与IT风险过招
一旦机构完成了对可能出现的风险的评估,就该采取行动来应对风险了。在经典的风险管理中,有四条基本的方法来应对风险,它们分别是:接受、避免(例如取消危险的项目)、转移(通常使用购买保险的方法)以及缓和。这些方法同样适用与政府和公共部门的IT风险管理。
接受风险是指项目团队不变更项目计划,选择面对项目风险并接受风险事件的后果。专家指出,接受可以是主动的、积极的(例如,制定应急战略和计划,如果风险发生,则按应急计划实施),也可以是被动的、消极的(未制订应对战略,值日团队在风险发生时再想办法)。
风险回避是指改变项目计划以消除风险或风险条件以保证项目目标的实现。项目团队不可能回避所有风险,但是可避免一些具体的风险。
风险转移是指通过应对措施将风险的影响转移给第三方。转移风险并不是消除它,而仅仅是将其管理责任交给第三方。
风险缓和是将风险的概率或其影响降至可接受的水平(例如采用成熟的技术可减少项目产品不能使用的可能性)。一般而言,采取预防措施阻止或缓和风险发生比风险发生后再弥补其造成的损失费用要低、效果要好。
美国特拉华州技术与信息部部长托马斯.杰瑞特曾发起过一场针对全州各政府技术用户的教育计划。活动内容包括分享最近网络上恶意代码的报告、从Web上下载免费程序破解密码等,以此来帮助政府其他部门了解信息部门在减缓安全风险中的作用。这项教育活动最终为他赢得了更多的用以减缓各种IT风险的合作和拨款。
当下,政府的信息主管不仅需要管理IT风险,还需要管理整个政府机构面临的风险。例如在财务系统管理上,负责IT和财务的政府官员需要共同面对风险,共同为系统的完整性负责。SAS政府与公共事业部的市场总监法雷尔曾表示,目前的CIO负有越来越多的责任,他们需要随时准备去应对非技术性的风险,即使他们并没有正式地被赋予扮演这种角色的权利。
据了解,其实在美国,一些CIO已经把自身的角色定位为“公共干事”,从事起越来越多的政治活动。其中一些人甚至拥有法律或者公共政策等相关的背景。
