كاهش اثر منفى درسيستم و سازمان و رسيدن به يك پايه اساسى در تصميم گيرى ، دلايلى هستند كه سازمان را وادار به اجراى روند مديريت ريسك براى سيستم هاى مبتنى بر IT مى سازند . چرخه ايجاد يك سيستم مكانيزه داراى 5 مرحله است : شروع ، ايجاد و تهيه سيستم ، اجراى سيستم ، بازبينى مجدد ، حفاظت و واگذارى . ارزيابى ريسك : ارزيابى ريسك اولين قدم در روش مديريت ريسك به شمار مى آيد . سازمانها با استفاده از ارزيابى ريسك ، مى توانند محدوده تهديدات احتمالى و ريسك مربوط به يك سيستم مبتنى بر IT را در سراسر چرخه ايجاد سيستم مشخص كنند . بازده و نتيجه اين امر به تعيين كنترل هاى مربوطه جهت كاهش يا حذف ريسك در طول روند كاهش ريسك كمك مى كند. ارزیابى ريسك خود داراى 9 مرحله اساسى است كه عبارت است از : تعيين سيستم ، تشخيص تهديد ، تشخيص آسيب پذيرى ، تحليل كنترل، تعيين احتمال ، تحليل اثر سوء ، تعيين ريسك ، ارائه نظريه و پيشنهاد جهت كنترل سيستم و نهايتا مستند سازى نتايج . كاهش ريسك : كاهش ريسك عبارت است از اولويت دادن ، ارزيابى و اجراى كنترل هاى كاهش ريسك كه در روند ارزيابى ريسك پيشنهاد شده اند .

از آنجايى كه از بين بردن تمامى ريسك ها عملا امكان ندارد ، مديران با اعمال كنترل های

مناسب ، كاهش ريسك را تا يك سطح قابل قبول به انجام مى رسانند . كاهش ريسك را از طريق موارد ذيل مى توان انجام داد .

الف- تقبل ريسك : پذيرفتن ريسك احتمالى و ادامه عمليات سيستم IT جهت پياده سازى كنترل ها تا رسيدن به يك سطح قابل قبول .

ب- اجتناب از ريسك : دور كردن ريسك با از ميان برداشتن عامل و پيامدهاى ريسك .

ج- برنامه ريزى ريسك : كنترل ريسك از طريق ايجاد يك برنامه كاهش ريسك كه به

كنترل ها اولويت بخشيده و آنها را اجرا و اداره مى كند .

د- تصديق و تحقيق : قبول نقطه ضعف يا آسيب پذيرى و تحقيق در خصوص كنترل ها جهت اصلاح آسيب پذيرى .

ه- انتقال ريسك : انتقال ريسك براى جبران خسارت ، به طور مثال بيمه كردن سيستم . سازمانها مى توانند حدود كاهش ريسك را بر حسب احتمال يا تاثير تخفيف تهديد (دو عاملى كه سطح كاهش يافته ريسك را در يك عمليات سازمانى تعيين مى كنند) بررسى كنند . به ريسكى كه بعد از اجراى كنترل هاى جديد مى ماند ، ريسك باقى مانده مى گويند . عملا هيچ سيستم IT بدون ريسك نيست و تمام كنترل هاى صورت گرفته را ريسك برطرف نمى كند . چنانچه ريسك باقى مانده تا يك سطح قابل قبول تقليل نيابد ، چرخه مديريت ريسك بايد تكرار گردد تا روشى را كه براى كاهش ريسك باقى مانده مشخص سازد .

هنگامى كه مسئولان و مديران اعلام كنند كه ريسك به سطح مناسبى رسيده ، بايد گزارشى را كه بيانگر  قبول ريسك باقى مانده است ، قبل از تائيد و معتبر سازى سيستم ، قبول و به امضا رسانند . نكات اصلى در مديريت موفق ريسك : از فوايد مديريت ريسك به طور خلاصه مى توان به افزايش كارآئى ؛ موثر بودن ؛ تسهيلات و روان سازى ؛ كاهش هزينه ؛ سرعت عمل ؛كاهش زمان انجام عمليات اشاره نمود . اما يك برنامه موفق در مديريت ريسك بستگى به موارد ذيل دارد :

-        تعهد مديريت ارشد در خصوص زمان و منابع ضروری

-        پشتيبانى و همكارى همه جانبه گروه IT

-        صلاحيت تيم مديريت ريسك .

اين گروه بايد مهارت لازم را در پياده سازى روش مديريت ريسك در يك سيستم را دارا باشند . ريسك و احتمال خطر عمليات را تشخيص دهند و بر آن اساس ، حمايت هاى مقرون به صرفه اى را جهت رفع احتياجات سازمان ارائه نمايند .

 آگاهى و مسئوليت پذيرى گروه كارى كه بايد از روش ها و آئين نامه ها پيروى كرده و كنترل هاى اجرا شده در خصوص حمايت از عمليات سازمانشان را بپذيرند .