你曾經被問過「你的專案風險多高」嗎？多數專案經理覺得這是個難以回答的問題。你的風險登錄表上列了你已經辨識出的風險，且這些都被標註了應予注意及採取行動的優先順序，並已將其回應與負責人配置到每個風險上。然而，一張表格如何能回答「風險多高」這個問題呢？我們需要一個不同的觀念來描述一個專案的整體風險暴露程度，這是不同於需要被管理的個別風險的。 專案管理學會（PMI®）業已將此點說明於其專案風險管理實務標準中，對風險有兩個不同的定義。第一個是個別風險，其定義為「一個不確定的事件或情況，若其發生，會對專案的目標造成正面或負面的影響」；它同時也定義了專案整體風險為「不確定性在專案整體上的影響。」英國的風險管理協會（APM）在其知識體系中也有兩個類似的風險定義。 這個雙重的風險觀念在考慮如何管理專案風險時是重要且有用的。在第一個層次上，專案經理負責辨識、評估以及管理個別風險；而在另一個更高的層次上，專案經理也需要就專案整體風險對專案贊助人、專案擁有人、以及其他利益關係人負責。這兩個層次可以用專案中的風險及專案的風險來加以區別。 管理風險需要在這兩個層次上採取行動，但是一般專案風險流程都只處理專案中記錄於風險登錄表內較低層次的個別風險。將專案視為一體考慮其整體風險暴露程度、或是在較高層次上採用結構化的方法來管理風險是非常少見的，我們顯然在此遺漏了一些重要的東西。 因此，專案的整體風險要如何辨識、評估、以及管理呢？第一個可以處置專案整體風險的地方是在專案前或概念階段，當進行專案的範疇與目標之釐清並取得共識的時候。此時，專案的贊助者或擁有者考量專案可以容忍的整體風險程度下，定義專案的期望交付效益，每一個關於風險-報酬間平衡的決策，都包括了一個專案整體風險的評估，代表了某特定專案範疇與期待效益間相關的固有風險。在這個層次上，專案整體風險的管理是隱含在關於專案範疇、結構、內容、以及執行環境的相關決策中。 一旦做成這些決策並啟動專案後，傳統的專案風險流程就可以用來處置明顯存在於專案中的個別風險。在專案的關鍵點上，有必要在回復管理專案中個別風險的持續性任務前，重新評估專案整體風險以確保未逾越已界定的風險門檻。 因此風險管理有兩個層次是重要的： 1·隱性風險管理經由專案關於範疇、結構、內容、以及執行環境的相關決策，處理專案整體風險。 2·顯性風險管理經由標準風險流程進行風險的辨識、評估、回應、以及檢討，處理個別專案風險。 {M:請圖片製作時留意, 需縮排呈現} 如果我們想要回答「你的專案風險多高」這個問題，我們就必須了解並管理上述兩種型式的風險。 這個兩層次方法不僅可應用於專案，它也能夠協助管理高層了解企業的整體風險暴露程度以及他們需要處置的特定風險事件，對於一種營運組合或一個功能部門而言這也是適用的。事實上，企業風險管理（ERM）要在隱性地經由決策及顯性地經由風險流程同時處置兩種風險後才得以順利運作。