風險應對計劃是針對已識別的風險進行的；對于未來未知的風險，不可能預選制定相應的應對計劃或應急計劃。

風險應對計劃是針對項目的風險開發(fā)和制定一個風險應對的方案，目的是提高實現(xiàn)項目目標的機會。風險應對計劃包括項目主要風險，針對該風險的主要應對措施，每個措施必須有明確的人員來負責，要求完成的時間以及進行的狀態(tài)。

(1)需要應對的風險清單。風險清單最初在風險識別過程中形成，在風險定性和定量分析中得到更新。應對計劃的風險清單包括：已識別的風險、風險的描述、受影響的項目領域(例如工作分解結構元素)、原因(例如風險分解結構元素)，以及它們可能怎樣影響項目目標。風險清單要符合優(yōu)先權排序并和所計劃的應對策略的詳細程度一致。高、中級風險通常會更仔細地處理。判斷為低優(yōu)先權的風險被列入觀察清單，以便進行定期監(jiān)測。

(2)形成一致意見的應對措施。在風險應對計劃過程中，要選擇好適當?shù)膽獙Σ呗?，就策略形成一致意見，同時還要預計在已經(jīng)采取了計劃的對策之后仍將殘留的風險，以及那些主動接受的風險;預計實施一項風險應對措施可能直接產(chǎn)生的繼發(fā)風險;根據(jù)項目的定量分析和組織的風險極限計算出的不可預見事件儲備。

(3)實施所選應對策略采取的具體行動。

(4)明確風險管理人和分配給他們的責任。

(5)風險發(fā)生的征兆和預警信號。

(6)實施所選應對策略需要的預算和進度計劃活動。

(7)設計好要準備的符合有關當事人風險承受度的用在不可預見事件上的預留時間和費用。

(8)應急方案和要求實施方案的引發(fā)因素。

(9)要使用的退出計劃，它作為對某個已經(jīng)發(fā)生，并且原來的應對策略已被證明不當?shù)娘L險的一種反應。

(10)對于特定的風險，如果它們可能發(fā)生，為了規(guī)定各方的責任，可以準備用于保險、服務或其他相應事項的合同。

制訂風險應對計劃，確定要采取的增加對項目目標的機會以及減少對項目目標的危害的措施。風險應對計劃在定性風險分析和定量風險分析之后進行，它確認和指定一個或多個人(“風險應對措施的所有人”)承擔已商定且已得到資金的風險應對措施的責任。風險應對計劃根據(jù)風險的優(yōu)先級別處理風險，在需要時將資源和活動加入到預算、進度計劃和項目管理計劃中。

所計劃的風險應對措施必須與風險的重要性相符，能低成本地應付挑戰(zhàn)，要及時，要在項目環(huán)境下實現(xiàn)，所有參與各方要意見一致，并由一個責任人負責。通常需要從幾個方案中選擇一項最佳的風險應對措施。

風險包括影響項目成功的危害和機會，本節(jié)將針對這兩個方面分別研究應對措施。

制訂風險應對計劃的依據(jù)

1.風險管理體系文件

風險管理體系文件的重要內(nèi)容包括：崗位職責、風險分析定義、進行項目風險管理需要的時間和預算。還包括低、中、高風險的極限，這種極限幫助人們了解那些需要采取應對措施的風險，以及用于制訂風險應對計劃的人員分配、進度計劃和預算。

2.風險分析后更新的風險清單

風險清單最初在風險識別過程中形成，在風險定性和定量分析中得到更新。風險應對計劃在制訂風險應對策略時，可能要重新參考和已識別的風險、風險的根本原因、可能的應對措施清單、風險所有人、征兆和預警信號。

風險清單給風險應對計劃提供的重要依據(jù)包括：項目風險的相對等級或優(yōu)先級清單、近期需要采取應對措施的風險清單、需要補充分析和應對的風險清單、風險分析結果中的趨勢、根本原因，按分類分組的風險，以及低優(yōu)先級風險的觀察清單。

有若干種風險應對策略可用。應當為每個風險選擇最有可能產(chǎn)生效果的策略或策略組合?？梢岳蔑L險分析的工具選擇最適當?shù)膽獙Ψ椒?，然后為了實施該項策略而制訂具體行動?？梢赃x定主要策略和備用策略?？梢灾朴喴粋€退出計劃，在所選策略被證明不是充分有效或者發(fā)生了一個可以接受的風險時實施。通常要分配不可預見事件的時間或費用儲備。最后，可以制訂一個不可預見事件計劃，識別引發(fā)這些事件的條件。

1.消極風險或危害的應對策略

通常使用三種策略處理危害或一旦發(fā)生就可能對項目目標有消極影響的風險。這些策略是回避、轉移與減輕。

(1)回避。回避風險包括改變項目管理計劃以消除由有害的風險造成的危害，使項目目標不受風險的影響、放寬有危險的目標，例如延長進度或減小范圍等。一些在項目早期出現(xiàn)的風險可以通過澄清需求，取得信息、改善溝通或獲取專門技術避免。

(2)轉移。風險轉移需要將威脅的消極影響連同應對的權利轉給第三方。轉移風險實際只是把風險管理的責任給了另一方，而并非將其消除。轉移債務是處理財務風險的最有效方法。轉移風險幾乎總是伴隨著向承擔風險的一方支付風險費用。轉移手段豐富多樣，至少包括使用保險、履約保證(金)、保證和擔保等。可以利用合同將特定風險的責任轉移給另一方。如果項目的設計保持不變，可以用固定價格合同把風險轉移給賣方。

(3)減輕。風險減輕指的是把不利風險事件的概率和影響單獨或一起降低到可以接受的限度。為了把不利風險事件的概率和影響單獨或一起降低而早采取行動，往往比在風險發(fā)生后亡羊補牢更為有效。采用不太復雜的工藝、進行更多的測試、或者選用比較穩(wěn)定的供應商都是減輕風險行動的實例。要想減低一項工藝或產(chǎn)品從實驗室規(guī)模的模型放大到實際產(chǎn)品存在的風險，就需要開發(fā)樣機。如果不可能降低風險的概率，則減輕風險的應對措施就可能通過瞄準決定嚴重程度的連接點專注于風險的影響。例如，設計時在子系統(tǒng)中設置冗余組件有可能減輕原有組件故障所造成的影響。

2.積極風險或機會的應對策略

建議使用3種策略應對對項目目標可能產(chǎn)生積極影響的風險。這些策略是利用、分享或增加。

(1)利用。在組織希望確保某個機會得以實現(xiàn)的情況下，可以為那些有積極影響的風險選擇這個策略。這個策略通過使機會肯定出現(xiàn)追求減低某個特定的優(yōu)勢風險不確定性。直接利用措施包括為了縮短完成時間或得到高于原計劃的質量給項目分配更多有能力的人員。

(2)分享。分享一個積極風險就是將風險的所有權分配給最有能力抓住對項目有利的機會的第三方，分享的實例包括組建風險分享的合伙契約、團隊、帶有特殊目的公司或為處理風險的特殊目的建立的聯(lián)合體。

(3)增加。這個策略通過單獨或一起增加概率和積極影響，并通過識別這些有積極影響風險的關鍵促成因素和使它們最大化。通過努力促進或加強機會的成因，以及提前瞄準和加強其引發(fā)條件可能提高機會發(fā)生的概率。也可以瞄準影響的促成因素，努力提高項目對于機會的敏感性。

3.同時應對危害和機會的策略

同時應對危害和機會的策略是接受。

采用這一策略的原因是很少有可能消除項目的所有風險。這種策略預示項目團隊已經(jīng)決定不為處置某個風險而改變項目計劃，或者無法找到任何其他應對良策?？梢园阉糜跈C會或者危害。這個策略可以是被動的也可以是主動的。被動的接受不需要采取任何行動，當危害或機會出現(xiàn)時讓項目團隊去處理它們。最常用的主動接受策略是建立一項不可預見事件儲備，包括一定的時間、資金或資源用于處理已知或只是有時可能的未知危害或機會。

4.應急應對策略

有些應對措施被設計出來只在某些事件發(fā)生時才使用。對于有些風險，項目團隊可以制訂一個只在某些預定條件下才執(zhí)行的應對計劃，這樣做的前提條件是相信有實施這個計劃需要的足夠的預警信息。應當確定并跟蹤那些引發(fā)應急應對策略的事件，如缺少的中間里程碑或在供應商那里得到更高的優(yōu)先權。

(1)風險應對計劃：應詳細到可操作的層次。包括：

①風險識別，風險特征描述，風險成因，影響項目的區(qū)塊，可能如何影響項目的目標。

②風險主體和責任分配。

③風險定性和定量分析的結果。

④針對每一項風險所制定的應對措施，如規(guī)避、轉移、緩解、自留等。

⑤在應對策略實施后，預期的風險殘留水平(風險概率及其影響程度)。

⑥事實選定的應對策略所需要的具體行動。

⑦風險應對措施的預算和時間。

⑧應急計劃和反饋計劃。

(2)剩余風險：是指在采取了規(guī)避、轉移、緩解、自留等風險應對措施之后依然殘留的風險，也包括可以被接受的小風險。

(3)附加風險：對于因實施風險應對措施而直接導致的新的風險稱為附加風險。它們也應該與主要風險一樣來加以識別并計劃應對措施。

(4)合同協(xié)議：為避免或減輕威脅可以針對具體風險或項目修訂保險、服務或其他必要的合同協(xié)議，明確各方對于某些特定的風險所應負的責任。

(5)需要的應急儲備量：為了把超越項目目標的風險降低到組織單位能夠接受的水平內(nèi)，需要多少緩沖和應急儲備。一

(6)向其他過程的輸入：多數(shù)的風險應對措施都涉及額外時間、費用或資源的消耗，并且需要對項目計劃進行變更。組織單位需要確認花費相對于減低風險的水平是否值當。這些結論都必須反饋到其他各個相關的方面。

(7)向修訂項目計劃的輸入：風險應對計劃的成果必須進入項目計劃，從而確保其成為項目中有機的組成部分。