风险评估的基础是首先要对以下几项内容进行估计：风险事件发生的可能性大小；可能的结果范围和危害程度；预期发生的时间；一个风险因素所产生的风险事件的发生频率。常用的方法工具包括：风险可能和危害分析等级矩阵、项目假定测试(project   assumpti testing)、数据精度分级(data precision ranking)。

(1)风险可能和危害分析等级矩阵。风险的大小是由两个方面决定的，一是风险发生的可能性，另一个是风险发生后对项目目标所造成的危害程度，对这两方面，可以用一些定性的描述词分别进行描述，如“非常高的”、“高的”、“适度的”、“低的”和“非常低的”等。

(2)项目假定测试。风险评估中的项目假定测试是一种模拟技术，它是分别对一系列的假定及其推论进行测试，进而发现风险的一些定性信息。

(3)数据精度分级。风险估计需要准确的、不带偏见的有益于管理的数据，数据精度分级就是应用于这方面的一种技术，它可以估计有关风险的数据对风险管理有用的程度。它包括如下的方面：风险的了解范围；有关风险的数据；数据的质量；数据的可信度和真实度等。

基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估;详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于在实践当中，***多是采用二者结合的组合评估方式。

为了决定选择哪种风险评估途径，***首先对所有的系统进行一次初步的风险评估，着眼于信息系统的商务价值和可能面临的风险，识别出***内具有高风险的或者对其商务运作极为关键的信息资产(或系统)，这些资产或系统应该划入详细风险评估的范围，而其他系统则可以通过基线风险评估直接选择安全措施。

这种评估途径将基线和详细风险评估的优势结合起来，既节省了评估所耗费的资源，又能确保获得一个系统的评估结果，而且，***的资源和资金能够应用到能发挥作用的地方，具有高风险的信息系统能够被预先关注。当然，组合评估也有缺点:如果初步的风险评估不够准确，某些本来需要详细评估的系统也许会被忽略，终导致结果失准。

考察决策的效果

　　随着管理幅度、管理半径的加大，企业的高层需要决策的内容越来越多，情况也越来越复杂，因此，决策者往往希望能够更的了解信息，以便做出科学的决策，于是会议开始变得漫长，"花一个小时汇报、再花一个小时讨论、后花15分钟拍脑袋"就成了常见的现象。因此，我们需要考察会议决策的效果，考察企业能否在会前完成汇报内容，提前相互知会;考察能否在会前完成思想统一;考察会后的决策跟进措施能否有效落实。用一个管理人员的说法就是"会议应该仅为决策"。

　　在诊断过程中，常用的方式是问卷调查，依据诊断步骤，依次对每一个诊断的要素进行交叉调研、访谈，以了解企业真实的现状，并通过雷达图的形式将诊断结果显性化。通过前面五个步骤，企业应该能够基本了解自身在项目运营管理的现状，并能自行设定提升目标进行针对性的改进行动。同时，结合企业的战略需要或管理的迫切性要求制定短期提升目标，并采取相应措施推进该目标的实现。