近年来， 企业遵守萨班斯·奥克斯利法案(该法案是美国立法机构根据安然有限公司、世界通讯公司等财务欺诈事件破产暴露出来的公司和证券监管问题所立的监管法规，简称《SOX法案》或《索克思法案》)的重心已经转移到在整个公司内部提升风险管理上。在本文中， 来自Gartner公司的副总裁兼分析员，向CIO和IT主管们就如何开展这一重要任务进行献计。

为了遵守SOX法案，企业被要求把重心转向改善公司整体的风险管理。监管机构正在向董事会施压，希望他们更多地进行风险监督，因此在企业内部自上而下，都需要提高对于总体风险承担的理解，以及风险对于战略目标所形成的威胁，Caldwell说。这意味着，CIO和IT风险管理者越来越多地被要求精确地描述IT和业务风险之间的关联。

Gartner公司最近的一项风险管理调查显示， 约有43%的受访者声称IT部门提供的风险管理数据的确会影响董事会的相关决策，Caldwell说。这听上去似乎是个好消息，但它也同时意味着大多数受访者并不认为IT信息可以影响董事会的决策。不仅如此，还有一些受访者甚至质疑董事会是否能够明白IT部门提供的数据。

为了增加积极影响的百分点， CIO们需要更好地让董事会理解IT部门和业务部门之间的关联，Caldwell说。首先， CIO们必须明白以下内容：在涉及企业风险管理上，董事会，CIO和其他IT主管们在企业内扮演什么角色? 而在向董事会汇报时， CIO应该如何将风险和业务目标相关联，来更好的引起董事会的关注?Caldwell提出以下两项指导原则来回答上述问题：

业务目标也是IT目标。本质上， IT部门和企业其他部门在一定程度上都享有相同的业务目标。这使得每个人都在向这同一个目标而努力。

IT风险也是业务风险。如果业务部门和IT部门都有相同的目标，那任何IT风险也等同于业务风险。这有助于使双方都共同关注业务成果。

从表面上来看，我们都认为董事会不应该管理风险，Caldwell说。 “董事会在风险管理中起的作用是确保有一个有效的风险管理计划，而公司的管理层正在有效地进行执行”, 他说。 “他们起一个监督的作用。 ”

任何和董事会成员会面的监管机构--在大型企业内发生的频率正在逐渐提高， 特别是金融服务行业--都会询问相关问题，以搞清楚董事会是否真正参与到监督风险管理计划中。