其中，代表风险，为第个有害事件，代表第个有害事件发生的几率（likelihood），表示第个事件的结果，是一种损失指标；脚标表示这个集合是一个完备集。集合中的元素，即三元组只是风险的一个答案，整个集合才是全部风险。在1997年风险分析学会的大会报告中，Kaplan进一步完善了这种完备集风险的定义。他从100百多年来学术界对概率定义的争论出发，指出可能性有三种表达：频率、概率和频率的概率，其中频率的概率是最有说服力、最适用的，基于此方面认识，上式可转化为

其中依然为第个有害事件；为第个事件发生的频率，代表第个事件发生频率为的概率；指第个事件的结果为的概率，它是一个向量，与事件不独立。显然，该完备集风险的定义在量化上是一个进步。
二. 风险特征
或然性是与风险紧密联系的概念。肯定蒙受或肯定不蒙受的损失不是风险。当我们说某个事件、活动或项目有风险时，那么必须与以下情况相关联：
有损失或收益与之相联系；
涉及到某种或然性或不确定性；
涉及到某种选择。
风险肯定带有不确定性，但具有不确定性的事件不一定就是风险。这样，我们也可接受如此对风险的定义：风险就是活动或事件消极的、人们不希望的后果发生的潜在可能性。至今，有关风险的认识还未形成统一的看法，具体可归结为以下三种：
1.风险是一种不确定性，认为风险既是机会又是威胁。其含义就是从事某项活动既有可能获得预期的利益，也有可能蒙受意料不到的损失或损害。这种观点符合客观实际，符合辨证唯物主义认识论，也是本文所赞同的一种看法。机会和威胁是项目活动的一对孪生子，承认有风险就是承认既蕴含机会又蕴含威胁；
2.风险是损失或损害。说风险是损失或损害，一方面是因为人们从事各种活动的确有可能蒙受损失或损害，告戒人们提高警惕。另一方面，这种观点强调人类活动的不利后果，关心的重点是如何处理不利后果；
3.风险是预期和后果之间的差异。此观点认为，行动和事件的后果与人们的期待预想之间总是存在着不一致和偏差。后果偏离预期越大，风险也越大。即风险是实际后果偏离预期有利结果的可能性。
事实上，风险表示一种观点，即用考虑到各种可能性的统计的观点来观察、研究和管理事物，从而可以使我们考虑更全面、决策更科学、合理。研究风险问题，我们首先有必要对风险的属性、特征及其效应进行了解和把握。
从风险的定义可知风险具有如下属性：
1.自然属性，即自然界的不规则运动给人类和其他物质运动所带来的危害和障碍；
2.社会属性，即社会的运动、发展必然导致人类的生命财产受到危害，而其影响结果通常将由整个社会承担；
3.经济属性，即风险的存在往往体现在人员的伤亡、生产力的破坏、社会财富的损毁或者经济价值的减少等，它与人类经济利益的损失相关联。
风险的特征是由风险的属性决定的，是风险的本质及其发生规律的外在表现。风险的全面特征可归为如下八点：
第一，客观性和普遍性。作为损失发生的不确定性，风险是不以人的意志为转移并超越人们主观意识的客观存在，而且在项目的全寿命周期内，风险是无处不在、无时不有的。这些都说明为什么虽然人类一直希望认识和控制风险，但直到现在也只能在有限的空间和时间内改变风险存在和发生的条件，降低其发生的频率，减少损失程度，而不能也不可能完全消除风险。
第二，不确定性。不确定性是风险最本质的特征，由于客观条件的不断变化以及人们对未来环境认识的不充分性，导致人们对事件未来的结果不能完全确定。风险是各种不确定因素综合的产物。这些不确定性就目前来说具有五种基本类型，即随机性、模糊性、灰性、未确知性和泛灰性。
第三，潜在性。尽管风险是一种客观存在，但它的不确定性决定了它的一种特定出现只是一种可能，这种可能要变为现实还有一段距离，还有赖于其它相关条件，这一特性就是风险的潜在性。正是风险的潜在性使人类可以利用科学的方法，正确鉴别风险，改变风险发生的环境条件，从而达到减小风险、控制风险的目的。
第四，可测性。不确定性是风险的本质，但这种不确定性并不是指对客观事物变化的全然不知，人们可以根据以往发生的一系列类似事件的统计资料，经过分析、研究，对风险发生的频率及其造成的损失程度作出统计分析和主观判断或估计，从而对可能发生的风险进行预测与衡量。
第五，双重性。风险的双重性是指由风险所引发的结果可能是损失也可能是收益。传统上都把风险作为损失来看待，因此风险的双重性也指风险与收益机会共存，损失和收益是一对孪生子。风险结果的双重性应使我们认识到，对待风险不应只是消极对待其损失一面，还应将风险当作是一种机会，通过风险管理尽量获得风险收益。
第六，行为相关性。行为相关性是指决策者面临的风险与其决策行为是紧密关联的。不同的决策者对同一风险事件会有不同的决策行为，具体反映在其采取的不同策略和不同的管理方法上。因此也会面临不同的风险结果。风险的行为相关性表明，任何一种风险实质上都是由决策行为与风险状态结合而成的，是风险状态与决策行为的统一，风险状态是客观的，但其结果会因不同的风险态度和决策行为而不同。
第七，可变性。这是指在项目实施的整个过程中各种风险在质和量上会发生变化，随着项目的进行．有些风险得到控制，有些风险会发生并得到处理，同时在项目的每一阶段都可能产生新的风险。
第八，多样性和多层次性。这一特征主要体现在大型项目中，因重大项目周期长、规模大、涉及范围广、风险因素数量多且种类繁杂致使其在全寿命周期内面临的风险多种多样，而且大量风险因素之间的内在关系错综复杂、各风险因素之间并与外界交叉影响又使风险显示出多层次性。
三. 风险效应
风险效应是风险事件本身的特征和内在机制所产生的效果，正是由于效应机制的存在和作用，才引发了某种形式的行为模式和行为趋向。风险效应是由风险自身的性质和特征决定的，但又必须与外部环境及人的观念、动机相联系才得以体现。风险效应通常表现为：
1.诱惑效应,它的形成是风险利益作为一种外部刺激使人们萌发了某种动机,进而作出某种风险选择并导致风险行为.诱惑效应的大小取决于风险利益和风险代价及其组合方式。风险效应程度的大小主要决定于下列诱惑因素：①风险事件带来的潜在发展机会或赢利机会；②风险成本小于风险利益的机会与大小；③风险被发现和识别的难度与程度；④风险事件激发决策者的潜能、创造力和成功欲望的强度。因此，风险诱惑效应程度的大小，不仅仅取决于风险利益这一因素，而是上述四因素的复合作用。
2.约束效应，风险约束是指当人们受到风险事件可能的损失或某种危险信号的刺激后所作出的回避或抵抗损失和危险的选择及采取的回避行为。风险因素所产生的威慑、抑制和阻碍作用就是风险的约束效应。它取决于致险因素出现的概率、致险因素的损害能力、风险成本投入与变动情况及人们对风险的认识等。
3.平衡效应，每一种风险必然同时存在着诱惑效应和约束效应的相互冲突、相互抵消，其相互作用的结果就是平衡效应。在平衡过程中，当风险诱惑力大于约束力时，会促使人们作出风险选择，开始冒险行为；相反，人们则会趋于保守状态。如果两种作用力相等，人们会处于犹豫不决、无所适从的状态，需要有新的动力或影响力才会作出选择。风险效应平衡是动态的、相对的，不同的风险事件会有不同的平衡点，不同的决策者对于同一风险事件其平衡点也是不相同的。
四. 风险评估
风险评估一般可分为三部分：风险辨识、风险估计和风险评价。
风险辨识是进行风险评估的基础和前提。风险辨识就是要识别出项目风险之所在和引起风险的主要因素，并对其后果作出定性估计。它的理论实质也就是有关知识、推断和搜索的理论。它需要回答如下问题：项目中有哪些潜在的风险因素？这些风险因素会引起什么风险？这些风险所引起后果的严重程度如何？风险识别一般运用分解原则，将复杂的事物分解成比较简单的容易被认识的事物，将大系统分解成小系统，这也是符合人们分析问题、认识事物的规律的。在实践中，用于识别项目风险的方法有很多，目前常用的有：头脑风暴法（Brainstorming）、德尔菲法（Delphi Method）、情景分析法（Scenarios Analysis）等。这些方法我们在《项目风险管理研究》一文中进行了讨论。下面再对其作一简要说明。
头脑风暴法也称集体思考法，是以专家的创造性思维来索取未来信息的一种直观预测和识别方法。此法由美国人奥斯本于1939年首创，从50年代起就得到了广泛应用。头脑风暴法一般在一个专家小组内进行。以"宏观智能结构"为基础，通过专家会议，发挥专家的创造性思维来获取未来信息。这就要求主持专家会议的人在会议开始时的发言中能激起专家们的思维"灵感"，促使专家们感到急需回答会议提出的问题，通过专家之间的信息交流和相互启发，从而诱发专家们产生"思维共振"，以达到互相补充并产生"组合效应"，获取更多的未来信息，使预测和识别的结果更准确。我国70年代末开始引人头脑风暴法，很快就受到有关方面的重视和采用。
德尔菲法又称专家调查法，它是本世纪50年代初美国兰德公司（Rand Corporation）研究美国受前苏联核袭击风险时提出的，并很快就在世界上盛行起来，它是依靠专家的直观能力对风险进行识别的方法，现在此法的应用已遍及经济、社会、工程技术等各领域。用德尔菲方法进行项目风险识别的过程是由项目风险小组选定与该项目有关的领域和专家，并与这些适当数量的专家建立直接的函询联系，通过函询收集专家意见，然后加以综合整理，再匿名反馈给各位专家，再次征询意见。这样反复经过四至五轮，逐步使专家的意见趋向一致，作为最后识别的根据。我国在70年代引入此法，已在许多项目管理活动中进行了应用，并取得了比较满意的结果。
情景分析法是由美国SllELL公司的科研人员Pierr Wark于1972年提出的。它是根据发展趋势的多样性，通过对系统内外相关问题的系统分析，设计出多种可能的未来前景，然后用类似于撰写电影剧本的手法，对系统发展态势作出自始至终的情景和画面的描述。当一个项目持续的时间较长时，往往要考虑各种技术、经济和社会因素的影响，可用情景分析法来预测和识别其关键风险因素及其影响程度。情景分析法对以下情况是特别有用的：提醒决策者注意某种措施或政策可能引起的风险或危机性的后果；建议需要进行监视的风险范围；研究某些关键性因素对未来过程的影响；提醒人们注意某种技术的发展会给人们带来哪些风险。情景分析法是一种适用于对可变因素较多的项目进行风险预测和识别的系统技术，它在假定关键影响因素有可能发生的基础上，构造出多种情景，提出多种未来的可能结果，以便采取适当措施防患于未然。情景分析法从70年代中期以来在国外得到了广泛应用，并产生了一些具体的方法，如目标展开法、空隙填补法、未来分析法等，一些大型跨国公司在对一些大项目进行风险预测和识别时都陆续采用了情景分析法，因其操作过程比较复杂，目前此法在我国的具体应用还不多见。
风险估计就是对风险发生的可能性(Pf)及其后果(Cf)作出定量的估计，也就是对风险作出定量的测度。它要回答的是“风险有多大”的问题。它是在对项目进行风险识别和初步分类之后所要做的工作，其对象是项目的各单个风险，而非项目整体风险。通过风险估计，有关人员可以加深对项目自身和环境的理解，力争使项目所有的不确定性和风险都经过充分、系统而有条理的考虑，从而寻找实现项目目标的可行而又较优的方案。
风险估计只是对项目各阶段单个风险分别进行估计或量化，并没有考虑各单个风险综合起来的总体效果，也没有考虑这些风险是否能被项目主体所接受。这两方面的工作正是风险评价所要解决的问题。风险评价关注的是项目所有阶段的整体风险、各风险因素之间的相互影响、相互作用以及对项目的总体影响和项目主体对风险的可承受性等。所谓项目整体风险就是在对各单个风险进行量化估计的基础上运用科学、合理的方法进行综合运算以求得项目的综合风险。进行风险评价主要有以下目的：
1.对项目诸风险进行比较和评价，确定其重要性顺序。这一点实质上是为风险管理做准备，因风险管理阶段需要知道各个风险的先后顺序。
2.清晰各风险之间的关系。表面上看起来不相干的多个风险事件常常是由一个共同的风险源所造成。如，若遇上未曾预料到的技术难题，则项目会造成费用超支、进度拖延、产品质量不合要求等多种后果。风险评价就是要从项目整体出发，弄清各风险事件之间确切的因果关系，这样才有利于系统地制定风险管理计划。
3.考虑各种不同风险之间相互转化的条件，研究如何才能化威胁为机会以及原以为是机会的在什么条件下会转化为威胁的问题。
4.进一步量化已识别风险的发生概率和后果，减少风险发生概率和后果估计的不确定性。必要时根据项目形势的变化重新分析风险发生的概率和可能的后果。
在项目管理的实践中，风险评价可分三步：
1.确定风险评价基准。风险评价基准是项目主体对每一种风险后果确定的可接受水平，分为单个评价基准和整体评价基准。风险的可接受水平可以是绝对的，也可以是相对的。
2.确定项目整体风险水平。项目整体风险水平是综合了所有的个别风险后得到的综合风险程度。
3.将单个风险和整体风险分别与项目单个评价基准和整体评价基准进行比较，看项目风险是否在可接受范围之内。进而确定所评估项目是否可取。
在实际的风险评估中，风险估计和风险评价往往是同时进行的，没有清晰的界限。风险评估方法既是用来进行风险估计的，也同样是用来进行风险评价的。
目前，对项目进行风险评估和分析的方法很多，如主观评分法，层次分析法（AHP），概率分析方法（随机型风险估计方法），Monte Carlo 模拟法，计划评审技术PERT（Progrem Evaluation and Review Techniques），风险评审技术VERT（Venture Evaluation and Review Technique），主观概率法（Subjective Probability Method），效用理论（Utility Theory），灰色系统理论（Grey System Theory）,故障树分析法FTA（Fault Tree Analysis）,概率树法、外推法（Extrapolation），等风险图法,决策树法，模糊分析方法（Fuzzy Analysis），影响图分析法(Influence Diagram)等。
应该说，这些方法都各有千秋，如风险评审技术VERT是进行风险估计和评价的网络仿真技术，它通过相应的计算机软件��VERT软件对项目研制方案或计划的随机网络模型进行蒙特卡洛等数种节点逻辑仿真计算，给出有关费用、时间和性能风险的概率型指标评估。可使分析人员对风险的来源和程度有一个直观和深入的了解，其过程的每一个结果都提供了风险处理各阶段所需要的信息。故障树分析法FTA是一种演译的逻辑分析方法，遵循从结果找原因的原则，分析项目风险及其产生原因之间的因果关系，即在前期预测和识别各种潜在风险因素的基础上，运用逻辑推理的方法，沿着风险产生的路径，求出风险发生的概率，并能提供各种控制风险因素的方案。它具有应用广泛、逻辑性强、形象化等特点。其分析结果具有系统性、准确性和预测性。有关上述方法的具体应用可参阅有关文献。
五. 小结
风险管理是一种特殊的规划方式，被认为是减少项目失败可能性的一种重要手段。风险管理意味着危机还没有发生之前就对它进行处理，这就提高了项目成功的机会和减少了不可避免风险所产生的后果。实践经验证明，最成功的项目就是采取积极的步骤对要发生或即将发生的风险进行管理。对任何一个软件项目，可以有最佳的期望值，但更应该要有最坏的准备，“最坏的准备”在项目管理中就是进行项目的风险管理。