リスクとは、一般的に脅威の事であるが、プロジェクトマネジメントでも、一般のビジネスと同じで、それを単なる目標にとってのマイナス要因としてだけ認識するのではなく、プラス要因というように看做す事も重要である。脅威と好機は表裏一体の関係にある。
PMBOKではプロジェクト・リスク・マネジメントを「リスクマネジメント計画」、「リスク識別」、「定性的リスク分析」、「定量的リスク分析」、「リスク対応計画」、「リスクの監視・コントロール」の6つのプロセスで定義している。
「リスクマネジメント計画」では、プロジェクトのリスクマネジメント活動に対する取り組みの方針や役割・責任、リスクの許容範囲、リスクマネジメントで用いるドキュメントなどのリスクマネジメントを行う前提条件を定義するプロセスと言える。具体的なリスク対応方法は「リスク対応計画」で定義する。
「リスク識別」は、リスクマネジメントするリスクをターゲットとして特定していくプロセスと言える。したがってできるだけの多くの人間でリスクを考えること(たとえばSWOT分析などが有効となる)や、過去の類似のプロジェクト失敗例などから多くの情報を集めることが重要となる。そして集めた想定リスクはその後の分析プロセスに備えて、仕分け区分して整理する。
「定性的リスク分析」と「定量的リスク分析」は、前プロセスで洗い出されたリスクを評価するプロセスである。ここでは個々のリスクへの評価は、リスクの「発生確率」と発生したときの「影響度」の2つの次元で評価する。「発生確率」、「影響度」はそれぞれ尺度を取り決め、各リスクを点数化して評価する。またそれぞれのリスクはプロジェクト総合リスク・ランキングという形で整理しておく。一方個々のリスクはその状態を明確にする基準を定めて対応の優先順序を取り決めておくことも重要となる。(リスクの優先順位リスト)
「定性的リスク分析」の結果、発生確率や影響度の特に高いリスクに対しては、さらにモンテカルロ法などの各種確率・統計的手法を用いて詳細に分析する「定量的リスク分析」を行うようにする。
「リスク識別」やその分析で大切なことは、スタート時点で一回だけ行うのではなく、プロジェクトの進行過程でも繰り返し行うということである。それはリスクはプロジェクト内外の状況変化や環境変化で生まれてくる、一種の生き物のようなものだからである。