根据PMBOK风险处理框架，风险应对过程定义参见图6-1的IDEFO图。风险应对过程封装了将输入转变为输出的过程活动。控制（位于顶部）调节过程，输入（位于左侧）进入过程，输出（位于右侧）退出过程，机制（位于底部）支持过程。

图6-1　风险应对过程

1.过程控制

和风险规划过程一样，项目资源、项目需求和风险管理计划同样约束着风险应对过程。

2.过程输入

风险行动计划是风险应对过程的输入。它包括风险应对的目标、约束和决策，记录了选择的途径、需要的资源和批准权限。计划提供了高层次的指导并允许达到目标过程中的灵活性。

3.过程输出

风险状态、可接受的风险、风险预警与防范、风险行动是风险应对过程的主要输出。

（1）制订风险应对计划。风险应对计划应详细到可操作层次，一般应包括下面一些或全部内容：

①风险识别，风险特征描述，风险来源及对项目目标的影响；

②风险主体和责任分配；(www.daowen.com)

③风险评估及风险量化结果；

④单一风险的应对措施，包括规避、转移、缓和或接受；

⑤战略实施后，预期的风险自留（风险概率和风险影响程度）；

⑥具体应对措施；

⑦应对措施的预算和时间；

⑧应急计划和反馈计划。

（2）确定剩余风险。剩余风险是指在采取了规避、转移或缓和措施后仍保留的风险，也包括被接受的小风险。

（3）确定次要风险。由于实施风险应对措施而直接导致的风险称作次要风险。它们应同主要风险一样来识别，并制订应对措施。

（4）签署合同协议。为了避免或减轻风险，可以针对具体风险或项目签订保险、服务或其他必要的合同协议，确定各方的责任。

（5）为其他过程提供依据。选定的或提出的各种替代策略、应急计划、预期的合同协议、需额外投入的时间、费用或资源以及其他有关的结论都必须反馈到相关领域，成为其过程计划、变更和实施的依据。

4.过程机制

机制可以是方法、技巧、工具或其他为过程活动提供的手段。风险应对技巧、风险应对工具和风险数据库都是风险应对过程的机制。