Das Projekt-Risikomanagement basiert auf zwei Ebenen. Der Projektleiter ist primär dafür verantwortlich, dass die Risiken seines Projektes systematisch gemanged werden. Auf einer höheren Ebene sind der Projekt-Auftraggeber, Stakeholder, aber speziell auch der Projektportfolio-Manager verantwortlich für das Gesamtrisiko Projektes im Kontext zum Projektportfolio und dem Gesamtunternehmen. Diese zwei Ebenen können nach David Hillson unterschieden werden als die Risiken im Projekt (auf die Projektziele) und die Risiken des Projektes (auf das Projektumfeld).
Projektrisiken managen bedeutet auf beiden Ebenen aktiv zu sein. Um Risiken auf der unteren Ebene zu managen gibt es gut definierte Prozesse, die auch grösstenteils gelebt werden. Bei den Risiken auf der höheren Ebene besteht hingegen noch einiges an Handlungsbedarf. Hier findet man keine strukturierten Prozesse.
Wie können aber hier die Projektrisiken umfassend gemanaged werden? Zum ersten Mal werden die Risiken in der Vor-Projektphase beurteilt, das heisst während der Projekt-Akquisitionsphase bei externen Projekten oder bei internen Projekte bei der Projektselektion und Priorisierung in der Portfolioplanung, wenn der Projektumfang und die Projektziele geklärt und abgenommen werden. Hier definiert der Projekt-Auftraggeber auch den erwarteten Nutzen des Projektes zusammen mit den Risikograd der toleriert werden kann. Dabei werden auch die potentiellen Risiken für das Unternehmen, auf die bereits laufenden Projekte, das Umfeld, aber auch was für ein Risiko für das Unternehmen besteht, wenn das Projekt nicht durchgeführt wird. Sobald die Entscheidung getroffen wurde und das Projekt dann gestartet ist kommt der normale Risikomanagement-Prozess zum Zug, um die (internen) Projektrisiken zu managen. Periodisch wird jedoch das PMO oder das Projektportfolio-Management die Risiken der einzelnen Projekte auf der höheren Ebene, auf das Portfolio, das Unternehmen und das Umfeld neu bewerten.
David Hillson unterscheidet folgende zwei Ebenen:
- Implizites Risikomanagement bezieht sich auf das Gesamtrisiko des Projektes auf sein Umfeld
- Explizites Risikomanagement bezieht sich auf die individuellen Projektrisiken, welche das Erreichen der Projektziele bedrohen.