不同的專案有不同程度的風險,所以專案風險流程必須是可調整的以適應不同等級之風險挑戰。一旦我們要將一個通用的風險流程應用於任何專案,則此一流程必須有不同的實施等級;從只有幾個簡單而非正式的步驟,到一個完整嚴謹且整合的流程。
一個典型的風險流程應該包括以下八個步驟:
1.風險流程啟動:定義風險流程的範疇、目標、以及參數。
2.風險辨識:辨識出所有目前已知的風險,包括威脅與機會。
3.風險評估:評估個別風險的關鍵特徵、建立進一步行動的優先等級、以及找出風險暴露的所
有型態。視情況使用量化分析技術評估風險對專案產出的綜合影響。
4.風險回應計畫:對每個風險決定適合的回應策略及行動。
5.風險回應之執行:執行核定的行動,判斷其是否有效,並辨識任何次級風險。
6.風險溝通:知會利害關係人目前的風險暴露情況,及其對專案成功的影響。
7.風險審查:檢視風險暴露程度的改變、辨識必要時所需的額外行動、辨識新風險、審查專案風險流程的效果。
8.教訓回顧:辨識所需記取的風險教訓以備未來專案使用。
我們能如何調整這個流程以適應某特定專案的風險挑戰?可調整的因素包括:
風險責任:最單純的狀況下,專案經理承擔所有風險流程中的工作,並視為他們管理專案整體責任的一部份,不需使用如風險組長、風險協調人之類的風險專家。而對極端複雜風險的專案而言,可能就需要投入有特定風險技術的人員、且需雇用專屬的風險團隊;可以是組織內部或是外部。
方法論與流程:一個低度風險的專案可以將風險流程含括在整體專案管理流程中,無須特定的風險管理活動。一個風險較高的專案,就可能需要經定義的風險流程,並且可能需伴隨著認定一種風險方法論。
工具及技巧:最簡單的風險流程,可以將團隊腦力激盪會議合併在其他專案會議中,用試算表記錄風險,以及在一般的專案審查會議中監督風險行動。風險極高的專案則可能會需要範圍擴及風險辨識、評估、以及監控等技術,以確保所有風險的面向都被納入且做了適當的處置。
支援性的基礎建設:低風險的專案也許不需要專屬的風險基礎建設,但是高風險專案需要整合了工具組與高階功能的穩健支援。建立正確的基礎建設是很重要的;支援過度會壓抑風險流程,而支援不足則會無法運作。
報告的需求:對某些專案而言風險報告可以合併在例行性的專案報告中,但也有些專案會需要針對不同利害關係人的需要,製作各種不同的專屬風險報告,提供每個利害關係人團體符合他們專案利益的風險資訊。
審查與更新的頻率:對低度風險或短期程的專案而言,在專案全期中更新風險評估一或兩次便已足夠,而其他風險較高或期程較長的專案,可能就會需要常態性的風險更新週期,如每月或每季一次,其週期取決於專案的複雜度及變更率。
這些可調整因素的決定應記載在專案風險管理計畫中,作為風險流程啟動步驟的一部份。每個專案的風險程度不盡相同,風險流程必須是可調整的以符合每個專案所面臨不同程度的風險挑戰。