第2章:风险识别基础

风险识别,到底在识别什么?

说实话,很多人一听到「风险识别」就觉得很高大上。其实没那么玄乎。

风险识别,说白了就是回答三个问题:

  • 什么东西可能出问题?
  • 在什么情况下会出问题?
  • 出了问题会有什么后果?

我个人的习惯是,把风险识别当成一次「找茬游戏」。你想想看,项目还没开始,先把所有可能掉进去的坑都找出来,是不是比掉进去再爬出来划算得多?

核心要点:风险识别不是一次性的工作,而是贯穿项目始终的持续过程。今天没发现风险,不代表明天也没有。

三种最常用的识别方法

方法很多,但我只讲最实用的三种。这三种我用了十几年,几乎覆盖了90%的场景。

1. 头脑风暴法

这个方法大家应该都听过。一群人坐在一起,天马行空地提想法。但我要说的是——很多人把头脑风暴开成了吐槽大会

我在项目中遇到过这种情况:大家你一言我一语,聊了两个小时,最后什么都没记下来。为什么?因为没有规则。

正确的做法是这样的:

  1. 定主题——今天只聊「技术风险」,别扯到预算上去
  2. 不评判——任何想法先记下来,好不好后面再说
  3. 限时间——30分钟到1小时,时间长了效率反而低
  4. 有记录——安排一个人专门记,别让主持人又当裁判又当记分员

我的小技巧:每次头脑风暴前,我会先让大家安静3分钟,各自在纸上写几个想法。然后再轮流发言。这样能避免「第一个发言的人带偏全场」的情况。

2. 德尔菲法

这个方法名字听着挺洋气,其实就是「匿名投票+多轮反馈」。

什么时候用德尔菲法?我告诉你,当问题太敏感,或者专家们谁也不服谁的时候,这招特别好使。

具体步骤:

  1. 选5-10位专家,互相不知道对方是谁
  2. 第一轮:每个人独立列出风险清单
  3. 汇总后发给所有人看,但不说是谁提的
  4. 第二轮:每个人根据别人的清单,修改自己的
  5. 重复2-3轮,直到意见基本一致

我曾经用这个方法做过一个跨国项目的风险评估。当时中美两边的工程师互相不服气,面对面开会根本没法聊。用了德尔菲法,三轮下来,大家反而达成了一致。说白了,去掉名字和身份,剩下的就是事实

3. 检查表法

这个方法最笨,但也最可靠。你想想看,飞机起飞前,飞行员为什么要拿着清单一项项打勾?因为人脑会漏,但清单不会。

检查表怎么做?我建议你从这几个维度入手:

维度 典型问题
技术 技术方案是否成熟?有没有替代方案?
进度 关键路径上的任务有没有缓冲时间?
资源 核心人员有没有离职风险?设备够不够?
外部 供应商靠谱吗?政策法规有没有变化?

注意:检查表不是万能的。它只能帮你发现「已知的未知」,对于「未知的未知」,检查表无能为力。所以别太依赖它。

风险识别的标准步骤

方法有了,怎么落地?我总结了一个五步法,你照着做就行:

  1. 明确目标——这次识别是针对哪个项目?哪个阶段?范围是什么?
  2. 收集信息——历史数据、类似项目经验、专家意见,能拿的都拿来
  3. 选择方法——根据场景选方法。时间紧就用检查表,问题复杂就用德尔菲法
  4. 执行识别——按选定的方法走一遍流程,把风险全列出来
  5. 整理归档——把识别出的风险分类、编号、记录到风险登记册里

嗯,这里要注意一点:第五步很多人会忽略。觉得风险列出来就完事了。其实不是,不记录、不归档,下次还得从头再来。

一张图看懂本章内容

下面这张图是我自己画的,把风险识别的核心逻辑串起来了。你看完应该能有个整体印象。

风险识别知识框架 风险识别 头脑风暴法 德尔菲法 检查表法 ① 明确目标 ② 收集信息 ③ 选择方法 ④ 执行识别 ⑤ 整理归档 输出:风险登记册 方法 + 步骤 = 可落地的风险识别流程

避坑指南

最后,分享几个我踩过的坑:

  • 别想着一次识别完所有风险——我曾经在一个项目上花了整整一周做风险识别,结果项目做到一半,冒出来的风险全是新的。后来我学乖了,每两周做一次快速识别。
  • 别忽略「小概率大影响」的风险——很多人觉得「这个概率太小了,不用管」。但你要知道,黑天鹅事件往往就是从小概率开始的。
  • 别让一个人做识别——一个人看问题的角度太有限了。至少拉上3个人,最好来自不同部门。

记住一句话:风险识别不是找麻烦,而是提前排雷。今天花1小时做识别,可能省下未来100小时的救火时间。


专注资料整理