第四，确定可能的防御措施，用它们来平衡风险。一旦你拥有一张可能的防御清单，就按照四个标准来检讨取舍：成本；与企业目标的一致程度或偏离程度；对业务流程的影响，包括成本——这取决于是否需要对流程进行重新设计；以及对当前和未来风险管理行动的影响。最后一项可能取决于：你是否需要一直使用昂贵的、难以获取的技巧和知识；这是否会限制灵活性或缓解其他风险的能力；这是否有利于促进长期、而非暂时的风险管理。

　　最后，你还必须执行这些防御措施，并对你的成功进行评估。而且，你还要定期汇报识别出来的风险的状态，以及你所采取的风险管理措施。在公司的每一级，管理层应该大致关注五至七个主要的风险，并且定期地向更上一级管理层汇报。

　　在风险管理流程方面，英国电信批发公司（BT Wholesale)就是一个很好的例子。

　　该公司是英国电信公司（BT）下属的一家公司，为英国电信公司和其他通信公司提供网络服务和全面解决方案。公司CIO菲尔·丹斯（Phil Dance）和他的团队认为，不完善的语音网络是　公司的主要风险。这种不完善，将对公司的股价、信誉以及未来的业务会带来不可估量的损害。由于这种风险的成本非常巨大，公司因此决定，把IP网络根据运行在当前网络上的各种应用进行分割，负责数据处理的网络部分，和管理像路由器、交换机那样的硬件系统、维持网络运行的网络部分必须分开。这样做，使得公司很好地保护了交换网，极大地降低了危及网络安全的风险。英国电信批发公司对风险管理的这种态度，充分说明了网络和信息安全对提高网络效率也非常重要。

　　正如大多数CIO们所知，风险管理代价不低。但值得关注的是，相对于那些不够自信的管理者们，高度自信的风险管理者们的平均支出只增加了20%。而从占公司收入的百分比看，这点差异几乎可以忽略不计。

　　我们把这一点告诉了那些正在努力争取风险管理预算的CIO们。如果你的情况也类似，那么请记住，风险管理问题不是IT问题，是企业问题，因此，你也要用针对企业问题的办法来对待它。

　　你应该确保你的同事及董事会，不仅充分理解这些风险，而且理解为了缓解风险而采取的各种努力是符合企业风险管理标准的。然后，在企业层面上做出决策，分配预算和资源，并确定什么级别的风险是可以接受的。

　　一位CIO在我们近期的座谈会上谈到，在一个IT预算会议上，他的团队提交的预算完全围绕IT安全，根本没有涉及任何具体技术。他的团队简单说明了一些敏感数据存在的安全隐患，以及可能付出的安全代价，接着就讨论如何把钱花在降低风险上，并指出，这些开支要大大低于潜在风险所带来的破坏。结果，预算请求不仅获得了批准，而且公司首席财务官和首席运营官还为该项目增加了额外的预算。

　　企业的风险管理不仅仅是为了IT，它将会成为新型CIO日常工作的一部分。如果你还不怎么熟悉风险管理的步骤和程序，那么，从今天起就开始练习。你是一个领导者，你必须领导和教育其他管理者，哪些是和技术有关的重大风险。很显然，成为企业的风险管理的领导人，对提升新型CIO的威信将具有非常重要的作用。

　　新型CIO

　　CIO们正站在一个十字路口。

　　由于对IT存在两种不同的观点，他们的角色正发生变化。一方面，网络泡沫破灭后，很多人对IT一直感到不满意，很多对技术的资本投入结果都打了水漂。业界一些比较流行的观点认为，IT与竞争优势无关，很多公司因此纷纷把与IT有关的职位转移到海外。另一方面，由于全球经济出现回暖，一些公司对IT开始重新感兴趣，许多企业管理者拼命追求创新。同样，不断改变的监管环境，也更强调公司披露及时、完整和精确的信息，技术在各种产品或服务中，扮演了即使不是主要的角色，也一定是基础的角色。

　　观望不是一种选择。

　　根据我们出版的《新型CIO》（哈佛商学院出版社 2004年12月出版）一书的研究，我们发现每位CIO对以上两种观点择一而行。受IT与竞争优势无关说影响的CIO，扮演的角色 是首席技术机械师（Chief Technology Mechanic）；而另一种CIO，受到了IT将在重大商业活动和革新，以及企业成功中起重要核心作用的观点影响，我们将这类CIO称之为新型CIO。事实上，这将为他们迈向首席运营官（COO）和首席执行官（CEO）打下基础。

　　要成为一个新型CIO，就必须在技巧、方法和处事优先性上做出改变。一个CIO不做这些改变，就只能称为一个技术机械师，而不是企业执行官。区别你是否是一个新型CIO，有以下十个条件：

　　● 领导，而不仅仅管理：管理是执行，而领导是变革，特别是指影响他人做出改变。通过影响来领导这一点非常重要。
　　● 对外界环境充分了解：CIO们需要了解竞争环境，用主要决策人和股东的语言开展工作。
　　● 建立一种“IT推动公司成功”的理念。
　　● 营造一种对充满IT活力企业的期望，并让每个人都知道。CIO们需要与同事们一起，甄别企业主要的业务需求、策略和驱动因素，然后针对那些需求，明确IT的指导方针。
　　● 创建清晰的、适当的IT管理制度。有效的管理让CIO们能通盘考虑商业和IT策略，并能不断增强可信度和信任感。
　　● 把商业策略和IT策略融合在一起：在某个确定时间段内，主要IT领域和IT部署的核心就是IT策略。合理的IT策略，意味着IT能够不断发展，并且得到积极的管理。
　　● 构建一个新型的IT机构，比传统上更偏向和重视业务需求。
　　● 建立并培养一个优秀的IT团队：新型IT组织会更依赖于内外部关系，因此CIO们应该聘用具有这方面能力的员工，并对员工进行新技能的培训。
　　● 对新型的企业和IT风险进行管理。
　　● 用商业语言来描述IT表现。CIO们必须告诉大家，IT是如何为股东和企业价值做出贡献的。

　　90天行动计划

　　CIO们正被要求去管理企业面对的新型IT风险。绝大多数商业流程依赖IT，使得IT问题带来的后果的严重性与日俱增，CIO们的责任无比巨大。该计划能够让你主动地启动一个风险管理。

　　第一个30天：集合人员，制定议程，获取工具

　　● 创建一个风险管理团队，这个团队中应该包括向首席执行官或首席财务官汇报工作的高级经理。他们的不同、 他们的影响力应该跨越整个IT组织，并应该扩大到尽可能多的业务流程。
　　● 确保该团队关注缓解风险，发扬一种开放、分享、团队责任的文化氛围，不要回避风险，因为这样会带来一种闭塞和相互责备的文化氛围。
　　● 对那些与主要业务流程相关的风险进行检查；把有形的和无形的损失，用同事们都能理解的经济术语描述出来。

　　第二个30天：制订计划，培训团队

　　● 对企业业务连贯性规划进行回顾，或者创建这样一个计划。许多CIO已经成功地采用业务连贯性作为识别和管理风险的平台。
　　● 和业务管理层一起审核风险管理团队列出的风险清单。
　　● 对你的团队进行培训，让他们认识所面临的各种各样的风险，尤其是那些新出现的风险因素。
　　● 制订清晰、适当的安全管理制度，明确谁对决策负责，谁对出现的风险问题负责。

　　第三个30天：测试上述计划，并预测未来

　　● 对业务连贯性计划进行完整的、真实的测试，在“财富500强（Fortune 500）”企业中，只有50%能够做到。
　　● 与业务管理层一起审核并完成缓解风险计划。
　　● 根据对企业因为IT问题而可能出现的成本的分析，开始制定下一年的风险管理预算。

　　不能把IT风险管理与业务风险管理综合起来进行整体考虑，将使企业陷入愈发危险的境地。

　　好的风险管理流程包含五个步骤：识别、分析、计算、防御计划，以及执行/评估。

　　相对于那些不够自信的管理者们，高度自信的风险管理者们的平均支出只增加了20%。