建立高效体制

　　IT风险管理除了在思想和行动上要做到事前控制外，在体制上，CIO也应建立起一套灵活高效的管理体制。

　　国内企业，尤其是国有企业的管理体系存在两方面的脆弱性：首先，他们的管理体系是建立在一种常态假设之上的，包括首席执行官（CEO）在内的管理者，都“宁愿”相信天天无险、日日平安的可能，都习惯于按常态规划和开展工作。但是，管理环境中的不确定性总是存在的，难以预料的危机是无法避免的，因此，基于常态假设的管理体系具有很大的脆弱性。其次，在许多公司，风险管理是由各部门各自进行，尽管这样做有利于实现“分工负责”，但是当发生需要多个部门共同应对的“综合性”风险时，将产生很高的协调成本，并严重影响反应速度。

　　如何打破风险管理体系中的常态假设等弊端？朱永明建议，企业可以事先建立一个风险管理小组，小组成员由不同部门的负责人参加，这个小组的作用就是为解决风险问题而协调各部门的资源。“这样做的好处是，当风险事件发生的时候，可以有效地杜绝相关部门推诿扯皮的现象。”身兼财务和IT多项职位的朱永明就在黄金搭档负责这样一个小组。

　　2006年初，这个小组在解决一次重大的客户资源泄密事件中起到了积极作用。

　　在风险管理体制中引入“外部人”参与决策也是一个很好的方法。程明的经验是，面临“非常规问题”的IT风险事件，“内部人”的智慧短缺不可避免，而“外部人”参与决策则可能出现柳暗花明的局面。

　　所谓“常规问题”和“非常规问题”，前者是指那些重复出现的日常管理问题，后者是那些偶然发生的、管理者很少遭遇过的管理问题，风险问题就属于非常规问题。程明认为：作为“内部人”，常规部门在危机面前常常会现出智慧短缺，因为他们长期在一个领域工作，长期处理大同小异的常规问题，逐渐形成了思维定势，从而很难正确应对突发性的新事件。他介绍说，一些西方企业在解决这一矛盾时通常采用的办法是，聘请外部的专家顾问。这些“外部人”来自大学、研究机构、咨询公司，他们不受任何“既定”思维的约束，带来的是新的视角、新的逻辑、新的对策，他们常常能够使决策出现柳暗花明的气象。

　　良好的风险管理体制还需要有一个善于沟通的团队。程明谈到，在一个IT预算会议上，他的团队提交的预算完全围绕IT安全，根本没有涉及任何具体技术。他只简单说明了一些敏感数据存在的安全隐患，以及可能付出的安全代价，接着就讨论如何把钱花在降低风险上，并指出，这些开支要大大低于潜在风险所带来的破坏。结果，预算请求不仅获得了批准，而且公司首席财务官（CFO）和首席运营官（COO）还为该项目增加了额外的预算。

　　对于企业的CIO来说，有关风险管理的讨论和实践目前仅仅是拉开了序幕。一位CIO说：其实，风险既是危险，又是机会，风险管理是“刀尖上的舞蹈”，舞得好，CIO在企业中的作用将更加显现；舞得不好，CIO将成为企业失败的掘墓人。

sidebar:HFC银行

　　不健全的客户邮件管理政策导致个人信息的流失。

　　2004年9月，HFC银行的顾客对银行错误地将他们的个人信息发送给其他用户的行为感到困惑和愤怒。

　　HFC银行给2,600个客户发去“紧急”电子邮件，结果凡是邮件列表上的人，都能看到其他收件人的邮件地址。

　　对于大多数人来说这并不是一个问题，然而对于那些设定了“办公室外”回复列表的用户来说，这份包括地址和私人信息的邮件为他们提供了访问的对象。

　　银行对每一位受影响的客户支付了50英镑的赔偿。

（信息周刊）