会员登录
会员注册
整体考虑
在IT风险管理上,CIO们面临的一个共同问题是,IT风险带来的威胁、IT风险的影响面、IT风险的范围,都要大大超过以往。因此,很多企业并没有很好理解,应该如何去化解这些新的风险和消除这些风险的影响—要么是企业的CIO不熟悉如何管理业务风险,要么是企业的管理者对IT问题所带来的风险不重视。
我们的研究显示,CIO们把IT风险划分为好几类,比如应用、架构和供应商等,而没有把IT风险和业务风险作为一个整体来考虑。由于这种划分,使得CIO们也搞不清,究竟有多少IT预算用在了风险管理上。在我们的调查中,CIO们估计他们把IT预算的6~7%用在风险管理上。然而,当把这些风险管理支出进行具体分解后,实际的风险管理开支数据可能要翻上一番,达到约15%.对IT风险进行分类管理的办法,在过去可能是有效的,但在IT已经深深融入企业业务流程的今天,就已经不再合适。
不能把IT风险管理与业务风险管理综合起来进行整体考虑,这样将使企业陷入愈发危险的境地。因为对这两种风险的管理相互交叉,其结果会影响到整个公司。在安全或者技术上出现的问题,很容易就会从IT问题演变为整个公司的问题,进而影响到消费者的忠诚度,企业不得不被迫接受法律稽查,公司形象也由此受损。
化解风险,一般有四种主要的方法:缓解,转移,接受和避免。“缓解”是指降低风险,或降低风险可能带来的后果。要让“缓解”起作用,企业必须拥有足够的控制力,以减少风险时间出现的可能性,或消除风险事件带来的可能影响。
“转移”是指把风险转嫁给另一个有能力并愿意承担风险的载体,比如保险公司。“接受”是指企业有意识地去设想几种风险,这称为自我保险。为了让“接受”发挥作用,风险发生的几率必须足够小,或其重要性微不足道,对企业来说能够承受。“避免”则是指消除风险事件发生的可能性。对于大多数企业而言,“避免”意味着从某项业务或某个市场中退出,或放弃某个产品。要做到那样,企业必须具备自由退出的能力,还必须甘愿放弃与风险同时存在的市场机会。
在CIO的职责范围内出现的绝大部分新型IT风险,唯一可行的管理策略就是“缓解”。