关于各种运作风险的新闻历来层出不穷：系统失效、数据泄密、项目延误、产品低质、交易失败、通过移动网络的洗钱等等。这些仅仅只是和信息技术相关的运作风险中的一部分。问题的实质在于：为什么在种种措施之下，这些风险仍然无法彻底消除？

　　在最近一次国际信息系统审计协会（ISACA）的IT安全高层简会上，我就IT相关的业务风险发表了意见，会后一位焦虑万分的CIO问我：“为什么我不能对业务风险形成一种高度洗练的认知呢，尤其是在特定的业务活动或者流程方面？这其间到底存在什么困难？我们公司因为一次业务和IT的决策遭受了巨大的损失！”

　　如果对于IT相关的风险分析仅局限在特定范围内，则结果通常会让企业高层无比沮丧，相应的举措带来了成本的攀升、错误的发生以及其他方面的事故。局限性可能导致基础性的（比如将IT安全等同于IT风险管理，或者把IT合规与IT风险管理相混淆）和复杂的错误（比如对共享基础架构中的业务流程风险缺乏认识）。

　　这位CIO主要面临着两种挑战：

• 建立一种IT风险对业务影响的全局视角。
• 在更高更广的层面整合企业运作的风险管理行为

　　IT风险管理者同样面对着很多严峻的挑战。比如在提升流程风险管理的过程中，通常会面对如下疑惑：“对于风险偏好有一致性的认识吗？在一个特定场景中需要哪些信息？相关的政策规定要细化到什么程度？哪些核心风险提示（KRI）是最关键的？为什么在热点领域的措施没有得到相应的回报？该如何才能更好地提升业务？”想有所作为的领导者都有类似的疑问。

　　运作风险的根源所在

　　面对这些如高山（或者说山脉更为确切）般横亘的挑战，领导者迫切需要知道跨越障碍的关键步骤。在分析问题的过程中我们发现，这些挑战都有相似的根本原因（尤其是对那些高度监管之下的行业而言，比如金融业）。这是令人欣喜的消息，因为这意味着可能有一条克服困难的通用路径。为了找到正确的道路，我们可以借鉴各行各业在风险管理方面的经验教训。

　　当合规是风险管理的驱动因素时，风险经理们通常会面临着失败。对于合规的关注在根本上会使风险管理裹足于过往问题的修正和过多的纸面工作。最终导致IT风险经理在各个方面都缺乏清晰的标准，无论是在风险偏好、应用场景、核心风险提示还是在汇报等方面。

　　从相关领域数十年的成功经历中，我们可以得到一个关键的提示：转变到业绩驱动的思路上。赛车手们系紧安全座带并非是为了防止交通违规 – 他们这样做是为了防止比赛中可能的意外带来的伤害。就IT领域而言，ISACA的2011 IT风险和回报测量研究调查中也提及了这种向绩效驱动的风险管理方法转变的趋势。

　　运作风险中业务和IT的相互依赖

　　IT领导都越来越想知晓来自于业务端的需求是什么。这方面的好消息是：在借鉴各种行业风险管理经验的基础上，在如何形成更具整体性、以绩效为驱动的IT相关风险管理方面，明确的步骤正逐渐浮出水面。《the Operational Risk Handbook for Financial Companies》综合论述了各个行业、各类风险管理领域的经验，并基于此提供了更具实用性的指导意见。针对那些试图提升工作水准、更好理解业务对IT需求的风险管理经理，本书提供了从业务角度看待问题的机会。书中论述了几十年来金融行业的各种案例（由经理们面对的各种变化和复杂性所促发）。

　　本书以系统的方法，瞄准业务敏捷性的提升，论述了从关注合规转变到绩效驱动的角度来进行风险管理。为了实现这种转变，各种真实场景的分析成为风险管理的核心所在。

　　为了达成这种角度的转变，书中收集了六位技术类的企业董事会成员的观点。Humphrey Polanen是加利福尼亚Heritage Bank of Commerce的董事会成员，具有丰富的技术工作经验，他的观点非常鲜明：

　　“首先，要意识到风险并非一个清单就可以说明白的，这里面没有捷径可走。你必须关注那些结构性的因素，以此确保企业走在正确的道路上。做到这一点有两个关键：1.深入了解系统是如何工作的；2.找到可能带来损失的根源所在。如果能做到这两点，你就可以做出正确的分析。这就是我对风险管理团队的要求 – 真正理解业务。”

　　如果你是IT领导者，专注在绩效上能够帮助你为高层和企业带来更多的价值。

编者按：Brian Barnier是SearchCompliance.com的高产作家，同时也是开放遵从和伦理组织（Open Compliance and Ethics Group）的会员。Barnier最近出版了一本针对IT和商业领袖的专著《the Operational Risk Handbook for Financial Companies》。