Para controlar los riesgos de nuestro proyecto adecuadamente debemos conocer que herramientas nos pueden ayudar a lograrlo, el PMI a recopilado un conjunto de herramientas para apoyar los procesos de gestión de riesgos.

- Planificar la gestión de los riesgos: Define que metodología usaremos para gestionar los riesgos, los roles y las responsabilidades, el presupuesto asignado, como evaluaremos y como daremos seguimiento a los riesgos.

- Identificar los riesgos: Este proceso elabora la lista inicial de riesgos.

- Realizar el análisis cualitativo de los riesgos: Aquí se evalúan los riesgos para identificar los riesgos más importantes, es decir los que tienen mayor probabilidad y/o impacto.

- Realizar el análisis cuantitativo de los riesgos: Los riesgos que no puedan ser evaluados mediante el análisis cualitativo pasarán por un análisis cuantitativo, el cual es más riguroso y devuelve el valor real de la probabilidad e impacto de un riesgo.

- Planificar la respuesta a los riesgos: En este proceso se generan las repuestas a los riesgos más importantes para mitigarlos o se generan planes de contingencia para afrontarlos cuando aparezcan.

- Dar seguimiento y control a los riesgos: Este proceso se encarga de identificar nuevos riesgos y cerrar los riesgos que ya no se aplican al proyecto.

A continuación se describen algunas de las herramientas que el PMI recomienda para apoyar los procesos de gestión de riesgos:

Lluvia de ideas:  La lluvia de ideas nos puede ser útil cuando queremos que los participantes hablen con libertad sobre los riesgos del proyecto a fin de recopilar gran cantidad de información que podamos evaluar y posteriormente utilizar en la elaboración de la lista inicial de riesgos.

La técnica de la lluvia de ideas tiene las siguientes características:

- Se realiza en grupo, esto es debido a que esta técnica sostiene que las personas son mas creativas cuando trabajan en grupo que cuando trabajan de forma individual.
- Se busca estimular la originalidad y la creatividad de los participantes.
- Se pide a los participantes que lancen ideas de forma libre.
- No se rechaza ninguna idea.
- Al inicio mas que calidad se busca cantidad.
- Al final las ideas se evalúan y se escogen las mejores.

La técnica Dephi: La técnica Delphi es muy útil cuando queremos obtener el consenso de un grupo de expertos sobre algún aspecto relacionado a la gestión de los riesgos, sobre todo cuando deseamos evitar que los expertos se vean influenciados por la opinión mayoritaria del grupo.

La técnica Delphi se realiza de la siguiente forma:

- Se envía a los expertos un cuestionario con preguntas relacionadas al tema que se desea tratar.
- Los expertos contestan las preguntas de forma anónima.
- Las respuestas se resumen y se envían a los expertos indicando los puntos en que hubo consenso y los puntos en que hubo divergencia.
- Adicionalmente al resumen de las respuestas, se envía un nuevo cuestionario con preguntas relacionadas a los puntos en divergencia.
- Este proceso se repite hasta que se obtiene el consenso entre los expertos.

La técnica FODA: La técnica FODA nos permite conocer el estado interno y externo de nuestro proyecto al ayudarnos a identificar nuestras fortalezas, nuestras debilidades, las oportunidades que podemos aprovechar y las amenazas que debemos enfrentar. 

Al aplicar la técnica FODA podemos obtener una gran cantidad de información sobre los riesgos del proyecto.

La técnica FODA tiene las siguientes características:

- En una matriz de 2 x 2, con la ayuda de los interesados y el equipo de trabajo, se registran las fortalezas, oportunidades, debilidades y amenazas del proyecto.

- La matriz FODA es una fotografía del estado interno y externo de nuestro proyecto.

- La matriz FODA tiene como fin ayudarnos a formular estrategias para aprovechar mejor las oportunidades y enfrentar las amenazas a partir de nuestras fortalezas y debilidades.

- Es conveniente hacer el análisis FODA periódicamente ya que los factores internos y externos del proyecto son dinámicos. 

Matriz probabilidad impacto: La matriz probabilidad impacto es una técnica que nos ayuda a identificar los riesgos que por su importancia requieren atención inmediata.

Esta técnica se realiza de la siguiente manera:

- A cada riesgo le debemos asignar una probabilidad de ocurrencia que puede ser un valor numérico o simplemente se le puede asignar el valor de baja, media o alta.
- Igualmente para cada riesgo debemos indicar cual es el impacto que podría tener sobre el proyecto, como en el caso anterior el impacto puede tomar un valor numérico o le podemos asignar el valor de bajo, medio o alto.
- Los riesgos con alta probabilidad y/o impacto deben ser atendidos de inmediato, es decir debemos generarles una respuesta que nos permita mitigarlos o un plan de contingencia para enfrentarlos si aparecen.
- También podemos ubicar los riesgos dentro de una matriz donde el eje vertical podría ser la probabilidad y el eje horizontal el impacto con el fin visualizar mejor los riesgos de importancia.

Arboles de decisión: Los arboles de decisión es una técnica que nos permite visualizar todos las posibles consecuencias de tomar una decisión, por ejemplo digamos que descubrimos que nuestro proyecto esta en riesgo de no cumplir con el cronograma, una de las soluciones que se podrían plantear para mitigar el riesgo es disminuir las pruebas de calidad, si elaboráramos un árbol de decisión podríamos darnos cuenta que si decidimos disminuir las pruebas de calidad deberemos tener en cuenta que existe el riesgo secundario de no alcanzar los niveles de calidad y si decidimos no reducirlas debemos tener en cuenta el riesgo secundario de que el proyecto no alcance el cronograma.

En la realidad los arboles de decisión ayudan a tomar decisiones complejas que tienen muchas posibles ramificaciones, en gestión de riesgos los árboles de decisión pueden ser usados por ejemplo para analizar las posibles consecuencias de un riesgo con el fin de entender su verdadero impacto y decidir si merece que le generamos una respuesta, o por ejemplo para saber si una respuesta a un riesgo lo va realmente a mitigar y cuales son sus riesgos secundarios.

Análisis monetario esperado: El valor monetario esperado (EMV) es una forma más precisa de conocer cual es el verdadero impacto de un riesgo, el EMV de un riesgo se calcula con la siguiente fórmula:

EMV = Probabilidad x Impacto 

Los riesgos con EMV más alto deberán ser atendidos de forma inmediata.

El EMV también nos puede ayudar a saber cual es el verdadero impacto de una decisión calculando la probabilidad y el impacto de cada una de sus posibles consecuencias, por ejemplo si calculamos la probabilidad y el impacto de las ramificaciones del árbol de decisión anterior podríamos sumar cada EMV para conocer el verdadero impacto de reducir o no reducir las pruebas de calidad del proyecto.

Estrategias para las amenazas: En gestión de riesgos existen tres formas de combatir una amenaza, evitar la amenaza, mitigar la amenaza o transferir la amenaza, si decidimos evitar la amenaza debemos eliminar su causa raíz, si decidimos mitigar la amenaza debemos reducir su probabilidad y/o impacto a tal punto que se convierta en un riesgo de poca importancia, finalmente si decidimos transferir la amenaza debemos asignar la amenaza a un tercero como cuando se contrata a una empresa de seguros.   

Estrategias para las oportunidades: En el caso de las oportunidades existen tres maneras de aprovecharlas, explotar la oportunidad, mejorar la oportunidad o compartir la oportunidad, si decidimos explotar la oportunidad debemos asegurarnos que la oportunidad ocurra, si decidimos mejorar la oportunidad debemos aumentar su probabilidad y/o impacto, finalmente si decidimos compartir la oportunidad debemos buscar el apoyo de un tercero que nos ayude a aprovecharla.

Reevaluación de los riesgos: La reevaluación de los riesgos busca identificar riesgos nuevos, como todos los riesgos en el proyecto, los riesgos nuevos deben ser evaluados y si se considera necesario se les debe generar una respuesta o un plan de contingencia. 

Auditorias de riesgos: Está auditoria tiene como fin verificar si los procesos para la gestión de los riesgos se están cumpliendo y si son eficientes. 

Análisis de la reserva: El análisis de la reserva verifica que las reservas de contingencia y de gestión no se estén agotando, un síntoma de una mala gestión de los riesgos es cuando el proyecto necesita ampliar su reserva constantemente.

Soluciones temporales: Para resolver problemas inesperados que pudieran aparecer en el proyecto el PM ejecuta soluciones temporales, las soluciones temporales no eliminan el problema debido a que generalmente no atacan su causa raíz, nuevamente un síntoma de una mala gestión de los riesgos es la constante ejecución de soluciones temporales.