我们每次搭乘飞机旅行都要面对风险。四百吨的“怪物”起飞，把我们带到目的地，再降落—— 几乎没有例外！我们会因为商业机会、娱乐甚至于仅仅是认为飞行很有趣而甘愿冒此风险。无论到什么时候，这都是一个我们不得不冒险的世界！因为，风险是人类生活环境的一个组成部分，也是人类商业活动的一部分。在我们的日常生活中，有些风险是能够发现的，有些风险则完全隐藏在事物的背后，还有一些风险我们可能还从未见识过。很自然，我们总希望在眼前的“雷达”上能发现发生可能性比较高的那一类风险，较低的那一类隐藏起来看不见也罢。但生活里却往往事与愿违。

在每一次商业投资过程中，我们都需要冒一定的风险。生活里任何事情都可能发生意外。而基本上我们大概都愿意冒一定的风险。任何主动的策略都可能伴随着明显的风险—— 尽管有时并不那么引人注意—— 相反被动的、“无为而治”的策略也同样具有风险，只是和前者相比，后一种情况下出现的风险不是那么明了，不是那么令人恐惧罢了。重要的是要搞清楚风险是什么，让我们能彻底了解它。一旦风险发生，我们有办法来对付它。

这一章是本书的梗概。它会带着读者快速浏览我们所秉持的理念和面对的挑战。在本章的最后，我们会提出一些建议。本章也会为本书的结构给出一些指引，让读者能很快找到自己最需要的东西。在后续的章节，我们会给出论证的细节及参考资料。本书的第2章和第3章提出了信息技术治理架构和信息技术风险组合的概念—— 这是我们两个重要的工具。余下的章节就不一定需要遵从什么顺序，只须“按需阅读”就行了。

现在，让我们开启这一段奇妙的航程！

应对风险，我们面对着众多的挑战，其中之一是对“风险(Risk)”这个词本身不一致的表述。我们时常用“风险”来表示讨厌的后果，另外的场合可能会用这个词来表达这种后果发生的可能性。

风险自身并没有理性可言，也没有轻重缓急之分。但是，就像叽叽嘎嘎的门轴要加油一样—— 风险也会时常给人们一些提醒。我们往往穷于应付生活中五花八门的各种风险，而对真正重大的威胁却视而不见。现在，我们应该停止这种做法。

用法律、社会道德、罚款的方式来处罚那些违章驾驶的人，目的是为了保护乘客的安全。然而，我们日常驾驶行为还是具有较高的风险的，只是这些风险的表现形式多种多样，不容易被我们发现而已。凭想象，我们也会知道被揭露出来的驾驶危险或者风险只占其中很小的一部分。

这个观点对信息技术(Information Technology，IT，本书将混用“IT”与“信息技术”这两个词—— 译注)行业来说同样成立。过去的40年，信息技术为商业带来了巨大的利益。能从信息技术直接获益的如电子产品和信息技术服务，间接获益的则包括库存管理、供应链管理、劳动生产力的提高以及客户信息系统等。但在在线证券交易、零售分销中心、航空定票系统等诸多领域，信息技术取得巨大成功的同时，很多信息技术系统也出现过重大的挫败，从伦敦证交所1993年取消的“金牛座”计划到2004年英国电子大学的战略性失败，无不如此。

出现这些挫败的部分原因可以归结为基础设施失效：从奥克兰持续6周的停电事故到纽约和意大利因为短暂但异常严重的破坏而导致的民生灾难(Hinde，2003)。信息资产出现风险—— 如CD环球由于30万客户信用卡资料的外泄而遭到勒索。这些事实无不表明有些风险我们是可以防范的，但也确有一些风险被我们有意或无意地忽视了。

对待信息技术风险的典型反应是补救。机构大多会采用标准的备份计划来保护数据，也有一些机构为了保护信息资产，还执行一些后续的信息技术计划。整个计划涉及的费用可能高达数百万美元，而所保存的数据却未必是整个体系里面最有价值、最重要的部分。同样，信息技术项目所冒的风险也很高—— 很少有董事会和高级管理层做好了对具体信息技术项目做出决策的准备。尽管信息技术已成为业务的基础部分，但是机构却很少为信息技术做好了全面的应变准备。

本书的目标是为读者提供一套权衡信息技术风险并做出选择的方法，以及可以使我们更容易发现风险的技术和如何把这些技术发扬光大的策略。