企业如何开发风险管理策略？

    企业正在经历不断上升的意外发生率，在安全、可用性、性能，以及兼容性等多个领域，对收入、名誉、生产力和成本方面都产生了显著的影响。根据计算机安全机构和FBI所说，没有经过认证的信息访问的每个事件的成本在2006年就超过了8万5千美元，还有系统停机时间成本都达到了每小时几万美元。要让一个人意识到即使是一个好的IT风险管理实践方案也会很快达到它的局限，这个道理不会花费很长时间。

　　IT风险管理是一种企业范围内调整人们、业务处理以及系统的方式，以此达到企业想要的IT成本和风险的平衡，从而提高企业的整体性能。

　　IT风险管理是一个不断成长的全体运营风险管理的组件。当业务越来越多地依赖于IT来自动处理和存储信息，IT风险管理正在不断成长为一个独立的实践方案——可以平衡安全、可用性、性能和兼容性测量标准的运营和经济成本，以此达到企业任务并获得改革能力。

　　那么企业如何从良好的IT风险管理实践方案中获得收益呢?挑战隐藏在他们对IT风险的组合理解上，对企业的风险概况进行定量衡量和优先顺序排序，并且为补救活动开发一个有效的程序。

　　接下来的5个步骤可以帮助企业评估IT风险的级别，开发补救路线图，并最终构建有效的持续的IT风险管理程序。

　　阶段1——开发IT风险的意识

　　IT风险移植从全面广泛的发现中开始，包括：

　　· 确定程序的范围(多大范围的IT风险视图才是合适的?)。

　　· 基于企业整体优先权构建风险配置文件。

　　· 识别IT风险的关键领域。

　　评估也应该考虑到企业当前的需求，能力以及弱点。最后，这个阶段包括了对威胁、问题、弱点以及缺点进行识别和分类，并且根据风险分配优先级别。

　　阶段2——量化业务影响

　　对业务影响进行量化通常是最具挑战性的一个步骤——当然也是最重要的。直到他们对IT风险领域解决的影响(正面的或者负面的)进行了量化， 否则IT领导力不能吸引他们的同事的注意或者是移植所需要的资金。

　　对业务影响进行量化通常有如下两个阶段的方式：

　　· 根据企业的风险手册以及风险移植难易度，基于潜在的业务影响对风险进行排序，以实践、人力资源和投资进行衡量。

　　· 为高影响领域的风险识别构建详细的业务意见。

　　阶段3——设计解决方案

　　在这一点上，企业了解了它的IT风险管理程序的范围和组件，它当前的状态以及每个IT风险领域的优先级别和量化。

　　接下来的一格步骤就是设计一组补救解决方案，涵盖人、业务处理以及技术的经典元素，每个元素都带有需求、详细说明，目标以及功能。

　　这个阶段还包括了详细的成本分析，以便控制成本以及从与企业目标相一致的建议中获得收益。

　　阶段4——结合IT和业务价值;实现解决方案

　　执行决定了风险移植活动是否成功地在企业股东们强烈关心的人们、业务处理和技术之间部署了。这个阶段也要求闭环测量和持续的改善，从而在不同的风险优先级别中获得有效率的移植。在测量标准和性能管理能力的一致系统中，企业在原始的业务案例中设置了收集基线数据、性能跟踪，以及程序效率的评估的阶段。

　　阶段5——构建和管理统一能力

　　一旦IT风险解决方案的第一波实现开始进行了，企业应该开始持续改善活动，并且持续监管他们的IT风险管理程序。

　　通过他们的努力，他们的经验和效率度朝着成熟的方向发展，企业可以避免或者战胜最常见的执行挑战，例如猜测，反应的项目和量化处理的缺乏。

　　然而IT风险管理没有魔法公式，这个过程能够帮助企业有效地整理他们的资源来获得IT风险管理上真实的、持续的改善，通常同时缩减复杂度和IT基础架构的成本。