序言与致谢

导言——IT风险及其重要性

IT风险的起因

无效的IT治理

不可控的错综复杂性

对风险的熟视无睹

IT风险既是经营风险也是企业价值

本书结构及读者对象

及时章 4A风险管理框架

IT风险的整体观

4A分析框架

利用4A分析框架指导IT风险管理

应用4A分析框架分析风险的权衡置换

例一：采购一套非标准方案

例二：合并系统

例三：快速成长与控制

应用4A分析框架化解隐含的假设分歧

第二章 IT风险管理的三项核心修炼

基础

脆弱的基础会放大所有的风险

修缮基础是一项长期工程

风险治理流程

风险意识的组织文化

技术在降低风险中的作用也是有限的

风险意识文化的营造是自上而下的

第三章 修缮基础——巩固IT风险塔的基础

修缮基础——值得的付出

从IT风险金字塔的底部开始并向上推进

按照三个步骤修缮基础

制订和检验业务连续性计划

应用业务影响分析，确定优先次序和恢复的时间表

制订计划

实施和检验计划

查找和堵住堤坝中的漏洞

制止外溢

实施IT审计

基于标准框架实施控制和审计

第四章 修缮基础——精简基础

曾经的投入给IT基础留下沉重负担

精简基础设施的两种途径

快速转型有效但具有风险

渐进转型缓慢但稳健

基础设施的成功转型遵循三个步骤

体系架构确定航线并确保转型顺利

精简基础设施触发变革和积聚动力

细致的精简应用系统，完善基础设施的修整

基于价值和风险替换遗留应用系统的业务方案

阿美赫斯掌握慢但稳的方法

风险和价值临界点可以提前几年预测

制订再投资计划和更新预算

第五章 开发风险治理流程

PFPC对IT风险治理流程的需求

一种有效的、多层次的风险治理流程

IT风险治理流程中的角色

IT风险管理角色的实践

IT风险治理流程的步骤

确定风险政策与标准

识别与评估风险

风险轻重缓急排序与任务分配

风险处理

监视、跟踪风险

有效IT风险治理流程的五个关键做法

PFPC公司IT风险治理流程的实施

第六章 建立有风险意识的企业文化

风险厌恶型文化逃脱不了风险

风险意识文化自上而启

通过细分受众和频繁交流提高风险意识

高管的风险意识就是领导力和项目状态

经理的风险意识就是整合和执行

IT人员的风险意识就是以风险意识的方式建立系统

坚持从上到下的推动

不要等待被落下的钢琴砸中才具有风险意识

第七章 加速三项修炼

合格胜任的基础架构

合格胜任的风险治理流程

合格胜任的风险意识文化

影响中心修炼的文化、环境和能力因素

组织文化的影响

历史的影响

规模的影响

行业影响(但不如规模的影响那么大)

地域影响

能力影响(通常是首要的)

选择你的中心修炼

舒尔公司：IT风险和小制造商

SAMPENSl0N公司：IT风险与中型养老保险公司

第八章 展望未来

以正确的顺序展望未来

认识外部因素与战略举措

关注外部因素变化的预警信号

审视战略举措

透视三项修炼

第九章 高管改善风险管理十大策略

1.IT风险即业务风险

2.以4A特性从长期和短期两方面思考风险

3.堵住堤坝上的漏洞，预备迎接更大的洪水

4.精简基础架构

5.创建风险治理结构和流程：将风险管理融入所有的业务流程和决策之中

6.让所有的员工正确地领会与他们最为相关的风险、弱点和政策

7.建设风险意识的企业文化

8.测量有效性

9.向前看

10.做个好榜样

译后记

注释

关于作者