以下关于风险管理过程的排序正确的是( )。<br /> ①识别风险 ②规划风险管理 ③实施定..

免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2023年下半年信息系统项目管理师上午试卷综合知识（第三批）

第1题

知识点：定量风险分析定性风险分析风险分析风险管理规划风险管理规划风险应对排序

章/节：项目风险管理过程

以下关于风险管理过程的排序正确的是( )。
①识别风险 ②规划风险管理 ③实施定性风险分析 ④实施定量风险分析 ⑤规划风险应对
⑥实施风险应对 ⑦监督风险

A. ①②③④⑤⑥⑦

B. ②①③④⑤⑥⑦

C. ①②④③⑤⑥⑦

D. ②①④③⑤⑥⑦

相关试题：实施定量风险分析

更多>

第63题 2012年上半年

53%

李工是一个投资300万的产品开发项目的项目经理。项目己经进入执行阶段，时间，预算和规范方面都符合要求。某天，一名项目团队成员..

第44题 2021年上半年

50%

在项目定量风险分析技术中，（）需用-一个模型，将详细规定的各项不确定性换算为它们对项目目标所产生的潜在影响。

第34题 2016年上半年

30%

下图是一个选择出行路线的“决策树图”，统计路线1和路线2堵车和不堵车的用时和其发生的概率（P），计算出路线1和路线..


知识点讲解
· 定量风险分析 · 定性风险分析 · 风险分析 · 风险管理 · 规划风险管理 · 规划风险应对 · 排序

定量风险分析

定量风险分析是就已识别的风险对项目整体目标的影响进行定量分析的过程。定量风险分析的对象是在定性风险分析过程中被认为对项目的竞争性需求存在潜在重大影响的风险。它可以对每个风险进行单独量化评级，也可以评估所有风险对项目的总体影响。它也是在不确定情况下进行决策的一种量化分析方法。

定量风险分析通常在定性风险分析之后进行。有时不需要进行定量风险分析就可直接制订出风险应对措施。在风险应对规划之后，应该随着风险监控过程的开展，重新进行定量风险分析，以确定项目的总体风险降低程度是否令人满意。通过反复进行定量风险分析，可以了解风险的发展趋势，并揭示增减风险管理措施的必要性。

输入

1．组织过程资产

可能影响定量风险分析过程的组织过程资产包括：

.以往类似项目信息。

.风险专家对类似项目的研究。

.可从行业或专有渠道获得的风险数据库。

2．项目范围说明书

3．风险管理计划

4．风险登记册

定性风险分析过程更新过的风险登记册。

5．项目管理计划

需要用到项目管理计划中的：

.进度管理计划

.成本管理计划

工具与技术

1．数据收集和表示技术

定量风险分析中常用的数据收集和表示技术包括：

.访谈。

.概率分布。连续的概率分布代表数值的不确定性，如活动持续时间和成本的不确定性。不连续的分布则表示不确定性事件，如测试结果或决策树的某种可能。常用于定量风险分析的概率分布有贝塔分布、三角分布、均匀分布、正态分布和对数分布。

.专家判断。

2．定量风险分析和建模技术

常用技术包括：

.敏感度分析。帮助判断哪些风险对项目具有最大的潜在影响。把其他所有不确定因素都固定在基准值，考查某种因素的变化对项目目标造成影响的程度。其常见表现形式是龙卷风图，用于比较很不确定的变量与相对稳定的变量之间的相对重要性和相对影响。

.预期货币价值分析（EMV）。当某些情况在未来可能发生，也可能不发生时，计算平均结果的一种统计方法。机会的EMV通常表示为正值，威胁的EMV通常表示为负值。这种分析方法通常使用在决策树分析中。

.决策树分析。决策树是对所考虑的决策以及采用这种或那种现有方案可能产生的后果进行描述的一种图解方法。它综合了每种可用选项的成本和概率，以及每条事件逻辑路径的收益。EMV及决策树的相关计算参见10.4节。

.建模和仿真。模拟仿真通常采用蒙特卡罗技术。在模拟中，要利用项目模型进行多次计算，每次计算时，都从这些变量的概率分布中随机抽取数值（如成本估算或活动持续时间）作为输入。通过多次计算，得出一个概率分布（如总成本或完工日期）。对于成本风险分析，需要使用成本估算进行模拟；对于进度风险分析，需要使用进度网络图和持续时间估算进行模拟。

输出

风险登记册（更新）

定量风险分析过程需要更新风险登记册中的如下内容：

.项目概率分析。对项目可能的成本与进度结果进行估算，列出可能的完工日期和完工成本及其相应的置信水平。可综合考虑分析的结果和干系人的风险承受力来量化所需的成本和时间应急储备。应急储备旨在把不能实现成本和时间目标的风险降低到组织可接受水平。

.实现成本和时间目标的概率。当项目面临风险时，可根据定量风险分析的结果来估算在现行计划下实现项目目标的概率。

.已量化风险优先级列表。

.定量风险分析结果的趋势。随着分析的反复进行，风险可能呈现出某种明显的趋势，可以从这种趋势中得出某些结论，并据此调整风险应对措施。

定性风险分析

定性风险分析评估并综合分析风险的发生概率和影响，对风险进行优先排序，从而为后续分析或行动提供基础。组织可以通过关注高优先级的风险来提升项目绩效。

定性风险分析根据风险发生的相对概率或可能性，风险发生后对项目目标的相应影响以及其他因素（如应对时间要求，与项目时间、成本、范围和质量等制约因素相关的组织风险承受力）来评估已识别风险的优先级。这类评估会受项目团队和其他干系人的风险态度的影响。本过程完成后，可进入定量风险分析过程或直接进入风险应对规划过程。

输入

1．风险登记册

2．风险管理计划

风险管理计划中可用于定性风险分析的主要内容有风险管理的角色与职责、预算和进度活动、风险类别、概率和影响定义、概率影响矩阵以及修订的干系人风险承受力。

3．项目范围说明书

4．组织过程资产

可能影响定性风险分析过程的组织过程资产包括：

.以往类似项目信息。

.风险专家对类似项目的研究。

.可从行业或专有渠道获得的风险数据库。

工具与技术

1．风险概率与影响评估

风险概率评估是调查每个具体风险发生的可能性；风险影响评估是调查风险对项目目标（如范围、进度、质量、成本）的潜在影响，既包括威胁所造成的消极影响，也包括机会所产生的积极影响。

可选择熟悉相应风险类别的人员，对他们进行访谈或召开会议来进行风险评估。评估时需要评估每个风险的概率级别及其对每个目标的影响，还应记录相应的说明性细节。根据风险管理计划中的定义，对风险概率和影响进行评级，概率和影响很低的风险可以不定义级别，但要列入观察清单中，供将来进一步监测。

风险概率及影响的级别可以划分为“很低”、“低”、“中”、“高”、“很高”，也可以线性表示为0.1、0.3、0.5、0.7、0.9。

2．概率影响矩阵

基于风险评估结果，对风险进行优先排序，以便进一步进行定量分析和风险应对。下图为常用的概率影响矩阵，其中风险值为概率和影响的乘积。利用概率影响矩阵，可以对风险的重要性及优先级进行评估。

概率影响矩阵

根据概率和影响的各种组合，该矩阵把风险划分为低、中、高风险。深灰色（数值最大）区域代表高风险，中灰色（数值最小）区域代表低风险，浅灰色（数值介于最大最小之间）区域代表中等风险。根据风险的风险值落在不同的区域，把风险分别归入高、中、低风险中。

风险评级有助于指导风险应对。如果风险对项目产生威胁，并处于高风险区域，就可能需要采取优先措施和积极的应对策略；而对处于低风险区域的威胁，可能只需列入观察清单或为之增加应急储备，而不需采取积极管理措施。同样，处于高风险区域的机会是最容易实现而且能带来最大利益的，故应首先抓住；对处于低风险区域的机会，则应加以监视。

3．风险数据质量评估

定性风险分析要具有可信度，就需要使用准确的数据。风险数据质量评估是评估风险管理中风险数据有效性的技术。它考查人们对风险的理解程度，以及风险数据的准确性、质量、可靠性和完整性。如果风险数据质量不可接受，就需要收集更高质量的数据。

4．风险分类

可以按照风险来源（如使用风险分解结构）、受影响的项目工作（如使用工作分解结构）或其他分类标准（如项目阶段）对项目风险进行分类。根据共同的根本原因对风险进行分类，有助于制订有效的风险应对措施。

5．风险紧迫性评估

需要越早作出响应的风险具有越高的紧迫程度。优先级指示器可以把时间包含进来，以便它能影响风险的应对策略、风险的征兆、预警信号和对风险等级的划分。

输出

风险登记册（更新）

风险登记册始于风险识别过程。定性风险分析得到相关信息后，应对风险登记册进行更新，更新内容包括：

.项目风险的相对排序或优先级。

.按类别分类的风险。

.风险成因或需特别关注的项目领域。

.需要近期作出响应的风险列表。

.需进一步分析和应对的风险列表。

.低优先级风险的观察清单。

.定性风险分析结果的趋势。

风险分析

在得到了项目风险列表后，需要对其中的风险做进一步的分析，以明确各风险的属性和要素，这样才可以更好地制定风险应对措施。风险分析可以分为定性分析和定量分析两种方式。风险定性分析是一种快捷有效的风险分析方法，一般经过定性分析的风险已经有足够的信息制定风险应对措施并进行跟踪与监控了。在定性风险分析的基础上，可以进行风险定量分析。定量分析的目的并不是获得数字化的结果，而是得当更精确的风险情况，以便进行决策。

风险定性分析

风险定性分析包括对已经识别的风险进行优先级排序，以便采取进一步措施。进行定性分析的依据是项目管理计划（风险管理计划、风险记录）、组织过程资产、工作绩效信息、项目范围说明、风险记录。在分析过程中，需要根据这些输入对已识别的风险进行逐项的评估，并更新风险列表。风险定性分析的工具和技术主要有风险概率及影响评估、概率及影响矩阵、风险数据质量评估、风险种类、风险紧急度评估。

（1）风险可能性与影响分析。可能性评估需要根据风险管理计划中的定义，确定每一个风险的发生可能性，并记录下来。除了风险发生的可能性，还应当分析风险对项目的影响。风险影响分析应当全面，需要包括对时间、成本、范围等各方面的影响。其中不仅仅包括对项目的负面影响，还应当分析风险带来的机会，这有助于项目经理更精确地把握风险。对于同一个风险，由于不同的角色和参与者会有不同的看法，因此一般采用会议的方式进行风险可能性与影响的分析。因为风险分析需要一定的经验和技巧，也需要对风险所在的领域有一定的经验，因此，在分析时最好邀请相关领域的资深人士参加以提高分析结果的准确性。例如，对于技术类风险的分析就可以邀请技术专家参与评估。

（2）确定风险优先级。在确定了风险的可能性和影响后，需要进一步确定风险的优先级。风险优先级的概念与风险可能性和影响既有联系又不完全相同。例如，发生地震可能会造成项目终止，这个风险的影响很严重，直接造成项目失败，但其发生的可能性非常小，因此优先级并不高。又如，坏天气可能造成项目组成员工作效率的下降，虽然这种可能性很大，每周都会出现，但造成的影响非常小，几乎可以忽略不计，因此，优先级也不高。

风险优先级是一个综合的指标，优先级的高低反映了风险对项目的综合影响，也就是说，高优先级的风险最可能对项目造成严重的影响。一种常用的方法是风险优先级矩阵，当分析出特定风险的可能性和影响后，根据其发生的可能性和影响在矩阵中找到特定的区域，就可以得到风险的优先级。

（3）确定风险类型。在进行风险定性分析的时候需要确定风险的类型，这一过程比较简单。根据风险管理计划中定义的风险类型列表，可以为分析中的风险找到合适的类型。如果经过分析后，发现在现有的风险类型列表中没有合适的定义，则可以修订风险管理计划，加入这个新的风险类型。

风险定量分析

相对于定性分析来说，风险定量分析更难操作。由于在分析方法不恰当或缺少相应模型的情况下，风险的定量分析并不能带来更多有价值的信息，反而会在分析过程中占用一定的人力和物力。因此一般先进行风险的定性分析，在有了对风险相对清晰的认识后，再进行定量分析，分析风险对项目负面的和正面的影响，制定相应的策略。

定量分析着重于整个系统的风险情况而不是单个风险。事实上，风险定量分析并不需要直接制定出风险应对措施，而是确定项目的预算、进度要求和风险情况，并将这些作为风险应对策略的选择依据。在风险跟踪的过程中，也需要根据最新的情况对风险定量分析的结果进行更新，以保证定量分析的精确性。

风险定量分析的工具和方法主要有数据收集和表示技术（风险信息访谈、概率分布、专家判断）、定量风险分析和建模技术（灵敏度分析、期望货币价值分析、决策树分析、建模和仿真）。

（1）决策树分析。决策树分析法通常用决策树图表进行分析，它描述了每种可能的选择和这种情况发生的概率。期望货币价值分析分析方法常用在决策树分析方法中，有关这方面的知识，请阅读17.4.3节。

（2）灵敏度分析。灵敏度分析也称为敏感性分析，通常先从诸多不确定性因素中找出对模型结果具有重要影响的敏感性参数，然后从定量分析的角度研究其对结果的影响程度和敏感性程度，使对企业价值的评估结果的判断有更为深入的认识。托那多图（Tornado Diagram，龙卷风图）是灵敏度分析中非常有效的常用图示，它将各敏感参数按其敏感性进行排序，形象地反映出各敏感参数对价值评估结果的影响程度。运用托那多图进行灵敏度分析的具体步骤包括：选择参数、设定范围、敏感性测试、将各敏感参数对价值结果的影响按其敏感性大小进行排序。

（3）蒙特卡罗模拟。蒙特卡罗（Monte Carlo）方法作为一种统计模拟方法，在各行业广泛运用。蒙特卡罗方法在定量分析中的运用较为复杂，牵涉到复杂的数理概率模型。它将对一个多元函数的取值范围问题分解为对若干个主要参数的概率问题，然后用统计方法进行处理，得到该多元函数的综合概率，在此基础上分析该多元函数的取值范围可能性。蒙特卡罗方法的关键是找一组随机数作为统计模拟之用，这一方法的精度在于随机数的均匀性与独立性。就运用于风险分析而言，蒙特卡罗方法主要通过分析各种不确定因素，灵活地模拟真实情况下的某个系统中的各主要因素变化对风险结果的影响。由于计算过程极其繁复，蒙特卡罗方法不适合简单（单变量）模型，而对于复杂（有多种不确定性因素）模型则是一种很好的方法。其具体步骤包括选取变量、分析各变量的概率分布、选取各变量的样本、模拟价值结果、分析结果。

风险管理

没有绝对安全的环境，每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式，并且不只同计算机有关。考虑信息安全时，必须重视的几种风险有：物理破坏；人为错误；设备故障；内、外部攻击；数据误用；数据丢失；程序错误，等等。在确定威胁的时候，不能只看到那些比较直接的容易分辨的外部威胁，来自内部的各种威胁也应该引起高度重视，很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。

风险管理是指识别、评估、降低风险到可以接受的程度，并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别，进而确定信息系统的安全保护需求；风险管理则根据风险评估的结果从管理（包括策略与组织）、技术、运行三个层面采取相应的安全控制措施，提高信息系统的安全保障能力级别，使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。

风险分析

风险分析的方法与途径可以分为：定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法，通过定量分析可以对安全风险进行准确的分级，但实际上，定量分析所依靠的数据往往都是不可靠的，这就给分析带来了很大的困难。定性分析是被广泛采用的方法，通过列出各种威胁的清单，并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验，但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围，指定小组进行评估，并给予时间、资金的支持。风险小组应该由不同部门的人员组成，可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。

风险评估

进行风险评估时需要决定要保护的资产及要保护的程度，对于每一个明确要保护的资产，都应该考虑到可能面临的威胁以及威胁可能造成的影响，同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的，对有形资产（设备、应用软件等）及人（有形资产的用户或操作者、管理者）进行分类也是非常重要的，同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类，如：机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度，所采用的评估措施应该与组织对信息资产风险的保护需求相一致。

控制风险

对风险进行了识别和评估后，可通过降低风险（例如安装防护措施）、避免风险、转嫁风险（例如买保险）、接受风险（基于投入／产出比考虑）等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时，首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击，对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面：产品费用、设计／计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作／支持费用。

规划风险管理

规划风险管理是定义如何实施项目风险管理活动的过程，其主要作用是确保风险管理的程度、类型和可见度与风险及项目对组织的重要性相匹配。本过程的重要性还在于为风险管理活动安排充足的资源和时间，并为评估风险奠定一个共同认可的基础。

规划风险管理过程应从项目构思阶段开始，并在项目规划阶段的早期完成。风险管理计划对促进与所有干系人的沟通，获得他们的同意与支持，从而确保风险管理过程在整个项目生命周期中有效实施至关重要。

输入

项目管理计划

在规划风险管理时，应该考虑所有已批准的子管理计划和基准，使风险管理计划与之相协调。

项目章程

项目章程可提供各种输入，如高层级风险、项目描述和需求。

干系人登记册

干系人登记册包含项目干系人的详细信息及角色概述。

事业环境因素

可能影响本过程的事业环境因素包括组织的风险态度、临界值和承受力，它们描述了组织愿意并能够承受的风险程度。

组织过程资产

可能影响本过程的组织过程资产包括：风险类别、概念和术语的通用定义、风险描述的格式、标准模板、角色和职责、决策所需的职权级别和经验教训。

工具与技术

分析技术

分析技术用来理解和定义项目的总体风险管理环境。风险管理环境是基于项目总体情况的干系人风险态度和项目战略风险敞口的组合。

专家判断

可征求那些具备特定培训经历或专业知识的小组或个人的意见，借助专家判断制订全面的风险管理计划。

会议

项目团队可举行规划会议来制定风险管理计划，参会者可包括项目经理、选定的项目团队成员和干系人、组织中负责管理风险规划和应对活动的任何人员，以及需要参加的其他人员。

输出

风险管理计划

风险管理计划是项目管理计划的组成部分，描述将如何安排与实施风险管理活动。风险管理计划包括以下内容：

.方法论：确定项目风险管理将使用的方法、工具及数据来源。

.角色与职责：确定风险管理计划中每个活动的领导者和支持者，以及风险管理团队的成员，并明确其职责。

.预算：根据分配的资源估算所需资金，并将其纳入成本基准，制定应急储备和管理储备的使用方案。

.时间安排：确定在项目生命周期中实施风险管理过程的时间和频率，制定进度应急储备的使用方案，确定风险管理活动并纳入项目进度计划中。

.风险类别：规定对潜在风险成因的分类方法。风险分解结构（Risk Breakdown Structure, RBS）有助于项目团队在识别风险的过程中发现有可能引起风险的多种原因。不同的RBS适用于不同类型的项目。组织可使用预先准备好的分类框架，可以是简易的分类清单或结构化的风险分解结构。

.风险概率和影响的定义：为了确保风险分析的质量和可信度，需要对项目环境中特定的风险概率和影响的不同层次进行定义。在规划风险管理过程中，应根据具体项目的需要，裁剪通用的风险概率和影响定义，供后续过程使用。

.概率和影响矩阵：概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。根据风险可能对项目目标产生的影响，对风险进行优先排序。通常由组织来设定概率和影响的各种组合，并据此设定高、中、低风险级别。

.修订的干系人承受力：可在规划风险管理过程中对干系人的承受力进行修订，以适应具体项目的情况。

.报告格式：如何记录、分析和沟通风险管理过程的结果，规定风险登记册及其他风险报告的内容和格式。

.跟踪：如何记录风险活动以促进当前项目的开展，以及如何审计风险管理过程。

规划风险应对

规划风险应对是针对项目目标，制定提高机会、降低威胁的方案和措施的过程，其主要作用是根据风险的优先级来制定应对措施，并把风险应对所需的资源和活动加进项目的预算、进度计划和项目管理计划中。

输入

风险管理计划

风险管理计划的重要内容包括角色和职责、风险分析定义、审查时间安排（以及经审查而删去风险的时间安排），以及关于低、中、高风险的风险临界值。风险临界值有助于识别需要特定应对措施的风险。

风险登记册

风险登记册中包含已识别的风险、风险的根本原因、潜在应对措施清单、风险责任人、征兆和预警信号、项目风险的相对评级或优先级清单、近期需要应对的风险、需要进一步分析和应对的风险清单、定性分析结果的趋势，以及低优先级风险的观察清单。这些可以作为规划风险应对过程的输入。

工具与技术

消极风险或威胁的应对策略

下表列出了针对消极风险或威胁的四种常用应对策略。

积极风险或机会的应对策略

下表列出了针对积极风险或机会的四种常用应对策略。

消极风险和积极风险的常用应对策略

应急应对策略

可以针对某些特定事件，专门设计一些应对措施。对于有些风险，项目团队可以制订应急应对策略，即只有在某些预定条件发生时才能实施的应对计划。如果确信风险的发生会有充分的预警信号，就应该制订应急应对策略。应该对触发应急策略的事件进行定义和跟踪，例如，未实现阶段性里程碑，或者获得供应商更高程度的重视。采用这一技术制订的风险应对方案，通常称为应急计划或弹回计划，其中包括已识别的、用于启动计划的触发事件。

专家判断

可以对每个具体的、已定义的风险的应对措施做出专家判断。

输出

项目管理计划更新

本过程可能导致项目管理计划更新，可能更新的内容包括：进度管理计划、成本管理计划、质量管理计划、采购管理计划、人力资源管理计划、范围基准、进度基准和成本基准。

项目文件更新

在规划风险应对过程中，应该根据需要更新若干项目文件。

项目文件中风险登记册的更新内容包括：

.风险责任人及其职责。

.商定的应对策略。

.实施所选应对策略所需的具体行动。

.风险发生的触发条件、征兆和预警信号。

.实施所选应对策略所需的预算和进度活动。

.应急计划及启动应急计划的触发因素，以便在风险发生并且主要应对措施无效时使用的弹回计划。

.在采取预定应对措施之后仍然存在的残余风险以及已经有意接受的风险。

.实施风险应对措施直接导致的次生风险。

.根据项目定量风险分析以及组织的风险临界值计算出来的应急储备。

需要更新的其他项目文件包括假设条件日志、技术文件和变更请求等。

排序

假设含n个记录的文件内容为｛R₁，R₂，…，R_n｝，其相应的关键字为｛k₁，k₂，…，k_n｝。经过排序确定一种排列｛R_j₁，R_j₂，…，R_jn｝，使得它们的关键字满足如下递增（或递减）关系：k_j₁≤k_j₂≤…≤k_jn（或k_j₁≥k_j₂≥…≥k_jn）。

题号导航 2023年下半年信息系统项目管理师上午试卷综合知识（第三批）

本试卷我的完整做题情况



	第1题在手机中做本题