该帖子同步发自：(riverstone的博客  访问该博客)

　　每个企业在经营中都有可能发生风险，如何化解和减少风险是企业经营者必须研究的，因此，企业的风险管理非常重要。这项工作要求企业家在头脑中首先明确企业业务运营面临着哪些潜在风险，然后有的放矢地采取措施。而随着企业对信息技术的依赖性不断增强，加强IT风险管理，成为越来越多的企业关注的焦点。

　　IT风险管理：企业法规遵从和长远发展的需要

　　如今，企业面临的风险的复杂性随着市场全球化的发展而日益提高，推动企业风险管理的监管力度也随之越来越大，不少行业为保护企业在不稳定的商业环境中稳定运转而颁布了专门的法规。譬如，由十国主要金融服务相关机构牵头发起的《巴塞尔第二号协定》(BaselⅡAccord)中，不仅对资本风险进行约束，而且还涉及到经营风险，包括IT系统给公司带来的风险。换句话说，该协定强制要求采用企业风险管理体系，并关注IT风险管理。作为一家旨在打击欺诈性财务报告的组织，特里德威委员会下设的发起组织委员会(COSO)颁布了企业风险管理框架。信息系统审计和控制协会(Isaca)也制订了信息和相关技术控制目标(Cobit)，这份文档同样概述了怎样拟订企业风险管理框架。而颁布这两项方案的目的都是为了促进风险管理机制在企业的应用。

　　此外，还有著名的《萨班斯-奥克斯利法案》(Sarbanes-Oxley)，其404条款规定：所有在美上市企业都要建立内部控制体系，其中包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。而且，法案对企业建立的内部控制活动的记录作了许多详细而严格的细节上的规定。如此一来，404条款就成为外国公司迈入美国股市的“高门槛”，也是该法案中最难操作、最复杂、耗费成本最高的一个。

　　事实上，随着全球化的业务大集中、数据大集中趋势，IT越来越渗透到企业运营的每一个方面、环节和流程。与此同时，IT也成为企业业务运营面临的主要风险之一。不仅仅是出于遵守行业法规的需要，不少企业从自身长远发展的角度出发也已认识到需要采取更加有效的措施，来保护业务运营并提供出色的IT日常可用性。而企业中的IT管理者们往往被各种各样的因素困扰。他们有的意识到自己正面临的潜在风险，并且对风险有着较为深入的认识，但是由于成本的限制，总是无法圆满地解决这些问题。另一些企业由于业务模式过于复杂，以至于IT部门虽然感知到风险的存在，但根本无从知道风险究竟在何处，何时会爆发，也无法对潜在风险进行评估。那么，企业IT管理者到底应当如何清晰地了解潜在风险、需求和相应的投资额度，又如何有效规避风险呢?

　　扭转观念：整体布局实现业务连续性及高可用性

　　根据惠普在帮助企业进行IT风险管理方面多年来积累的经验，对于复杂的IT环境，采用单一的解决方案处理IT运营风险问题的效果并不理想。业务连续性、可用性与安全性是一个相互依存的整体，应该以集成、系统的方式进行处理。任何方面的漏洞与变化都会影响到业务运营所需要的服务级别。通过全盘规划和考虑，采用整体化的解决方案，企业能够构建可靠的基础设施，从而根据业务发展情况灵活调整IT的可用性与性能。

　　在进行企业IT风险管理控制的过程中，技术固然是一个重要组成部分，但要取得出色的IT运营效果，员工技能与最佳实践同样缺一不可。其中，将业务连续性、可用性与安全性的意识融入到企业文化和各种运营机制中，使其成为开展与维持业务运营的必不可少的组成部分，可能是最艰巨的任务，但一旦实现，也就从观念上和根本上提高了企业管控风险的能力。

　　正确评估：了解潜在风险的破坏力

　　企业在构建灵活安全的IT环境之前，首先要透彻地了解自身的业务需求、所面临的威胁与风险、以及IT系统出现故障对各关键业务流程的影响等各方面因素。只有正确分析和面对可能存在的各类风险，并正确评估各类风险可能造成的影响，才能采取正确有效的措施来规避风险。

　　值得一提的是，一直被低估的停机成本事实上高得超乎想象。InfoneticsResearch是一家国际市场调研公司，专门从事北美、欧洲与亚洲地区的数据网络与电信行业调研工作。Infonetics近期实施了一项客户调查项目，调查内容是关于网络中断及其对于大型企业的影响。该调查的研究报告称，美国大企业每年的IT停机成本占其收入的3.6%，其中制造企业的停机成本在收入中所占比例为9%，金融服务机构则高达16%。此外，停机还使企业面临员工效率降低以及企业在客户与股东中的声誉受损等其它难以量化的潜在风险。停机对中国企业业务运营产生的不利影响究竟如何，目前还没有特别准确的调研分析，但可以肯定的是，停机成本在中国企业中也是不容忽视的。

　　巧妙平衡：规避风险与保护成本

　　企业在进行风险的规避和管控的过程中，往往要面临着如何平衡风险管理与业务保护成本的挑战。根据惠普多年来在该领域的经验，我们建议企业IT管理者采取分层次、分步骤的方式来做出合理决策，实现风险规避与成本之间的巧妙平衡。

　　一般情况下，我们会建议企业首先认真分析每个业务流程可能遭遇的风险及其影响，力求解决下列关键问题：

　　· 需要何种级别的可用性?

　　· 一旦发生重大停机事故，业务对数据损失的承受能力有多大?

　　· 业务流程能够承受的停机时间极限?

　　· 需要何种级别的安全性?

　　作为业务连续性及高可用性解决方案方面的资深专家，惠普通常会和企业客户一起，从业务连续性与可用性研讨会入手来解决上述问题。在这个互动会议上，惠普顾问专家们将与企业团队合作，对企业的机会、风险、优势与劣势进行评估，协助企业制订无中断的、可用的IT计划。

　　然而，风险管理是一个系统性的工作，上述的分析、咨询只是企业规避IT风险的第一步。基于多年大量的实践基础，惠普专家采用一套完整的方法论，以企业的业务用户需求为出发点，帮助企业IT管理者了解目前的IT风险管理状况，以及要构建灵活安全的基础设施还需解决的问题。同时，惠普推荐相应的解决方案，并提供高度可用的IT基础设施，帮助企业实现恢复时间、数据损失、安全性与可用性方面的目标。

　　一般来说，一套完整的IT风险管理方法包括以下4个步骤。

　　步骤1：确定业务需求。对整个企业内所有涉及合规性、可用性、安全性和业务连续性的业务流程和应用的要求进行评估。衡量停机对各业务应用与流程的影响。

　　步骤2：评估风险等级。对可用性、安全性与持续性进行全面且深入的评估，以确定风险领域，制定保护IT环境、改善IT服务的策略。将企业目前现行的实践与“最佳信息技术基础设施信息库(ITIL)”推荐的最佳实践进行比较，了解差距，根据业务影响确定风险等级。

　　步骤3：设计与实施解决方案。将需求转化为切实可行的技术与服务解决方案，其中包括存储、数据库、应用、系统、网络和环境基础设施等。制定持续性服务改进计划。

　　步骤4：监控、管理与发展。制定IT服务管理政策，建立培训机制，采用最佳实践调整人员与优化流程。在业务发展过程中，对持续性与可用性计划进行再评估、监控、审计与测试。

　　通过以上4步骤，完整考虑企业IT风险管理的需求及其实现方式，可以帮助企业更准确地估计业务保护的成本，从而确保企业的投资水平在成本最优的前提下满足风险管理的需要。

　　此外值得一提的是，拥有充足资源，能够自己实施全面战略的企业并不多。此种情形下，借助一些专业公司的经验往往比企业纯粹自己摸索，闭门造车要更经济，更有效。惠普公司在业务持续性与可用性咨询及解决方案方面积累了非常丰富的经验，并且形成了一套相对科学完整的方法论和工具体系。惠普还拥有全面的解决方案，可以帮助企业应对数据保护与完整性;应用的冗余与备份;数据库、系统与网络、数据中心的物理安全性与备份;身份认证和管理;入侵检查、病毒防范;漏洞检测和主动修补;现场和办公场所备份与恢复;广泛领域内的灾难恢复等业务风险。在惠普的帮助下，企业不仅可以有效利用具有相似需求的行业客户在数十年中总结积累的经验，还可以利用惠普已经通过最佳实践验证的工具与方式，获取做出正确投资决策所必需的精确数据。因此，选择与专业公司合作，往往也是巧妙平衡风险管理与保护成本的有效方法之一。