Lista kontrolna ryzyka oraz lista kategoryzująca ryzyka to narzędzia służących identyfikacji ryzyk projektowych. Ich źródłem są doświadczenia z wcześniejszych projektów lub - szerzej - doświadczenia organizacji (a czasami nawet branży). Wypracowywane są one w ramach organizacji, a w projekcie możemy (lub - jeśli takie będą wymagania organizacji - musimy) je zastosować.

Skoro są to narzędzia wypracowywane poza projektem, metodyka nie jest w stanie wskazać nam ich pochodzenia (być może nie istnieją). W ramach projektu zdobędziemy je w ramach gromadzenia doświadczeń lub, jeśli są w organizacji wymagane - zastosujemy je jako wymagane przez organizację. W obu przypadkach wprowadzimy je jako wymagane w projekcie do Strategii Zarządzania Ryzykiem. W końcu - możemy sami w ramach projektu wypracować takie listy, choć musimy mieć świadomość, że (jako, że nie są oparte na uogólnionych doświadczeniach) mogą być niewystarczające i nie wesprzeć nas wystarczająco w ramach projektu.

Gdzie w organizacji możemy znaleźć te narzędzia? To zależy od organizacji. Czy jest dział (lub inna jednostka) zajmująca się zarządzaniem ryzykiem? Czy mamy PMO, pilnujący utrzymywania przez poszczególne projekty standardów i udostępniający im narzędzia temu służące? Mamy wypracowane standardy zarządzania projektem lub inne standardy opisujące obowiązki zespołów projektowych? Szukamy tych narzędzi tam, gdzie w danej organizacji są dostępne.