第四，確定可能的防御措施，用它們來平衡風險。一旦你擁有一張可能的防御清單，就按照四個標準來檢討取舍：成本；與企業(yè)目標的一致程度或偏離程度；對業(yè)務流程的影響，包括成本——這取決于是否需要對流程進行重新設計；以及對當前和未來風險管理行動的影響。最后一項可能取決于：你是否需要一直使用昂貴的、難以獲取的技巧和知識；這是否會限制靈活性或緩解其他風險的能力；這是否有利于促進長期、而非暫時的風險管理。

　　最后，你還必須執(zhí)行這些防御措施，并對你的成功進行評估。而且，你還要定期匯報識別出來的風險的狀態(tài)，以及你所采取的風險管理措施。在公司的每一級，管理層應該大致關注五至七個主要的風險，并且定期地向更上一級管理層匯報。

　　在風險管理流程方面，英國電信批發(fā)公司（BT Wholesale)就是一個很好的例子。

　　該公司是英國電信公司（BT）下屬的一家公司，為英國電信公司和其他通信公司提供網(wǎng)絡服務和全面解決方案。公司CIO菲爾·丹斯（Phil Dance）和他的團隊認為，不完善的語音網(wǎng)絡是　公司的主要風險。這種不完善，將對公司的股價、信譽以及未來的業(yè)務會帶來不可估量的損害。由于這種風險的成本非常巨大，公司因此決定，把IP網(wǎng)絡根據(jù)運行在當前網(wǎng)絡上的各種應用進行分割，負責數(shù)據(jù)處理的網(wǎng)絡部分，和管理像路由器、交換機那樣的硬件系統(tǒng)、維持網(wǎng)絡運行的網(wǎng)絡部分必須分開。這樣做，使得公司很好地保護了交換網(wǎng)，極大地降低了危及網(wǎng)絡安全的風險。英國電信批發(fā)公司對風險管理的這種態(tài)度，充分說明了網(wǎng)絡和信息安全對提高網(wǎng)絡效率也非常重要。

　　正如大多數(shù)CIO們所知，風險管理代價不低。但值得關注的是，相對于那些不夠自信的管理者們，高度自信的風險管理者們的平均支出只增加了20%。而從占公司收入的百分比看，這點差異幾乎可以忽略不計。

　　我們把這一點告訴了那些正在努力爭取風險管理預算的CIO們。如果你的情況也類似，那么請記住，風險管理問題不是IT問題，是企業(yè)問題，因此，你也要用針對企業(yè)問題的辦法來對待它。

　　你應該確保你的同事及董事會，不僅充分理解這些風險，而且理解為了緩解風險而采取的各種努力是符合企業(yè)風險管理標準的。然后，在企業(yè)層面上做出決策，分配預算和資源，并確定什么級別的風險是可以接受的。

　　一位CIO在我們近期的座談會上談到，在一個IT預算會議上，他的團隊提交的預算完全圍繞IT安全，根本沒有涉及任何具體技術。他的團隊簡單說明了一些敏感數(shù)據(jù)存在的安全隱患，以及可能付出的安全代價，接著就討論如何把錢花在降低風險上，并指出，這些開支要大大低于潛在風險所帶來的破壞。結果，預算請求不僅獲得了批準，而且公司首席財務官和首席運營官還為該項目增加了額外的預算。

　　企業(yè)的風險管理不僅僅是為了IT，它將會成為新型CIO日常工作的一部分。如果你還不怎么熟悉風險管理的步驟和程序，那么，從今天起就開始練習。你是一個領導者，你必須領導和教育其他管理者，哪些是和技術有關的重大風險。很顯然，成為企業(yè)的風險管理的領導人，對提升新型CIO的威信將具有非常重要的作用。

　　新型CIO

　　CIO們正站在一個十字路口。

　　由于對IT存在兩種不同的觀點，他們的角色正發(fā)生變化。一方面，網(wǎng)絡泡沫破滅后，很多人對IT一直感到不滿意，很多對技術的資本投入結果都打了水漂。業(yè)界一些比較流行的觀點認為，IT與競爭優(yōu)勢無關，很多公司因此紛紛把與IT有關的職位轉移到海外。另一方面，由于全球經(jīng)濟出現(xiàn)回暖，一些公司對IT開始重新感興趣，許多企業(yè)管理者拼命追求創(chuàng)新。同樣，不斷改變的監(jiān)管環(huán)境，也更強調公司披露及時、完整和精確的信息，技術在各種產(chǎn)品或服務中，扮演了即使不是主要的角色，也一定是基礎的角色。

　　觀望不是一種選擇。

　　根據(jù)我們出版的《新型CIO》（哈佛商學院出版社 2004年12月出版）一書的研究，我們發(fā)現(xiàn)每位CIO對以上兩種觀點擇一而行。受IT與競爭優(yōu)勢無關說影響的CIO，扮演的角色 是首席技術機械師（Chief Technology Mechanic）；而另一種CIO，受到了IT將在重大商業(yè)活動和革新，以及企業(yè)成功中起重要核心作用的觀點影響，我們將這類CIO稱之為新型CIO。事實上，這將為他們邁向首席運營官（COO）和首席執(zhí)行官（CEO）打下基礎。

　　要成為一個新型CIO，就必須在技巧、方法和處事優(yōu)先性上做出改變。一個CIO不做這些改變，就只能稱為一個技術機械師，而不是企業(yè)執(zhí)行官。區(qū)別你是否是一個新型CIO，有以下十個條件：

　　● 領導，而不僅僅管理：管理是執(zhí)行，而領導是變革，特別是指影響他人做出改變。通過影響來領導這一點非常重要。
　　● 對外界環(huán)境充分了解：CIO們需要了解競爭環(huán)境，用主要決策人和股東的語言開展工作。
　　● 建立一種“IT推動公司成功”的理念。
　　● 營造一種對充滿IT活力企業(yè)的期望，并讓每個人都知道。CIO們需要與同事們一起，甄別企業(yè)主要的業(yè)務需求、策略和驅動因素，然后針對那些需求，明確IT的指導方針。
　　● 創(chuàng)建清晰的、適當?shù)腎T管理制度。有效的管理讓CIO們能通盤考慮商業(yè)和IT策略，并能不斷增強可信度和信任感。
　　● 把商業(yè)策略和IT策略融合在一起：在某個確定時間段內，主要IT領域和IT部署的核心就是IT策略。合理的IT策略，意味著IT能夠不斷發(fā)展，并且得到積極的管理。
　　● 構建一個新型的IT機構，比傳統(tǒng)上更偏向和重視業(yè)務需求。
　　● 建立并培養(yǎng)一個優(yōu)秀的IT團隊：新型IT組織會更依賴于內外部關系，因此CIO們應該聘用具有這方面能力的員工，并對員工進行新技能的培訓。
　　● 對新型的企業(yè)和IT風險進行管理。
　　● 用商業(yè)語言來描述IT表現(xiàn)。CIO們必須告訴大家，IT是如何為股東和企業(yè)價值做出貢獻的。

　　90天行動計劃

　　CIO們正被要求去管理企業(yè)面對的新型IT風險。絕大多數(shù)商業(yè)流程依賴IT，使得IT問題帶來的后果的嚴重性與日俱增，CIO們的責任無比巨大。該計劃能夠讓你主動地啟動一個風險管理。

　　第一個30天：集合人員，制定議程，獲取工具

　　● 創(chuàng)建一個風險管理團隊，這個團隊中應該包括向首席執(zhí)行官或首席財務官匯報工作的高級經(jīng)理。他們的不同、 他們的影響力應該跨越整個IT組織，并應該擴大到盡可能多的業(yè)務流程。
　　● 確保該團隊關注緩解風險，發(fā)揚一種開放、分享、團隊責任的文化氛圍，不要回避風險，因為這樣會帶來一種閉塞和相互責備的文化氛圍。
　　● 對那些與主要業(yè)務流程相關的風險進行檢查；把有形的和無形的損失，用同事們都能理解的經(jīng)濟術語描述出來。

　　第二個30天：制訂計劃，培訓團隊

　　● 對企業(yè)業(yè)務連貫性規(guī)劃進行回顧，或者創(chuàng)建這樣一個計劃。許多CIO已經(jīng)成功地采用業(yè)務連貫性作為識別和管理風險的平臺。
　　● 和業(yè)務管理層一起審核風險管理團隊列出的風險清單。
　　● 對你的團隊進行培訓，讓他們認識所面臨的各種各樣的風險，尤其是那些新出現(xiàn)的風險因素。
　　● 制訂清晰、適當?shù)陌踩芾碇贫?，明確誰對決策負責，誰對出現(xiàn)的風險問題負責。

　　第三個30天：測試上述計劃，并預測未來

　　● 對業(yè)務連貫性計劃進行完整的、真實的測試，在“財富500強（Fortune 500）”企業(yè)中，只有50%能夠做到。
　　● 與業(yè)務管理層一起審核并完成緩解風險計劃。
　　● 根據(jù)對企業(yè)因為IT問題而可能出現(xiàn)的成本的分析，開始制定下一年的風險管理預算。

　　不能把IT風險管理與業(yè)務風險管理綜合起來進行整體考慮，將使企業(yè)陷入愈發(fā)危險的境地。

　　好的風險管理流程包含五個步驟：識別、分析、計算、防御計劃，以及執(zhí)行/評估。

　　相對于那些不夠自信的管理者們，高度自信的風險管理者們的平均支出只增加了20%。