从IT风险管理到业务风险管理（上） 五步走

　　IT风险管理正处于十字路口。有超过2000名美国受访者参加了最近的一次IT专业人士ISACA调查，据调查报告显示，改善经营业绩是驱动他们所在组织IT风险管理的主要动力。在印度和澳大利亚/新西兰的类似调查报告也发现，驱动力从法规遵从转向了经营业绩。通过比较可以看到，法规遵从被认为是风险管理的首要驱动力，占受访人群的20%到28%，不同的国家比例略有不同。

　　对于IT风险管理者来说，这是一个绝好的机会，他们可以证明IT对业务有更多的影响，尤其是在经济危机影响压力较大的国家。

　　要利用好这个机会，主动的IT风险管理者可以采取下面五个步骤：

　　1、从业务方面开始。要带来业绩方面的益处，需要在IT风险方面投入精力，因为它们与业务目标密切相关。

　　2、定义风险评估范围。要针对给客户提供服务的业务活动建立框架，而不是针对技术。

　　3、寻找愿景。对业务资产和资源的威胁，从更宽泛的范围来看待。

　　4、使你的工作更容易。广泛利用已经采纳的方法和技术来评估和应对风险。不要重新发明轮子。

　　5、把要做的事说清楚。如果你对业务进行关注，请一定让业务领导搞清楚。要使用业务的语言清楚地表达你的计划和成就。

　　面对新法律和法规的大肆鼓吹，企业部门命名都显得与“合规和风险”有关，这样的调查结果多少有点出人意料。与合规遵守方面的压力一样大，企业领导会紧紧抓住机会，而不是在经营业绩背后强调IT风险管理。从华尔街的报告中可以很清楚地看到，削减成本的盈利方式并没有满足投资者期待的收入增长。标准普尔500指数从年初至今基本持平。此外，成本削减增加了自身风险。