风险管理方法论和选择审计方法

hfhewfh

风险管理方法论和选择审计方法

这些风险发生的可能性和破坏性并不是均等的。有些类别的风险发生的可能性更高，有些会有更大的潜在影响。因此数据中心经理应该从预算的角度出发，权衡每种风险的影响。
Ferron建议数据中心经理使用传统的风险管理矩阵方法，分别对风险概率和潜在业务影响进行评测。他建议将风险矩阵制成一张三维图，因为三维图形更能突出预计费用，降低风险。
Read也采取了类似的方法，旨在识别和量化凯捷数据中心的风险和治理费用。重要的是，他将他的风险管理系统设计成了一个会随时间而变化的，生动而逼真的文档。
他说：“在凯捷，我们已经制定了月度风险管理系统，用于将所有风险和问题记录下来，并进行控制和处理。如果情况发生了变动，我们将会增加预算。”
虽然数据中心面临的风险具有其特殊性，但用于管理数据中心的方法并不是针对数据中心环境的。通用的风险管理方法既适用于描述和处理数据中心风险，也适用于其他领域。
Lovell说，ISO 31000：2009是通用的风险管理标准。本标准规定了风险管理的一般原则和准则，旨在根据每个用户认为合适的风险类型进行调整。与其说是一种风险评定，它更像是一种风险管理架构，并且ISO 31000：2009可用于审计数据中心内的风险防范。
Lovell还表示：“审计程序必须确保正确的回应程序已经到位，并且能够被工作人员理解和进行演练，由于回应程序会随着时间而改变，所以必须不断地进行更新。”
数据中心无法单独运作，它必须依赖于将技术与商业目标结合在一起的整个体系。技术层面的风险管理只是整个风险管理系统的一部分。那些有能力的企业将需要处理金融，监管，组织内部的各种风险。
不同的企业所采取的控制数据中心风险的方式各有不同。在凯捷公司的案例中，其数据中心经理负责管理数据中心，以及每月的风险和问题程序。该经理连同英国数据中心主管，每月都会与首席财务官团队进行会议，以预测任何主要的风险支出。
Pulsant的Lovell说，数据中心合规团队通常会以某种形式向董事会报告。
他说：“凯捷董事的法律职责就是管理IT事务以及听取报告。这可能与其他的IT治理程序不同，其他的IT程序只要求合规团队通过不同的项目或组织架构进行汇报。“”
在理想情况下，风险治理团队在管理风险和报告结果时应该分担责任。Lovell进一步表示： “我建议用适当的方法来管理风险，这要求运营团队在监控和提供数据中心服务之外，还要有独立的管理水平，并进行合规验证。但企业可以选择独立的内部或外部治理团队。”
选择审计方法
审计的关键词是验证。 虽然量化，优先排序和降低风险都只是风险管理的一部分，但衡量数据中心在方面的表现就是审计的主要任务。此外，对风险进行审计，将有助于内部员工和潜在客户了解数据中心如何控制运营中的各种风险来源。
想要通过审计来减低数据中心的风险， 管理人员必须明确自己想要实现的目标。如果风险审计是以客户为导向的化，必须明确客户要求的具体标准，并调查客户是否希望数据中心采用特定的风险管理矩阵。
Read说，数据中心的风险管控服务商也可能会进行审计。例如，凯捷的数据中心由自己的团队，政府客户以及保险公司定期进行审核。