Nachdem im ersten Schritt des Risikomanagementprozesses die Risikoidentifikation stattgefunden hat, sollte als Resultat dieser Arbeit eine sehr umfangreiche Liste von potentiellen Risiken vorhanden sein. Da jedes Projekt ein eigenes Budget aufweist, dass oft knapp bemessen ist, können jedoch nicht alle identifizierten Risiken aus Ressourcengründen bearbeitet, verfolgt und überwacht werden. Daher werden nun im zweiten Schritt des Risikomanagementprozesses die identifizierten Risiken bewertet, mit dem Ziel, jene heraus zu arbeiten, die dem Projekt bzw. dem Erreichen der Projektziele am gefährlichsten werden können. Dabei spielen zumeist mindestens zwei Faktoren des Risikos eine Rolle: 

 

Für die Eintrittswahrscheinlichkeit, die angibt wie wahrscheinlich es ist, dass ein bestimmtes Risiko eintrifft gilt 

 

 

, wobei die Gegenwahrscheinlichkeit das Nicht-Eintreten des Risikos darstellt. 

 

Das Risikomaß entspricht dem potentiellen Schaden, den ein Risiko bei seinem Eintreten verursachen kann. Nicht in jedem Fall lässt sich dieses Maß quantitativ messen und festhalten. Oftmals muss das Maß qualitativ beurteilt und festgelegt werden, um eine vollständige Risikobewertung durchführen zu können, da konkrete Zahlen schwer, oder gar nicht zu berechnen oder zu messen sind. Die folgende Abbildung zeigt die Einteilung der Risikomaße, sowie die Methoden um dieses zu berechnen. 

 

 

[Wolke T. (2007)] 

 

Nachdem die Bewertung der Risiken und Selektion der relevanten Risiken, durch eine  

 

erfolgt ist, muss spätestens zu diesem Zeitpunkt eine ausführliche und unmissverständliche Spezifikation und Dokumentation dieser relevanten Risiken erstellt werden, die die Arbeit des Risikomanagements in den zukünftigen Phasen erleichtern soll. Dabei lässt sich eine Vorgehensweise empfehlen, die Dreger als 6W- und 6M-Prinzip darlegt. Dieses Prinzip sagt aus, dass immer darauf zu achten ist, einerseits die sechs W‘s und andererseits die sechs M’s in die Spezifikation und Dokumentation der Risiken einzubringen. 

 

Sechs W: 

 

Sechs M: 

 

Hier ist darauf einzugehen, welche/s 

[Dreger W. (2000)] 

Wie man sehen kann, existieren viele Methoden um Risiken zu bewerten. Welche Methode im Speziellen bei einem spezifischen Projekt zur Bewertung der Risiken gewählt wird ist abhängig vom Projekt und von den Daten die zur Risikobewertung zur Verfügung stehen, als auch von den Präferenzen der zuständigen Risikomanagementverantwortlichen. In jeden Fall wird aber die Anwendung einer oder auch mehrerer Methoden notwendig sein, um aus der Vielzahl der identifizierten Risiken jene heraus zu filtern, durch deren Eintreten die Erreichung der Ziele des Projekts am stärksten gefährdet werden können. 

 

Für die weitere Vorgehensweise im Risikomanagementprozess ist wichtig, dass die Risiken klar und unmissverständlich dokumentiert wurden. Je weniger Auslegungsspielraum die Definitionen der Risiken lassen, desto geringer ist die Chance, dass einzelne Projektmitglieder, Gruppen oder Rollen aneinander durch missverständliche Auffassung der Risiken vorbei arbeiten. Diese klare Definition der Risiken kann entweder textuell, oder aber mittels Graph erfolgen. Als Beispiel eines solchen Graphen sei an dieser Stelle der Riskit Analyses Graph angemerkt. 

 

Auch die Zusammenfassung der Risiken in Gruppen (Cluster) empfiehlt sich in dieser Phase des Risikomanagements. Ob dies vor der Selektion oder erst danach durchgeführt wird, obliegt den zuständigen Verantwortlichen. Werden die Risiken vor der Selektion gruppiert, so können oft schon einige weg fallen, die vielleicht doppelt angegeben wurden bzw. das gleiche Risiko behandeln. Wird erst nach der Selektion gruppiert, so muss im Vorfeld, bei der großen Anzahl an identifizierten Risiken, nicht bei jedem überlegt werden in welche Gruppe es fallen könnte. Dementsprechend müssen dahingehende Überlegungen nach der Selektion viel weniger gemacht werden.