在过去十年中，IT所带来的风险在大多数公司中已经出现了显著的变化。现今，IT问题所带来的潜在风险，已经远远超出IT投资本身，这种情况几乎普遍存在。比如，很多公司花费数百万美元部署了ERP系统，一旦这个系统停止工作一周，其带来的损失，可能要超过系统部署成本的十倍以上。

　　近来，就发生了与IT问题有关的两个案例：礼来公司（Eli Lilly）意外泄露了600多名Prozac（一种抗抑郁症药物）使用者的姓名和地址，其带来的直接后果是，美国联邦贸易委员会（Federal Trade Commission）颁布了一项为期20年的法令，法令规定，将对公司的IT安全每年进行审核。另一个案例是，电子游戏厂商瓦尔伏公司（Valve）由于一个简单的安全漏洞而丢失了一种新游戏的源代码。结果，这个游戏不得不推迟六个月上市，公司花费数月进行研发所带来的竞争优势也因此而丧失殆尽。

　　当你意识到，公司丢失一小部分内部机密数据可能会带来多大的损失，你就能对几乎所有公司都面对的风险有一个总体认识。这也意味着，CIO们比过去的责任更大了。企业期望由CIO们来应对这些风险。CIO别无选择。对新型CIO而言，风险管理已经成为他们工作中不可或缺的一部分。顾能公司（Gartner）日前对上百名CIO进行了年度调查，CIO们在调查中提出了四种他们关注的风险：

　　● 企业联系：公司与供应商、合作伙伴、消费者之间的联系愈发紧密，这不仅使企业对他们的依赖度越来越高，而且也带来了企业信息被窃取或滥用的可能。如果企业的这些关系管理不善，就会带来新的风险。这种风险，传统的IT观念并没有考虑到。
　　● 符合法规要求：由于管理不善及随之而生的犯罪行为，使得许多公司最终经营失败。政府因此出台了多项法规，希望减少滥用管理权力的现象，并对滥用管理权力者进行惩罚。但这样做的同时，这也为公司处理和保护信息带来了法律风险。
　　● 消费者要求保护隐私：消费者关心隐私，主要是因为窃取身份信息和个人信息的行为不断增加，同时，也和政府出台的多项反恐计划有关。缺乏隐私保护，对公司而言，是一种新的消费者风险；同时，不能遵守刚出台的隐私法，也使公司面临新的法律风险。
　　● IT问题带来的损失不断上升：IT问题不仅会影响到公司的客户、客户的客户以及供应商，而且也有可能给企业的商誉带来巨大损害，并使公司面临民事和刑事的双重惩罚。

　　整体考虑

　　在IT风险管理上，CIO们面临的一个共同问题是，IT风险带来的威胁、IT风险的影响面、IT风险的范围，都要大大超过以往。因此，很多企业并没有很好理解，应该如何去化解这些新的风险和消除这些风险的影响—要么是企业的CIO不熟悉如何管理业务风险，要么是企业的管理者对IT问题所带来的风险不重视。

　　我们的研究显示，CIO们把IT风险划分为好几类，比如应用、架构和供应商等，而没有把IT风险和业务风险作为一个整体来考虑。由于这种划分，使得CIO们也搞不清，究竟有多少IT预算用在了风险管理上。在我们的调查中，CIO们估计他们把IT预算的6～7%用在风险管理上。然而，当把这些风险管理支出进行具体分解后，实际的风险管理开支数据可能要翻上一番，达到约15%。对IT风险进行分类管理的办法，在过去可能是有效的，但在IT已经深深融入企业业务流程的今天，就已经不再合适。

　　不能把IT风险管理与业务风险管理综合起来进行整体考虑，这样将使企业陷入愈发危险的境地。因为对这两种风险的管理相互交叉，其结果会影响到整个公司。在安全或者技术上出现的问题，很容易就会从IT问题演变为整个公司的问题，进而影响到消费者的忠诚度，企业不得不被迫接受法律稽查，公司形象也由此受损。

　　化解风险，一般有四种主要的方法：缓解，转移，接受和避免。“缓解”是指降低风险，或降低风险可能带来的后果。要让“缓解”起作用，企业必须拥有足够的控制力，以减少风险时间出现的可能性，或消除风险事件带来的可能影响。

　　“转移”是指把风险转嫁给另一个有能力并愿意承担风险的载体，比如保险公司。“接受”是指企业有意识地去设想几种风险，这称为自我保险。为了让“接受”发挥作用，风险发生的几率必须足够小，或其重要性微不足道，对企业来说能够承受。“避免”则是指消除风险事件发生的可能性。对于大多数企业而言，“避免”意味着从某项业务或某个市场中退出，或放弃某个产品。要做到那样，企业必须具备自由退出的能力，还必须甘愿放弃与风险同时存在的市场机会。

　　在CIO的职责范围内出现的绝大部分新型IT风险，唯一可行的管理策略就是“缓解”。

　　虽然很难对风险管理的成功进行客观的量化评价，但你必须证明，是你终止了某项从未发生过的事件。Gartner公司对CIO们识别风险并采取有效措施缓解风险的信心进行了研究。我们把这些CIO称为高度自信的经理人。Gartner公司发现，这些高度自信的经理人可能只是略微增加了在风险管理上的投入，但是，他们在改善业务关系、提高IT可靠度、缓解风险等方面，却获得了高得多的回报。

　　这些高度自信的经理人，一般都采用了缓解风险的三种方法中的一种，当然，对另外两种也没有忽视。这三种方法分别是：风险管理的流程，简化配置的系统和个人经验。后两个方法比较通俗易懂：系统复杂性降低了，风险自然也就降低了，而且可以消灭出现错误点的可能。个人经验方法则是在团队中保留一名拥有丰富风险管理经验的员工。因此，我们将着重关注风险管理的流程这一方法。

　　制订流程

　　根据卡内基-梅隆大学软件工程学院（Carnegie Mellon University Software Engineering Institute）的研究结果，一个好的风险管理流程包含五个步骤：识别、分析、计算、防御计划，以及执行/评估。

　　首先，要识别目标和威胁。要识别风险，就先得把你的企业勾画为一个整体。对你的业务来说，什么策略是最重要的？公司制定的每项策略的主要障碍在哪里？是否存在单独的错误点？在数据、资金、原材料，或其他价值较高的公司资产中，公司策略的重心在哪里？把这些因素与业务流程结合起来，判断哪些业务流程会面临风险，或会受到风险的影响。对这些问题，要尽可能地明确。

　　例如，在卢森堡综合银行（Banque Générale du Luxembourg），公司CIO迈克尔·道芬（Michel Dauphin）和他的同僚就识别出以下对业务来说非常关键的IT风险：

　　● 如果系统不可用或用户界面不友好，会对业务人员的效率产生影响；
　　● 由于系统不灵活，使得公司对新的商业机会不能做出快速反应；
　　● 数据支离破碎；
　　● 由于对用户接入管理不善，将导致欺诈行为的出现；
　　● 如果IT无法提供合适的报告方法，企业就无法按照法律要求进行充分的信息披露；
　　● 如果IT系统运转不正常，会使员工情绪紧张。

　　高度自信的风险管理者们总是把对风险的评估当作一项任务来对待，从整个企业的角度定期进行回顾检讨。正如前文所述，如果把所有IT风险进行分类，就不能对他们进行有效管理。首先叫你的资深IT经理们识别出最重要的风险，以及他们所参与的可能的重要业务流程。要有效地做到这一点，他们很可能需要与他们的合作伙伴通力协作。

　　其次，分析威胁。给各种资产赋予风险价值，从业务流程、市场，到数据库。价值的形式可以是营业收入的减少或者市场份额的下降。把无形损失，比如商誉损失，转化为经济术语，估算他们对公司销售的影响，是否会引发营销下降，公司受到法律惩罚或罚款。另一个评估资产风险价值的好办法是计算可能的犯罪利益，也就是会吸引外部人员攻击的价值。对于那些损失可能涉及第三方的资产，应该估算出因为疏忽而可能带来的潜在债务。

　　第三，对每次设想中的攻击，计算出每年的风险。如果你拥有完整的数据资料的话，就能很容易计算出外部对你企业的攻击，以及你响应攻击所用去的费用。你可以用下面的等式来计算每年因风险而造成的潜在损失：每年的潜在损失 = 事件发生的成本 x 漏洞。然后根据风险级别进行优先性排序。

　　第四，确定可能的防御措施，用它们来平衡风险。一旦你拥有一张可能的防御清单，就按照四个标准来检讨取舍：成本；与企业目标的一致程度或偏离程度；对业务流程的影响，包括成本——这取决于是否需要对流程进行重新设计；以及对当前和未来风险管理行动的影响。最后一项可能取决于：你是否需要一直使用昂贵的、难以获取的技巧和知识；这是否会限制灵活性或缓解其他风险的能力；这是否有利于促进长期、而非暂时的风险管理。

　　最后，你还必须执行这些防御措施，并对你的成功进行评估。而且，你还要定期汇报识别出来的风险的状态，以及你所采取的风险管理措施。在公司的每一级，管理层应该大致关注五至七个主要的风险，并且定期地向更上一级管理层汇报。

　　在风险管理流程方面，英国电信批发公司（BT Wholesale)就是一个很好的例子。

　　该公司是英国电信公司（BT）下属的一家公司，为英国电信公司和其他通信公司提供网络服务和全面解决方案。公司CIO菲尔·丹斯（Phil Dance）和他的团队认为，不完善的语音网络是　公司的主要风险。这种不完善，将对公司的股价、信誉以及未来的业务会带来不可估量的损害。由于这种风险的成本非常巨大，公司因此决定，把IP网络根据运行在当前网络上的各种应用进行分割 该内容可能有会员内容，需要登录查看全文，点击这里在顶部登录