风险管理框架，从总体上将项目的风险管理过程，以及过程之间的关系进行了清楚的描述。如图所示，风险管理框架总体上包括三大步骤，在IT项目过程中一般都会重复发生。
 
首先需要识别项目中可能的风险来源，从来源中找到已知的风险。要注意的是在任何项目中都不可能将所有已知的风险完全识别出来，主要受到时间和费用限制，也没有必要和可能全部识别出来。
其次是反应阶段。定义出风险名称、潜在的影响、风险发生的可能性、寻找出降低发生可能性的措施与发生后降低损失的措施。将这些通过表格的形式纳入到风险管理计划。
最后是风险控制阶段。当风险发生时，执行风险应对策略。没有风险时，继续监视可能存在的风险。
1.风险识别阶段
风险识别是风险管理的第一步。风险识别是确定何种风险可能会对项目产生影响，这些风险具有什么样的特征。通过分析，找出可能存在的风险，并将这些风险的特性归档，便于后边进行风险管理。风险识别也是一个反复和重复的作用过程。一旦风险被识别出来，就可以开发和实施有效的风险应对措施。
从事风险识别的参与者，来源应多渠道，尽可能地包括以下人员：项目队伍、风险管理小组、来自公司其它部门的某一问题的专家、客户、最终用户、其他项目经理、项目干系人、外部的专家等。
2.风险反应阶段
风险反应阶段的主要就是评估已经识别风险的影响和可能性大小，确定风险可能造成的影响，同时对风险进行排序，确定特定风险与指导相应风险应对措施的开发，是风险管理的关键环节。
项目风险应急方案，就是针对本项目中识别出来的重要风险领域，制定应急措施。防止在风险发生时期缺乏有效的快速应对措施，拖延了时间，失去了解决问题的最好机会。风险应急方案按照公司的要求，必须采用风险管理系统纳入统一管理，便于团队协同作业。
通常从风险的影响与可能性两个方面来分析风险，采用成本表明风险的影响，用概率表明某一个风险发生的可能性，主要目的是帮助我们甄别出哪些风险需要强有力的控制与管理。
3.风险控制阶段
风险控制阶段是整个项目生命周期中的一种持续进行的PDCA过程。随着项目的成长，风险会不断变化，可能会有新的风险出现，也可能预期的风险会消失。
良好的风险控制过程能为我们提供信息，帮助我们在风险发生前做出有效决策。当风险发生时，执行风险应对策略。没有风险时，继续监视可能存在的风险。它通过跟踪已识别的风险，监视残余风险和识别新风险，保证风险计划的执行，并评估这些计划对减低风险的有效性。
风险控制可能涉及选择备用战略方案、实施某一应急计划、采取纠正行动或重新制订项目计划。