直面風險管理 運籌帷幄

         在過去十年中，IT所帶來的風險在大多數(shù)公司中已經(jīng)出現(xiàn)了顯著的變化?，F(xiàn)今，IT問題所帶來的潛在風險，已經(jīng)遠遠超出IT投資本身，這種情況幾乎普遍存在。比如，很多公司花費數(shù)百萬美元部署了ERP系統(tǒng)，一旦這個系統(tǒng)停止工作一周，其帶來的損失，可能要超過系統(tǒng)部署成本的十倍以上。

        近來，就發(fā)生了與IT問題有關的兩個案例：禮來公司(Eli Lilly)意外泄露了600多名Prozac(一種抗抑郁癥藥物)使用者的姓名和地址，其帶來的直接后果是，美國聯(lián)邦貿(mào)易委員會(Federal Trade Commission)頒布了一項為期20年的法令，法令規(guī)定，將對公司的IT安全每年進行審核。另一個案例是，電子游戲廠商瓦爾伏公司(Valve)由于一個簡單的安全漏洞而丟失了一種新游戲的源代碼。結果，這個游戲不得不推遲六個月上市，公司花費數(shù)月進行研發(fā)所帶來的競爭優(yōu)勢也因此而喪失殆盡。

        當你意識到，公司丟失一小部分內(nèi)部機密數(shù)據(jù)可能會帶來多大的損失，你就能對幾乎所有公司都面對的風險有一個總體認識。這也意味著，CIO們比過去的責任更大了。企業(yè)期望由CIO們來應對這些風險。CIO別無選擇。對新型CIO而言，風險管理已經(jīng)成為他們工作中不可或缺的一部分。顧能公司(Gartner)日前對上百名CIO進行了年度調(diào)查，CIO們在調(diào)查中提出了四種他們關注的風險：

 企業(yè)聯(lián)系：公司與供應商、合作伙伴、消費者之間的聯(lián)系愈發(fā)緊密，這不僅使企業(yè)對他們的依賴度越來越高，而且也帶來了企業(yè)信息被竊取或濫用的可能。如果企業(yè)的這些關系管理不善，就會帶來新的風險。這種風險，傳統(tǒng)的IT觀念并沒有考慮到。

 符合法規(guī)要求：由于管理不善及隨之而生的犯罪行為，使得許多公司最終經(jīng)營失敗。政府因此出臺了多項法規(guī)，希望減少濫用管理權力的現(xiàn)象，并對濫用管理權力者進行懲罰。但這樣做的同時，這也為公司處理和保護信息帶來了法律風險。

 消費者要求保護隱私：消費者關心隱私，主要是因為竊取身份信息和個人信息的行為不斷增加，同時，也和政府出臺的多項反恐計劃有關。缺乏隱私保護，對公司而言，是一種新的消費者風險；同時，不能遵守剛出臺的隱私法，也使公司面臨新的法律風險。

IT問題帶來的損失不斷上升：IT問題不僅會影響到公司的客戶、客戶的客戶以及供應商，而且也有可能給企業(yè)的商譽帶來巨大損害，并使公司面臨民事和刑事的雙重懲罰。

整體考慮

        在IT風險管理上，CIO們面臨的一個共同問題是，IT風險帶來的威脅、IT風險的影響面、IT風險的范圍，都要大大超過以往。因此，很多企業(yè)并沒有很好理解，應該如何去化解這些新的風險和消除這些風險的影響—要么是企業(yè)的CIO不熟悉如何管理業(yè)務風險，要么是企業(yè)的管理者對IT問題所帶來的風險不重視。

        我們的研究顯示，CIO們把IT風險劃分為好幾類，比如應用、架構和供應商等，而沒有把IT風險和業(yè)務風險作為一個整體來考慮。由于這種劃分，使得CIO們也搞不清，究竟有多少IT預算用在了風險管理上。在我們的調(diào)查中，CIO們估計他們把IT預算的6～7%用在風險管理上。然而，當把這些風險管理支出進行具體分解后，實際的風險管理開支數(shù)據(jù)可能要翻上一番，達到約15%。對IT風險進行分類管理的辦法，在過去可能是有效的，但在IT已經(jīng)深深融入企業(yè)業(yè)務流程的今天，就已經(jīng)不再合適。

        不能把IT風險管理與業(yè)務風險管理綜合起來進行整體考慮，這樣將使企業(yè)陷入愈發(fā)危險的境地。因為對這兩種風險的管理相互交叉，其結果會影響到整個公司。在安全或者技術上出現(xiàn)的問題，很容易就會從IT問題演變?yōu)檎麄€公司的問題，進而影響到消費者的忠誠度，企業(yè)不得不被迫接受法律稽查，公司形象也由此受損。

        化解風險，一般有四種主要的方法：緩解，轉移，接受和避免?！熬徑狻笔侵附档惋L險，或降低風險可能帶來的后果。要讓“緩解”起作用，企業(yè)必須擁有足夠的控制力，以減少風險時間出現(xiàn)的可能性，或消除風險事件帶來的可能影響。

       “轉移”是指把風險轉嫁給另一個有能力并愿意承擔風險的載體，比如保險公司?！敖邮堋笔侵钙髽I(yè)有意識地去設想幾種風險，這稱為自我保險。為了讓“接受”發(fā)揮作用，風險發(fā)生的幾率必須足夠小，或其重要性微不足道，對企業(yè)來說能夠承受。“避免”則是指消除風險事件發(fā)生的可能性。對于大多數(shù)企業(yè)而言，“避免”意味著從某項業(yè)務或某個市場中退出，或放棄某個產(chǎn)品。要做到那樣，企業(yè)必須具備自由退出的能力，還必須甘愿放棄與風險同時存在的市場機會。

         在CIO的職責范圍內(nèi)出現(xiàn)的絕大部分新型IT風險，唯一可行的管理策略就是“緩解”。

         雖然很難對風險管理的成功進行客觀的量化評價，但你必須證明，是你終止了某項從未發(fā)生過的事件。Gartner公司對CIO們識別風險并采取有效措施緩解風險的信心進行了研究。我們把這些CIO稱為高度自信的經(jīng)理人。Gartner公司發(fā)現(xiàn)，這些高度自信的經(jīng)理人可能只是略微增加了在風險管理上的投入，但是，他們在改善業(yè)務關系、提高IT可靠度、緩解風險等方面，卻獲得了高得多的回報。

        這些高度自信的經(jīng)理人，一般都采用了緩解風險的三種方法中的一種，當然，對另外兩種也沒有忽視。這三種方法分別是：風險管理的流程，簡化配置的系統(tǒng)和個人經(jīng)驗。后兩個方法比較通俗易懂：系統(tǒng)復雜性降低了，風險自然也就降低了，而且可以消滅出現(xiàn)錯誤點的可能。個人經(jīng)驗方法則是在團隊中保留一名擁有豐富風險管理經(jīng)驗的員工。