脆弱性和风险是经常混淆的两个概念。樊宏烨（2008）在研究企业脆弱性机理时进行了一项问卷调查，在对“您认为企业脆弱性研究与企业风险研究有无区分？”的调查中，94.9%认为有区分，仅5.1%的人认为没有区分。风险来源于人们认知的不确定性，脆弱性则源于系统本身的不协调或者不和谐，这是风险与脆弱性的本质区别。

风险经常用来表示某一特定情况发生后后果的严重性，脆弱性则与系统所处的环境和其本身特点有关。Brookfield等（2009）认为风险是指风险事件发生的可能性，它的发生将会产生不利后果，风险的管理主要在于对其可能性和潜在后果的管理。Crichton（1999）将风险定义为损失的可能性，主要取决于三个要素，灾害事件、脆弱性和暴露程度，其中任何一个要素的改变都会影响风险结果，例如地震是灾害事件，房屋所处位置决定了暴露程度，而房屋的设计、建造及维护情况则决定了脆弱性的大小。因此可以看出，脆弱性和灾害事件导致了风险结果。(www.daowen.com)

Zhang（2007）指出项目脆弱性在风险事件发生前就存在了，但是直到风险事件发生后才显得重要并被重视。例如合同有关价格调整的条款不会被重视直到发生通货膨胀，在这里通货膨胀就是风险事件，合同条款的规定就是脆弱性。脆弱性是系统所处环境或内在属性，它将会影响风险后果的大小。例如项目规模不会产生任何风险，但是假如发生材料数量的变化，项目规模会影响其对于成本的变化大小。