近年来， 企业遵守萨班斯·奥克斯利法案（该法案是美国立法机构根据安然有限公司、世界通讯公司等财务欺诈事件破产暴露出来的公司和证券监管问题所立的监管法规，简称《SOX法案》或《索克思法案》）的重心已经转移到在整个公司内部提升风险管理上。在本文中， 来自Gartner公司的副总裁兼分析员，向CIO和IT主管们就如何开展这一重要任务进行献计。

　　为了遵守SOX法案，企业被要求把重心转向改善公司整体的风险管理。监管机构正在向董事会施压，希望他们更多地进行风险监督，因此在企业内部自上而下，都需要提高对于总体风险承担的理解，以及风险对于战略目标所形成的威胁，Caldwell说。这意味着，CIO和IT风险管理者越来越多地被要求精确地描述IT和业务风险之间的关联。

　　Gartner公司最近的一项风险管理调查显示， 约有43%的受访者声称IT部门提供的风险管理数据的确会影响董事会的相关决策，Caldwell说。这听上去似乎是个好消息，但它也同时意味着大多数受访者并不认为IT信息可以影响董事会的决策。不仅如此，还有一些受访者甚至质疑董事会是否能够明白IT部门提供的数据。

　　为了增加积极影响的百分点， CIO们需要更好地让董事会理解IT部门和业务部门之间的关联，Caldwell说。首先， CIO们必须明白以下内容：在涉及企业风险管理上，董事会，CIO和其他IT主管们在企业内扮演什么角色？ 而在向董事会汇报时， CIO应该如何将风险和业务目标相关联，来更好的引起董事会的关注？Caldwell提出以下两项指导原则来回答上述问题：

　　业务目标也是IT目标。本质上， IT部门和企业其他部门在一定程度上都享有相同的业务目标。这使得每个人都在向这同一个目标而努力。

　　IT风险也是业务风险。如果业务部门和IT部门都有相同的目标，那任何IT风险也等同于业务风险。这有助于使双方都共同关注业务成果。

　　从表面上来看，我们都认为董事会不应该管理风险，Caldwell说。 “董事会在风险管理中起的作用是确保有一个有效的风险管理计划，而公司的管理层正在有效地进行执行”， 他说。 “他们起一个监督的作用。 ”

　　任何和董事会成员会面的监管机构——在大型企业内发生的频率正在逐渐提高， 特别是金融服务行业——都会询问相关问题，以搞清楚董事会是否真正参与到监督风险管理计划中。

　　“（董事会成员）认为一个有效的风险管理计划意味着......他们不仅是拿到一个一年一次的，十大风险报告，而是希望有真正的风险指标来显示管理层的确在监督”，Caldwell说。这些指标还应该权衡管理层的风险偏好，这也正是风险管理计划的意义所在。

　　从这一角度而言， CIO们需要了解可能阻止或妨碍企业实现其战略目标的IT风险指标。这一区别是很重要的。不再是把重点放在关注IT资产的风险， CIO们更应该关注在业务绩效风险中起重要作用的技术。

　　“这并不意味着我们不再关心有关IT资产的风险，但我们会在向由董事会和高级管理层设立的业绩目标努力的过程中，进行相应的审视”，Caldwell说。 “企业绩效考核才是我们向董事会进行汇报时需要呈现的。”

　　当进行陈述时，尽管花了很长时间进行准备， CIO们都应该牢记他们只有大约15分钟的时间来得到认同 – 这也可能是一年中唯一一次正式的机会。这一陈述不应该有任何惊喜或者全新的信息，Caldwell强调。首席风险官，首席财务官，首席执行官和关键的董事会成员都应该事先知道CIO将会谈论什么。

　　实际上这一演示最好只包含四张幻灯片，Caldwell建议：

　　幻灯片一：列出三至六个企业的战略目标。这是为了让董事会知道你，作为CIO，知道并了解目标是些什么。换句话说，你知道什么对于董事会才是重要的。

　　幻灯片二：指出对应上述各项战略目标，会产生影响的最大IT风险。

　　幻灯片三：解释针对上述风险正在实施的相应风险管理措施。

　　幻灯片四：回顾和总结这一陈述。