根据项目管理知识体系（Project Management Body of Knowledge，PMBOK），风险规划过程的定义参见图2-1的IDEFO图。IDEFO是一个标准过程定义的符号表示法，用于为可预见的风险行动计划描述可重用的过程组件。该图描述了顶级过程的控制、输入、输出和机制。风险规划包含了将输入转变为输出这一过程的所有活动。控制（位于顶部）调节过程，输入（位于左侧）进入过程，输出（位于右侧）退出过程，机制（位于底部）支持过程。

图2-1　风险规划过程

1.过程控制

项目资源、项目需求和风险管理能力约束着风险规划过程。项目资源涉及人、财、物、时间、信息等，项目资源的有限性决定了项目风险规划的必要性，同时也给项目带来了一定的风险性。例如，时间不够时，项目管理决策人员往往倾向采用加快进度的方法。项目需求对项目风险规划也有一定的影响，如果需求不明确会使项目风险规划的有效性大打折扣。风险管理能力直接影响到风险规划的科学性和可操作性。

2.过程输入

风险列表、风险管理策略、业主的风险容忍度、风险管理计划模板、WBS等组成了风险规划过程的输入。风险管理规划的依据主要有：

（1）项目规划中所包含或涉及的有关内容。如项目目标、项目规模、项目利益相关者情况、项目复杂程度、所需资源、项目时间段、约束条件及假设前提等。

（2）项目组织及个人所经历和积累的风险管理经验及实践。

（3）决策者、责任方及授权情况。

（4）项目利益相关者对项目风险的敏感程度及可承受能力。(www.daowen.com)

（5）可获取的数据及管理系统情况。丰富的数据和严密的系统基础，将有助于风险识别、估计、评价及对应策略的制订。

（6）风险管理模板。项目经理及项目组织将利用风险管理模板对项目进行管理，从而使风险管理标准化、程序化。模板应在管理应用中不断改进。

3.过程输出

风险设想、阈值和风险管理计划是风险规划过程的输出。

风险设想是对导致不尽如人意的结果的事件和情况的估计。事件描述导致风险发生时必然导致的后果，情况描述使未来事件成为可能的环境。

阈值是风险发生的征兆，预先确定的阈值作为表明需要执行风险行动计划的警告。

风险管理计划是风险管理的导航图，可告诉项目管理组织，项目怎样从当前所处的状态到达所希望的未来状态。做好风险管理计划，关键是要掌握必要的信息，使管理组织能够了解项目目标、目的和风险管理过程。风险管理计划在本章前面的章节已经详细介绍。

4.过程机制

机制是为风险管理过程活动提供方法、技巧、工具或其他手段。定量的目标、应对策略、选择标准和风险数据库是风险管理过程需要用到的机制。

定量的目标表示了量化的目标；应对策略（如接受、避免、保护、减少、储备和转移等）有助于确定应对风险的可选择方式；选择标准指在风险管理过程中制订策略；风险数据库包含风险行动计划等。