从IT风险管理到业务风险管理（下）五步详解

Solo

从IT风险管理到业务风险管理（下）五步详解

作者：Brian Barnier 译者：冯昀晖来源：TechTarget中国

【TechTarget中国原创】要实施第一步，CEO和关注收入增长的首席财务官（CFO）为IT风险管理者变成为IT业务风险管理者提供了一个起步点。请为你的企业（跟你的角色有关，也可能是部门）评估业务绩效报告和当前IT风险报告。要看看从业务绩效度量到IT业务风险存在明确的联系吗？业绩度量包括销量，客户满意度，产品发布时间以及诸如扩张、收购和兼并等策略的成功。

　　对于业务线，职能部门和区域主管也有度量，他们被据此评估并支付奖金。要把这些实实在在的措施映射成IT必须做的事情，来支持他们。然后确定对于业绩与IT相关的风险。例如，市场份额增长可能依赖于新的销售和支持渠道。这可能依赖于移动客户服务应用程序，它依赖于整个IT堆栈。

　　第二步的基础是由IT绩效经营业务目标的这种依赖分析和IT对业绩的相关风险提供的。什么样的风险评估范围可以给你更多帮助呢？应该从诸如网络或者数据存储这类技术角度构建风险框架吗？或者，是不是面向针对市场份额增长策略建立风险框架更强大呢？因为你可以向首席营销官，CFO以及其他高度关注业务成功的人展示成果。

　　第三步涉及检查对业务资产范围（包括IT堆栈）的更广范围的威胁，用来提交风险评估范围的商业利益。对于IT风险管理者来说，这可能是最困难的转换，这些管理者是从管理IT竖井中的风险（比如：项目管理、安全、恢复或者变更管理）中提升而来。现状，管理者必须评估来自各方面的威胁，包括自然的，恶意的，意外发生的，以及业务量来源的威胁；要针对真个IT堆栈进行考虑，包括：应用程序、中间件、服务器、数据、存储、网络、设施以及IT管理流程和软件工具。

　　第四步：使你的生活更轻松。有太多的企业都在重新发明轮子，建立他们自己的风险管理框架来定义一组合规要求。当这些合规需求发生变化时，风险框架中的硬编码也需要相应改变。此外，对于每个IT竖井，对于整个IT风险的伞状管理，组织可以利用由专业组织和标准制定机构提供的一些开放的业界实践和指导。这些工作最好是基于同行评审进行，并经常更新，还要培训和建立活跃的用户社区。

　　最后，要奖励在“身体力行”经营业绩之路中所有良好的表现，记得要与业务方面“交流”。当你寻求业务案例来支持和报告结果时，你应该就业务目标的实现加上评论内容，这是与第一步相对应的。同样的对应关系现在可以使主管们更容易理解“这对于我意味着什么”，同时认识到你的努力如何给他们带来了收入增长。

上一篇：从IT风险管理到业务风险管理（上）五步走
下一篇：量化安全风险、威胁和漏洞的方法

从IT风险管理到业务风险管理（下） 五步详解

评论

从IT风险管理到业务风险管理（下）五步详解