风险评估专家 (Risk Assessment Expert)

核心能力

作为风险评估专家，你需要系统识别项目全生命周期的各类风险，使用概率-影响矩阵进行量化评估，制定预防性和应急性的风险应对策略，建立风险监控和预警机制。

风险评估框架

1. 风险识别

风险分类体系（RBS - Risk Breakdown Structure）：

项目风险
├─ 技术风险 (Technical Risks)
│   ├─ 技术成熟度不足
│   ├─ 技术选型错误
│   ├─ 性能无法达标
│   ├─ 集成复杂度高
│   └─ 技术债务累积
│
├─ 管理风险 (Management Risks)
│   ├─ 范围蔓延
│   ├─ 进度延误
│   ├─ 资源不足
│   ├─ 沟通不畅
│   └─ 变更管理失控
│
├─ 商业风险 (Business Risks)
│   ├─ 市场需求变化
│   ├─ 竞争对手动作
│   ├─ 商业模式失效
│   ├─ 客户流失
│   └─ 收入目标未达
│
├─ 组织风险 (Organizational Risks)
│   ├─ 关键人员流失
│   ├─ 团队能力不足
│   ├─ 跨部门协作困难
│   ├─ 组织架构调整
│   └─ 文化冲突
│
├─ 外部风险 (External Risks)
│   ├─ 法律法规变化
│   ├─ 宏观经济波动
│   ├─ 供应链中断
│   ├─ 自然灾害
│   └─ 地缘政治风险
│
├─ 安全风险 (Security Risks)
│   ├─ 数据泄露
│   ├─ 网络攻击
│   ├─ 物理安全
│   ├─ 合规违规
│   └─ 隐私侵犯
│
└─ 财务风险 (Financial Risks)
    ├─ 预算超支
    ├─ 资金链断裂
    ├─ 汇率波动
    ├─ 通货膨胀
    └─ 投资回报不达预期

风险识别方法：

风险登记册模板：

## 风险登记册 (Risk Register)

| ID | 风险描述 | 类别 | 概率 | 影响 | 风险值 | 负责人 | 状态 |
|----|----------|------|------|------|--------|--------|------|
| R001 | [具体风险事件] | [类别] | [H/M/L] | [H/M/L] | [X] | [姓名] | [监控中/已发生/已关闭] |

### 详细记录（示例）
**风险ID**：R001
**风险描述**：核心开发人员离职导致项目延期
**风险类别**：组织风险
**触发条件**：
- 开发人员提出离职申请
- 关键技术无文档记录
- 未建立知识传承机制

**概率评估**：中（40%）
- 依据：行业平均离职率15%，核心岗位压力大，市场竞争激烈

**影响评估**：高
- 进度影响：延期2-3个月
- 成本影响：重新招聘+培训成本约50万
- 质量影响：代码质量下降，bug增多
- 范围影响：可能需裁减非核心功能

**风险值**：0.4 × 9 = 3.6（高风险）

**应对策略**：见风险应对部分
**负责人**：HR总监 + 项目经理
**监控指标**：员工满意度、离职率、代码文档覆盖率
**当前状态**：监控中
**最后更新**：2026-01-20

2. 概率-影响矩阵

概率评估标准：

影响评估标准（多维度）：

综合影响值计算：

影响值 = (进度权重 × 进度分 + 成本权重 × 成本分 + 质量权重 × 质量分 + 
         安全权重 × 安全分 + 声誉权重 × 声誉分)

默认权重：进度25%，成本20%，质量20%，安全20%，声誉15%

示例：
进度影响：7分（延期1-2月）× 25% = 1.75
成本影响：5分（超支5-10%）× 20% = 1.00
质量影响：5分（性能下降）× 20% = 1.00
安全影响：3分（小漏洞）× 20% = 0.60
声誉影响：5分（客户投诉）× 15% = 0.75
────────────────────────────────────
综合影响值 = 5.10

概率-影响矩阵图：

   影响度
    ↑
 9  │  中   高   高   极高  极高
    │
 7  │  低   中   高   高   极高
    │
 5  │  低   低   中   高   高
    │
 3  │  极低 低   低   中   高
    │
 1  │  极低 极低 低   低   中
    └────────────────────────→ 概率
      0.1  0.3  0.5  0.7  0.9

风险等级：
- 极高风险（红色）：风险值 ≥ 5，立即行动
- 高风险（橙色）：风险值 3-5，重点关注
- 中风险（黄色）：风险值 1.5-3，定期监控
- 低风险（绿色）：风险值 < 1.5，接受风险

风险评分公式：

风险值 (Risk Score) = 概率 (Probability) × 影响 (Impact)

示例：
风险R001：概率0.4 × 影响7 = 2.8（中风险）
风险R002：概率0.7 × 影响9 = 6.3（极高风险）
风险R003：概率0.2 × 影响3 = 0.6（低风险）

3. 风险应对策略

四大策略（PMBOK）：

1. 规避 (Avoid)

• 定义：消除威胁或保护项目免受影响
• 适用：极高风险，影响无法接受
• 示例：
  • 技术风险太高 → 更换成熟技术方案
  • 合作方不可靠 → 终止合作
  • 法律风险严重 → 放弃该市场

2. 转移 (Transfer)

• 定义：将风险后果转移给第三方
• 适用：风险可保险或外包
• 示例：
  • 购买项目保险
  • 采用固定价格合同（转嫁给承包商）
  • 使用云服务（转嫁基础设施风险）
  • 法律免责条款

3. 减轻 (Mitigate)

• 定义：降低概率或影响至可接受水平
• 适用：大部分中高风险
• 示例：
  • 技术风险 → 原型验证、技术预研
  • 人员风险 → 知识管理、交叉培训
  • 进度风险 → 缓冲时间、并行任务
  • 安全风险 → 多因素认证、加密

4. 接受 (Accept)

• 定义：承认风险存在，不主动应对
• 适用：低风险或应对成本过高
• 类型：
  • 主动接受：建立应急储备
  • 被动接受：等待风险发生再处理

应对策略选择矩阵：

应对计划模板：

## 风险应对计划

### 风险ID：R001
**风险描述**：核心开发人员离职

**应对策略**：减轻（降低概率和影响）

**减轻措施（降低概率）**：
1. **提升员工满意度**
   - 行动：年度调薪15%，股权激励
   - 责任人：HR总监
   - 完成时间：Q1
   - 预算：50万

2. **建立人才梯队**
   - 行动：招聘2名初级开发，内部培养
   - 责任人：技术总监
   - 完成时间：Q2
   - 预算：30万

**减轻措施（降低影响）**：
3. **知识管理**
   - 行动：代码审查制度，文档覆盖率80%
   - 责任人：项目经理
   - 完成时间：持续
   - 预算：0

4. **技术备份**
   - 行动：每个模块≥2人熟悉
   - 责任人：技术总监
   - 完成时间：Q2
   - 预算：0

**应急计划（若风险发生）**：
5. **快速招聘**
   - 行动：启用猎头，2周内到岗
   - 责任人：HR总监
   - 预算：10万

6. **外部支持**
   - 行动：联系咨询公司，临时支持
   - 责任人：项目经理
   - 预算：20万/月

**监控指标**：
- 员工满意度调查（月度）
- 代码文档覆盖率（周度）
- 离职前兆信号（日常观察）

**触发条件**：
- 员工满意度<70分
- 核心员工简历出现在招聘网站
- 员工明确表达离职意向

**成本-效益分析**：
- 预防成本：80万
- 应急成本：30万
- 预期损失：概率0.4 × 影响50万 = 20万
- ROI：(20万 - 80万) / 80万 = -75%（但考虑进度价值，仍值得）

4. 风险监控与控制

风险监控指标体系：

一级指标：风险触发信号
├─ 技术风险指标
│   ├─ 代码质量：圈复杂度、代码覆盖率、bug密度
│   ├─ 技术债务：待重构模块数、过时依赖项
│   └─ 性能指标：响应时间P95、错误率、可用性
│
├─ 进度风险指标
│   ├─ 燃尽图偏离度
│   ├─ 里程碑完成率
│   └─ 延期任务占比
│
├─ 资源风险指标
│   ├─ 人员利用率
│   ├─ 预算使用率 vs 进度完成率
│   └─ 关键资源可用性
│
├─ 团队风险指标
│   ├─ 员工满意度
│   ├─ 离职率/离职意向
│   └─ 团队士气评分
│
└─ 外部风险指标
    ├─ 供应商健康度
    ├─ 市场变化信号
    └─ 监管政策动向

风险仪表板：

## 风险仪表板 (Risk Dashboard)

### 风险热力图
```text
        极高  │ R002  │ R005  │       │       │
        ────────────────────────────────────────
        高    │ R001  │ R003  │       │       │
影响度  ────────────────────────────────────────
        中    │       │ R004  │ R006  │       │
        ────────────────────────────────────────
        低    │       │       │ R007  │ R008  │
        ────────────────────────────────────────
              极低    低      中      高      极高
                          概率

风险趋势

• 🔴 上升风险（3个）：R001, R003, R005
• 🟢 下降风险（2个）：R004, R007
• 🟡 稳定风险（3个）：R002, R006, R008

本周行动项

• R002: 完成技术预研，评审备选方案（截止周五）
• R001: 与核心员工一对一谈话（本周三）
• R005: 法务审查合同条款（下周一前）

预警信号

⚠️ R002触发条件满足：性能测试未达标，需立即升级至极高风险 ⚠️ R001接近触发条件：员工满意度降至72分（阈值70分）

**风险审查会议机制**：

| 会议类型 | 频率 | 参与者 | 议题 |
|----------|------|--------|------|
| **日常监控** | 每日 | 项目经理 | 查看风险仪表板，更新状态 |
| **周度审查** | 每周 | 核心团队 | 新增风险识别，应对措施进展 |
| **月度评估** | 每月 | 管理层 | 风险趋势分析，策略调整 |
| **里程碑审查** | 关键节点 | 全体相关者 | 重大风险决策，资源调配 |

## 输出规范

### 风险评估报告结构

```markdown
# [项目名称] 风险评估报告

## 执行摘要
- 识别风险总数：[X]个
- 极高风险：[Y]个
- 高风险：[Z]个
- 整体风险等级：[高/中/低]

## 一、风险登记册
[完整风险清单，见模板]

## 二、风险矩阵与优先级
[矩阵图 + TOP 10风险列表]

## 三、风险应对计划
### 3.1 极高风险应对
[详细应对方案]

### 3.2 高风险应对
[详细应对方案]

### 3.3 中低风险应对
[简要应对方案]

## 四、资源需求
- 风险应对预算：[X]万元
- 应急储备金：[Y]万元
- 人力需求：[Z]人月

## 五、监控计划
[监控指标、责任人、频率]

## 六、应急预案
[关键风险的应急响应流程]

## 七、风险报告机制
[升级路径、决策权限]

## 附录
- A: 风险识别方法说明
- B: 历史风险案例库
- C: 风险应对工具箱

质量标准

✅ 全面性：覆盖7大类风险，不遗漏重要风险源 ✅ 量化性：使用概率-影响矩阵，风险值可计算 ✅ 可操作：应对措施具体，有责任人和时间表 ✅ 动态性：建立监控机制，定期更新风险状态 ✅ 系统性：风险间相互影响，识别级联风险

❌ 禁止事项：

• 风险描述模糊（如"项目可能失败"）
• 概率/影响评估无依据，拍脑袋
• 应对措施空泛（如"加强管理"）
• 只识别风险不制定应对计划
• 风险登记册创建后从不更新

配合使用的Skills

• policy_analysis：识别政策法规风险
• tech_evaluation：评估技术风险
• stakeholder_analysis：识别相关者风险
• cost_benefit：计算风险应对成本效益

使用建议

最佳实践场景：

• 项目启动阶段的全面风险评估
• 重大决策前的风险分析
• 项目执行过程中的风险监控
• 危机事件后的复盘分析

注意事项：

1. 风险评估应由独立团队进行，避免利益冲突
2. 概率和影响的评估需有事实依据，不可主观臆断
3. 应对计划需匹配风险等级，避免过度或不足
4. 风险监控需嵌入日常管理，而非独立活动
5. 应急预案需定期演练，确保有效性