風險管理泛指確認風險、評價風險、回應風險的過程。風險管理涉及復雜的結構、機制、過程和制度安排，其目的在于盡可能地降低風險的發(fā)生以及風險發(fā)生以后所帶來的損失和威脅。
    企業(yè)信息化風險形成的原因及影響信息化風險的生成機理是復雜的，一方面是內因，由于信息化自身的特點即信息化的無疆界特征、低成本特征、開放性特征和匿名性特征等所決定。從企業(yè)組織內部大致可以歸納為，戰(zhàn)略能力不足，規(guī)劃不明確；領導與組織能力不到位，統(tǒng)籌協(xié)調不力；投資管理的能力比較差，項目管理體系不成熟，資金的預算和管理能力差；人力資源不足，缺乏信息安全風險管理的人才和能力，以及與政策的不足。另一方面是外因，是信息化的風險源。其重要內容歸納為，自然災害；安全生產事故；網(wǎng)絡攻擊；借助信息化手段進行欺詐；病毒和蠕蟲；內部泄密；使用不當；因內部因素而造成的信息、數(shù)據(jù)的修改和丟失；因外部因素造成信息、數(shù)據(jù)的泄露、篡改和丟失；安全防范措施不到位的高端技術等。
    企業(yè)信息化風險具有多方面的影響。首先，企業(yè)信息化風險影響公司整體發(fā)展戰(zhàn)略。第二，可能造成公司信息化建設的失敗導致信息化建設的整體失效，帶來難以估價的損失。第三，導致公司巨大的經(jīng)濟損失。第四，致使公司的社會信譽嚴重下降。第五，延誤公司競爭力的全面提升，使公司在未來的競爭中失去。實施企業(yè)信息化全面風險管理實施企業(yè)信息化全面風險管理，構建全面風險管理體系，應從企業(yè)整體層面建設企業(yè)的風險管理的架構，包括制定企業(yè)的風險管理戰(zhàn)略、完善企業(yè)的內控體系、設計與優(yōu)化企業(yè)的風險管理流程、設計企業(yè)風險管理組織結構及其職能，從而是企業(yè)建立起全面風險管理的長效機制，從根本上提升風險管理的效率和效果。
    成功的信息化系統(tǒng)的建設首先需要管理層對信息化的價值透徹理解，不能急于求成，不能為上信息化而信息化。企業(yè)高層必須要在人力、物力、財力及戰(zhàn)略發(fā)展規(guī)劃上給予信息化建設高度重視，并明確項目管理機構和職能。領導的重視，勢必帶動各級員工的積極性和參與意識，為信息化項目的實施奠定良好的基礎，確保信息建設的順利實施。
    企業(yè)自身應該建立相應的信息化組織，參與信息化的全過程。建立企業(yè)內部控制制度，一是制定完善的管理制度。二是技術安全制度。三是財務檔案管理制度。建立企業(yè)內部控制措施：加強會計信息資源控制、組織與管理控制、企業(yè)管理信息化系統(tǒng)開發(fā)控制，同時實行高層管理者負責制，強化會計人員作用。全面剖析與掌握風險存在之處，不少信息化建設的案例表明，大多信息化項目應用不理想的是因為沒有進行科學的規(guī)劃。規(guī)劃缺失給信息化進程帶來的風險是毀滅性的，因此，根據(jù)企業(yè)的實際情況及企業(yè)發(fā)展戰(zhàn)略目標，通過專業(yè)咨詢機構協(xié)助，進行科學合理的規(guī)劃是勢在必行。
    企業(yè)組織可以根據(jù)具體的情況來，運用信息技術選擇定性或定量的分析方法。通過風險識別過程所識別出的潛在風險數(shù)量很多，但這些潛在的風險對項目的影響是各不相同的。風險分析即通過分析、比較、評估等各種方式，對確定各風險的重要性，對風險排序并評估其對項目可能后果，從而使項目實施人員可以將主要精力集中于為數(shù)不多的主要風險上，從而使項目的整體風險得到有效的控制。內嵌信息化風險應對程序目的在于通過制定相應的控制措施，來應對風險對項目可能造成的威脅。常采用的應對威脅的措施有規(guī)避、減輕、轉移、接受。規(guī)避，通過消除風險的成因來消除該風險；減輕，即通過采取措施降低“風險概率”或“風險影響”，從而達到降低風險值的結果；轉移，即將風險轉移到另一方，如購買保險、分包等；接受，即對該風險不采取措施，接受其造成的結果，或事后再采取應急計劃進行處理。內嵌式風險應對程序是針對己識別的風險進行的；對于未知的風險，不可能預選制定相應的應對計劃或應急計劃，可以利用信息化例外管理儲備來應對。
    在風險管理模型中，可以發(fā)現(xiàn)風險管理的實質就是識別風險、篩選風險、控制重點風險、最終降低風險。利用網(wǎng)絡信息技術進行風險監(jiān)控，在整個項目過程中實時監(jiān)督已識別風險和殘留風險、識別可能出現(xiàn)的新風險、執(zhí)行風險應對計劃、評估計劃執(zhí)行的有效性。實時監(jiān)控子系統(tǒng)的內容包括：日常業(yè)務處理中的審批、審核等合規(guī)性控制；責任會計，全面經(jīng)濟核算、存貨控制、預算控制、標準成本控制等從體制到具體業(yè)務內容的效益性控制。應判斷：風險應對措施是否按計劃實施；風險應對措施是否有效，是否需要制定新的措施；項目假定條件是否依然成立；風險的狀態(tài)是否在改變；是否出現(xiàn)了風險征兆；正確的項目章程和流程有否被遵從；是否有未識別的風險發(fā)生?？傊L險控制是動態(tài)的，需要理論界不斷深入研究，需要企業(yè)界強化認識、予以重視。在傳統(tǒng)的風險控制觀念基礎上，充分利用網(wǎng)絡信息技術，開展信息化風險管理的創(chuàng)新工作，把信息化的先進性與適用性充分結合起來，實施全面風險管理，圍繞企業(yè)總體經(jīng)營目標，培育良好的風險管理文化，建立健全全面風險管理體系，從而為實現(xiàn)風險管理的總體目標提供合理的保證。