为了遵守SOX法案，企业被要求把重心转向改善公司整体的风险管理

申请免费试用、咨询电话：400-8352-114

　　监管机构正在向董事会施压，希望他们更多地进行风险监督，文件管理系统因此在企业内部自上而下，都需要提高对于总体风险承担的理解，以及风险对于战略目标所形成的威胁，Caldwell说。这意味着，CIO和IT风险管理者越来越多地被要求精确地描述IT和业务风险之间的关联。

　　Gartner公司最近的一项风险管理调查显示，

　　约有43%的受访者声称IT部门提供的风险管理数据的确会影响董事会的相关决策，Caldwell说。这听上去似乎是个好消息，但它也同时意味着大多数受访者并不认为IT信息可以影响董事会的决策。不仅如此，还有一些受访者甚至质疑董事会是否能够明白IT部门提供的数据。

　　为了增加积极影响的百分点， CIO们需要更好地让董事会理解IT部门和业务部门之间的关联，Caldwell说。首先， CIO们必须明白以下内容：在涉及企业风险管理上，董事会，CIO和其他IT主管们在企业内扮演什么角色? 而在向董事会汇报时， CIO应该如何将风险和业务目标相关联，来更好的引起董事会的关注?Caldwell提出以下两项指导原则来回答上述问题：

　　业务目标也是IT目标。本质上， IT部门和企业其他部门在一定程度上都享有相同的业务目标。

　　这使得每个人都在向这同一个目标而努力。

　　IT风险也是业务风险。如果业务部门和IT部门都有相同的目标，那任何IT风险也等同于业务风险。这有助于使双方都共同关注业务成果。

　　从表面上来看，我们都认为董事会不应该管理风险，Caldwell说。 “董事会在风险管理中起的作用是确保有一个有效的风险管理计划，而公司的管理层正在有效地进行执行”，他说。 “他们起一个监督的作用。 ”

　　任何和董事会成员会面的监管机构——在大型企业内发生的频率正在逐渐提高，特别是金融服务行业——都会询问相关问题，以搞清楚董事会是否真正参与到监督风险管理计划中。

　　“(董事会成员)认为一个有效的风险管理计划意味着......他们不仅是拿到一个一年一次的，十大风险报告，而是希望有真正的风险指标来显示管理层的确在监督”，Caldwell说。这些指标还应该权衡管理层的风险偏好，这也正是风险管理计划的意义所在。

　　从这一角度而言， CIO们需要了解可能阻止或妨碍企业实现其战略目标的IT风险指标。这一区别是很重要的。不再是把

　　重点放在关注IT资产的风险， CIO们更应该关注在业务绩效风险中起重要作用的技术。

　　“这并不意味着我们不再关心有关IT资产的风险，但我们会在向由董事会和高级管理层设立的业绩目标努力的过程中，进

　　行相应的审视”，Caldwell说。 “企业绩效考核才是我们向董事会进行汇报时需要呈现的。”

　　当进行陈述时，尽管花了很长时间进行准备， CIO们都应该牢记他们只有大约15分钟的时间来得到认同 – 这也可

　　能是一年中唯一一次正式的机会。这一陈述不应该有任何惊喜或者全新的信息，Caldwell强调。首席风险官，首席财务官，首席执行官和关键的董事会成员都应该事先知道CIO将会谈论什么。