说到项目的风险管理,我们首先得先认识什么是风险。一般来讲,风险被定义为“损失或损害的可能性”。这里有两个关键点:第一,它强调了风险是一种可能性,也就是说未来可能发生,也可能不发生;第二,它说明了如果发生,将会带来负面的影响。从这一点上来说,大多数风险都是指一种需要规避的因素。但事实上,未来发生的事情既可能带来危害,也可能带来收益,而后者经常被认为是机会。经常说的风险和机会并存,就是指这种不确定性会给事情的发展带来某种变化。这种变化虽然会打破原来的预期,危害到原有计划的执行,看起来是一种损害,但同时在变化中也往往孕育着新的机会。
所以,项目中风险可以定义为:一种不确定的事件或情况,发生后会对项目的目标产生某种正面的或者负面的影响。从定义中可以看出,风险有两个基本特征,即风险发生的可能性和风险发生后的影响。这两个要素决定了我们该怎样对待风险。
先看风险的第一个要素:风险发生的可能性。无论风险发生的可能性是多少,都意味着不能确信它一定发生。如果一定会发生就不能称为“风险”了。虽然任何风险的发生都有其内在根源和诱因,但从项目本身的范围来看,一定是项目目前不可掌控的因素在影响着风险的发生。虽然有的时候可以知道引发风险发生的根源,但大部分情况却可能是未知的。认识到这一点非常重要,因为它决定了人们对待风险的态度。影响风险发生的因素由外部因素决定,而不受人主观期望的影响。如果意识到这一点,就不得不为风险发生与不发生两种可能都做好准备。风险意识体现在对未来情形的客观认识和对各种可能情况的积极准备上。风险意识强的人能够清醒地意识到未来可控和不可控的因素都是什么,正视那些不可控因素可能产生的负面影响,积极地做好事前准备;而风险意识弱的人则只会单纯地期望外部环境按照希望的方向发展,当结果相反时只会归责于运气不佳。
再看风险的第二个要素:风险发生后所造成的影响。虽然被称作第二个要素,但是只要确定了一个风险,其影响程度就可以得知。所以在现实当中,往往是先考虑哪些情况会对项目产生影响,然后考虑其发生的可能性。当然这里面有个前提,就是已经发现了可能会对项目产生影响的风险。现实中也存在这种情况:某一个风险没有被项目发现,而当其发生的时候才注意到它的影响。
虽然总体上说,风险就代表着项目的某种不确定性,但是项目组在进行决策时,或多或少会获得有关风险的若干信息。我们按照对风险已知信息的多少将风险进行如下分类:
•可以预测到某一类风险,且该风险发生的根源是知道的,由此可以推算出其发生的可能性和危害等所有信息。这一类风险被称为“已知—已知”
•可以预测到某一类风险,但该风险有关信息却无法全面获知,例如其发生的可能性未知,或者危害程度未知。这一类风险被称为“已知—未知”
•还有一类风险,我们无法预测到,更谈不上获取其相关的信息了。这一类风险被称为“未知—未知”。