Важнейшая составляющая правильной организации управления ИТ — риск - менеджмент. ИТ является одной из самых высокорискованных областей дея­тельности и может быть сопоставима для кредитных организаций по уровню рискованности даже с финансовыми операциями. Постоянная оценка наи­худшего сценария по всем направлениям, оценка вероятности наступления и потенциального влияния — вот основы риск-менеджмента.

Далее должна следовать работа по смягчению возможных последствий, минимизации влияния и снижения вероятности наступления негативно­го события, независимо от его природы. Невозможно подготовиться ко всему, поэтому необходимо использовать взвешенный подход, направляя максимум усилий на потенциальные события с высокой вероятностью наступления и высоким влиянием и на события с низкой вероятностью и высоким влиянием.

Основными направлениями риск-менеджмента являются:

• планирование непрерывности деятельности и действий в черезвы - чайных ситуациях, так называемые ВСР и DRP (business continuity and disaster recovery planning);

• разделение ключевых ИТ-функций (необходимо, например, разделять функции разработки программного обеспечения, технического тести­рования, тестирования функциональных возможностей и сопровожде­ния эксплуатируемых систем);

• зависимость от ключевого ИТ-персонала (в последнее время является одной из наиболее часто встречающихся проблем ИТ-менеджмента);

• информационная безопасность, инциденты, связанные с доступом и раскрытием конфиденциальной информации.

Для минимизации рисков внедряются так называемые контрольные процедуры, направленные на предотвращение, выявление и смягчение не­гативной ситуации.