(1)风险识别.风险识别在项目的开始时就要进行，并在项目执行中不断进行.也就是说，在项目的整个生命周期内，风险识别是一个连续的过程．软件项目由于其本身的创造性，注定了其风险的复杂性．风险识别包括确定风险的来源，风险产生的条件，描述其风险特征和确定哪些风险事件有可能影响本项目．风险识别不是一次就可以完成的事，应当在项目的自始至终定期进行．

　　风险识别的过程如图2所示，风险识别的输入可能是项目的WBS、SOW以及项目相关信息等数据；风险识别的常用方法是建立“风险条目检查表”，利用一组提问来帮助项目风险管理者了解在项目和技术方面有哪些风险，风险识别的输出则是风险列表．此外，还有风险识别问询法(座谈法、专家法)、财务报表法、流程图法、现场观察法、相关部门配合法和环境分析法等其他方法．
　　(2)风险量化．对已识别的风险要进行估计和评价，风险量化的主要任务是确定风险发生的概率与后果，风险评价则是确定该风险的经济意义及处理的费用／效果分析，常用的方法有：概率分布、外推法和多目标分析法等．它涉及对风险及风险的相互作用的评估，是衡量风险概率和风险对项目目标影响程度的过程．风险量化的基本内容是确定哪些事件需要制定应对措施．
　　(3)风险应对计划制定．针对风险量化的结果，风险应对计划根据风险管理计划、风险排序和风险认知等依据，采取风险控制、风险自留和风险转移等方法，从而为降低项目风险的负面效应制定风险应对策略，得出风险应对计划．
　　(4)风险监控．风险监控，包括对风险发生的监督和对风险管理的监督，前者是对已识别的风险源进行监视和控制，后者是在项目实施过程中监督人们认真执行风险管理的组织和技术措施．对涉及整个项目管理过程中的风险进行应对．该过程的输出包括应对风险的纠正措施以及风险管理计划的更新．
　　总之，风险管理的每个步骤所使用的工具和方法详见表l：

　　2软件项目中的风险管理

　　2．1软件项目中的风险分类及成因分析
　　软件项目的风险主要体现在以下四个方面：需求、技术、成本和进度．软件项目开发中常见的风险有：
　　(1)需求风险．需求风险的形成，可以从三方面进行分析：首先是由于应用部门的介人与参与程度不够，考虑需求往往从部门或局部的角度出发；其次是项目组对需求的调研目标不明晰，分析不透彻，缺乏有效的需求变化管理所造成的．这大都是因为从事软件开发的都是“高科技人员”，都具有“从专业或学术角度出发”的特点，而往往忽视了对业务知识的深入了解，不能很好地理解甚至是误解客户的需求；第三，是由于缺乏与决策层进行深层次的交流，难以掌握企业的发展趋势，对需求的延伸性不明确．这些需求不确定性的风险，都可能会造成大量工作“跑题”浪费，甚至是到项目都快要完成时，依然出现应用部门对系统提出一些基本的业务需求，或是软件功能实现了，却发现实际业务已发生了变化，导致软件失去了应有的价值等，使时间和成本的投入成倍增长，甚至是系统无法正常投入使用．