實施任何項目都有風險，即在企業(yè)投入相應資源后沒有如期實現(xiàn)項目目標。出現(xiàn)項目風險的根源在于，在項目實施過程中會發(fā)生很多意想不到的某些事件，這些事件導致實際結果偏離預期目標。和工程項目相比，信息化項目的實施風險更大，因為信息化項目是看不見、摸不著的項目。如何規(guī)避信息化項目的風險呢？

　　項目風險管理，就是在項目實施過程中對項目可能出現(xiàn)的問題進行主動而系統(tǒng)的識別、評估并及時采取相應的應對措施和行動，減少風險帶來的損失。風險管理由風險識別、風險評估和風險應對三個部分組成。

　　風險識別

　　風險識別就是確定風險事件及其來源。由于風險的不確定性，風險識別實際上只能算是一種預測分析，是對可能會給項目目標實現(xiàn)帶來負面影響的環(huán)節(jié)和因素所進行的假想。目的是做到有備無患，當實際風險發(fā)生時能有效應對。

　　需要注意的是，風險識別將貫穿于項目實施的全過程，而不僅僅是項目的開始階段。風險因素可能來自需求、技術、資金、實施方等各個方面，但項目實施最根本的目標是實現(xiàn)項目的期望，因此風險識別也應重點關注影響項目期望的因素。同時在風險識別過程中，也需要辯證地分析風險因素的負面效應（即風險帶來的威脅）和正面效應（即潛在的機會）。

　　具體的項目風險識別方法，主要有：

　?、?頭腦風暴法，就是由項目小組成員在一起，反復假設“如果……，那就會……”，充分預測信息化項目中出現(xiàn)的各種情況，從而盡可能多的找出影響項目成功實施的因素。

　?、?專家判斷法，即請教擅長信息化項目實施的專家、學者、教授，經(jīng)驗豐富的項目經(jīng)理、實施顧問等，從理論與實踐多方面來判斷項目風險因素的正面效應和負面效應。

　?、?調(diào)查問卷法，即事先設計相應的表格、問卷，然后選取特定的調(diào)查對象，然后總結出項目的風險；另外，詢問項目組成員也非常有幫助，問問他們以前做過的項目里曾發(fā)生過哪些意料不到的問題。也許管理部門又提出了新的優(yōu)先項目，也許最好的成員突然不能參加進來了，也許預算減少了，也許其中的一項任務完成拖期了，也許另一個小組超出了預算，或者也許出現(xiàn)了未預見到的技術問題……要把進度（包括可能延誤項目的因素）、人員（包括威脅到位的因素）、財務（包括威脅預算的因素）以及范圍（包括導致最終產(chǎn)品的難以完成的因素）等各方面的風險一一區(qū)分開來。

　?、?經(jīng)驗總結法，就是借助以往企業(yè)信息化項目實施的經(jīng)驗教訓，來類推、聯(lián)想這個信息化項目中的風險因素。

　?、?理論分析法，即通過建立數(shù)學模型等方法從理論上來分析信息化項目的風險，比如決策樹、敏感性分析、蒙特卡羅模擬等。

　　風險評估

　　風險評估又稱作風險量化，就是比較風險的大小，從而決定是否需要采取相應的應對措施。風險評估的方法很多，歸納起來主要包括以下幾種：用風險發(fā)生的概率來評估風險發(fā)生的可能性；用風險帶來的損失來評估風險發(fā)生的嚴重性；用現(xiàn)有的手段能否控制風險的發(fā)生來評估風險發(fā)生的可控性；用風險影響的地域大小、對象多少等來評估風險影響的范圍；用風險發(fā)生在項目生命周期的階段來評估風險發(fā)生的時間。

　　實際項目風險管理過程中，常常用逐項評分的方法來量化風險的大小，即事先確定評分的標準，然后由項目小組一起，對預先識別的項目風險一一打分，然后得出不同風險的大小。

　　例如，可以從1到10分的等級來評估風險，如果項目小組在評估發(fā)生資金短缺的風險時，認為它非常不可能發(fā)生，得3分，但是一旦發(fā)生后果則非常嚴重，得9分；而且資金短缺，項目小組很難控制，得8分，然后把三個分數(shù)相乘，即得到該風險的風險級別。風險級別越高，表示風險越大，需要項目小組制定相應的措施認真對待。