第一步:发现必要性
一些CIO们发现了采用ERM的方式是不可避免的:如果企业不从整体上来把握风险的话,大家面临的只有死路一条。例如,IT 系统已经成为美国海军作战方式的核心。美国海军部门的CIO Dave Wennergren 正在为海军舰队开发一个全军的内部网络,在今年完成之后,该网络将给陆基部队和海洋上的舰队提供一个公共的、标准的平台,通过这个标准的平台,他们可以进行战斗情报的实时共享和交换。Wennergren 指出,如果系统失灵的话,舰队官兵和飞行战斗人员将得不到他们要攻击目标的信息。9.11事件中,美国的五角大楼也受到了攻击,而海军指挥中心受到的攻击则让军事设施从当地的通讯设施中暴露在风险之下,这也从一个侧面强调了Wennergren 的ERM是关键的观点。
当然有些时候,特别是企业的CEO 或者是公司董事会要求你去实施ERM的战略的时候,你就不需要花费什么额外的工作来让你自己相信ERM的价值了。一直到90年代中期,J.P. 摩根的懂事们才做出了向新的商业风险投资的决定,这还是通过董事会的辩论获得足够的说服力才同意的。不过遗憾的是,新的战略给这家老牌的投资银行带来了一些不愉快的经历,因为那些投资都没有达到预期的目标。Bill Sharon 曾经担任过该投行的技术风险首席管,现在是J.P. 摩根的顾问和执行懂事,据他回忆,当初决定在新兴的国家开办办事处的决定,并没有考虑运营的风险和范围,包括对银行现有的IT系统和通讯设施带来的冲击,正是这些忽略最后才导致了那些不愉快的经历。
当时,J.P. 摩根的董事长要求执行经理们开发出更好的决策过程来选择投资。Sharon 和房地产部门的主管一起合作,率先开始设计新的流程来满足董事长的要求——包括IT设施要满足任意新的业务的需求。当设计完成后,他意识到他事实上开发了一个从整体上分析企业风险的流程,从那以后他就开始完全接受了ERM的思想。
Sharon 开始询问公司所有部门的人,新的业务选择流程会给他们带来什么样的影响。然后他开发出一个需要满足的条件清单,只有清单上列出的条件得到满足后,相关的员工才可以把新产品或者新的办事处的地点拿到执行委员会上去讨论,包括哪些IT设施或者相关的支持设施的投资。当这个项目被批准实施以后,新的项目的发起人就要去搜集每条业务线或者相关部门的信息,以保证他的项目能够满足Sharon 清单上的要求。例如,当有人提出要在墨西哥城开设一个办事处,该项目的发起人就要报告项目实施后需要多少台电脑,需要什么样并且如何获得网络连接,以及电力供应的可靠性。虽然所有的这些事情并不是例行的公事,但是它们通常都对新的风险投资的成功具有关键的作用。
Sharon 解释道:“我发现在IT系统中或者在任意的业务中,CIO的责任都是没有边界的,你不可能做完你的工作就回家。而且,在IT系统中,其实是没有一个人真正知道经营战略是什么的。那就是我对ERM的体会,它让所有的人都处于同一个平面。”
第二个步骤:定义ERM的语言信息
CIO们成为企业ERM项目的主管之后,需要做的第一件事情就是必须给出明确的定义为什么ERM对于我们的企业是必不可少的,这是ERM项目中最重要的一步之一,这可以让更多的人更好的去理解ERM的意义,同时这也是非常难的一步。因为,ERM项目是横跨整个企业的,你必须要了解企业各个不同业务线的复杂的运作及其相互之间的关系。同时,CIO们还需要考虑你可能忽视或者压根就没有考虑到的事件和结果,尤其是企业的文化是把考虑风险当作一种悲观者的看法的时候。
Barclays (英国巴克莱银行)的商业道德战略负责人Da