在過(guò)去十年中，IT所帶來(lái)的風(fēng)險(xiǎn)在大多數(shù)公司中已經(jīng)出現(xiàn)了顯著的變化。現(xiàn)今，IT問(wèn)題所帶來(lái)的潛在風(fēng)險(xiǎn)，已經(jīng)遠(yuǎn)遠(yuǎn)超出IT投資本身，這種情況幾乎普遍存在。比如，很多公司花費(fèi)數(shù)百萬(wàn)美元部署了ERP系統(tǒng)，一旦這個(gè)系統(tǒng)停止工作一周，其帶來(lái)的損失，可能要超過(guò)系統(tǒng)部署成本的十倍以上。

　　近來(lái)，就發(fā)生了與IT問(wèn)題有關(guān)的兩個(gè)案例：禮來(lái)公司（Eli Lilly）意外泄露了600多名Prozac（一種抗抑郁癥藥物）使用者的姓名和地址，其帶來(lái)的直接后果是，美國(guó)聯(lián)邦貿(mào)易委員會(huì)（Federal Trade Commission）頒布了一項(xiàng)為期20年的法令，法令規(guī)定，將對(duì)公司的IT安全每年進(jìn)行審核。另一個(gè)案例是，電子游戲廠商瓦爾伏公司（Valve）由于一個(gè)簡(jiǎn)單的安全漏洞而丟失了一種新游戲的源代碼。結(jié)果，這個(gè)游戲不得不推遲六個(gè)月上市，公司花費(fèi)數(shù)月進(jìn)行研發(fā)所帶來(lái)的競(jìng)爭(zhēng)優(yōu)勢(shì)也因此而喪失殆盡。

　　當(dāng)你意識(shí)到，公司丟失一小部分內(nèi)部機(jī)密數(shù)據(jù)可能會(huì)帶來(lái)多大的損失，你就能對(duì)幾乎所有公司都面對(duì)的風(fēng)險(xiǎn)有一個(gè)總體認(rèn)識(shí)。這也意味著，CIO們比過(guò)去的責(zé)任更大了。企業(yè)期望由CIO們來(lái)應(yīng)對(duì)這些風(fēng)險(xiǎn)。CIO別無(wú)選擇。對(duì)新型CIO而言，風(fēng)險(xiǎn)管理已經(jīng)成為他們工作中不可或缺的一部分。（見邊欄《新型CIO》）。顧能公司（Gartner）日前對(duì)上百名CIO進(jìn)行了年度調(diào)查，CIO們?cè)谡{(diào)查中提出了四種他們關(guān)注的風(fēng)險(xiǎn)：

　　● 企業(yè)聯(lián)系：公司與供應(yīng)商、合作伙伴、消費(fèi)者之間的聯(lián)系愈發(fā)緊密，這不僅使企業(yè)對(duì)他們的依賴度越來(lái)越高，而且也帶來(lái)了企業(yè)信息被竊取或?yàn)E用的可能。如果企業(yè)的這些關(guān)系管理不善，就會(huì)帶來(lái)新的風(fēng)險(xiǎn)。這種風(fēng)險(xiǎn)，傳統(tǒng)的IT觀念并沒(méi)有考慮到。
　　● 符合法規(guī)要求：由于管理不善及隨之而生的犯罪行為，使得許多公司最終經(jīng)營(yíng)失敗。政府因此出臺(tái)了多項(xiàng)法規(guī)，希望減少濫用管理權(quán)力的現(xiàn)象，并對(duì)濫用管理權(quán)力者進(jìn)行懲罰。但這樣做的同時(shí)，這也為公司處理和保護(hù)信息帶來(lái)了法律風(fēng)險(xiǎn)。
　　● 消費(fèi)者要求保護(hù)隱私：消費(fèi)者關(guān)心隱私，主要是因?yàn)楦`取身份信息和個(gè)人信息的行為不斷增加，同時(shí)，也和政府出臺(tái)的多項(xiàng)反恐計(jì)劃有關(guān)。缺乏隱私保護(hù)，對(duì)公司而言，是一種新的消費(fèi)者風(fēng)險(xiǎn)；同時(shí)，不能遵守剛出臺(tái)的隱私法，也使公司面臨新的法律風(fēng)險(xiǎn)。
　　● IT問(wèn)題帶來(lái)的損失不斷上升：IT問(wèn)題不僅會(huì)影響到公司的客戶、客戶的客戶以及供應(yīng)商，而且也有可能給企業(yè)的商譽(yù)帶來(lái)巨大損害，并使公司面臨民事和刑事的雙重懲罰。

　　整體考慮

　　在IT風(fēng)險(xiǎn)管理上，CIO們面臨的一個(gè)共同問(wèn)題是，IT風(fēng)險(xiǎn)帶來(lái)的威脅、IT風(fēng)險(xiǎn)的影響面、IT風(fēng)險(xiǎn)的范圍，都要大大超過(guò)以往。因此，很多企業(yè)并沒(méi)有很好理解，應(yīng)該如何去化解這些新的風(fēng)險(xiǎn)和消除這些風(fēng)險(xiǎn)的影響—要么是企業(yè)的CIO不熟悉如何管理業(yè)務(wù)風(fēng)險(xiǎn)，要么是企業(yè)的管理者對(duì)IT問(wèn)題所帶來(lái)的風(fēng)險(xiǎn)不重視。

　　我們的研究顯示，CIO們把IT風(fēng)險(xiǎn)劃分為好幾類，比如應(yīng)用、架構(gòu)和供應(yīng)商等，而沒(méi)有把IT風(fēng)險(xiǎn)和業(yè)務(wù)風(fēng)險(xiǎn)作為一個(gè)整體來(lái)考慮。由于這種劃分，使得CIO們也搞不清，究竟有多少IT預(yù)算用在了風(fēng)險(xiǎn)管理上。在我們的調(diào)查中，CIO們估計(jì)他們把IT預(yù)算的6～7%用在風(fēng)險(xiǎn)管理上。然而，當(dāng)把這些風(fēng)險(xiǎn)管理支出進(jìn)行具體分解后，實(shí)際的風(fēng)險(xiǎn)管理開支數(shù)據(jù)可能要翻上一番，達(dá)到約15%。對(duì)IT風(fēng)險(xiǎn)進(jìn)行分類管理的辦法，在過(guò)去可能是有效的，但在IT已經(jīng)深深融入企業(yè)業(yè)務(wù)流程的今天，就已經(jīng)不再合適。

　　不能把IT風(fēng)險(xiǎn)管理與業(yè)務(wù)風(fēng)險(xiǎn)管理綜合起來(lái)進(jìn)行整體考慮，這樣將使企業(yè)陷入愈發(fā)危險(xiǎn)的境地。因?yàn)閷?duì)這兩種風(fēng)險(xiǎn)的管理相互交叉，其結(jié)果會(huì)影響到整個(gè)公司。在安全或者技術(shù)上出現(xiàn)的問(wèn)題，很容易就會(huì)從IT問(wèn)題演變?yōu)檎麄€(gè)公司的問(wèn)題，進(jìn)而影響到消費(fèi)者的忠誠(chéng)度，企業(yè)不得不被迫接受法律稽查，公司形象也由此受損。

　　化解風(fēng)險(xiǎn)，一般有四種主要的方法：緩解，轉(zhuǎn)移，接受和避免。“緩解”是指降低風(fēng)險(xiǎn)，或降低風(fēng)險(xiǎn)可能帶來(lái)的后果。要讓“緩解”起作用，企業(yè)必須擁有足夠的控制力，以減少風(fēng)險(xiǎn)時(shí)間出現(xiàn)的可能性，或消除風(fēng)險(xiǎn)事件帶來(lái)的可能影響。

　　“轉(zhuǎn)移”是指把風(fēng)險(xiǎn)轉(zhuǎn)嫁給另一個(gè)有能力并愿意承擔(dān)風(fēng)險(xiǎn)的載體，比如保險(xiǎn)公司。“接受”是指企業(yè)有意識(shí)地去設(shè)想幾種風(fēng)險(xiǎn)，這稱為自我保險(xiǎn)。為了讓“接受”發(fā)揮作用，風(fēng)險(xiǎn)發(fā)生的幾率必須足夠小，或其重要性微不足道，對(duì)企業(yè)來(lái)說(shuō)能夠承受。“避免”則是指消除風(fēng)險(xiǎn)事件發(fā)生的可能性。對(duì)于大多數(shù)企業(yè)而言，“避免”意味著從某項(xiàng)業(yè)務(wù)或某個(gè)市場(chǎng)中退出，或放棄某個(gè)產(chǎn)品。要做到那樣，企業(yè)必須具備自由退出的能力，還必須甘愿放棄與風(fēng)險(xiǎn)同時(shí)存在的市場(chǎng)機(jī)會(huì)。

　　在CIO的職責(zé)范圍內(nèi)出現(xiàn)的絕大部分新型IT風(fēng)險(xiǎn)，唯一可行的管理策略就是“緩解”。

　　雖然很難對(duì)風(fēng)險(xiǎn)管理的成功進(jìn)行客觀的量化評(píng)價(jià)，但你必須證明，是你終止了某項(xiàng)從未發(fā)生過(guò)的事件。Gartner公司對(duì)CIO們識(shí)別風(fēng)險(xiǎn)并采取有效措施緩解風(fēng)險(xiǎn)的信心進(jìn)行了研究。我們把這些CIO稱為高度自信的經(jīng)理人。Gartner公司發(fā)現(xiàn)，這些高度自信的經(jīng)理人可能只是略微增加了在風(fēng)險(xiǎn)管理上的投入，但是，他們?cè)诟纳茦I(yè)務(wù)關(guān)系、提高IT可靠度、緩解風(fēng)險(xiǎn)等方面，卻獲得了高得多的回報(bào)。

　　這些高度自信的經(jīng)理人，一般都采用了緩解風(fēng)險(xiǎn)的三種方法中的一種，當(dāng)然，對(duì)另外兩種也沒(méi)有忽視。這三種方法分別是：風(fēng)險(xiǎn)管理的流程，簡(jiǎn)化配置的系統(tǒng)和個(gè)人經(jīng)驗(yàn)。后兩個(gè)方法比較通俗易懂：系統(tǒng)復(fù)雜性降低了，風(fēng)險(xiǎn)自然也就降低了，而且可以消滅出現(xiàn)錯(cuò)誤點(diǎn)的可能。個(gè)人經(jīng)驗(yàn)方法則是在團(tuán)隊(duì)中保留一名擁有豐富風(fēng)險(xiǎn)管理經(jīng)驗(yàn)的員工。因此，我們將著重關(guān)注風(fēng)險(xiǎn)管理的流程這一方法。

　　制訂流程

　　根據(jù)卡內(nèi)基-梅隆大學(xué)軟件工程學(xué)院（Carnegie Mellon University Software Engineering Institute）的研究結(jié)果，一個(gè)好的風(fēng)險(xiǎn)管理流程包含五個(gè)步驟：識(shí)別、分析、計(jì)算、防御計(jì)劃，以及執(zhí)行/評(píng)估。

　　首先，要識(shí)別目標(biāo)和威脅。要識(shí)別風(fēng)險(xiǎn)，就先得把你的企業(yè)勾畫為一個(gè)整體。對(duì)你的業(yè)務(wù)來(lái)說(shuō)，什么策略是最重要的？公司制定的每項(xiàng)策略的主要障礙在哪里？是否存在單獨(dú)的錯(cuò)誤點(diǎn)？在數(shù)據(jù)、資金、原材料，或其他價(jià)值較高的公司資產(chǎn)中，公司策略的重心在哪里？把這些因素與業(yè)務(wù)流程結(jié)合起來(lái)，判斷哪些業(yè)務(wù)流程會(huì)面臨風(fēng)險(xiǎn)，或會(huì)受到風(fēng)險(xiǎn)的影響。對(duì)這些問(wèn)題，要盡可能地明確。

　　例如，在盧森堡綜合銀行（Banque Générale du Luxembourg），公司CIO邁克爾·道芬（Michel Dauphin）和他的同僚就識(shí)別出以下對(duì)業(yè)務(wù)來(lái)說(shuō)非常關(guān)鍵的IT風(fēng)險(xiǎn)：

　　● 如果系統(tǒng)不可用或用戶界面不友好，會(huì)對(duì)業(yè)務(wù)人員的效率產(chǎn)生影響；
　　● 由于系統(tǒng)不靈活，使得公司對(duì)新的商業(yè)機(jī)會(huì)不能做出快速反應(yīng)；
　　● 數(shù)據(jù)支離破碎；
　　● 由于對(duì)用戶接入管理不善，將導(dǎo)致欺詐行為的出現(xiàn)；
　　● 如果IT無(wú)法提供合適的報(bào)告方法，企業(yè)就無(wú)法按照法律要求進(jìn)行充分的信息披露；
　　● 如果IT系統(tǒng)運(yùn)轉(zhuǎn)不正常，會(huì)使員工情緒緊張。

　　高度自信的風(fēng)險(xiǎn)管理者們總是把對(duì)風(fēng)險(xiǎn)的評(píng)估當(dāng)作一項(xiàng)任務(wù)來(lái)對(duì)待，從整個(gè)企業(yè)的角度定期進(jìn)行回顧檢討。正如前文所述，如果把所有IT風(fēng)險(xiǎn)進(jìn)行分類，就不能對(duì)他們進(jìn)行有效管理。首先叫你的資深I(lǐng)T經(jīng)理們識(shí)別出最重要的風(fēng)險(xiǎn)，以及他們所參與的可能的重要業(yè)務(wù)流程。要有效地做到這一點(diǎn)，他們很可能需要與他們的合作伙伴通力協(xié)作。

　　其次，分析威脅。給各種資產(chǎn)賦予風(fēng)險(xiǎn)價(jià)值，從業(yè)務(wù)流程、市場(chǎng)，到數(shù)據(jù)庫(kù)。價(jià)值的形式可以是營(yíng)業(yè)收入的減少或者市場(chǎng)份額的下降。把無(wú)形損失，比如商譽(yù)損失，轉(zhuǎn)化為經(jīng)濟(jì)術(shù)語(yǔ)，估算他們對(duì)公司銷售的影響，是否會(huì)引發(fā)營(yíng)銷下降，公司受到法律懲罰或罰款。另一個(gè)評(píng)估資產(chǎn)風(fēng)險(xiǎn)價(jià)值的好辦法是計(jì)算可能的犯罪利益，也就是會(huì)吸引外部人員攻擊的價(jià)值。對(duì)于那些損失可能涉及第三方的資產(chǎn)，應(yīng)該估算出因?yàn)槭韬龆赡軒?lái)的潛在債務(wù)。

　　第三，對(duì)每次設(shè)想中的攻擊，計(jì)算出每年的風(fēng)險(xiǎn)。如果你擁有完整的數(shù)據(jù)資料的話，就能很容易計(jì)算出外部對(duì)你企業(yè)的攻擊，以及你響應(yīng)攻擊所用去的費(fèi)用。你可以用下面的等式來(lái)計(jì)算每年因風(fēng)險(xiǎn)而造成的潛在損失：每年的潛在損失 = 事件發(fā)生的成本 x 漏洞。然后根據(jù)風(fēng)險(xiǎn)級(jí)別進(jìn)行優(yōu)先性排序。