在一個項目上，可能需要同時使用幾種風險識別方法，以便盡可能全面地識別出項目風險。風險識別也需要盡可能多的項目利益相關者的參與，僅靠少數人通常無法保證風險識別的全面性。項目風險成熟度反映了一個組織有效管理風險的能力。評估組織風險管理的準備程度時，我們需要考慮以下四個主要因素。

　　1.文化

　　企業風險文化是影響企業風險應對方式的主要因素之一，它反映了有關風險的價值觀、信念和規范，是一個企業風險認知和處理方式的基礎。成熟的風險管理度需要強大的風險文化，它可通過各種方式進行衡量。

　　2.過程

　　管理風險需要的不僅僅是建立風險流程，但流程仍然很重要。我們需要一種定制的、可擴展的、靈活的、穩健的、與時俱進的風險方法。

　　3.經驗

　　員工素質對風險管理成熟度有著巨大的影響。我們需要具備正確風險知識、技能和經驗的人員及在整個組織中保持風險能力的系統。

　　4.應用

　　有效的風險流程和經驗豐富的人在支持性的風險文化中運作是一個很好的開始，但如果我們不能在實踐中應用，那就毫無意義。風險管理成熟的組織將風險管理應用于整個業務，以支持從組織最高層到最基層的各級風險決策。

　　1997年，我利用這四個屬性開發了世界上首個風險成熟度模型(RMM)，提供了一種持續的風險管理成熟度評估方法。此后，該風險成熟度模型得到了廣泛應用，許多組織將其當前成熟度與風險成熟度模型對標，并制訂結構化改進計劃來提高其風險成熟度層次。

　　我對風險的定義是“重要的不確定性”，所有的風險都是不確定的，如果發生了，都會影響我們的目標，但風險不僅僅包括潛在的壞事或威脅，還包括可能的好事或機遇，它們可能永遠不會發生，但一旦發生了，我們會更容易實現目標。

　　雖然產生的影響不同，但威脅和機會都是重要的不確定性。我們可以用同樣的方式管理威脅和機會：識別并確定優先級，制定和實施應對策略，審查和調整判斷，吸取教訓。我建議采用一個綜合的風險流程來同時應對威脅和機遇，這樣我們就可以同時實現兩個目標：最小化威脅和最大化機會，保護價值和創造價值，預防壞事情發生和促進好事情發生。