不得不被迫接受法律稽查,公司形象也由此受损。
化解风险,一般有四种主要的方法:缓解,转移,接受和避免。“缓解”是指降低风险,或降低风险可能带来的后果。要让“缓解”起作用,企业必须拥有足够的控制力,以减少风险时间出现的可能性,或消除风险事件带来的可能影响。
“转移”是指把风险转嫁给另一个有能力并愿意承担风险的载体,比如保险公司。“接受”是指企业有意识地去设想几种风险,这称为自我保险。为了让“接受”发挥作用,风险发生的几率必须足够小,或其重要性微不足道,对企业来说能够承受。“避免”则是指消除风险事件发生的可能性。对于大多数企业而言,“避免”意味着从某项业务或某个市场中退出,或放弃某个产品。要做到那样,企业必须具备自由退出的能力,还必须甘愿放弃与风险同时存在的市场机会。
在CIO的职责范围内出现的绝大部分新型IT风险,唯一可行的管理策略就是“缓解”。
虽然很难对风险管理的成功进行客观的量化评价,但你必须证明,是你终止了某项从未发生过的事件。Gartner公司对CIO们识别风险并采取有效措施缓解风险的信心进行了研究。我们把这些CIO称为高度自信的经理人。Gartner公司发现,这些高度自信的经理人可能只是略微增加了在风险管理上的投入,但是,他们在改善业务关系、提高IT可靠度、缓解风险等方面,却获得了高得多的回报。
这些高度自信的经理人,一般都采用了缓解风险的三种方法中的一种,当然,对另外两种也没有忽视。这三种方法分别是:风险管理的流程,简化配置的系统和个人经验。后两个方法比较通俗易懂:系统复杂性降低了,风险自然也就降低了,而且可以消灭出现错误点的可能。个人经验方法则是在团队中保留一名拥有丰富风险管理经验的员工。因此,我们将着重关注风险管理的流程这一方法。
制订流程
根据卡内基-梅隆大学软件工程学院(Carnegie Mellon University Software Engineering Institute)的研究结果,一个好的风险管理流程包含五个步骤:识别、分析、计算、防御计划,以及执行/评估。
首先,要识别目标和威胁。要识别风险,就先得把你的企业勾画为一个整体。对你的业务来说,什么策略是最重要的?公司制定的每项策略的主要障碍在哪里?是否存在单独的错误点?在数据、资金、原材料,或其他价值较高的公司资产中,公司策略的重心在哪里?把这些因素与业务流程结合起来,判断哪些业务流程会面临风险,或会受到风险的影响。对这些问题,要尽可能地明确。
例如,在卢森堡综合银行(Banque Générale du Luxembourg),公司CIO迈克尔·道芬(Michel Dauphin)和他的同僚就识别出以下对业务来说非常关键的IT风险:
● 如果系统不可用或用户界面不友好,会对业务人员的效率产生影响;
● 由于系统不灵活,使得公司对新的商业机会不能做出快速反应;
● 数据支离破碎;
● 由于对用户接入管理不善,将导致欺诈行为的出现;
● 如果IT无法提供合适的报告方法,企业就无法按照法律要求进行充分的信息披露;
● 如果IT系统运转不正常,会使员工情绪紧张。
高度自信的风险管理者们总是把对风险的评估当作一项任务来对待,从整个企业的角度定期进行回顾检讨。正如前文所述,如果把所有IT风险进行分类,就不能对他们进行有效管理。首先叫你的资深IT经理们识别出最重要的风险,以及他们所参与的可能的重要业务流程。要有效地做到这一点,他们很可能需要与他们的合作伙伴通力协作。
其次,分析威胁。给各种资产赋予风险价值,从业务流程、市场,到数据库。价值的形式可以是营业收入的减少或者