Evento o circunstancia cuya probabilidad de ocurrencia es incierta, pero que, en caso de aparecer, tiene un efecto (positivo o negativo) sobre los objetivos de un proyecto.

Exposición al Riesgo = Probabilidad ocurrencia riesgo × Pérdida asociada estimada

Analizar cada riesgo y establecer probabilidad de ocurrencia y el daño que causará si ocurre. Realizar una clasificación de los riesgos según su probabilidad de ocurrencia y el impacto que pudiese causar. Desarrollar un plan de para determinar qué acciones tomar en cuenta a aquellos riesgos con gran probabilidad de que ocurran. La organización debe estar comprometida a tratar la gestión de riesgos de forma proactiva y consistente durante todo el proyecto.

Un método para identificar riesgos es crear una lista de comprobación de elementos de riesgo. La lista se puede usar para identificar riesgos y se enfoca en un subconjunto de riesgos conocidos y predecibles en las siguientes categorías:

• Tamaño del producto. Riesgo asociados con el tamaño del software a construir o modificar.
• Impacto en el negocio. Riesgos asociados por las limitaciones impuestas por la administración o el mercado.
• Características del cliente. Riesgos asociados con la sofisticación del cliente y la habilidad del programador para comunicarse con él.
• Definición del proceso. Riesgo asociado con el grado de definición del proceso y su seguimiento.
• Medio ambiente de desarrollo. Riesgos asociados con la disponibilidad y calidad de las herramientas que se van a emplear en la construcción del
  producto.
• Tecnología a construir. Riesgos asociados con la complejidad del sistema y la tecnología punta que contiene el sistema.
• Tamaño y experiencia de la plantilla. Riesgos asociados con la experiencia técnica y de proyectos del equipo que va a realizar el trabajo.

La evaluación del riesgo, es el proceso de ordenar los riesgos en función de su importancia para determinar cuáles se deben solucionar antes y a cuáles hay que asignarle más
recursos.  Las condiciones y prioridades pueden cambiar a lo largo del proyecto por lo que el análisis y asignación de prioridades debe realizarse de manera continua aprovechando la información disponible en cada momento (feedback, retroalimentación).

Las estrategias de riesgo deben de ser muy clara. Se definirán dos tipos de estrategias:

1. Reactivas, cuyo método es evaluar las consecuencias del riesgo cuando este ya se ha producido (ya no es un riesgo) y actuar en consecuencia. Este tipo de estrategias acarrea consecuencias negativas, al poner el proyecto en peligro.
2. Pre activas, que aplican el método de evaluación previa y sistemática de los riesgos y sus posibles consecuencias, a la par que conforman planes de contingencias para de evitar y minimizar las consecuencias.

Consecuentemente, este tipo de estrategias permite lograr un menor tiempo de reacción ante la aparición de riesgos impredecibles. Se considera que la estrategia más factible para enfrentar los riesgos es el pre activo y se considera necesario la realización de los análisis de riesgos de forma temprana, sistemática, formal y profunda