让我们从风险管理的定义开始吧。风险管理被定义为鉴别与控制组织的损失的程序。但是这不是我们作为内部审计师的工作吗？我们检查一个组织的内部控制并与（管理层）协商或提出改善内部控制的建议。这些咨询与建议促使组织更有效地控制损失与保存组织资源。

现在我们知道什么是风险，那么什么构成风险呢？答案有很多：公司资产的重置成本，索赔费用（包括法定费用），保险费用与控制成本，丧失的生产力，以及最终的管理费用与营业间接成本。风险另一方面也表现为由于服务差或不可靠的系统造成的机会、信誉与顾客善意的丧失。资产成本可能是有形的或无形。例如，一个公司的信息处理系统是有形的,而贮存其上的信息却是无形的，这些可能是组织的最有价值的资产。让我们将这个例了推向更深一步，给我们管理数据中心风险下更贴近的关注。

第一步是确定环境或取得我们想要保护的资产的目录。这些可能包括局域网、计算机、相关硬件、操作系统软件、存贮在系统上的信息、磁带库、数据处理设备与软件以及应用软件。

下一步是列举这些资产面临的风险，包括：
· 财务损失
· 诸如火灾、洪水、暴风等自然灾害危险。别的人为危险如断电、暴乱与战争
· 错误发生的频率与严重程度，无论人为的或机械的
· 窃取或变造程序与数据
· 缺乏计划与管理造成的问题

当风险被鉴别我们就需要一个系统来将其按严重程度排列。为了做这些，就要确定财务影响的估计、成本与可能性。确定严重性具有很多方法（如索引、比率与比较）。我喜欢的一个方法是计算损失的可能性并乘上它的估计成本。这是我一个偏好，因为它是DOLLAR-WEIGHTED的成本。这个数字或来自它的数据对于严重的估计是很好的 。甚至是比较应用控制成本的一个很好的尺度。待会儿将就此作更详细地讨论 。

第三步，我们选择一个合适的方法来消除或控制损失对组织的负面影响。例如：
· 排除或避免。以上所有的各条但自然灾害的可能例外都能通过这些方法被排除
· 转给其它组织包括外购与共同外购。
· 控制以减少（发生）频率或严重性。再次，自然灾害也许不可控制。
· 提供经费，既可通过保持也可通过转向其它组织。例如，保险公司提出覆盖前面提到的所有的危险与风险。（不包括缺乏计划与管理）

为你的组织挑选方法依赖于你的详细分析。记住，每个控制代表收益。为了选择一个合适的控制或财务方法，你应当首先评估收益（控制）与相关成本。方法选择应当提供最大的收益（也就是最大的控制）而成本最小。如果一项控制的成本超过收益，那么管理层最好容忍某事件的风险。