风险分解结构是基于风险源的集合，它可以充分反映风险的层次性，有效表示风险的结构，确保找出项目所面临的所有风险要素，有助于风险管理人员全面理解项目面临的风险并指导风险管理过程。

　　1、IT风险的分类

　　IT项目本身是一个复杂的系统，引起风险的因素很多，风险因素之间的关系错综复杂，而且其中很多风险并不都是显露在外的，不加识别或者错误识别风险，不仅难以管理风险，而且还会造成难以预料的损失。因此必须从系统的观点对风险进行有效的识别。

　　因此，我们采用风险分解结构法来识别IT风险。风险分解结构是基于风险源的集合，它可以充分反映风险的层次性，有效表示风险的结构，确保找出项目所面临的所有风险要素，有助于风险管理人员全面理解项目面临的风险并指导风险管理过程。

　　建立风险分解结构关键的一步是确定分解层次，多数情况下，第一层是项目总体风险，第二层是前面所确定的主要风险要素，下一层对主要风险要素的进一步细分。如下图所示：

　　由上图可知，IT风险来源可以从项目过程发现。在项目的全生命周期中，项目启动、制定计划、范围定义、资源预算、人员组织、进度控制、项目状态、项目的协调和管理以及信息系统的运行阶段都会产生风险。

　　IT风险来源也可以从项目内容来看风险可能来自资金投入、人力资源、时间和进度、应用软件和技术等各个方面。 另外一种风险来源依据风险出现在项目内或项目以外，分为内部风险和外部风险。项目的外部风险主要是指项目的政治、经济环境的变化，包括与项目相关的规章或标准的变化，组织中雇佣关系的变化，如公司并购、自然灾害等，这类风险对项目的影响和项目性质的关系较大。

　　2、IT风险评估的过程

　　具体到某个组织来说，要有效地降低IT的风险，就要加强风险管理。对于信息安全风险管理的实施流程，目前己经形成了统一的认识，可分为风险评估、风险控制(或风险消解)和风险处理三个模块。通过风险评估来识别风险大小、识别隐患的存在、评估己有控制措施的效果:然后选取适当的控制目标并采取一定的控制措施对风险进行控制，最后在风险处理阶段对残余风险进行分析，使风险被避免、转移或降至一个可被接受的水平。如下图所示：

　　由上图可以看出来，风险评估是风险管理的第一个环节，也是能否有效控制风险的关键。

　　一个完整的风险评估过程如图所示，可以分为九大步骤。如下图所示：

　　从上图可以看出来，风险识别的内容非常多，本文重点介绍一下第七个步骤，风险预测环节的相关内容。

　　3、如何预测IT的风险？

　　风险被全部识别出来，就要判断哪些风险对项目是最重要的，这也是风险评估的第七个步骤，也是整个评估过程中非常重要的一个步骤。

　　风险预测的主要任务是要评估已识别出的风险对项目的潜在影响程度。对风险预测我们采取定性描述与定量分析相结合的方法进行。为了对项目风险发生的可能性、影响的严重性更准确的估计，要在以下三个方面对风险进行预测和打分，以便于风险排序，并为控制风险做准备。

　　（1）风险的可能性

　　为了对风险发生的可能性进行直观的比较，可以为每个风险分配取值范围。例如，分配的值为l～5，“1”表示非常不可能发生，“2”表示有些不可能发生，“3”表示非常可能发生，“5”表示极有可能发生。

　　（2）风险影响严重性

　　用来判断风险对项目的影响有多严重。按风险对项目影响程度的大小，对风险进行等级划分。“1”表示对成本、进度和运行等影响小，“2”表示对成本、进度和运行等影响中等，“3”表示对项目具有较大的影响，“4”表示对项目有非常大的影响，“5”表示悲惨的、灾难性的影响，整个项目失败。

　　（3）可控制水平

　　可控制水平确定风险的可控制水平的评估，即评估风险在什么程度上可以控制?采取什么措施来控制或减轻风险? “1”表示通过项目风险减轻行动，可避免，“2”表示通过项目行动，高度可控，“3”表示通过项目行动，中等水平可控，“4”表示通过项目行动，高度不可控，“5”表示不可控，有项目失败的高风险。

　　风险可能性*风险严重程度得分*风险控制水平=风险系数

　　各种风险的取值是根据我们的经验和该领域的专家共同确定的，根据风险系将风险排队，风险系数越大风险就越大，我们就要关注这些风险，我们将风险按风险系数排队可以生成不同的风险优先级列表。下表是某企业的IT风险预测分析列表：

　　IT战略规划是IT项目开始的首要活动，是实现企业和IT 目标的途径，也是进行后续项目的前提条件，所以我们就以IT规划为例，简要说明如何进一步预测IT风险。如下表所示，我们将IT战略规划进一步划分为6个小的问题，再分别计算出每一个小问题的风险系数，这样才能具体确认风险的具体来源。也只有这样，才能为下一步如何处置风险做出更精细的决策。