时计算出来。

以上处理风险的过程可用图1表示:

《图1》

图1 风险矩阵管理风险的过程图Fig.1 Risk management process of risk matrix

图1 风险矩阵管理风险的过程图Fig.1 Risk management process of risk matrix  

 

《5 风险矩阵的应用评价》

5 风险矩阵的应用评价

风险矩阵在美国空军电子系统中心获得了广泛应用, 其应用分析软件已应用在联合监视与目标攻击雷达系统 (JSTARS, joint surveillance and target attack radar system) 和国家空天系统升级项目中。并且, 风险矩阵方法在美国国防采办中受到很高的重视, 在应用实践中不断发展。风险矩阵作为一种简单、易用的结构性风险管理方法, 在项目管理实践中具有以下优点:

· 可识别哪一种风险是对项目影响最为关键的风险;

· 加强项目要求、技术和风险之间相互关系的分析;

· 允许工业部门在项目风险管理前期就加入进来;

· 风险矩阵方法是在项目全周期过程中评估和管理风险的直接方法;

· 为项目风险和风险管理提供了详细的可供进一步研究的历史纪录。

应用软件分析矩阵保留了原始矩阵的分析功能, 不需要新的数据和步骤, 它还具有以下分析功能:

· 风险矩阵的软件Excel 5.0/Visual Basic 在Macintoshi机和PC机上运行具有很好的兼容性;

· 能够提供直观的电子数据表格界面 (见表5) ;

· 采用的Borda方法是在多个评价准则基础上形成对风险级别进行排序的一种投票式运算法则;

· 风险矩阵方法是一种评估和监控风险降低活动的方法;

· 是在特定评价准则基础上评估风险序列敏感性的方法;

· 具有自动分类和列表的功能。

当前, 高技术项目风险的定量化分析是一个重要的研究方向, 美国国防部 (DoD) 和美国航空航天局 (NASA) 都给予了很多关注, 并取得了一些研究成果。比如NASA的Jacob Burns和Jeff Noonan等人提出风险全息层次模型 (HHM, hierarchical holographic model) 和风险过滤、排序和管理框架 (RFRM, risk filtering, ranking and management framework) 对高技术项目的风险进行定量化分析 [5]。NASA的Barney B. Roberts提出了一体化定量风险管理理论 (IQRM, integrated quantitative risk management) , 并在定量化风险管理理论的基础上试图建立基于风险的决策支持理论 (RBDS, risk-based decision support) [6,7]。这些模型都用到了风险矩阵的方法对风险进行分类和过滤, 如图2所示。可见风险矩阵方法具有很高的科学性和可操作性。并且, 风险矩阵的分析软件为风险矩阵的广泛应用开辟了更加广阔的天地。

在我国高技术项目研究的开发领域, 目前还缺乏规范而有效的风险管理技术和措施。问题在于:其一, 风险管理的观念还没有真正广泛地在项目管理者中确立起来, 项目管理主要采取按人员、经费和目标进行割裂式的管理, 缺乏系统的风险应对措施 [8]。其二, 项目的易变性导致的短期行为使得项目研发单位更不愿投入时间和成本采取先进的风险管理技术。在这方面, 美国的经验是, 采取自上而下的措施, 由国防部负责采办与技术的副部长牵头, 自1969年开始即坚持在国防高技术采办中开展系统的风险研究, 探索合适的风险管理技术, 制定详尽的风险管理指南, 成立专门的风险管理组织, 展开富有成效的风险管理 [9]。时至今日, 风险管理在美国国防采办中已经成为一项法定性的工作。加强技术性项目的风险管理, 我国的项目管理者和项目管理学界还有很多工作要做。

《图2》

图2 一体化定量风险管理框架

图2 一体化定量风险管理框架  

Fig.2 The integrated quantitative risk management framework

笔者在参与国防预研项目的管理实践中, 尝试运用风险矩阵的方法开展项目风险管理, 取得了较好的实践效果。国防预研项目都是高技术项目, 具有探索性、创新性、复杂性、综合性和高风险性的特征, 对国防预研项目的风险管理的研究, 正在国内引起越来越多的重视 [10,11]。以水下机器人项目为例, 首先构造该项目的风险管理原始矩阵, 即将项目风险分解为关键技术突破、辅助技术突破、研究经费及后勤保障、人员组成和项目管理技术等五大风险模块, 然后将每一风险模块中包含的风险进行细分, 依靠项目专家组评估每个风险的影响程度, 从而逐步分离出关键性风险, 并对其实施技术研发、资金支持、人员配备等方面的密切监控。风险分析矩阵纪录的项目风险历史信息, 为开展项目的全寿命风险管理提供了依据, 并且有力地支持了专家组对项目的中期评估。对于采用风险矩阵技术开发风险分析软件, 目前还必须结合项目特点进一步研究。

初步实践, 可以归结出我国采用风险矩阵进行高技术项目风险分析与管理的思路:

1) 首先, 规范项目管理程序, 初步评估项目风险模块, 构造项目风险管理的原始矩阵;

2) 依靠项目专家组, 对于各风险模块进行风险细分;

3) 根据项目研发环境, 对于项目风险进行逐个评估, 过滤出关键性风险;

4) 对于关键性风险产生的条件和发生机理进行研究, 并对于关键性风险实施有效的监控;

5) 根据目前正在采用的能力成熟度模型 (CMM) 和费用模型等对关键性风险在经费和进度方面造成的影响进行量化评估;

6) 对项目风险管理设计一体化的风险管理框架, 规范项目管理流程, 并在此基础上开发高技术项目风险分析与管理软件。