風險評估

風險評估通常包含兩個方面：風險的發現和風險的排序。風險的發現主要指列出項目中所有可能的風險。基本上說，所有會把項目引入歧途的那些事情都要想到。在風險的排序中，需要考慮風險的方方面面，并為它們排定優先級別。盡管這是兩項不同的工作，但是往往需要同時進行。就是說，一個項目經理往往會同時識別和分析風險。

風險識別

對于一個項目來說，任何的條件，情形，甚至說有可能發生的任何危及項目成敗的事情都會形成風險。因而識別風險本身就是對你的“不祥預感”的一種練習。風險清單、調查問卷、會議、頭腦風暴、評價計劃和進程、施工文檔等都會給風險的識別帶來幫助。列出頻繁暴發的風險可能是最為常見的一種風險識別手段。SEI(是什么？）也提供了一種風險分類法來促進風險的識別。

在Infosys中，那些常常發生的風險通常被積累起來。然后以這個風險列表作為本項目風險識別的開端。時不時地，本項目的風險也會加入到風險的積累中。

項目經理可以使用一些輔助的工具來從風險數據庫中檢索到類似的項目所包含的那些風險。參考以前的風險，也往往能激發管理者發現那些與此項目有關，但是又沒有出現在風險檔案中的那些風險。

項目經理可以通過他們的判斷和經驗來估算當前形勢，進而發現潛在風險。另外也可以通過評論項目管理計劃、召開座談會等形式來從別人那里取得一些見解。

風險的優先級排定

識別風險只是給出了那些有可能危及項目目標的事件。風險的后果卻是各不相同的。在你將要進行下一步的風險管理之前，你必須為它們排定優先級順序，這樣管理資源才能夠集中于那些事實上更為重要的風險。

要排定優先級，就要分析當事情確實發生時，都會產生哪些影響。就是說，風險一旦到了眼前，對項目而言會產生哪些損失？損失的表現形式會很直接，比如失去了商業機會，比如使得員工士氣低落，等等。基于這些，你就可以計算風險曝光數據，通過這個數據，排定風險的順序。

這是一種“量化”的評估，而它正是基于風險的可能性和風險的后果。通常，很少有歷史數據來幫助你得出這個量化的結論。因為風險總是“有可能”發生的，這就是說 ，他們發生得不頻繁，所以有關風險真正發生時的數據的收集也很困難。進一步講，即使有這樣的數據，也需要考慮到有關的情形。因為無論如何它們總是處于一種“管理”之下。這個事實暗示著風險的優先級排定更多的是基于經驗的。在Infosys中，風險的發生機率被劃分為低、中、高。下圖給出了這種劃分所對應的界限。

要為風險的影響劃定級別，你就必須選用一組壓力指數。為了簡化管理，Infosys項目經理把風險的壓力指數按照1到10進行劃分。基于這種形式，風險又被劃分為低，中，高，最高。下圖給出了它們的分布關系。

有了這些規則和范圍，可以通過下面的方法來為風險進行簡單排序：

1、對于每一個風險，基于發生的可能性，分別標記上低，中，高。如果必要的話，為它們也指定好風險發生可能性的指標值。

2、對每一個風險，用低，中，高，很高來標記它們對于項目的壓力。如果必要的話，為它們標記壓力指標值。

3、依照風險的可能性，風險的影響來進行優先級順序的排列。比如一個發生概率為高，危害也為高的風險的等級應當比發生概率為中，危害為高的風險的等級要高。一旦有沖突，動用你的判斷力來決定（這個時候，指標值就起作用了）。

4、選擇位置最高的幾個風險進行跟蹤和控制。

這里對于風險優先級別的評定只是讓你集中管理那些等級高的風險，但是如果你想進行一些費用上的分析，它不會給你提供多少幫助。因為這個風險的評級是基于“規模”而不是“價值（有關錢的）”，你無法通過這種方法來測算財政上面預期的損失。進而你也無法從錢的角度來考慮對于一個風險的預防策略是否值得。當然這些考慮也是不必要的。難道你打算從風險管理中賺些錢嗎？另一方面，如果你真的要考慮對于一個風險的管理在財政上來講是否合適，你就必須知道，財政上的壓力也會帶來風險。