項目風險評估是在風險識別之后，通過對項目所有不確定性和風險要素的充分、系統(tǒng)而又有條理的考慮，確定項目的單個風險。然后，對項目風險進行綜合評價。它是在對項目風險進行規(guī)劃、識別和估計的基礎上，通過建立風險的系統(tǒng)模型，從而找到該項目的關鍵風險，確定項目的整體風險水平，為如何處置這些風險提供科學依據(jù)，以保障項目的順利進行。

風險評估的基礎是首先要對以下幾項內容進行估計：風險事件發(fā)生的可能性大小；可能的結果范圍和危害程度；預期發(fā)生的時間；一個風險因素所產(chǎn)生的風險事件的發(fā)生頻率。常用的方法工具包括：風險可能和危害分析等級矩陣、項目假定測試(project assumptions testing)、數(shù)據(jù)精度分級(data precision ranking)。

(1)風險可能和危害分析等級矩陣。風險的大小是由兩個方面決定的，一是風險發(fā)生的可能性，另一個是風險發(fā)生后對項目目標所造成的危害程度，對這兩方面，可以用一些定性的描述詞分別進行描述，如“非常高的”、“高的”、“適度的”、“低的”和“非常低的”等。

(2)項目假定測試。風險評估中的項目假定測試是一種模擬技術，它是分別對一系列的假定及其推論進行測試，進而發(fā)現(xiàn)風險的一些定性信息。

(3)數(shù)據(jù)精度分級。風險估計需要準確的、不帶偏見的有益于管理的數(shù)據(jù)，數(shù)據(jù)精度分級就是應用于這方面的一種技術，它可以估計有關風險的數(shù)據(jù)對風險管理有用的程度。它包括如下的方面：風險的了解范圍；有關風險的數(shù)據(jù)；數(shù)據(jù)的質量；數(shù)據(jù)的可信度和真實度等。

項目管理的本質是計劃、預測、預算和估算，這都表明了項目中的確定因素是很少的。因此，要決定項目的不確定性就需要考慮項目的方方面面。但這是非常不切實際的，因為評估需要的成本和時間是有限的，因此，一般需要保證的是，風險評估的對象必須是那些在項目中受到最嚴重的約束和具有最大不確定性的地方。另外，需要強調的是，這個評估的過程事實上是反復的，只有當評估者和項目經(jīng)理都認為所有未發(fā)現(xiàn)的風險都是無關緊要的時候，風險評估才能完成。評估過程允許風險承擔者定義風險類型?？梢愿鶕?jù)概率和影響，或者根據(jù)安全措施和冒險。影響表示的是作用于預算、項目完成時間表、工作質量或者項目安全性的影響的嚴重程度。風險發(fā)生的概率及風險影響的程度究竟是高還是低，是風險評估者和項目經(jīng)理所關心的問題。

要讓所有的事情都去掉主觀性是很困難的，但是實踐和經(jīng)驗可以提高項目經(jīng)理預測風險的概率和影響的能力。通常的風險評估過程都由以下六個基本步驟構成。

(1)評估所有的方法。所有不同的方法都應該考慮到，所有影響風險的因素都必須考慮。頭腦風暴法或其他的風險識別方法應該使用得透徹，所有可能影響風險發(fā)生的因素都應該考慮到。

(2)考慮風險態(tài)度。決策者的風險態(tài)度是需要重點考慮的。不同的人會用不同的態(tài)度估計風險，并且使用同樣的數(shù)據(jù)做出不同的決定。一些決策者，與其他的決策者相比較，或多或少是厭惡風險的，并且會根據(jù)給定的數(shù)據(jù)，對風險的發(fā)生和影響做出不同的主觀評估。

(3)考慮風險的特征。風險是否已經(jīng)識別、它們是否可控和它們的影響將會怎樣，這些都是需要考慮的?？刂埔呀?jīng)識別(例如內部可控的)的風險而不是其他的(例如外部不可控的)風險，這是可能的。所有可能的風險特征都需要識別。

(4)建立測量系統(tǒng)。風險需要用定量或定性(或綜合的)方法測量和評估。一些方法是使用已經(jīng)建立的模型，這些模型輸入了風險的特征和風險面臨的情況，這樣，根據(jù)歷史經(jīng)驗就可以做出預測。

(5)解釋結果。測量中生產(chǎn)的數(shù)據(jù)需要解釋。這種解釋同樣也有定性的或定量的。測量過程的結果給預測和可能的結果提供了一種暗示，但是這些仍需要解釋。兩個不同的解釋人員可能用的是同樣的數(shù)據(jù)和結果，但他們所做的評價卻不相同。解釋可能會根據(jù)觀察到的數(shù)據(jù)用外推法對未來的結果做出預測。

(6)做決策。整個過程的最后階段需要決定哪些風險會保留，哪些風險要轉移出去。風險是否保留取決于組織的實際情況和決策者的態(tài)度。

(一)已識別的風險

已識別的科技計劃項目風險是項目風險評估的基礎。

(二)項目的進展情況

在項目的不同階段，所面臨的風險程度是不同的。一般來說，隨著項目的進展，項目的風險和不確定性就會逐步降低。

(三)項目的性質和規(guī)模

由于各科技計劃項目的性質不同，風險對其影響程度也不一樣。一般來說，較小的科技計劃項目風險程度較低，大型、復雜的項目或高新技術項目的風險程度則會比較高。

(四)數(shù)據(jù)的準確性和可靠性

數(shù)據(jù)的準確性和可靠性都會影響項目風險評估的結果，所以要對數(shù)據(jù)的準確性和可靠性進行評估。

項目風險評估一般有定性和定量兩種方法。在項目管理實踐中，將專家和項目管理人員的估計與有限數(shù)據(jù)相結合，成為項目風險評估中運用較多的方法。在項目風險評估中，采用何種方法，取決于項目風險的來源、發(fā)生的概率、風險的影響程度和管理者對風險的態(tài)度。

(一)定性風險評估

1．歷史資料法

在項目情況基本相同的條件下，通過觀察各個潛在的風險在長時期內已經(jīng)發(fā)生的次數(shù)，就能估計每一可能事件發(fā)生的概率，這種估計是基于每一事件過去已經(jīng)發(fā)生的頻率。

2．理論概率分布法

當項目的管理者沒有足夠的歷史信息和資料來確定項目風險事件的概率時，可根據(jù)理論上的某些概率分布來補充或修正，從而建立風險的概率分布圖。

常用的風險概率分布是正態(tài)分布，正態(tài)分布可以描述許多風險的概率分布，如交通事故、財產(chǎn)損失、加工制造的偏差等。除此之外，在風險評估中常用的理論概率分布還有離散分布、等概率分布、階梯形分布、三角形分布和對數(shù)正態(tài)分布等。

3．主觀概率

由于項目的一次性和獨特性，不同項目的風險往往存在差別。因此，項目管理者在很多情況下要根據(jù)自己的經(jīng)驗，去測度項目風險事件發(fā)生的概率或概率分布，這樣得到的項目風險概率被稱為主觀概率。主觀概率的大小常常根據(jù)人們長期積累的經(jīng)驗、對項目活動及其有關風險事件的了解而估計。

4．風險事件后果的估計

風險事故造成的損失大小要從三個方面來衡量：風險損失的性質、風險損失范圍的大小和風險損失的時間分布。

(二)定量風險評估

定量風險評估包括訪談法、盈虧平衡分析、敏感性分析、決策樹分析和非肯定型決策分析。

項目風險評估最重要的結果就是量化了的項目風險清單。該清單綜合考慮了項目風險發(fā)生的概率、風險后果的影響程度等因素，因此項目承擔單位可依此對項目風險進行排序，從而確定采取什么樣的風險應對措施以及控制措施應實施到什么程度。

項目風險清單一般可包括以下內容：

①項目風險發(fā)生概率的大小。

②項目風險可能影響的范圍。

③對項目風險預期發(fā)生時間的估算。

④項目風險可能產(chǎn)生的后果。

⑤項目風險等級的確定。

項目風險可分為四個等級：

a．災難級——這類等級的風險必須立即予以排除。

b．嚴重級——這類風險會造成項目偏離目標，需要立即采取控制措施。

C．輕微級——暫時不會對項目產(chǎn)生危害，但也要考慮采取應對措施。

d．忽略級——這類風險可以忽略，不采取控制措施。