O risco tem três componentes:

O evento ou fato que caracteriza o risco;
A probabilidade de que o evento realmente aconteça;
O impacto, medido em termos financeiros, do acontecimento do evento.

O gerenciamento de riscos envolve:

a identificação desses possíveis eventos,
o cálculo das probabilidades e impactos,
desenvolvimento de respostas para lidar com os eventos, caso eles ocorram e
controle do processo global.

Como o gerenciamento de riscos não é algo feito intuitivamente pela maioria dos gerentes de projetos, é preciso haver uma metodologia para cobrir os riscos desde o início até o término de um projeto.

Um resumo de algumas ferramentas e técnicas de gerenciamento de riscos é apresentado a seguir:

Identificação

Ferramentas para a identificação de riscos incluem entrevistas com especialistas, brainstorming, técnica Delphi, técnica de grupos nominais, ferramentas Crawford e diagrama de afinidades, todas elas tendo o objetivo de identificar eventos prováveis que possam resultar em risco para um projeto.

Quantificação

Ferramentas clássicas para quantificar o risco incluem a análise de impacto utilizando probabilidade, convergência de rumos, fatores econômicos e financeiros, como por exemplo, os utilizados para determinar as prioridades de projeto (lucratividade, retorno sobre o valor presente líquido, taxa interna de retorno, valor esperado) e árvores de decisão (formulários de análise de risco).

Respostas ao risco

Quando um evento de risco acontece, a resposta precisa ser “sob demanda”, o que implica a seleção de estratégias de risco e, então, o desenvolvimento das possíveis respostas. As estratégias clássicas do gerenciamento de riscos são a aceitação (aceitar as consequências), a negação (eliminação de riscos). Se a estratégia não for a de aceitar as consequências do risco, nem a de negar riscos desativando as causas, então a alternativa é a mitigação. As opções para a mitigação incluem a minimização da probabilidade, a minimização do valor do impacto e o desvio, repassando o impacto para outras ou fazendo manobras e alterações para minimizar o efeito.

Controle de riscos

Como tanto os projetos como o risco são dinâmicos, uma reavaliação periódica faz parte de programa. Isso significa utilizar os critérios de resposta ao risco, desenvolvidos anteriormente, para estabelecer o controle. Essas reavaliações podem ser amarradas a uma programação de datas (semanal, mensal ou trimestral) ou a indicadores específicos que influenciem o projeto. O controle de risco abrange a análise de novos riscos e as probabilidades e impactos de outros projetos em andamento, assim como a revisão dos planos e estratégias de mitigação.