“一个企业要真正把这个IT风险管理框架做好，没有三到五年的时间根本不行。除了时间因素，还需要部门的配合和领导的重视。最关键的是，需要有正确的、合适的方法和步骤。” 北京谷安天下科技有限公司（以下简称“谷安天下”）技术总监陈伟以十几年的专业经验，总结出一套解决企业IT风险的制胜之道。不仅如此，他还将理论用软件的方式体现出来，让企业自己拥有风险管理的“造血机制”。

　　六年磨一剑

　　“大概在2000年左右，我就开始进行IT风险管理的研究。那个时候我做IT已经有近十年了，从网络系统集成、软件开发、网络安全，一直做到IT管控咨询。在这一段时间内，基本上见证了咱们国内IT发展的历程。”陈伟这样说。

　　上世纪八十年代，国内企业开始接触计算机、接触网络，人们开始知道一条网线可以让他们连接整个世界。在这段时间里，人们的重点还是放在硬件设备上，只有简单的应用系统，认为只需把硬件与软件搭起来就能用，此时还没有意识到信息化有风险。

　　90年代开始重视管理信息系统建设，许多企业开始热衷于MIS和ERP建设。由于只看到信息化的表层，没有抓住信息化的实质，加上国外的理念导入比较生硬，导致很多企业ERP失败率很高。从这时起，我们开始意识到信息化有风险。

　　从2000年开始进入互联网时代，互联网改变了传统的经营模式，也带来很多的问题，很多的风险。病毒通过网络传播，广泛流行，由此引发大家对网络安全风险的关注。

　　随着IT与业务的融合度越来越高，业务对IT的依赖性越来越高，企业对风险的认识也越来越深刻。 “没有IT对业务的支持是风险，过度依赖于IT也是风险。在更高的层面上， IT风险和业务风险并没有本质的区别都是企业需要管理的风险组成部分。”陈伟说，“这样的事情在许多对IT依赖性强的企业例如金融、电信业就很明显，如果IT出了事故，一定会导致业务中断，损失的不仅仅是钱，而且还有声誉。”在最高管理层眼里，控制成本、盈利、降低风险都是企业的事，并不分是IT的还是业务的， IT风险控制要有全局的视野，要融合到企业总体风险控制中。实际在某个层面上，IT也是企业实现股东价值最大化的手段之一。

　　企业安全事故的频发，引起陈伟从一个IT人的角度对IT风险的思索。他认为：“要实现安全，首先要建立一套机制，要持续地评估风险，评估之后要检查，再根据检查的结果进行改进。”这时，他感觉到“当前国内普遍缺乏对IT风险控制的有效方法，需要有人静下心来在这方面做点事。”于是，他个人发展道路也就从系统集成和网络开发做到了网络安全，慢慢的转到了风险控制。现在，在陈伟看来，IT风险管理的最终目标是就是IT管控跟企业风险管理融合在一起。