有效的IT服务风险管理能力，最重要的一点是要满足组织业务需要。组织在构建IT服务体系时要考虑战略和政策、角色和责任、流程与方法等多方面的因素。在确定IT服务实施范围的基础上，组织应采用系统性的方式对这些IT服务风险进行综合管理。目的是提升组织应对IT服务风险的能力以有效引导，减少管理失控或失效对组织IT服务业务造成的负面影响。该方法的重心在于“防胜于治”，通过PDCA循环来不断改进组织的IT服务能力。具体地说就是通过管理的体系控制、过程的方法控制、业务的流程控制和价值链的关系控制来处理IT服务风险

　　1．管理体系控制

　　（1）管理控制主要是立足于IT服务的管理层面，要求管理者提供一个管理体系以有效管理和实施IT服务。为此，管理者应确定IT服务的方针、目标和计划，在组织内部传达并引导员工了解和实施具体措施以满足服务目标和持续改进的要求。同时，管理控制也要求管理层提供组织实施IT服务所需的各项资源。

　　（2）简单的语言沟通对于组织运行来说是不够的，为规范服务的运行，还需要各种文件和记录的支撑，以确保员工有章可循。为此，作为管理控制的一部分，组织应提供与IT服务相匹配的文件体系供员工参照执行。不仅管理控制本身，就是过程控制和流程控制也应有相应的文件作为指导。

　　2．过程方法控制

　　依据PDCA的方法论，过程控制包括计划、执行、检查和改进4个部分。

　　（1）计划：在服务实施或交付前，组织应对IT服务的范围、目标、要求、人员职责和过程等进行策划。在策划服务时，尤其要注意组织在完成目标时可能遇到的风险和各流程和流程间接口的衔接。

　　（2）执行：组织应对服务计划予以实施。实施计划应着重注意成本预算、角色职责、服务风险的识别和管理、团队管理及过程中的协作等方面。

　　（3）检查：由于计划没有变化快，因此，组织应在一定的时间间隔内对执行情况进行正式的检查评审，以确定服务是否得到有效实施和保持。

　　（4）改进：对于不断发展的组织来说，单纯的计划、执行和检查是远远不够的，为确保竞争力的不断加强，组织应不断收集服务数据并在此基础上对目标实施改进。

　　组织在开发新的IT服务或对原有IT服务进行变更时应考虑成本、资源、技术、商业、验收准则和预期结果等各方面的影响。

　　3．业务流程控制

　　业务流程控制主要是控制组织对具体业务的处理过程，通常包括事件管理的控制、问题管理的控制、配置管理的控制、变更管理的控制、发布管理的控制、能力管理的控制和信息安全管理的控制7个方面。

　　（1）事件管理控制：客户在使用组织提供的IT服务时，不可避免地会遇到各种问题，作为客户方，他们对这些问题会向组织提出帮助请求。组织应对这些请求进行记录、确定优先次序和业务影响性，并有解决和正式的关闭过程。

　　（2）问题管理控制：组织应对客户多次提出的事件分析其原因并提出解决方案以使对组织业务的破坏最小化。

　　（3）配置管理控制：为确保员工能及时获得描述IT服务的各项部件，组织应制定配置项及其组成部件的配置策略，将配置项变更置于变更管理之下。

　　（4）变更管理控制：组织应对所有的变更请求都置于可控之下，对变更进行分类，确保与IT服务相关的所有变更得到评估、批准、实施和评审。同时，考虑到组织运行的实际情况，在制定变更计划时应制定回退计划。

　　（5）发布管理控制：组织应对发布进行控制，以在实际运行环境的发布中，交付、分发并追踪一个或多个变更。与变更类似，组织在发布时也应考虑发布不成功时的回退或补救措施。

　　（6）能力管理控制：组织应确保在服务协议时间内具有足够的软件、硬件、人员等资源满足客户要求。为此，组织要制定能力计划，考虑性能、服务升级、技能等方面的情形。

　　（7）信息安全管理控制：与IT服务相关的信息是仅能被相关人员获得的。因此，组织应在所有服务活动中有效地管理信息安全，避免安全事件对组织服务价值的实现造成的影响。

　　4．价值链关系控制

　　价值链关系控制主要是确保IT服务满意度等指标满足客户的要求，具体说来，包括服务级别管理的控制、服务报告的控制、服务连续性和可用性管理的控制、IT服务预算与核算管理的控制、与客户方关系管理的控制和供方管理的控制。

　　（1）服务级别管理控制：不同的服务级别组织需要付出不同的资源。为此，组织应与客户协商，确定正式的服务级别协议，以避免双方对IT服务交付物有不同理解。

　　（2）服务报告控制：为强化与客户的有效沟通，组织应依据日常收集到的服务信息及时编制可靠和准确的报告，以利双方决策。

　　（3）服务连续性可用性管理控制：没有客户会对需要服务时服务却不可用的状况表示满意。为此，组织应基于业务计划、服务水平协议和风险评估等状况来确定客户的可用性和连续性需求，并在此基础上制定相应计划，以确保各方同意的要求能得到满足。

　　（4）IT服务预算与核算管理控制：为运行服务，组织必定会有成本支出，为有效进行财务控制和业务决策，组织应对支出进行详细预算，并检查报告预算支出，从而管理服务供应成本的预算和核算。

　　（5）客户方关系管理控制：没有客户的服务是无效的服务，对组织是无意义的。组织应识别出服务的现实和潜在客户，努力建立并保持与客户的良好关系。组织应建立正式的渠道以处理客户的不满或投诉。

　　（6）供方管理控制：通常说来，组织向客户提供的IT服务只是IT价值链上的一环。为确保整个价值链能顺利实现，组织应确保上游的供方能提供合适的设施以供服务使用。为此，组织应加强供方管理，确保提供无缝的和高质量的服务。