プロジェクトのリスクって

そもそもリスクというのは、「何か(問題が)起きたら」という危機管理のニュアンスが一般的ですよね。PMBOKガイドではそれをネガティブ・リスクと呼んでいます。

一方でPMBOKガイドでは、ポジティブリスク（好機）というニュアンスのリスクも概念として紹介しています。「何か(いいことが)起きたら」うまくいく。例えば、想定外の技術革新があり投入工数(費用・期間)が押さえられて安価・早期に作業を完了するなど。でしょうか。
残念ながら、そうそう起こるものでもないので、ネガティブの方について考えることにします。

リスクを想定（特定）するには、環境要因、過去の類似プロジェクトの情報、過去の経験、投入予定のチーム、調達先、技術的な課題など、さまざまな要因を考慮する必要があります。

こういった情報から想定（想像）可能なリスクについてどう扱うか
（そもそも問題が発生しないように予防するのか、予防のコストが膨大になりそうなので発生したときに影響を最小化する準備をするのかなど）
を決めておく必要があります。そのための費用はコンティンジェンシー予備として予算化しておくのが一般的です。

リスクの特定は、プロジェクト開始前～開始時に実施して対応策まで計画書に付随するドキュメント（リスク登録簿）に記述しておきます。
プロジェクトを進めていくと、別のリスクが想定できるようになる場合があります。特定済のリスクを定期的に状況確認するだけではなく、別のリスクが登場していないかも確認して必要ならリスク登録簿に追加します。

また、そもそもプロマネやマネジメントチームが想定できない問題が起こることもありえます。そういった事前に全く想定していなかったリスクが問題化した場合は、プロジェクト予算の外から費用調達して対応せざるを得ません。この費用がPMBOKガイドでいうマネジメント予備に相当します。

ある程度の想定可能なリスクがすべて特定できていて、対応策が立案できて、対応費用が確保できていれば、よほどのヘマをしない限りプロジェクトは成功するでしょう。ほとんどの場合、まずリスクが特定できておらず、対応策も曖昧で費用も不十分なことにプロマネが気づいていません。