有超过2000名美国受访者参加了最近的一次IT专业人士ISACA调查,据调查报告显示,改善经营业绩是驱动他们所在组织IT风险管理的主要动力。在印度和澳大利亚/新西兰的类似调查报告也发现,驱动力从法规遵从转向了经营业绩。通过比较可以看到,法规遵从被认为是风险管理的首要驱动力,占受访人群的20%到28%,不同的国家比例略有不同。
对于IT风险管理者来说,这是一个绝好的机会,他们可以证明IT对业务有更多的影响,尤其是在经济危机影响压力较大的国家。
要利用好这个机会,主动的IT风险管理者可以采取下面五个步骤:
从业务方面开始。要带来业绩方面的益处,需要在IT风险方面投入精力,因为它们与业务目标密切相关。项目管理者联盟文章
定义风险评估范围。要针对给客户提供服务的业务活动建立框架,而不是针对技术。
寻找愿景。对业务资产和资源的威胁,从更宽泛的范围来看待。
使你的工作更容易。广泛利用已经采纳的方法和技术来评估和应对风险。不要重新发明轮子。
把要做的事说清楚。如果你对业务进行关注,请一定让业务领导搞清楚。要使用业务的语言清楚地表达你的计划和成就。
面对新法律和法规的大肆鼓吹,企业部门命名都显得与“合规和风险”有关,这样的调查结果多少有点出人意料。与合规遵守方面的压力一样大,企业领导会紧紧抓住机会,而不是在经营业绩背后强调IT风险管理。从华尔街的报告中可以很清楚地看到,削减成本的盈利方式并没有满足投资者期待的收入增长。标准普尔500指数从年初至今基本持平。此外,成本削减增加了自身风险。
要实施第一步,CEO和关注收入增长的首席财务官(CFO)为IT风险管理者变成为IT业务风险管理者提供了一个起步点。请为你的企业(跟你的角色有关,也可能是部门)评估业务绩效报告和当前IT风险报告。要看看从业务绩效度量到IT业务风险存在明确的联系吗?业绩度量包括销量,客户满意度,产品发布时间以及诸如扩张、收购和兼并等策略的成功。
对于业务线,职能部门和区域主管也有度量,他们被据此评估并支付奖金。要把这些实实在在的措施映射成IT必须做的事情,来支持他们。然后确定对于业绩与IT相关的风险。例如,市场份额增长可能依赖于新的销售和支持渠道。这可能依赖于移动客户服务应用程序,它依赖于整个IT堆栈。
第二步的基础是由IT绩效经营业务目标的这种依赖分析和IT对业绩的相关风险提供的。什么样的风险评估范围可以给你更多帮助呢?应该从诸如网络或者数据存储这类技术角度构建风险框架吗?或者,是不是面向针对市场份额增长策略建立风险框架更强大呢?因为你可以向首席营销官,CFO以及其他高度关注业务成功的人展示成果。项目管理培训
第三步涉及检查对业务资产范围(包括IT堆栈)的更广范围的威胁,用来提交风险评估范围的商业利益。对于IT风险管理者来说,这可能是最困难的转换,这些管理者是从管理IT竖井中的风险(比如:项目管理、安全、恢复或者变更管理)中提升而来。现状,管理者必须评估来自各方面的威胁,包括自然的,恶意的,意外发生的,以及业务量来源的威胁;要针对真个IT堆栈进行考虑,包括:应用程序、中间件、服务器、数据、存储、网络、设施以及IT管理流程和软件工具。
第四步:使你的生活更轻松。有太多的企业都在重新发明轮子,建立他们自己的风险管理框架来定义一组合规要求。当这些合规需求发生变化时,风险框架中的硬编码也需要相应改变。此外,对于每个IT竖井,对于整个IT风险的伞状管理,组织可以利用由专业组织和标准制定机构提供的一些开放的业界实践和指导。这些工作最好是基于同行评审进行,并经常更新,还要培训和建立活跃的用户社区。
要奖励在“身体力行”经营业绩之路中所有良好的表现,记得要与业务方面“交流”。当你寻求业务案例来支持和报告结果时,你应该就业务目标的实现加上评论内容,这是与第一步相对应的。同样的对应关系现在可以使主管们更容易理解“这对于我意味着什么”,同时认识到你的努力如何给他们带来了收入增长。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
2017 CIO展望:新IT运营模式的5大元素
在与全球数以百计的CIO对话后,我们了解了他们在2017年的最优先级别项目。总的来说,这是一个令人印象深刻的计划列表:改变IT运营模式,采用新的工作方式,提升IT人才,以应对数字化带来的一些最重要的业务影响。
-
移动技术如何改变IT风险管理?
近来一系列调查报告已经证实,大多数企业都在考虑将移动设备管理(简称MDM)与其它安全类方案纳入业务环境。虽然共识已经达成,但只有少数企业真正着手部署……
-
建立有效IT治理的策略和方法
如何借助IT治理提高IT绩效,一直是困扰企业CIO的难题之一。因此,有效的构建一个既满足企业的业务需要,又能够符合国际标准的IT治理体系,是很多CIO思考的问题。
-
在Hadoop中保护大数据安全的九个技巧
当企业转变为数据驱动的机器时,其潜力是巨大的:企业所拥有的数据可能成为获得竞争优势的关键。因此,企业的数据和基础设施的安全也变得比以往任何时候都重要。