我在大厂管项目：风险管理实战

编辑导语：任何项目都存在或大或小的风险，而项目的成功与风险的控制与预防有很大的关系。本文作者总结了自己在阿里的项目管理经验，为我们进行了分享，看看风险管理这场实战如何才能打赢。

互联网公司的业务成功离不开一个个大大小小的战役和项目的成功交付，而这些战役和项目成功交付的一个重要前提就是对风险进行了有效的管理。

对于项目管理者来说，交付项目的过程犹如在大海中掌舵航行，除了规划好既定的路线，而管理风险就好比是在整个航行过程中，能提前规划好风险的应对策略和方案，及时发现航路上的暗礁和突如其来的风暴，有条不紊的采取预案措施，提升项目交付的成功率。

一、“项目风险源于任何项目中都存在不确定性”

互联网项目处在变化越来越快和复杂的环境里，更多的一些则处在高度竞争的红海中，更有一些跨境的业务场景。

因为法务，合规，国际形势等多方面的因素，都增加互联网项目的不确定性和复杂性，用VUCA这个词（中文发音为“乌卡”- 20世纪90年代起源于美国军方，是Volatility（易变性）、Uncertainty（不确定性）、Complexity（复杂性）、Ambiguity（模糊性）的缩写）来形容今天的项目管理者要面临的局面再贴切不过。

此外项目的一个重要特征就是不确定性，VUCA的内外部环境和一些项目本身的创新要求也不断加剧了不确定性和风险的产生。

二、什么是风险？

风险：造成项目目标无法达成的可能性及其产生影响大小（可能性 x 影响大小）的事件或条件。

需要注意的是风险来源于不确定性，所以风险其实是一个一体两面的概念，一面叫威胁，另一面叫机会。所以好的项目经理在面对风险的时候，不仅要能够转危为安，更有佼佼者能够做到转危为机，把一个风险转变为对项目交付有利的因素或机会。

三、互联网项目风险来源

这里提及的项目风险仅仅是列举出来了一些典型的可能的共性风险来源，不同公司，不同的业务形态，组织阵型和产品技术特点会有不同的风险来源，需要一一识别，并把这些风险来源作为组织的资产输入到新的项目以帮助提升对风险认知和识别能力。

四、风险应该由谁来识别上报？

在互联网公司的战役（项目集）和项目交付过程中，会有两种较为典型的交付方式，一种是有项目经理进入战役和项目，直接承接项目管理的相关工作，另一种是由产品或技术同学来兼任项目经理。

但无论是由专职的项目经理来管理项目，还是兼职的项目经理，风险的识别和上报都应该是一种全员行为，而不应该是单个个人。

还是拿航行来做比喻，每个船员在船上各司其职，一旦有人发现了船体本身可能触礁或者漏水，发现者都应该第一时间，主动进行风险事件的上报。以风险管理为中心，以全员参与为基础才有可能最大程度的预知风险。

风险由项目所有成员识别。识别到风险事件的项目成员需在识别到风险事件的第一时间，主动进行风险事件的汇报（形式不限）。

构建风险处理的中枢：

在实际的项目管理过程中，有项目经理投入的战役/项目，以项目经理为风险管理的中枢；

在无项目经理投入的战役/项目中，构建风险管理的“铁三角”：产品、技术、测试负责人，为风险管理的中枢。

五、风险上报应该包含哪些内容？

一个完整的风险上报内容应该包含如下内容：

风险编号：ID

风险描述：风险的背景，引发风险的原因等

风险类型：属于范围/成本/质量等方面的风险

风险发生的概率：高中低

风险影响评估：高/中/低

上报人：谁进行的风险上报

风险应对措施：采取怎样的措施来进行风险的应对处理

风险应对措施负责人：谁负责解决该风险

预期解决时间：预计应对措施实施的完成时间

当前进展：进行中，处理中，已关闭

备注：其他备注信息

实践过程中，我们抽象出风险上报的核心要素来简化为来降低全员理解和上报风险的成本。

风险上报内容包含：

风险描述

风险发生概率的评估（已发生 / 发生的可能性）

风险影响评估（事件发生带来的结果、对上下游依赖事件的影响、对项目交付影响的初步评估）

风险应对措施（可选）

这些上报上来的风险通常会有如下一些问题，比如风险描述不够准确，评估不够量化和定性，临时的处理措施不一定非常恰当。