关于云计算风险的争论一直没有停歇过。这不是因为那些大企业关注的风险加剧了，也不是因为有新的风险出现，而是因为云计算技术导致了更多的买方不确定性。虽然云计算的成熟度已经足以使厂商能够根据市场变化快速地进行交付产品和服务，但厂商的认知还有提升空间。由于风险和价值的评估本身就在不断变化中，云计算的价值体现仍不明朗。

　　那么，在当前的环境下，云风险管理的哪些方面是IT主管们最为关注的呢？我认为，最重要的不在于云服务提供商本身，而是大企业缺乏一种针对云计算的统一框架。诸如数据隐私和安全等技术相关的云计算风险本身就处于快速的变化中，即使技术本身也因服务或提供商的不同而存在显著区别。缺乏对这些技术和提供商的统一应对方法是最大的风险，因为这会导致原本合适的外包协议恰得其反。

　　该如何构建云服务管理的企业框架呢？我们认为有3点要注意：

• 首先，缺乏评估云服务提供商的统一方法。CEB前期的研究表明有些关于云服务的错误会立刻导致对厂商的误判。很多企业还未开始厂商评估标准的改进。
• 其次，缺乏应用整合和迁移到云服务的明确指导。应该采用参考体系架构(reference architecture)的模式，从而使开发人员、项目经理和业务伙伴能协调一致地进行风险管理。
• 第三，在IT转向云服务的过程中，缺乏与关键人物的有效沟通。对于厂商来说，一般倾向于绕过IT直接和业务部门打交道，因为这样可以将合同金额提高50%到100%，还能将销售周期缩短50%到80%。为了形成统一的评估框架和体系指导，IT主管需要向业务端传达后者所能理解的业务目标，让业务端形成明确的预期，并且指出哪些问题需要IT与业务之间合作解决。

　　当需要和业务伙伴或服务商一起评估风险时，最后一项就显得尤为重要。对大部分IT团队来说，消除这些风险并非难事，但有个前提是必须对厂商管理框架进行革新。当前大多数厂商管理框架都太过于重视技术或服务商，而有些IT组织已经开始质疑这一点。比如，是否需要在应用层而非基础架构层提供冗余性？

　　领先一步的企业已经认识到，应该基于参考架构来考虑用于云风险管理的工具–比如根据业务发展线路图来进行评估：

• 新的价值来源
• 将云服务与更宏观体系集成的模式和标准
• 确保云服务安全的决策框架和指导

　　那些可以成功管理云计算技术和风险的大企业认识到，无论市场如何变化，云计算可能都将是未来技术体系的必然组成。而且企业都会需要参考模型来定义云服务所扮演的角色。最大的风险不在于技术或者服务提供商，而在于因为无法充分利用云计算而丧失的机会。