风险管理，一般可以分成5个步骤，即风险识别、风险分析、风险计划、风险控制以及风险跟踪。

1.    风险识别

风险识别是试图用系统化的方法来确定威胁项目计划的因素。识别方法包括风险检查表、头脑风暴会议、流程图分析以及与项目人员面谈等。前两种方法是比较常用的。风险检查表建立在以前开发类似的项目中曾经遇到的风险基础上，比如开发时利用了某种技术，那么有过这种技术开发经验的个人或者项目组就能指出他们在利用这种技术时遇到过的问题；头脑风暴会议可以围绕项目中有可能会出现哪些范围、进度、成本和质量方面的问题这一议题展开，讨论和列举出项目可能出现的风险。对不同的项目应该具体问题具体分析，识别出真正可能发生在该项目上的风险事件。

2.    风险分析

 风险分析可以分为定性风险分析和定量风险分析。定性风险分析是评估已识别风险的影响和可能性的过程，以根据风险对项目目标可能的影响对风险进行排序。它在明确特定风险和指导风险应对方面十分重要。定量风险分析是量化分析每一风险的概率及其对项目目标造成的后果，同时也要分析项目总体风险的程度。

不同的风险发生后对项目造成的影响各不相同，主要有以下3个方面需要考虑：

l    风险的性质，即风险发生时可能产生的问题；

l    风险的范围，即风险的严重性及其总的分布；

l    风险的时间，即何时能感受到风险及风险维持多长时间。

据此确定风险估计的加权系数，得到项目的风险估计。然后通过对风险进行量化、选择和排序，可以知道哪些风险是必须要应对，哪些是可以接受，哪些是可以忽略。进行风险管理应该把主要精力集中在那些影响力大、影响范围广、概率高以及可能发生的阶段性的风险上。

3.    风险计划

制定风险行动计划，应考虑以下部分：责任、资源、时间、活动、应对措施、结果、负责人。建立示警的阈值是风险计划过程中的主要活动之一，阈值与项目中的量化目标紧密结合，定义了该目标的警告级别。

该阶段涉及到参考计划、基准计划和应急计划等不同类型的计划。

l    参考计划是用来与当前建议进行比较的参考点。

l    基准计划是建议的计划编制基础，是提出的项目实施的起始位置。

l    应急计划是建立在基准计划基础上的建议补充计划，包括启动意外情况应对措施的触发点。

在这一阶段有巩固与解释、选择与细化、支持与说服等特定的任务。

4.    风险控制方法

主要采用的应对方法有风险避免、风险弱化、风险承担和风险转移等。

l    风险避免：通过变更软件项目计划消除风险或风险的触发条件，使目标免受影响。这是一种事前的风险应对策略。例如，采用更熟悉更成熟的技术、澄清不明确的需求、增加资源和时间、减少项目工作范围、避免不熟悉的分包商等。

l    风险弱化：将风险事件的概率或结果降低到一个可以接受的程度，当然降低概率更为有效。例如，选择更简单的开发流程、进行更多的系统测试、开发软件原型系统、增加备份设计等。

l    风险承担：表示接受风险，不改变项目计划(或没有合适的策略应付风险)，而考虑发生后如何应对。例如制定应急计划、风险应变程序，甚至仅仅进行应急储备和监控，发生紧急情况时随机应变。在实际中，如软件项目正在进行中，有一些人要离开项目组，可以制定应急计划，保障有后备人员可用，同时确定项目组成员离开的程序，以及交接的程序。

l    风险转移：不去消除风险，而是将软件项目风险的结果连同应对的权力转移给第三方(第三方应知晓有风险并有承受能力)。这也是一种事前的应对策略，例如签订不同种类的合同，或签订补偿性合同等。

5.    风险跟踪

    在风险受到控制以后，我们要及时进行跟踪，做好风险跟踪：

l    监视风险的状况，例如风险是已经发生、仍然存在还是已经消失；

l    检查风险的对策是否有效、跟踪机制是否在运行；

l    不断识别新的风险并制定对策。

可以通过以下几种方法进行有效的风险跟踪：

l    风险审计：项目管理员应帮助项目组检查监控机制是否得到执行。项目经理应定期进行风险审核，尤其在项目关键处进行事件跟踪和主要风险因素跟踪．以进行风险的再评估, 对没有预计到的风险制定新的应对计划。

l    偏差分析：项目经理应定期与基准计划比较，分析成本和时间上的偏差。例如，未能按期完工、超出预算等都是潜在的问题。

l技术指标分析：技术指标分析主要是比较原定技术指标和实际技术指标差异，例如，测试未能达到性能要求等。