應對風險，主要是應對單個風險，既包括按照風險登記冊去監督相關情況，預防單個風險的發生，也包括在單個風險實際發生后采取應急措施。預防的目的是降低風險發生的可能性，應急的目的是減輕風險發生的后果。

　　應對風險，也要兼顧整體風險，以便降低整個項目失敗的可能性，以及在項目即將失敗時采取挽救措施。前者屬于整體風險預防，后者屬于整體風險應急。如果整個項目真的失敗了，那么還需要進行善后工作，這也屬于應急。

　　應對整體風險主要是項目經理和高層領導的事情，而不是團隊成員的事情。團隊成員主要是應對單個風險。當然，如果團隊成員把單個風險應對好了，那么項目的整體風險就會自然而然地降低。

　　應對整體風險，應該從整體風險的四大來源入手，即項目的復雜性、項目所處的環境、項目相關方的復雜性和項目團隊的能力。可以設法降低項目的復雜性，可以設法改善項目所處的環境，可以設法改善相關方之間的關系，還可以設法提高項目團隊的工作能力。從這四個方面入手，就可以降低整個項目失敗的可能性。

　　應對單個風險，特別需要注意以下三點。

　　1、應對風險是每一個成員的事情，而不只是指定的風險責任人的事情

　　雖然對每一個已識別出來的單個風險都要指定風險責任人，但這并不是說其他人就無須關心這些風險了。

　　一個風險，如果只是靠風險責任人來應對，那通常無法取得良好效果。每個人都必須在自己的日常工作中關注風險，融合開展一些風險應對工作，從而既有助于預防一些已識別風險的發生，又有助于防止節外生枝。

　　許多風險應對工作，是必須與日常工作融合在一起開展的，而無法單獨拿出來開展。風險責任人要做的主要是那些應該單獨開展的風險應對工作。

　　2、嚴格區分問題與風險，防止錯誤地把問題當風險來管理，或者錯誤地把風險當問題來管理

　　問題與風險是很不同的。問題是客觀存在的，而風險是可能發生或不發生的;問題不一定對項目目標有直接影響，而風險萬一發生肯定會對項目目標有直接影響。

　　當然，問題與風險也可能存在聯系，那就是問題可能引發風險。也就是說，客觀存在的某個問題或某些問題也許就是導致某個風險或某些風險發生的原因。有些情況下，某個問題單獨存在，不會引發風險;但幾個問題同時存在就會引發風險。

　　管理問題，重在解決問題。一個問題發生了，要立即記錄在問題日志中，并策劃該如何解決，然后加以解決。當然，并非所有的問題都要解決。有些問題，也可以放在一邊，暫時不管，只是加以觀察。問題的解決情況，需要記錄在問題日志中。

　　管理風險，則重在預防風險的發生。已識別出來的每一個風險都要記錄在風險登記冊中，所策劃的預防措施和萬一發生的應急措施，也要寫進風險登記冊。然后，要按風險登記冊中的要求去預防，并在風險萬一發生時去應急。風險預防和應急的情況，隨后也要寫進風險登記冊。

　　如果把問題和風險混淆起來，就會導致人們挪用本該用于應對風險的精力和資源去解決問題，因為問題是當前客觀存在的，很容易引起大家的注意，而風險是未來可能發生或不發生的，容易被人有意無意忽視。為了確保有足夠的精力和資源去應對風險，就必須把風險和問題分開來管理。

　　3、風險責任人嚴格履行職責

　　對每一個已識別出來的風險，都必須指定責任人。哪怕是不嚴重的風險，也要指定責任人加以觀察。風險責任人必須協調風險應對工作，確保按風險登記冊中的要求去監督和應對風險，從而防止發生風險癱瘓癥。風險癱瘓癥是指只識別和分析風險，從不實際應對風險。就像有些人只體檢不健身，就犯了體檢癱瘓癥。

　　還需要強調，風險責任人的責任，主要是對風險應對過程負責，而不是對風險應對結果負責。他只要嚴格按風險登記冊中的風險應對計劃去監督和應對風險了，那么即便風險發生，給項目造成了損失，他的責任也會很輕甚至完全沒有。

　　這主要是考慮到風險的發生本來就有較大的不可控性。如果要求風險責任人必須對結果負責任，那就沒有人愿意去做風險責任人了。