控制风险是在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险，以及评估风险过程有效性的过程。本过程的主要作用是，在整个项目生命周期中提高应对风险的效率，不断优化风险应对。图11-20描述本过程的输入、工具与技术和输出，图11-21是本过程的数据流向图。

        图11-20 控制风险：输入、工具与技术和输出

       图11-21 控制风险的数据流向图

应该在项目生命周期中，实施风险登记册中所列的风险应对措施，还应该持续监督项目工作，以便发现新风险、风险变化和过时风险。

控制风险过程需要基于项目执行中生成的绩效数据，采用诸如偏差和趋势分析的各种技术。控制风险过程的其他目的在于确定：

 项目假设条件是否仍然成立；

 某个已评估过的风险是否已发生变化或消失；

 风险管理政策和程序是否已得到遵守；

 根据当前的风险评估，是否需要调整成本或进度应急储备。

控制风险会涉及选择替代策略、实施应急或弹回计划、采取纠正措施，以及修订项目管理计划。风险应对责任人应定期向项目经理汇报计划的有效性、未曾预料到的后果，以及为合理应对风险而需要采取的纠正措施。在控制风险过程中，还应更新组织过程资产（如项目经验教训数据库和风险管理模板），以使未来的项目受益。

11.6.1 控制风险：输入

11.6.1.1 项目管理计划

见4.2.3.1节。项目管理计划包括风险管理计划，为风险监控提供指南。

11.6.1.2 风险登记册

风险登记册中包括已识别的风险、风险责任人、商定的风险应对措施、评估应对计划有效性的控制行动、风险应对措施、具体的实施行动、风险征兆和预警信号、残余风险和次生风险、低优先级风险观察清单，以及时间和成本应急储备。观察清单包括在风险登记册中，是低优先级风险的清单。

11.6.1.3 工作绩效数据

见4.3.3.2节。与可能受风险影响的工作相关的工作绩效数据包括（但不限于）：

 可交付成果的状态；

 进度进展情况；

 已经发生的成本。

11.6.1.4 工作绩效报告

见4.4.3.2节。工作绩效报告是从绩效测量值中提取信息并进行分析的结果，提供关于项目工作绩效的信息，包括偏差分析结果、挣值数据和预测数据等。这些数据有助于控制与绩效有关的风险。

11.6.2 控制风险：工具与技术

11.6.2.1 风险再评估

在控制风险中，经常需要识别新风险，对现有风险进行再评估，以及删去已过时的风险。应该定期进行项目风险再评估。反复进行再评估的次数和详细程度，应该根据相对于项目目标的项目进展情况而定。

11.6.2.2 风险审计

风险审计是检查并记录风险应对措施在处理已识别风险及其根源方面的有效性，以及风险管理过程的有效性。项目经理要确保按项目风险管理计划所规定的频率实施风险审计。既可以在日常的项目审查会中进行风险审计，也可单独召开风险审计会议。在实施审计前，要明确定义审计的格式和目标。

11.6.2.3 偏差和趋势分析

很多控制过程都会借助偏差分析来比较计划结果与实际结果。为了控制风险，应该利用绩效信息对项目执行的趋势进行审查。可使用挣值分析及项目偏差与趋势分析的其他方法，对项目总体绩效进行监控。这些分析的结果可以揭示项目在完成时可能偏离成本和进度目标的程度。与基准计划的偏差可能表明威胁或机会的潜在影响。

11.6.2.4 技术绩效测量

技术绩效测量是把项目执行期间所取得的技术成果与关于取得技术成果的计划进行比较。它要求定义关于技术绩效的客观的、量化的测量指标，以便据此比较实际结果与计划要求。这些技术绩效测量指标可包括重量、处理时间、缺陷数量和存储容量等。偏差值（如在某里程碑时点实现了比计划更多或更少的功能）有助于预测项目范围方面的成功程度。

11.6.2.5 储备分析

在项目实施过程中，可能发生一些对预算或进度应急储备有积极或消极影响的风险。储备分析是指在项目的任何时点比较剩余应急储备与剩余风险量，从而确定剩余储备是否仍然合理。

11.6.2.6 会议

项目风险管理应该是定期状态审查会中的一项议程。该议程所占用的会议时间长短取决于已识别的风险及其优先级和应对难度。越经常开展风险管理，风险管理就会变得越容易。经常讨论风险，可以促使人们识别风险和机会。

11.6.3 控制风险：输出

11.6.3.1 工作绩效信息

作为控制风险的输出，工作绩效信息提供了沟通和支持项目决策的机制。

11.6.3.2 变更请求

有时，实施应急计划或权变措施会导致变更请求。变更请求要提交给实施整体变更控制过程（见4.5节）审批。变更请求也可包括推荐的纠正措施和预防措施。

 推荐的纠正措施。为了使项目工作绩效重新符合项目管理计划而开展的活动，包括应急计划和权变措施。后者是针对以往未曾识别或被动接受的、目前正在发生的风险而采取的、未经事先计划的应对措施。

 推荐的预防措施。为确保未来的项目工作绩效符合项目管理计划而开展的活动。

11.6.3.3 项目管理计划更新

如果经批准的变更请求对风险管理过程有影响，则应修改并重新发布项目管理计划中的相应组成部分，以反映这些经批准的变更。项目管理计划中可能需要更新的内容与规划风险应对过程相同。

11.6.3.4 项目文件更新

作为控制风险过程的结果，可能需要更新的项目文件包括（但不限于）风险登记册。风险登记册更新包括：

 风险再评估、风险审计和定期风险审查的结果。这些结果可能包括新识别的风险，以及对风险概率、影响、优先级、应对计划、责任人和风险登记册其他要素的更新。还可能包括删掉不再存在的风险，并释放相应的储备。

 项目风险及其应对的实际结果。这些信息有助于项目经理们横跨整个组织进行风险规划，也有助于他们改进未来项目的风险规划。

11.6.3.5 组织过程资产更新

在风险管理过程中生成的、可供未来项目借鉴的各种信息应收入组织过程资产中。可能需要更新的组织过程资产包括（但不限于）：

 风险管理计划的模板，包括概率和影响矩阵、风险登记册；

 风险分解结构；

 从项目风险管理活动中得到的经验教训。

应该在需要时和项目收尾时，对上述文件进行更新。风险登记册和风险管理计划模板的最终版本、核对单和风险分解结构都应该包括在组织过程资产中。