实施定性风险分析是评估并综合分析风险的概率和影响，对风险进行优先排序，从而为后续分析或行动提供基础的过程。本过程的主要作用是，使项目经理能够降低项目的不确定性级别，并重点关注高优先级的风险。图11-8描述本过程的输入、工具与技术和输出，图11-9是本过程的数据流向图。

图11-8 实施定性风险分析：输入、工具与技术和输出

图11-9 实施定性风险分析的数据流向图

实施定性风险分析根据风险发生的相对概率或可能性、风险发生后对项目目标的相应影响及其他因素（如应对时间要求，与项目成本、进度、范围和质量等制约因素相关的组织风险承受力），来评估已识别风险的优先级。这类评估会受项目团队和其他干系人的风险态度的影响。因此，为了实现有效评估，就需要清晰地识别和管理实施定性风险分析过程的关键参与者的风险处理方式。如果他们的风险处理方式会导致风险评估中的偏颇，则应该注意对偏颇进行分析与纠正。

建立概率和影响层级的定义，有助于减少偏见的影响。风险行动的时间紧迫性可能会放大风险的重要性。对项目风险相关信息的质量进行评估，也有助于澄清关于风险重要性的评估结果。

实施定性风险分析通常可以快速且经济有效地为规划风险应对建立优先级，可以为实施定量风险分析（如果需要的话）奠定基础。需要根据项目风险管理计划的规定，在整个项目生命周期中定期开展实施定性风险分析过程。本过程完成后，可进入实施定量风险分析过程（见11.4节）或直接进入规划风险应对过程（见11.5节）。

11.3.1 实施定性风险分析：输入

11.3.1.1 风险管理计划

见11.1.3.1节。风险管理计划中用于定性风险分析过程的主要部分包括风险管理的角色和职责、风险管理的预算和进度活动、风险类别、概率和影响的定义、概率和影响矩阵及修订的干系人风险承受力。在规划风险管理过程中通常已经把这些内容裁剪成适合某具体项目。如果还没有这些内容，则可以在实施定性风险分析过程中加以开发。

11.3.1.2 范围基准

见5.4.3.1节。常规或反复性项目的风险往往比较容易理解；而采用创新或最新技术且极其复杂的项目，不确定性往往要大得多。可通过查阅范围基准来评估项目情况。

11.3.1.3 风险登记册

见11.2.3.1节。风险登记册中包含了评估风险和划分风险优先级所需的信息。

11.3.1.4 事业环境因素

见2.1.5节。可以从事业环境因素中了解与风险评估有关的背景信息，例如：

 风险专家对类似项目的行业研究；

 可以从行业或专有渠道获得的风险数据库。

11.3.1.5 组织过程资产

见2.1.4节。能够影响实施定性风险分析过程的组织过程资产包括以往已完成的类似项目的信息。

11.3.2 实施定性风险分析：工具与技术

11.3.2.1 风险概率和影响评估

风险概率评估旨在调查每个具体风险发生的可能性。风险影响评估旨在调查风险对项目目标（如进度、成本、质量或性能）的潜在影响，既包括威胁所造成的消极影响，也包括机会所产生的积极影响。

对已识别的每个风险都要进行概率和影响评估。可以选择熟悉相应风险类别的人员，以访谈或会议的形式进行风险评估。应该包括项目团队成员和项目外部的经验丰富人员。

通过访谈或会议，评估每个风险的概率级别及其对每个目标的影响。还应记录相应的说明性细节，例如，确定风险级别所依据的假设条件。根据风险管理计划中的定义，对风险概率和影响进行评级。具有低级别概率和影响的风险，将列入风险登记册中的观察清单，供将来监测。

11.3.2.2 概率和影响矩阵

应该基于风险评级结果，对风险进行优先级排序，以便进一步开展定量分析和风险应对规划。通过对风险概率和影响的评估而确定风险评级。通常用查询表或概率和影响矩阵来评估每个风险的重要性和所需的关注优先级。根据概率和影响的各种组合，该矩阵把风险划分为低、中、高风险。描述风险级别的具体术语和数值取决于组织的偏好。

根据风险发生的概率及发生后对目标的影响程度，对每个风险进行评级。组织应该规定怎样的概率和影响组合是高风险、中等风险和低风险。在黑白矩阵里，用不同的灰度表示不同的风险级别。如图11-10所示，深灰色（数值最大）区域代表高风险，中度灰色（数值最小）区域代表低风险，而浅灰色（数值介于最大和最小之间）区域代表中等风险。通常，在项目开始之前，组织就要制定风险评级规则，并将其纳入组织过程资产。在规划风险管理过程中，应该把风险评级规则裁剪成适合具体项目。

        图11-10 概率和影响矩阵

如图11-10所示，组织可分别针对每个目标（如成本、时间和范围）评定风险等级。另外，也可制定相关方法为每个风险确定一个总体等级。最后，可以在同一矩阵中，分别列出机会和威胁的影响水平定义，同时显示机会和威胁。

风险值有助于指导风险应对。如果风险发生会对项目目标产生消极影响（威胁），并且处于矩阵高风险（深灰色）区域，就可能需要采取优先措施和激进的应对策略。而处于低风险（中度灰色）区域的威胁，可能只需要作为观察对象列入风险登记册，或为之增加应急储备，而不必采取主动管理措施。同样，处于高风险（深灰色）区域的机会，可能是最易实现且能够带来最大利益的，故应该首先抓住。对于低风险（中度灰色）区域的机会，则应加以监督。

11.3.2.3 风险数据质量评估

风险数据质量评估是评估风险数据对风险管理的有用程度的一种技术。它考察人们对风险的理解程度，以及考察风险数据的准确性、质量、可靠性和完整性。

使用低质量的风险数据，可能导致定性风险分析起不到应有的作用。如果数据质量无法接受，就可能需要收集更好的数据。收集相关风险信息经常比较困难，要消耗比原计划更多的时间和资源。图11-10示例中的数值具有代表性。通常，随着对组织的风险态度的确定，就能确定量表中的数值。

11.3.2.4 风险分类

可以按照风险来源（如使用风险分解结构）、受影响的项目工作（如使用工作分解结构）或其他有效分类标准（如项目阶段）对项目风险进行分类，以确定受不确定性影响最大的项目区域。风险也可以根据共同的根本原因进行分类。本技术有助于为制定有效的风险应对措施而确定工作包、活动、项目阶段，甚至项目中的角色。

11.3.2.5 风险紧迫性评估

可以把近期就需要应对的风险确定为更紧迫的风险。风险的可监测性、风险应对的时间要求、风险征兆和预警信号，以及风险等级等，都是确定风险优先级应考虑的指标。在某些定性分析中，可以综合考虑风险的紧迫性及从概率和影响矩阵中得到的风险等级，从而得到最终的风险严重性级别。

11.3.2.6 专家判断

为了确定风险在图11-10所示的矩阵中的位置，就需要使用专家判断来评估每个风险的概率和影响。专家通常是那些具有新近类似项目经验的人。专家判断经常可通过风险研讨会或访谈来获取。应该注意专家的偏见。

11.3.3 实施定性风险分析：输出

11.3.3.1 项目文件更新

可能需要更新的项目文件包括（但不限于）：

 风险登记册。随着定性风险评估产生出新信息，而更新风险登记册。更新的内容包括对每个风险的概率和影响评估、风险评级和分值、风险紧迫性或风险分类，以及低概率风险的观察清单或需要进一步分析的风险。

 假设条件日志。随着定性风险评估产生出新信息，假设条件可能发生变化。需要根据这些新信息来调整假设条件日志。假设条件可包含在项目范围说明书中，也可记录在独立的假设条件日志中。