司形象也由此受损。
化解风险,一般有四种主要的方法:缓解,转移,接受和避免。“缓解”是指降低风险,或降低风险可能带来的后果。要让“缓解”起作用,企业必须拥有足够的控制力,以减少风险时间出现的可能性,或消除风险事件带来的可能影响。
“转移”是指把风险转嫁给另一个有能力并愿意承担风险的载体,比如保险公司。“接受”是指企业有意识地去设想几种风险,这称为自我保险。为了让“接受”发挥作用,风险发生的几率必须足够小,或其重要性微不足道,对企业来说能够承受。“避免”则是指消除风险事件发生的可能性。对于大多数企业而言,“避免”意味着从某项业务或某个市场中退出,或放弃某个产品。要做到那样,企业必须具备自由退出的能力,还必须甘愿放弃与风险同时存在的市场机会。
在CIO的职责范围内出现的绝大部分新型IT风险,唯一可行的管理策略就是“缓解”。
虽然很难对风险管理的成功进行客观的量化评价,但你必须证明,是你终止了某项从未发生过的事件。Gartner公司对CIO们识别风险并采取有效措施缓解风险的信心进行了研究。我们把这些CIO称为高度自信的经理人。Gartner公司发现,这些高度自信的经理人可能只是略微增加了在风险管理上的投入,但是,他们在改善业务关系、提高IT可靠度、缓解风险等方面,却获得了高得多的回报。
这些高度自信的经理人,一般都采用了缓解风险的三种方法中的一种,当然,对另外两种也没有忽视。这三种方法分别是:风险管理的流程,简化配置的系统和个人经验。后两个方法比较通俗易懂:系统复杂性降低了,风险自然也就降低了,而且可以消灭出现错误点的可能。个人经验方法则是在团队中保留一名拥有丰富风险管理经验的员工。因此,我们将着重关注风险管理的流程这一方法。