RE: Декомпозиция рисков
Странно, что вам до сих пор никто не ответил.
Рисков много и хаотически перечислять их нерационально, да и невозможно ничего не пропустить. Поэтому в процессе идентификации рисков полезно поделить их по категориям, подкатегориям и т.д. Пример из PMBOK Guide - риски технические, управленческие, организационные, внешние.
Всего наилучшего.