IT風(fēng)險管理正處于十字路口。有超過2000名美國受訪者參加了最近的一次IT專業(yè)人士ISACA調(diào)查，據(jù)調(diào)查報告顯示，改善經(jīng)營業(yè)績是驅(qū)動他們所在組織IT風(fēng)險管理的主要動力。在印度和澳大利亞/新西蘭的類似調(diào)查報告也發(fā)現(xiàn)，驅(qū)動力從法規(guī)遵從轉(zhuǎn)向了經(jīng)營業(yè)績。通過比較可以看到，法規(guī)遵從被認(rèn)為是風(fēng)險管理的首要驅(qū)動力，占受訪人群的20%到28%，不同的國家比例略有不同。

對于IT風(fēng)險管理者來說，這是一個絕好的機會，他們可以證明IT對業(yè)務(wù)有更多的影響，尤其是在經(jīng)濟危機影響壓力較大的國家。

要利用好這個機會，主動的IT風(fēng)險管理者可以采取下面五個步驟：

從業(yè)務(wù)方面開始。要帶來業(yè)績方面的益處，需要在IT風(fēng)險方面投入精力，因為它們與業(yè)務(wù)目標(biāo)密切相關(guān)。

定義風(fēng)險評估范圍。要針對給客戶提供服務(wù)的業(yè)務(wù)活動建立框架，而不是針對技術(shù)。

尋找愿景。對業(yè)務(wù)資產(chǎn)和資源的威脅，從更寬泛的范圍來看待。

使你的工作更容易。廣泛利用已經(jīng)采納的方法和技術(shù)來評估和應(yīng)對風(fēng)險。不要重新發(fā)明輪子。

把要做的事說清楚。如果你對業(yè)務(wù)進(jìn)行關(guān)注，請一定讓業(yè)務(wù)領(lǐng)導(dǎo)搞清楚。要使用業(yè)務(wù)的語言清楚地表達(dá)你的計劃和成就。

面對新法律和法規(guī)的大肆鼓吹，企業(yè)部門命名都顯得與“合規(guī)和風(fēng)險”有關(guān)，這樣的調(diào)查結(jié)果多少有點出人意料。與合規(guī)遵守方面的壓力一樣大，企業(yè)領(lǐng)導(dǎo)會緊緊抓住機會，而不是在經(jīng)營業(yè)績背后強調(diào)IT風(fēng)險管理。從華爾街的報告中可以很清楚地看到，削減成本的盈利方式并沒有滿足投資者期待的收入增長。標(biāo)準(zhǔn)普爾500指數(shù)從年初至今基本持平。此外，成本削減增加了自身風(fēng)險。

要實施第一步，CEO和關(guān)注收入增長的首席財務(wù)官（CFO）為IT風(fēng)險管理者變成為IT業(yè)務(wù)風(fēng)險管理者提供了一個起步點。請為你的企業(yè)（跟你的角色有關(guān)，也可能是部門）評估業(yè)務(wù)績效報告和當(dāng)前IT風(fēng)險報告。要看看從業(yè)務(wù)績效度量到IT業(yè)務(wù)風(fēng)險存在明確的聯(lián)系嗎？業(yè)績度量包括銷量，客戶滿意度，產(chǎn)品發(fā)布時間以及諸如擴張、收購和兼并等策略的成功。

對于業(yè)務(wù)線，職能部門和區(qū)域主管也有度量，他們被據(jù)此評估并支付獎金。要把這些實實在在的措施映射成IT必須做的事情，來支持他們。然后確定對于業(yè)績與IT相關(guān)的風(fēng)險。例如，市場份額增長可能依賴于新的銷售和支持渠道。這可能依賴于移動客戶服務(wù)應(yīng)用程序，它依賴于整個IT堆棧。

第二步的基礎(chǔ)是由IT績效經(jīng)營業(yè)務(wù)目標(biāo)的這種依賴分析和IT對業(yè)績的相關(guān)風(fēng)險提供的。什么樣的風(fēng)險評估范圍可以給你更多幫助呢？應(yīng)該從諸如網(wǎng)絡(luò)或者數(shù)據(jù)存儲這類技術(shù)角度構(gòu)建風(fēng)險框架嗎？或者，是不是面向針對市場份額增長策略建立風(fēng)險框架更強大呢？因為你可以向首席營銷官，CFO以及其他高度關(guān)注業(yè)務(wù)成功的人展示成果。

第三步涉及檢查對業(yè)務(wù)資產(chǎn)范圍（包括IT堆棧）的更廣范圍的威脅，用來提交風(fēng)險評估范圍的商業(yè)利益。對于IT風(fēng)險管理者來說，這可能是最困難的轉(zhuǎn)換，這些管理者是從管理IT豎井中的風(fēng)險（比如：項目管理、安全、恢復(fù)或者變更管理）中提升而來?，F(xiàn)狀，管理者必須評估來自各方面的威脅，包括自然的，惡意的，意外發(fā)生的，以及業(yè)務(wù)量來源的威脅；要針對真?zhèn)€IT堆棧進(jìn)行考慮，包括：應(yīng)用程序、中間件、服務(wù)器、數(shù)據(jù)、存儲、網(wǎng)絡(luò)、設(shè)施以及IT管理流程和軟件工具。

第四步：使你的生活更輕松。有太多的企業(yè)都在重新發(fā)明輪子，建立他們自己的風(fēng)險管理框架來定義一組合規(guī)要求。當(dāng)這些合規(guī)需求發(fā)生變化時，風(fēng)險框架中的硬編碼也需要相應(yīng)改變。此外，對于每個IT豎井，對于整個IT風(fēng)險的傘狀管理，組織可以利用由專業(yè)組織和標(biāo)準(zhǔn)制定機構(gòu)提供的一些開放的業(yè)界實踐和指導(dǎo)。這些工作最好是基于同行評審進(jìn)行，并經(jīng)常更新，還要培訓(xùn)和建立活躍的用戶社區(qū)。

最后，要獎勵在“身體力行”經(jīng)營業(yè)績之路中所有良好的表現(xiàn)，記得要與業(yè)務(wù)方面“交流”。當(dāng)你尋求業(yè)務(wù)案例來支持和報告結(jié)果時，你應(yīng)該就業(yè)務(wù)目標(biāo)的實現(xiàn)加上評論內(nèi)容，這是與第一步相對應(yīng)的。同樣的對應(yīng)關(guān)系現(xiàn)在可以使主管們更容易理解“這對于我意味著什么”，同時認(rèn)識到你的努力如何給他們帶來了收入增長。