流程風險可以來自很多方面。政治、經濟、社會、技術、立法、環境、財務、法律和物理因素都會影響組織流程。APQC建議企業從最關鍵的流程開始，對外部和歷史績效數據進行審查，以識別潛在風險。許多企業按類別建立風險清單，以便在審查核心流程時考慮。  

有了潛在流程風險的清單，企業就可以開始衡量風險的重要性。這就是評估風險的可能性和影響的地方。對于每個風險，企業應該確定：

"頻率--這種風險多長時間可能發生一次？

"可預測性--組織能否預測風險何時發生（季節性、銷售高峰等）？

"預警和變動--問題會如何逐漸或突然變得嚴重？企業能否及時作出反應？

"持續時間--事件將持續多久（有限的或直到采取某種行動）？ 

"后果--影響的業務范圍有哪些（產品質量、進度、設備安全、客戶滿意度，等等）？

"潛在的經濟損失--風險帶來的經濟損失是多少？

有了這些答案，一個流程優化或風險管理團隊（在本文中簡單地稱為風險管理者）就可以開始對每個風險進行評分。APQC建議創建一個風險分析表來評估和審查標準，并最終分配一個風險分數。圖1提供了一個如何對風險進行評級的例子。

圖1 風險分析表

為了創建一個表格，風險經理沿著縱軸確定風險發生的可能性。可能性的程度可能需要主業務專家和流程經理的投入。企業可以設定標準來衡量風險等級，如5%代表幾乎不可能發生，10%代表不大可能發生，25%代表有可能發生，50%代表可能會發生，75%代表幾乎肯定會發生。

然后，他們沿著橫軸確定風險的影響。企業可能有一些術語來衡量影響，如流程范圍、潛在的經濟損失和對進度的影響。圖2列出了潛在的術語。對于每個術語，企業同樣需要設定標準進行分類。例如，在評估對進度的影響時，企業可能認為沒有額外的時間意味著可以忽略不計，一天是次要的，三天是中等的，一周是主要的，再長就是關鍵的。

最后，風險管理者從基于風險坐標圖中的風險發生的可能性和影響程度，在坐標圖上對風險用顏色區分，以引起人們對最緊迫問題的注意。

在分析了潛在的風險之后，風險管理人可以對流程本身進行分析，以提高其可靠性。

一個流程的活動越多，它就越脆弱。提高流程有效性的關鍵是簡化和去除不合理的步驟。但企業如何知道什么是不合理的？他們如何識別冗余和/或不必要的流程變種？APQC推薦兩種技術來分析流程的可靠性：六西格瑪里的防呆防錯法和失效模式與效果分析（FMEA）。

Poka Yoke（防呆防錯法）： 

防呆防錯一般在精益管理中使用，這是一種避免接受流程中的缺陷、避免創造缺陷或將缺陷傳遞給下一道工序的技術。一般來說，防呆防錯法是簡單的、相對成本低的、自動化的技術，試圖確保一切萬無一失和防止錯誤進入流程并成為缺陷。  

在這一技術中，風險經理檢查流程中可能出現的問題。對于繪制流程中的每一個元素，經理們都會附上一個控制或警告。警告是當一個流程活動超出其預定的范圍或閾值時發出的警報。控制是風險管理者為防止缺陷而指定的實際行動。這種防錯方法最初只適用于制造流程，但已被證明是一種有效的人員管理方法，可以看到一個系統中哪些行動會出錯。由此產生的流程圖的修正能夠指導組織對風險的反應。

失效模式與效果分析（FMEA）：

失效模式與效果分析，或稱FMEA，是一種逐步識別設計、流程或產品/服務中故障的技術。"故障模式 "是指某物可能因錯誤或缺陷而失效的方式或模式。"影響分析 "是指研究這些故障的后果。FMEA的目的是消除或減少故障，從最高優先級的故障開始，然后通過流程優化控制記錄下來的風險。

風險管理人根據故障的后果有多嚴重、發生的頻率有多高、檢測的難度有多大，來確定故障的優先次序。流程的技術性越強，可能出現的故障模式就越多。。一個流程的系統視圖，通過高層次的系統繪圖、模擬和可視化，可以幫助確定可能發生的風險。

FMEA并不適合于每個流程。它最適用于產品開發和技術類流程。FMEA通常在流程重新設計、新的應用程序、制定控制計劃、進行流程優化或發生故障/定期審查后進行。 

在分析了潛在風險和核心流程后，組織就有了應對風險的目標信息，通常從最關鍵的風險開始。圖3詳細說明了應對措施的類別，以確保一個組織的應對是可接受的。