近来，就发生了与IT问题有关的两个案例：礼来公司(Eli Lilly)意外泄露了600多名Prozac(一种抗抑郁症药物)使用者的姓名和地址，其带来的直接后果是，美国联邦贸易委员会(Federal Trade Commission)颁布了一项为期20年的法令，法令规定，将对公司的IT安全每年进行审核。另一个案例是，电子游戏厂商瓦尔伏公司(Valve)由于一个简单的安全漏洞而丢失了一种新游戏的源代码。结果，这个游戏不得不推迟六个月上市，公司花费数月进行研发所带来的竞争优势也因此而丧失殆尽。

　　当你意识到，公司丢失一小部分内部机密数据可能会带来多大的损失，你就能对几乎所有公司都面对的风险有一个总体认识。这也意味着，CIO们比过去的责任更大了。企业期望由CIO们来应对这些风险。CIO别无选择。对新型CIO而言，风险管理已经成为他们工作中不可或缺的一部分。顾能公司(Gartner)日前对上百名CIO进行了年度调查，CIO们在调查中提出了四种他们关注的风险：

　　● 企业联系：公司与供应商、合作伙伴、消费者之间的联系愈发紧密，这不仅使企业对他们的依赖度越来越高，而且也带来了企业信息被窃取或滥用的可能。如果企业的这些关系管理不善，就会带来新的风险。这种风险，传统的IT观念并没有考虑到。

　　● 符合法规要求：由于管理不善及随之而生的犯罪行为，使得许多公司最终经营失败。政府因此出台了多项法规，希望减少滥用管理权力的现象，并对滥用管理权力者进行惩罚。但这样做的同时，这也为公司处理和保护信息带来了法律风险。

　　● 消费者要求保护隐私：消费者关心隐私，主要是因为窃取身份信息和个人信息的行为不断增加，同时，也和政府出台的多项反恐计划有关。缺乏隐私保护，对公司而言，是一种新的消费者风险;同时，不能遵守刚出台的隐私法，也使公司面临新的法律风险。

　　● IT问题带来的损失不断上升：IT问题不仅会影响到公司的客户、客户的客户以及供应商，而且也有可能给企业的商誉带来巨大损害，并使公司面临民事和刑事的双重惩罚。

　　整体考虑

　　在IT风险管理上，CIO们面临的一个共同问题是，IT风险带来的威胁、IT风险的影响面、IT风险的范围，都要大大超过以往。因此，很多企业并没有很好理解，应该如何去化解这些新的风险和消除这些风险的影响—要么是企业的CIO不熟悉如何管理业务风险，要么是企业的管理者对IT问题所带来的风险不重视。

　　我们的研究显示，CIO们把IT风险划分为好几类，比如应用、架构和供应商等，而没有把IT风险和业务风险作为一个整体来考虑。由于这种划分，使得CIO们也搞不清，究竟有多少IT预算用在了风险管理上。在我们的调查中，CIO们估计他们把IT预算的6～7%用在风险管理上。然而，当把这些风险管理支出进行具体分解后，实际的风险管理开支数据可能要翻上一番，达到约15%。对IT风险进行分类管理的办法，在过去可能是有效的，但在IT已经深深融入企业业务流程的今天，就已经不再合适。

　　不能把IT风险管理与业务风险管理综合起来进行整体考虑，这样将使企业陷入愈发危险的境地。因为对这两种风险的管理相互交叉，其结果会影响到整个公司。在安全或者技术上出现的问题，很容易就会从IT问题演变为整个公司的问题，进而影响到消费者的忠诚度，企业不得不被迫接受法律稽查，公司形象也由此受损。

　　化解风险，一般有四种主要的方法：缓解，转移，接受和避免。“缓解”是指降低风险，或降低风险可能带来的后果。要让“缓解”起作用，企业必须拥有足够的控制力，以减少风险时间出现的可能性，或消除风险事件带来的可能影响。

　　“转移”是指把风险转嫁给另一个有能力并愿意承担风险的载体，比如保险公司。“接受”是指企业有意识地去设想几种风险，这称为自我保险。为了让“接受”发挥作用，风险发生的几率必须足够小，或其重要性微不足道，对企业来说能够承受。“避免”则是指消除风险事件发生的可能性。对于大多数企业而言，“避免”意味着从某项业务或某个市场中退出，或放弃某个产品。要做到那样，企业必须具备自由退出的能力，还必须甘愿放弃与风险同时存在的市场机会。

　　在CIO的职责范围内出现的绝大部分新型IT风险，唯一可行的管理策略就是“缓解”。

　　虽然很难对风险管理的成功进行客观的量化评价，但你必须证明，是你终止了某项从未发生过的事件。Gartner公司对CIO们识别风险并采取有效措施缓解风险的信心进行了研究。我们把这些CIO称为高度自信的经理人。Gartner公司发现，这些高度自信的经理人可能只是略微增加了在风险管理上的投入，但是，他们在改善业务关系、提高IT可靠度、缓解这里在顶部登录