不得不被迫接受法律稽查,公司形象也由此受損�����。
化解風(fēng)險(xiǎn)����,一般有四種主要的方法:緩解����,轉(zhuǎn)移,接受和避免�?��!熬徑狻笔侵附档惋L(fēng)險(xiǎn)�����,或降低風(fēng)險(xiǎn)可能帶來(lái)的后果���。要讓“緩解”起作用�,企業(yè)必須擁有足夠的控制力,以減少風(fēng)險(xiǎn)時(shí)間出現(xiàn)的可能性����,或消除風(fēng)險(xiǎn)事件帶來(lái)的可能影響。
“轉(zhuǎn)移”是指把風(fēng)險(xiǎn)轉(zhuǎn)嫁給另一個(gè)有能力并愿意承擔(dān)風(fēng)險(xiǎn)的載體����,比如保險(xiǎn)公司?��!敖邮堋笔侵钙髽I(yè)有意識(shí)地去設(shè)想幾種風(fēng)險(xiǎn)����,這稱(chēng)為自我保險(xiǎn)��。為了讓“接受”發(fā)揮作用,風(fēng)險(xiǎn)發(fā)生的幾率必須足夠小�,或其重要性微不足道,對(duì)企業(yè)來(lái)說(shuō)能夠承受��?��!氨苊狻眲t是指消除風(fēng)險(xiǎn)事件發(fā)生的可能性��。對(duì)于大多數(shù)企業(yè)而言���,“避免”意味著從某項(xiàng)業(yè)務(wù)或某個(gè)市場(chǎng)中退出,或放棄某個(gè)產(chǎn)品��。要做到那樣,企業(yè)必須具備自由退出的能力,還必須甘愿放棄與風(fēng)險(xiǎn)同時(shí)存在的市場(chǎng)機(jī)會(huì)�����。
在CIO的職責(zé)范圍內(nèi)出現(xiàn)的絕大部分新型IT風(fēng)險(xiǎn),唯一可行的管理策略就是“緩解”�����。
雖然很難對(duì)風(fēng)險(xiǎn)管理的成功進(jìn)行客觀的量化評(píng)價(jià),但你必須證明�����,是你終止了某項(xiàng)從未發(fā)生過(guò)的事件����。Gartner公司對(duì)CIO們識(shí)別風(fēng)險(xiǎn)并采取有效措施緩解風(fēng)險(xiǎn)的信心進(jìn)行了研究��。我們把這些CIO稱(chēng)為高度自信的經(jīng)理人���。Gartner公司發(fā)現(xiàn)����,這些高度自信的經(jīng)理人可能只是略微增加了在風(fēng)險(xiǎn)管理上的投入,但是�����,他們?cè)诟纳茦I(yè)務(wù)關(guān)系����、提高IT可靠度����、緩解風(fēng)險(xiǎn)等方面����,卻獲得了高得多的回報(bào)。
這些高度自信的經(jīng)理人��,一般都采用了緩解風(fēng)險(xiǎn)的三種方法中的一種,當(dāng)然�,對(duì)另外兩種也沒(méi)有忽視。這三種方法分別是:風(fēng)險(xiǎn)管理的流程�,簡(jiǎn)化配置的系統(tǒng)和個(gè)人經(jīng)驗(yàn)����。后兩個(gè)方法比較通俗易懂:系統(tǒng)復(fù)雜性降低了�����,風(fēng)險(xiǎn)自然也就降低了���,而且可以消滅出現(xiàn)錯(cuò)誤點(diǎn)的可能���。個(gè)人經(jīng)驗(yàn)方法則是在團(tuán)隊(duì)中保留一名擁有豐富風(fēng)險(xiǎn)管理經(jīng)驗(yàn)的員工���。因此����,我們將著重關(guān)注風(fēng)險(xiǎn)管理的流程這一方法�。
制訂流程
根據(jù)卡內(nèi)基-梅隆大學(xué)軟件工程學(xué)院(Carnegie Mellon University Software Engineering Institute)的研究結(jié)果����,一個(gè)好的風(fēng)險(xiǎn)管理流程包含五個(gè)步驟:識(shí)別���、分析���、計(jì)算、防御計(jì)劃���,以及執(zhí)行/評(píng)估����。
首先�,要識(shí)別目標(biāo)和威脅。要識(shí)別風(fēng)險(xiǎn)�����,就先得把你的企業(yè)勾畫(huà)為一個(gè)整體�。對(duì)你的業(yè)務(wù)來(lái)說(shuō),什么策略是最重要的���?公司制定的每項(xiàng)策略的主要障礙在哪里�����?是否存在單獨(dú)的錯(cuò)誤點(diǎn)�����?在數(shù)據(jù)�����、資金�、原材料,或其他價(jià)值較高的公司資產(chǎn)中�����,公司策略的重心在哪里��?把這些因素與業(yè)務(wù)流程結(jié)合起來(lái)�����,判斷哪些業(yè)務(wù)流程會(huì)面臨風(fēng)險(xiǎn)��,或會(huì)受到風(fēng)險(xiǎn)的影響�����。對(duì)這些問(wèn)題,要盡可能地明確��。
例如�,在盧森堡綜合銀行(Banque Générale du Luxembourg)���,公司CIO邁克爾·道芬(Michel Dauphin)和他的同僚就識(shí)別出以下對(duì)業(yè)務(wù)來(lái)說(shuō)非常關(guān)鍵的IT風(fēng)險(xiǎn):
● 如果系統(tǒng)不可用或用戶界面不友好���,會(huì)對(duì)業(yè)務(wù)人員的效率產(chǎn)生影響;
● 由于系統(tǒng)不靈活����,使得公司對(duì)新的商業(yè)機(jī)會(huì)不能做出快速反應(yīng);
● 數(shù)據(jù)支離破碎����;
● 由于對(duì)用戶接入管理不善,將導(dǎo)致欺詐行為的出現(xiàn)��;
● 如果IT無(wú)法提供合適的報(bào)告方法���,企業(yè)就無(wú)法按照法律要求進(jìn)行充分的信息披露�����;
● 如果IT系統(tǒng)運(yùn)轉(zhuǎn)不正常�,會(huì)使員工情緒緊張。
高度自信的風(fēng)險(xiǎn)管理者們總是把對(duì)風(fēng)險(xiǎn)的評(píng)估當(dāng)作一項(xiàng)任務(wù)來(lái)對(duì)待���,從整個(gè)企業(yè)的角度定期進(jìn)行回顧檢討��。正如前文所述��,如果把所有IT風(fēng)險(xiǎn)進(jìn)行分類(lèi)���,就不能對(duì)他們進(jìn)行有效管理。首先叫你的資深I(lǐng)T經(jīng)理們識(shí)別出最重要的風(fēng)險(xiǎn)���,以及他們所參與的可能的重要業(yè)務(wù)流程�����。要有效地做到這一點(diǎn)�,他們很可能需要與他們的合作伙伴通力協(xié)作���。
其次�����,分析威脅��。給各種資產(chǎn)賦予風(fēng)險(xiǎn)價(jià)值��,從業(yè)務(wù)流程���、市場(chǎng),到數(shù)據(jù)庫(kù)�。價(jià)值的形式可以是營(yíng)業(yè)收入的減少或者