「リスク対応計画」は、その前の「リスク識別」、「定性的リスク分析」、「定量的リスク分析」のプロセスを通して評価・特定化された具体的なリスクに対して、それぞれのリスクへの対応方法を計画するプロセスである。ここではプロジェクトにとって好機を増やし、脅威を減らすというプラス、マイナスの両面の支店から選択肢を考える。またこの中にはプロジェクトステークホルダー全員が合意した、リスク対応に責任を持つチームや個人などの責任主体を明確にすることも含まれる。
対応方法は具体的かつ行動的に計画されるべきであるが、対応方法の性格としては以下のような種類がある。
「回避」;リスクの影響を取り除くために、プロジェクト計画を変更する方法。
「転嫁」;リスクそのものに直接対処するのではなく、リスクを第三者に転嫁する方法。
「軽減」;リスクの影響を受容範囲に収まるよう調整する手立てを講じる方法。リスクに対して各種の予防策を実施するなどの方法。
「受容」;そのリスクをありのままに受け入れる対処の仕方。通常はそれが起きてしまったときに対処するためのコンティンジェンシープラン(不測の事態への想定・対応計画)を立てておく。これはリスクそのものをコントロールするわけではないが、それが起きたときにプロジェクトが被る損害を最小限にする効果を狙うものである。一般的にはその損害許容額を算出して予備として組み込むなどの方法がある。
「リスクの監視・コントロール」では、認識されているリスクを監視し、プロジェクトが進行するにしたがって新たに生じてくるリスクを特定する活動を継続的に行う行動と、リスクのトリガーの発生を確認し、速やかに対応戦略を実行してリスクをコントロールする行動の二つに分かれる。このプロセスを確実に実行できるためには、プロジェクトのステークホルダー間のコミュニケーションが重要な要素となる。
そもそもプロジェクトはその性格から言ってリスクの塊と言える。よってプロジェクトにおけるリスクマネジメントとはリスクを素直に認識して、それに対し対策を考え、いかにコントロールするかというポジティブな考えで実施されるべきである。仮にそれをリスクテイクしないためのマネジメントとか、より安全にリスクを回避するだけの、いわばヘッジだけのマネジメントというとらえ方をすると自己矛盾に陥ることになる。