摘要：由于对IT存在两种不同的观点，他们的角色正发生变化。一方面，网络泡沫破灭后，很多人对IT一直感到不满意，很多对技术的资本投入结果都打了水漂。业界一些比较流行的观点认为，IT与竞争优势无关，很多公司因此纷纷把与IT有关的职位转移到海外。另一方面，由于全球经济出现回暖，一些公司对IT开始重新感兴趣，许多企业管理者拼命追求创新。同样，不断改变的监管环境，也更强调公司披露及时、完整和精确的信息，技术在各种产品或服务中，扮演了即使不是主要的角色，也一定是基础的角色。

第1页:观望不是一种选择 第2页:集合人员，制定议程，获取工具

　　
　　第一个30天：集合人员，制定议程，获取工具
　　
　　●创建一个风险管理团队，这个团队中应该包括向首席执行官或首席财务官汇报工作的高级经理。他们的不同、他们的影响力应该跨越整个IT组织，并应该扩大到尽可能多的业务流程。
　　
　　●确保该团队关注缓解风险，发扬一种开放、分享、团队责任的文化氛围，不要回避风险，因为这样会带来一种闭塞和相互责备的文化氛围。
　　
　　●对那些与主要业务流程相关的风险进行检查;把有形的和无形的损失，用同事们都能理解的经济术语描述出来。
　　
　　第二个30天：制订计划，培训团队
　　
　　●对企业业务连贯性规划进行回顾，或者创建这样一个计划。许多CIO已经成功地采用业务连贯性作为识别和管理风险的平台。
　　
　　●和业务管理层一起审核风险管理团队列出的风险清单。
　　
　　●对你的团队进行培训，让他们认识所面临的各种各样的风险，尤其是那些新出现的风险因素。
　　
　　●制订清晰、适当的安全管理制度，明确谁对决策负责，谁对出现的风险问题负责。
　　
　　第三个30天：测试上述计划，并预测未来
　　
　　●对业务连贯性计划进行完整的、真实的测试，在“财富500强(Fortune500)”企业中，只有50%能够做到。
　　
　　●与业务管理层一起审核并完成缓解风险计划。
　　
　　●根据对企业因为IT问题而可能出现的成本的分析，开始制定下一年的风险管理预算。
　　
　　不能把IT风险管理与业务风险管理综合起来进行整体考虑，将使企业陷入愈发危险的境地。
　　
　　好的风险管理流程包含五个步骤：识别、分析、计算、防御计划，以及执行/评估。
　　
　　相对于那些不够自信的管理者们，高度自信的风险管理者们的平均支出只增加了20%。
　　
　　责任编辑：Honey