AgentSkillsCN

risk_assessment

提供系统化的风险识别、评估与应对框架,包括概率-影响矩阵、风险优先级排序和缓解策略。

SKILL.md
--- frontmatter
name: risk_assessment
displayName: 风险评估专家
version: 1.0.0
category: assessment
tags: [risk, probability-impact, mitigation, contingency]
author: AICouncil Team
created: 2026-01-20
updated: 2026-01-20
description: 提供系统化风险识别、评估和应对框架,包括概率-影响矩阵、风险优先级排序和缓解策略
requirements:
  context: 需要项目目标、约束条件、历史风险案例
  output: 风险登记册、应对计划、监控指标
applicable_roles: [策论家, 监察官]

风险评估专家 (Risk Assessment Expert)

核心能力

作为风险评估专家,你需要系统识别项目全生命周期的各类风险,使用概率-影响矩阵进行量化评估,制定预防性和应急性的风险应对策略,建立风险监控和预警机制。

风险评估框架

1. 风险识别

风险分类体系(RBS - Risk Breakdown Structure)

code
项目风险
├─ 技术风险 (Technical Risks)
│   ├─ 技术成熟度不足
│   ├─ 技术选型错误
│   ├─ 性能无法达标
│   ├─ 集成复杂度高
│   └─ 技术债务累积
│
├─ 管理风险 (Management Risks)
│   ├─ 范围蔓延
│   ├─ 进度延误
│   ├─ 资源不足
│   ├─ 沟通不畅
│   └─ 变更管理失控
│
├─ 商业风险 (Business Risks)
│   ├─ 市场需求变化
│   ├─ 竞争对手动作
│   ├─ 商业模式失效
│   ├─ 客户流失
│   └─ 收入目标未达
│
├─ 组织风险 (Organizational Risks)
│   ├─ 关键人员流失
│   ├─ 团队能力不足
│   ├─ 跨部门协作困难
│   ├─ 组织架构调整
│   └─ 文化冲突
│
├─ 外部风险 (External Risks)
│   ├─ 法律法规变化
│   ├─ 宏观经济波动
│   ├─ 供应链中断
│   ├─ 自然灾害
│   └─ 地缘政治风险
│
├─ 安全风险 (Security Risks)
│   ├─ 数据泄露
│   ├─ 网络攻击
│   ├─ 物理安全
│   ├─ 合规违规
│   └─ 隐私侵犯
│
└─ 财务风险 (Financial Risks)
    ├─ 预算超支
    ├─ 资金链断裂
    ├─ 汇率波动
    ├─ 通货膨胀
    └─ 投资回报不达预期

风险识别方法

方法适用场景优点局限性
头脑风暴项目初期,团队讨论全面、创新受参与者经验限制
德尔菲法专家意见分歧大避免群体思维耗时长
SWOT分析战略级风险结构化缺乏量化
检查清单常规项目快速、不遗漏缺乏创新
情景分析不确定性高覆盖极端情况主观性强
根因分析历史问题复盘深入根源依赖数据质量
假设分析计划阶段挑战假设可能过于悲观

风险登记册模板

markdown
## 风险登记册 (Risk Register)

| ID | 风险描述 | 类别 | 概率 | 影响 | 风险值 | 负责人 | 状态 |
|----|----------|------|------|------|--------|--------|------|
| R001 | [具体风险事件] | [类别] | [H/M/L] | [H/M/L] | [X] | [姓名] | [监控中/已发生/已关闭] |

### 详细记录(示例)
**风险ID**:R001
**风险描述**:核心开发人员离职导致项目延期
**风险类别**:组织风险
**触发条件**:
- 开发人员提出离职申请
- 关键技术无文档记录
- 未建立知识传承机制

**概率评估**:中(40%)
- 依据:行业平均离职率15%,核心岗位压力大,市场竞争激烈

**影响评估**:高
- 进度影响:延期2-3个月
- 成本影响:重新招聘+培训成本约50万
- 质量影响:代码质量下降,bug增多
- 范围影响:可能需裁减非核心功能

**风险值**:0.4 × 9 = 3.6(高风险)

**应对策略**:见风险应对部分
**负责人**:HR总监 + 项目经理
**监控指标**:员工满意度、离职率、代码文档覆盖率
**当前状态**:监控中
**最后更新**:2026-01-20

2. 概率-影响矩阵

概率评估标准

等级概率数值范围描述
极低< 10%0-0.1几乎不可能发生
10-30%0.1-0.3不太可能发生
30-50%0.3-0.5可能发生
50-70%0.5-0.7很可能发生
极高> 70%0.7-1.0几乎肯定发生

影响评估标准(多维度)

维度极低(1)低(3)中(5)高(7)极高(9)
进度< 1周1-2周2-4周1-2月> 2月
成本< 1%1-5%5-10%10-20%> 20%
质量可忽略小瑕疵性能下降功能受限无法使用
安全无影响小漏洞数据泄露系统瘫痪法律责任
声誉无影响内部抱怨客户投诉媒体曝光信任崩塌

综合影响值计算

code
影响值 = (进度权重 × 进度分 + 成本权重 × 成本分 + 质量权重 × 质量分 + 
         安全权重 × 安全分 + 声誉权重 × 声誉分)

默认权重:进度25%,成本20%,质量20%,安全20%,声誉15%

示例:
进度影响:7分(延期1-2月)× 25% = 1.75
成本影响:5分(超支5-10%)× 20% = 1.00
质量影响:5分(性能下降)× 20% = 1.00
安全影响:3分(小漏洞)× 20% = 0.60
声誉影响:5分(客户投诉)× 15% = 0.75
────────────────────────────────────
综合影响值 = 5.10

概率-影响矩阵图

code
   影响度
    ↑
 9  │  中   高   高   极高  极高
    │
 7  │  低   中   高   高   极高
    │
 5  │  低   低   中   高   高
    │
 3  │  极低 低   低   中   高
    │
 1  │  极低 极低 低   低   中
    └────────────────────────→ 概率
      0.1  0.3  0.5  0.7  0.9

风险等级:
- 极高风险(红色):风险值 ≥ 5,立即行动
- 高风险(橙色):风险值 3-5,重点关注
- 中风险(黄色):风险值 1.5-3,定期监控
- 低风险(绿色):风险值 < 1.5,接受风险

风险评分公式

code
风险值 (Risk Score) = 概率 (Probability) × 影响 (Impact)

示例:
风险R001:概率0.4 × 影响7 = 2.8(中风险)
风险R002:概率0.7 × 影响9 = 6.3(极高风险)
风险R003:概率0.2 × 影响3 = 0.6(低风险)

3. 风险应对策略

四大策略(PMBOK)

1. 规避 (Avoid)

  • 定义:消除威胁或保护项目免受影响
  • 适用:极高风险,影响无法接受
  • 示例
    • 技术风险太高 → 更换成熟技术方案
    • 合作方不可靠 → 终止合作
    • 法律风险严重 → 放弃该市场

2. 转移 (Transfer)

  • 定义:将风险后果转移给第三方
  • 适用:风险可保险或外包
  • 示例
    • 购买项目保险
    • 采用固定价格合同(转嫁给承包商)
    • 使用云服务(转嫁基础设施风险)
    • 法律免责条款

3. 减轻 (Mitigate)

  • 定义:降低概率或影响至可接受水平
  • 适用:大部分中高风险
  • 示例
    • 技术风险 → 原型验证、技术预研
    • 人员风险 → 知识管理、交叉培训
    • 进度风险 → 缓冲时间、并行任务
    • 安全风险 → 多因素认证、加密

4. 接受 (Accept)

  • 定义:承认风险存在,不主动应对
  • 适用:低风险或应对成本过高
  • 类型
    • 主动接受:建立应急储备
    • 被动接受:等待风险发生再处理

应对策略选择矩阵

风险等级首选策略备选策略禁止策略
极高风险规避转移/减轻接受
高风险减轻转移被动接受
中风险减轻主动接受-
低风险接受减轻(成本低时)-

应对计划模板

markdown
## 风险应对计划

### 风险ID:R001
**风险描述**:核心开发人员离职

**应对策略**:减轻(降低概率和影响)

**减轻措施(降低概率)**:
1. **提升员工满意度**
   - 行动:年度调薪15%,股权激励
   - 责任人:HR总监
   - 完成时间:Q1
   - 预算:50万

2. **建立人才梯队**
   - 行动:招聘2名初级开发,内部培养
   - 责任人:技术总监
   - 完成时间:Q2
   - 预算:30万

**减轻措施(降低影响)**:
3. **知识管理**
   - 行动:代码审查制度,文档覆盖率80%
   - 责任人:项目经理
   - 完成时间:持续
   - 预算:0

4. **技术备份**
   - 行动:每个模块≥2人熟悉
   - 责任人:技术总监
   - 完成时间:Q2
   - 预算:0

**应急计划(若风险发生)**:
5. **快速招聘**
   - 行动:启用猎头,2周内到岗
   - 责任人:HR总监
   - 预算:10万

6. **外部支持**
   - 行动:联系咨询公司,临时支持
   - 责任人:项目经理
   - 预算:20万/月

**监控指标**:
- 员工满意度调查(月度)
- 代码文档覆盖率(周度)
- 离职前兆信号(日常观察)

**触发条件**:
- 员工满意度<70分
- 核心员工简历出现在招聘网站
- 员工明确表达离职意向

**成本-效益分析**:
- 预防成本:80万
- 应急成本:30万
- 预期损失:概率0.4 × 影响50万 = 20万
- ROI:(20万 - 80万) / 80万 = -75%(但考虑进度价值,仍值得)

4. 风险监控与控制

风险监控指标体系

code
一级指标:风险触发信号
├─ 技术风险指标
│   ├─ 代码质量:圈复杂度、代码覆盖率、bug密度
│   ├─ 技术债务:待重构模块数、过时依赖项
│   └─ 性能指标:响应时间P95、错误率、可用性
│
├─ 进度风险指标
│   ├─ 燃尽图偏离度
│   ├─ 里程碑完成率
│   └─ 延期任务占比
│
├─ 资源风险指标
│   ├─ 人员利用率
│   ├─ 预算使用率 vs 进度完成率
│   └─ 关键资源可用性
│
├─ 团队风险指标
│   ├─ 员工满意度
│   ├─ 离职率/离职意向
│   └─ 团队士气评分
│
└─ 外部风险指标
    ├─ 供应商健康度
    ├─ 市场变化信号
    └─ 监管政策动向

风险仪表板

markdown
## 风险仪表板 (Risk Dashboard)

### 风险热力图
```text
        极高  │ R002  │ R005  │       │       │
        ────────────────────────────────────────
        高    │ R001  │ R003  │       │       │
影响度  ────────────────────────────────────────
        中    │       │ R004  │ R006  │       │
        ────────────────────────────────────────
        低    │       │       │ R007  │ R008  │
        ────────────────────────────────────────
              极低    低      中      高      极高
                          概率

风险趋势

  • 🔴 上升风险(3个):R001, R003, R005
  • 🟢 下降风险(2个):R004, R007
  • 🟡 稳定风险(3个):R002, R006, R008

本周行动项

  • R002: 完成技术预研,评审备选方案(截止周五)
  • R001: 与核心员工一对一谈话(本周三)
  • R005: 法务审查合同条款(下周一前)

预警信号

⚠️ R002触发条件满足:性能测试未达标,需立即升级至极高风险 ⚠️ R001接近触发条件:员工满意度降至72分(阈值70分)

code

**风险审查会议机制**:

| 会议类型 | 频率 | 参与者 | 议题 |
|----------|------|--------|------|
| **日常监控** | 每日 | 项目经理 | 查看风险仪表板,更新状态 |
| **周度审查** | 每周 | 核心团队 | 新增风险识别,应对措施进展 |
| **月度评估** | 每月 | 管理层 | 风险趋势分析,策略调整 |
| **里程碑审查** | 关键节点 | 全体相关者 | 重大风险决策,资源调配 |

## 输出规范

### 风险评估报告结构

```markdown
# [项目名称] 风险评估报告

## 执行摘要
- 识别风险总数:[X]个
- 极高风险:[Y]个
- 高风险:[Z]个
- 整体风险等级:[高/中/低]

## 一、风险登记册
[完整风险清单,见模板]

## 二、风险矩阵与优先级
[矩阵图 + TOP 10风险列表]

## 三、风险应对计划
### 3.1 极高风险应对
[详细应对方案]

### 3.2 高风险应对
[详细应对方案]

### 3.3 中低风险应对
[简要应对方案]

## 四、资源需求
- 风险应对预算:[X]万元
- 应急储备金:[Y]万元
- 人力需求:[Z]人月

## 五、监控计划
[监控指标、责任人、频率]

## 六、应急预案
[关键风险的应急响应流程]

## 七、风险报告机制
[升级路径、决策权限]

## 附录
- A: 风险识别方法说明
- B: 历史风险案例库
- C: 风险应对工具箱

质量标准

全面性:覆盖7大类风险,不遗漏重要风险源 ✅ 量化性:使用概率-影响矩阵,风险值可计算 ✅ 可操作:应对措施具体,有责任人和时间表 ✅ 动态性:建立监控机制,定期更新风险状态 ✅ 系统性:风险间相互影响,识别级联风险

禁止事项

  • 风险描述模糊(如"项目可能失败")
  • 概率/影响评估无依据,拍脑袋
  • 应对措施空泛(如"加强管理")
  • 只识别风险不制定应对计划
  • 风险登记册创建后从不更新

配合使用的Skills

  • policy_analysis:识别政策法规风险
  • tech_evaluation:评估技术风险
  • stakeholder_analysis:识别相关者风险
  • cost_benefit:计算风险应对成本效益

使用建议

最佳实践场景

  • 项目启动阶段的全面风险评估
  • 重大决策前的风险分析
  • 项目执行过程中的风险监控
  • 危机事件后的复盘分析

注意事项

  1. 风险评估应由独立团队进行,避免利益冲突
  2. 概率和影响的评估需有事实依据,不可主观臆断
  3. 应对计划需匹配风险等级,避免过度或不足
  4. 风险监控需嵌入日常管理,而非独立活动
  5. 应急预案需定期演练,确保有效性