从IT风险管理到业务风险管理

管理会计

IT风险管理正处于十字路口。有超过2000名美国受访者参加了最近的一次IT专业人士ISACA调查，据调查报告显示，改善经营业绩是驱动他们所在组织IT风险管理的主要动力。在印度和澳大利亚/新西兰的类似调查报告也发现，驱动力从法规遵从转向了经营业绩。通过比较可以看到，法规遵从被认为是风险管理的首要驱动力，占受访人群的20%到28%，不同的国家比例略有不同。

对于IT风险管理者来说，这是一个绝好的机会，他们可以证明IT对业务有更多的影响，尤其是在经济危机影响压力较大的国家。

要利用好这个机会，主动的IT风险管理者可以采取下面五个步骤：

1、从业务方面开始。要带来业绩方面的益处，需要在IT风险方面投入精力，因为它们与业务目标密切相关。

2、定义风险评估范围。要针对给客户提供服务的业务活动建立框架，而不是针对技术。

3、寻找愿景。对业务资产和资源的威胁，从更宽泛的范围来看待。

4、使你的工作更容易。广泛利用已经采纳的方法和技术来评估和应对风险。不要重新发明轮子。

5、把要做的事说清楚。如果你对业务进行关注，请一定让业务领导搞清楚。要使用业务的语言清楚地表达你的计划和成就。

面对新法律和法规的大肆鼓吹，企业部门命名都显得与“合规和风险”有关，这样的调查结果多少有点出人意料。与合规遵守方面的压力一样大，企业领导会紧紧抓住机会，而不是在经营业绩背后强调IT风险管理。从华尔街的报告中可以很清楚地看到，削减成本的盈利方式并没有满足投资者期待的收入增长。标准普尔500指数从年初至今基本持平。此外，成本削减增加了自身风险。

要实施第一步，CEO和关注收入增长的首席财务官(CFO)为IT风险管理者变成为IT业务风险管理者提供了一个起步点。请为你的企业(跟你的角色有关，也可能是部门)评估业务绩效报告和当前IT风险报告。要看看从业务绩效度量到IT业务风险存在明确的联系吗？业绩度量包括销量，客户满意度，产品发布时间以及诸如扩张、收购和兼并等策略的成功。

对于业务线，职能部门和区域主管也有度量，他们被据此评估并支付奖金。要把这些实实在在的措施映射成IT必须做的事情，来支持他们。然后确定对于业绩与IT相关的风险。例如，市场份额增长可能依赖于新的销售和支持渠道。这可能依赖于移动客户服务应用程序，它依赖于整个IT堆栈。

第二步的基础是由IT绩效经营业务目标的这种依赖分析和IT对业绩的相关风险提供的。什么样的风险评估范围可以给你更多帮助呢？应该从诸如网络或者数据存储这类技术角度构建风险框架吗？或者，是不是面向针对市场份额增长策略建立风险框架更强大呢？因为你可以向首席营销官，CFO以及其他高度关注业务成功的人展示成果。

第三步涉及检查对业务资产范围(包括IT堆栈)的更广范围的威胁，用来提交风险评估范围的商业利益。对于IT风险管理者来说，这可能是最困难的转换，这些管理者是从管理IT竖井中的风险(比如：项目管理、安全、恢复或者变更管理)中提升而来。现状，管理者必须评估来自各方面的威胁，包括自然的，恶意的，意外发生的，以及业务量来源的威胁；要针对真个IT堆栈进行考虑，包括：应用程序、中间件、服务器、数据、存储、网络、设施以及IT管理流程和软件工具。

第四步：使你的生活更轻松。有太多的企业都在重新发明轮子，建立他们自己的风险管理框架来定义一组合规要求。当这些合规需求发生变化时，风险框架中的硬编码也需要相应改变。此外，对于每个IT竖井，对于整个IT风险的伞状管理，组织可以利用由专业组织和标准制定机构提供的一些开放的业界实践和指导。这些工作最好是基于同行评审进行，并经常更新，还要培训和建立活跃的用户社区。