直麵風險管理 運籌帷幄

         在過去十年中

，IT所帶來的風險在大多數公司中已經出現了顯著的變化。現今
，IT問題所帶來的潛在風險
，已經遠遠超出IT投資本身，這種情況幾乎普遍存在。比如，很多公司花費數百萬美元部署了ERP係統，一旦這個係統停止工作一周，其帶來的損失
，可能要超過係統部署成本的十倍以上。

        近來
，就發生了與IT問題有關的兩個案例：禮來公司(Eli Lilly)意外泄露了600多名Prozac(一種抗抑鬱症藥物)使用者的姓名和地址
，其帶來的直接後果是，美國聯邦貿易委員會(Federal Trade Commission)頒布了一項為期20年的法令，法令規定，將對公司的IT安全每年進行審核。另一個案例是，電子遊戲廠商瓦爾伏公司(Valve)youyuyigejiandandeanquanloudongerdiushileyizhongxinyouxideyuandaima。jieguo
，zhegeyouxibudebutuichiliugeyueshangshi，gongsihuafeishuyuejinxingyanfasuodailaidejingzhengyoushiyeyinciersangshidaijin。

        dangniyishidao，gongsidiushiyixiaobufenneibujimishujukenenghuidailaiduodadesunshi，nijiunengduijihusuoyougongsidoumianduidefengxianyouyigezongtirenshi。zheyeyiweizhe，CIO們比過去的責任更大了。企業期望由CIO們來應對這些風險。CIO別無選擇。對新型CIO而言

，風險管理已經成為他們工作中不可或缺的一部分。顧能公司(Gartner)日前對上百名CIO進行了年度調查，CIO們在調查中提出了四種他們關注的風險：

 企業聯係：公司與供應商、合作夥伴、消xiao費fei者zhe之zhi間jian的de聯lian係xi愈yu發fa緊jin密mi
，這zhe不bu僅jin使shi企qi業ye對dui他ta們men的de依yi賴lai度du越yue來lai越yue高gao，而er且qie也ye帶dai來lai了le企qi業ye信xin息xi被bei竊qie取qu或huo濫lan用yong的de可ke能neng。如ru果guo企qi業ye的de這zhe些xie關guan係xi管guan理li不bu善shan，就jiu會hui帶dai來lai新xin的de風feng險xian。這zhe種zhong風feng險xian，傳chuan統tong的deIT觀念並沒有考慮到。

 符合法規要求：由you於yu管guan理li不bu善shan及ji隨sui之zhi而er生sheng的de犯fan罪zui行xing為wei，使shi得de許xu多duo公gong司si最zui終zhong經jing營ying失shi敗bai。政zheng府fu因yin此ci出chu台tai了le多duo項xiang法fa規gui，希xi望wang減jian少shao濫lan用yong管guan理li權quan力li的de現xian象xiang，並bing對dui濫lan用yong管guan理li權quan力li者zhe進jin行xing懲cheng罰fa。但dan這zhe樣yang做zuo的de同tong時shi

，這zhe也ye為wei公gong司si處chu理li和he保bao護hu信xin息xi帶dai來lai了le法fa律lv風feng險xian。

 消費者要求保護隱私：消xiao費fei者zhe關guan心xin隱yin私si，主zhu要yao是shi因yin為wei竊qie取qu身shen份fen信xin息xi和he個ge人ren信xin息xi的de行xing為wei不bu斷duan增zeng加jia
，同tong時shi，也ye和he政zheng府fu出chu台tai的de多duo項xiang反fan恐kong計ji劃hua有you關guan。缺que乏fa隱yin私si保bao護hu，對dui公gong司si而er言yan，是shi一yi種zhong新xin的de消xiao費fei者zhe風feng險xian
；同時，不能遵守剛出台的隱私法，也使公司麵臨新的法律風險。

IT問題帶來的損失不斷上升：IT問題不僅會影響到公司的客戶
、客戶的客戶以及供應商，而且也有可能給企業的商譽帶來巨大損害，並使公司麵臨民事和刑事的雙重懲罰。

整體考慮

        在IT風險管理上，CIO們麵臨的一個共同問題是，IT風險帶來的威脅、IT風險的影響麵、IT風險的範圍，都要大大超過以往。因此，很多企業並沒有很好理解，應該如何去化解這些新的風險和消除這些風險的影響—要麼是企業的CIO不熟悉如何管理業務風險
，要麼是企業的管理者對IT問題所帶來的風險不重視。

        我們的研究顯示
，CIO們把IT風險劃分為好幾類，比如應用、架構和供應商等，而沒有把IT風險和業務風險作為一個整體來考慮。由於這種劃分
，使得CIO們也搞不清，究竟有多少IT預算用在了風險管理上。在我們的調查中
，CIO們估計他們把IT預算的6～7%用在風險管理上。然而，當把這些風險管理支出進行具體分解後，實際的風險管理開支數據可能要翻上一番
，達到約15%。對IT風險進行分類管理的辦法
，在過去可能是有效的，但在IT已經深深融入企業業務流程的今天，就已經不再合適。

        不能把IT風feng險xian管guan理li與yu業ye務wu風feng險xian管guan理li綜zong合he起qi來lai進jin行xing整zheng體ti考kao慮lv，這zhe樣yang將jiang使shi企qi業ye陷xian入ru愈yu發fa危wei險xian的de境jing地di。因yin為wei對dui這zhe兩liang種zhong風feng險xian的de管guan理li相xiang互hu交jiao叉cha
，其qi結jie果guo會hui影ying響xiang到dao整zheng個ge公gong司si。在zai安an全quan或huo者zhe技ji術shu上shang出chu現xian的de問wen題ti，很hen容rong易yi就jiu會hui從congIT問題演變為整個公司的問題

，進而影響到消費者的忠誠度，企業不得不被迫接受法律稽查，公司形象也由此受損。

        化解風險，一般有四種主要的方法：緩解，轉移，接受和避免。“緩解”是指降低風險
，或降低風險可能帶來的後果。要讓“緩解”起作用，企業必須擁有足夠的控製力，以減少風險時間出現的可能性，或消除風險事件帶來的可能影響。

       “轉移”是指把風險轉嫁給另一個有能力並願意承擔風險的載體
，比如保險公司。“接受”是指企業有意識地去設想幾種風險，這稱為自我保險。為了讓“接受”發揮作用，風險發生的幾率必須足夠小，或其重要性微不足道，對企業來說能夠承受。“避免”則是指消除風險事件發生的可能性。對於大多數企業而言，“避免”意yi味wei著zhe從cong某mou項xiang業ye務wu或huo某mou個ge市shi場chang中zhong退tui出chu
，或huo放fang棄qi某mou個ge產chan品pin。要yao做zuo到dao那na樣yang，企qi業ye必bi須xu具ju備bei自zi由you退tui出chu的de能neng力li，還hai必bi須xu甘gan願yuan放fang棄qi與yu風feng險xian同tong時shi存cun在zai的de市shi場chang機ji會hui。

         在CIO的職責範圍內出現的絕大部分新型IT風險，唯一可行的管理策略就是“緩解”。

         雖然很難對風險管理的成功進行客觀的量化評價，但你必須證明，是你終止了某項從未發生過的事件。Gartner公司對CIO們識別風險並采取有效措施緩解風險的信心進行了研究。我們把這些CIO稱為高度自信的經理人。Gartner公司發現，這些高度自信的經理人可能隻是略微增加了在風險管理上的投入，但是
，他們在改善業務關係、提高IT可靠度
、緩解風險等方麵
，卻獲得了高得多的回報。

        這些高度自信的經理人，一般都采用了緩解風險的三種方法中的一種，當然，對另外兩種也沒有忽視。這三種方法分別是：風險管理的流程，簡化配置的係統和個人經驗。後兩個方法比較通俗易懂：xitongfuzaxingjiangdile，fengxianziranyejiujiangdile
，erqiekeyixiaomiechuxiancuowudiandekeneng。gerenjingyanfangfazeshizaituanduizhongbaoliuyimingyongyoufengfufengxianguanlijingyandeyuangong。