论文部分内容阅读
彭 辉 编译
公司上市两个月后,两大主要销售市场的其中一个突然完全消失了,你会怎么办?短短七天内,3.5亿美元的销售额说没就没了,你又会怎么办?
是在一旁看着自己的公司砍掉五六个经营不良的部门,还是无奈地接受预算缩减和裁员的现实、避开之前为了帮助业务发展而制定的战略计划?也许你会无奈的感叹:谁会预料到“9·11”事件的发生呢?是的,所有的一切,原因就在于没有人会料到发生如此重大的灾难!在危机面前,人们变得束手无策。
正是这些在众多人眼里认为的不可预计的灾难的发生,带来了巨大损失的同时也使得越来越多的组织开始意识到危机亦即风险管理的意义所在,无论是人为的还是自然引发的灾难。大到国家,小到企业甚至个人,怎样辨认潜在的问题,减少后果的不确定性和经济损失?记得2006年国家公务员考试的申论试题就再一次将焦点放在了危机管理上。
于是,在危机中复活的企业也开始着手注重风险管理,而管理者们也发现,在过去几年发生的几件大事都暴露出IT已经成为业务经营的主要风险。或者,换句话说,企业在不断扩张和发展的同时,一方面IT已经成为贯穿企业全过程的运营和管理;另一方面,也正是这个原因,任何疏于防范的潜在IT问题都有可能给这个庞大的组织带来瘫痪性的灾难。
推动企业风险管理的第二个因素是其监管环境,有些行业为确保公司远离不稳定的全球商业环境而采取的法案。比如《萨班斯—奥克斯利法案》(Sarbanes-Oxley),英国巴克莱金融服务公司的CIO DavldWeymouth说:“我们在一项监管项目上就花了约2.5亿美元,不合法规是我们要控制管理的一个巨大风险。”McCann公司的CIO Sharon说,对他来讲,《萨班斯—奥克斯利法案》听上去既熟悉又可怕,该法案充分证明了现在是实行风险管理的时候了。美国发生储蓄贷款丑闻期间,Sharon从事于金融服务业,当时为了遵守旨在整顿金融业的法律,“我们历时两年采用风险管理方法,进行了繁重的风险评估工作。”遵守法规成了风险评估项目附带产生的结果。同样,Sharon预言,企业风险管理也会让遵守《萨班斯—奥克斯利法案》成为风险管理的附带结果,而不是其关注的对象。
为什么是CIO?
许多风险专家都预料到CIO们会抵制企业风险管理。“很多CIO以为自己可以避开企业风险管理,”IT咨询公司(RobertFrancesGroup的)风险专家AdrianBowles说,“不过,最好打消这个念头,因为风险自己会找上门来,那时候你的工作就会面临风险。惟一的防御就是积极地去管理风险。”
此外,MIT的风险管理专家Westerman发现了业务和IT一致性与企业风险之前存在着密切的关系:CIO对自己管理经营风险的能力越有自信,IT与业务的关系就越一致;而在今天,很多企业管理专家们都强调CIO应当是个全才。“我们在飞机上部署空中交通预警和防撞系统(TCAS),它能够不断监控飞机周围空间、记录25英里内的物体、决定飞机航道、航速并预测航向。如果某物体与飞机可能碰撞,它会提醒飞行员,并提出可行的响应机制。如今,CIO对业务经理的作用就好比TCAS对飞行员的作用。”因此,CIO是企业董事会可以推荐出来的最合适从事风险管理的人。
2003年的2月1日,美国哥伦比亚号航天飞机因故炸毁在得克萨斯的高空,船上的7位宇航员全部遇难。在悲剧发生后不久的几个月里,哥伦比亚号飞机坠毁事故的独立调查委员会发现,由于行李箱大小的一块泡沫材料在升空时从航天飞机外部燃料箱上脱落,在机翼的隔热瓷瓦上撞出了一个洞,使得铝合金框架暴露在高温下被融化;然而,造成事故发生更深层次的原因在于:NASA(美国国家航空和宇宙航行局)内部缺乏安全管理的沟通氛围,参与整个航天飞机项目中的各个分包商都是分布在NASA的周围的,由于地理位置的限制,各负责安全的经理之间没能建立起正式的交流、讨论程序,他们也就不能彼此对自己关心的问题和设计等进行探讨,更不可能制定一个全面的控制风险的战略。
调查结束后,NASA的管理局任命其总经理来负责促进和改善内部机构、员工间的交流和沟通。而作为NASA的代理CIO,ScottSantiago,也开始寻找降低IT系统风险的方法和途径。从表面上看,IT安全与航天飞机失事的灾难没有任何关系,但是Santiago知道IT系统是航天飞机项目安全最重要的支持和保证,同时对于NASA其他众多的项目来说,IT系统对于项目的成功也具有至关重要的作用。同时,Santiago注意到,NASA的信息系统,不仅各个项目的承包商在使用,而且全国有成百上千的用户也可以进入这个系统,并且在不同的层面上可以修改和共享信息;但是,这些用户几乎都没有和NASA有过什么交流和沟通,而且他们对IT系统安全的政策和程序知之甚少,使用上一致性的缺乏,很可能会给系统带来未知的风险,一些病毒和潜在的漏洞可能会大大降低信息系统的安全性。为了控制和降低上面的风险,Santiago开始采用一般企业使用的方式:企业风险管理(ERM)。通过统一分析公司内外的所有风险,制订行政级管理策略来处理和应对,从而提高公司的盈利能力。如果措施得当的话,ERM可以通过改善IT系统的管理,优化企业在IT设施上的投资来最终降低损失和事故发生的概率,提高企业的价值。
像Santiago一样,很多企业的CIO都开始面对整个企业风险所带来的挑战,原因很简单:现在的企业越来越依赖IT系统的功能。对于很多人来说,ERIM不仅复杂,而且深奥难懂,采用ERM的方法通常都需要改变现有的企业文化,因此常常会导致员工的抵制,因为人们都会把风险的出现看作是对他们的批评。Santlago也知道很难改变NASA的那些经理们以项目为导向的风险管理方法,何况他们使用这种方法已经有几十年了。“一般人都会倾向从技术的角度来解决问题,如防火墙、vPNs等等,”Santiago解释说,“但是,我们必须从整体上来考虑到底是哪些信息与安全相关,我们到底需要做哪些工作来保护那些信息,同时还需要知道如何去管理它们。”
让风险管理系统运转起来
为了让ERM系统有效的运转起来,企业CIO们需要制定一个专门的领导战略计划。通过对将近30个实施ERM的管理顾问、学者和CIO们的专访,让我们一起来探讨一下企业应用风险管理的四步战略。
风险管理必要吗?
风险管理必要吗?有的时候,尤其是企业的CEO或者是公司董事会指派你去实施ERM战略的时候,也许你就不必要多花费精力让自己确信ERM的价值了,这实在是毫无必要,因为CIO会在这个过程中自然而然的感受到ERM的必要性。当时,J.P.摩根的董事长 要求部门经理们能够拥有完善的决策程序来选择投资项目,Sharon和房地产部门的主管一起合作设计了一套这样的流程,其中就包括IT要有能够满足任意新的业务需求的能力。设计完成之后,他才意识到他事实上开发了一个从整体上分析企业风险的流程,由此也就开始完全接受了ERM思想。
Sharon开始询问公司所有部门的人,这个新的业务决策流程会给他们带来什么样的影响?然后他设计出一个需要满足的条件清单,只有清单上列出的条件得到满足后,相关部门的员工才可以把新产品生产或者新办事处地点设置的建议拿到执行委员会上去讨论,包括具体的IT设施及其相关支持设施的投资。当这个项目得到批准实施后,项目发起人就要去搜集每条业务线或者相关部门的信息,来保证项目能够满足之前的条件清单要求。比如有人提出要在墨西哥城开设一个办事处,那么这个项目的发起人就要报告项目实施后需要多少台电脑,如何获得网络连接,以及电力供应的可靠性等前提条件,IT对新风险投资的成功具有关键的作用。举个例子,对于美国海军来说,IT系统已经成为其作战方式的核心。目前,美国海军部门的CIO,DaveWennergren正在为海军舰队开发一个全军的内部网络系统,该系统将给海陆军队提供一个公共、标准的平台,通过这个平台,他们可以进行战斗情报的实时共享和交换。如果系统失灵的话,舰队官兵和飞行战斗人员将得不到他们要攻击目标的信息,也可见对其潜在风险的保护是关系战役成败的大事。
Sharon解释道:“我发现在IT系统中或者在任意的业务中,CIO的责任都是没有边界的,你不可能做完你的工作就回家。而且,在IT系统中,其实是没有一个人真正知道经营战略是什么的。那就是我对ERM的体会,它让所有的人都处于同一个平面。”
如何描述企业的风险?
对于企业CIO来说,在承担起ERM项目的主管之后,最开始、最重要也是最难的一步就是必须让员工知道ERM对于我们的企业是不可或缺的,并能够将这种诉求用很好的方式定义出来,然而,这的确不是易事。试想一下,ERM横跨整个企业不同的业务线,相互之间存在复杂的内部联系;同时,CIO们还需要考虑到自己可能忽视或者根本就没有考虑到的事件和结果,尤其是把考虑风险看作是一种悲观者的文化认同普遍存在于企业当中的时候。
所以,CIO们必须找到一种描述风险的方式,如果不能找到合适的描述风险的方法,将会发现自己无所适从。要找到有效的描述风险的方式,CIO们可能需要去设计一种与行政人员和一般员工交流的平台。在NASA,Santiago开发了一个企业全局系统的模型来维护IT系统的安全,并取代NASA传统的每个部门各自负责自己的IT系统安全的做法。Santiago发现,几乎所有的项目和系统都要横跨NASA的多个中心,在一个地方发生的事情不仅仅取决于它本身的状况,同时还受到其他地方发生的事情和状况的影响。
Santiago建立信息中心的依据是:信息必须能够及时传递到需要他们的人那里去。他不喜欢谈论如何巩固各个部门系统的安全,他关心的是他所谓的“信息容器”,谈论的是所有的NASA雇员从“信息容器”中获取的内容。他制定出“信息容器”中的信息管理者,信息的使用者,并且授权使用相应的信息,防范信息被修改后带来的风险。通过该方式,他可以区分出数据遭受到的风险的大小,并可以做出缓和风险的最优策略。
巴克莱银行的Weymouth认为一个定义良好的ERM信息应该足够让那些怀疑论者转变自己的看法。他建立了一个监控系统来收集巴克莱银行运营系统的数据,这些数据包括银行拦截的欺骗付款次数或者拦截的取消服务企图次数,这些IT部门努力降低事故频率的数据获得可以让他计算出节省的费用数目。同时,他还有足够的理由来证明为什么巴克莱银行还应该持续地对IT系统进行投资,以便更有效的防范和缓和风险。
保持灵活性
其实并没有人真正明白风险到底是怎么一回事,而且每个人看待风险的视角都是不一样的。换句话说,CIO们必须很有耐心,同时还要给公司的员工们一定的时间让他们来理解你所说的每一句话。灵活性在这里是最关键的,因此,CIO们需要采用不同的交流方式让不同的员工去面对你所描述的风险。
GeorgeWesterman是美国麻省理工学院斯隆管理学院的研究专家,他正在研究ERM与IT系统的关系,他列举了一个关于他四岁女儿的故事:小女孩很喜欢攀登爬梯的,有一天,当她攀登到半路的时候,她忽然说:“爸爸,快看我!”。“我的本性让我冲动的答道,非常棒,努力登上梯顶吧。我希望她能够避免父母过渡保护她的风险,”Westerman解释说,“但是,她母亲却给出相反的建议,要她马上下来,希望我们的女儿能够避免掉下来受到伤害的风险。我们两个对于风险的看法是不一样的,虽然我们两个首先都是为我们女儿的安全着想。在我们看来这件事情的结果是:一个最好的反应是我们站在她旁边,然后让她爬到她自己想到达的高度,如果她跌倒了的话,我们就呆在她的身边。”Westerman认为传递的信息是,在他女儿的安全有适当保障的前提下,他女儿可以承受更大的风险。
但是,有时候你向别人传递风险管理的时候,最好不要向对方提起一点点的风险。当Sharon担任麦肯国际集团(McCannWorldGroup)的CIO的时候,他就经常避免谈论风险的话题。比如,在参与集团某个部门会议的时候,他就知道那些执行经理们是不会理解他所说的风险管理的。该部门的业务涉及全球100多个市场,在跟踪记录其电子邮件和传真方面面临着不小的困难,因为这些资料都涉及集团所有的业务范围。这些通讯资料频繁地丢失,或者需要很长的时间才能下载下来,大大增加了该部门不能迅速对客户的需求做出反应的风险。然而,Sharon并没有和他们谈论资料丢失带来的风险,而是和他们一起讨论怎样改进内部网络从而提高服务质量。Sharon告诉他们自己是多么地了解他们艰苦的工作,并且承诺将为他们提供更好的后勤支持服务,以便让他们集中精力为客户提供优质的服务。他回顾到,自从公司的网站建设完成了之后,该部门可以做出实时的商业决策,大大降低了因对服务速度不满而造成的客户流失风险。
不过,有时候采用最直接的方法也会获得很好的效果。Westerman讲述了一个财富100强企业中一位CIO的故事,该CIO为了处理一个看起来比通常风险要大的大型IT项目时,他不得不努力去说服董事会同意项目的展开。让人惊奇的是该公司IT部门从来就没有发生过项目延期或者预算超支的现象,因为他们每次评估项目所需时间和资金的时候,总是在最初的评估数字上再增加一倍。事实上,CIO采用这种管理方式对公司来说是极其危险的,因为他并没有给企业的管理层提供准确的信息来支持商业决策。同时也刺激 了汀部门去花费更多的资金。CIO应当做出准确的决定,他应该告诉公司董事会最准确的成本估计和项目结束时间,并且能够证明将来项目可以带来更多的资金和时间收益。Westerman认为,在会议开始之前,一个很镇定的CIO也会忐忑不安的。因为,他们担心公司的董事会会认为他们的方法缺乏合适的分析而且增加了项目失败的风险。但是,事实上董事会往往会同意他们的项目,即使CIO在项目实施了几个月以后再来说项目需要更多的时间和资金的时候,董事会一般还是不会指责CIO们的判断的。但是,CIO应该自己主动去为类似的风险做好准备。
离开办公室
CIO们需要经常离开自己的办公室,到各处去走走,会晤其他部门的经理们,或者去看看公司一些关键的设施,这是公认的最佳的IT领导实践做法。而且这种做法对于那些领导ERM项目的CIO们来说尤其显得重要。那是因为ERM项目一般都要求企业文化的改变,如果ERM的思想和实践没有得到加强的话,企业的员工往往忽视ERM的要求,重新回到传统的考虑风险的思维方式。
Sharon认为领导ERM项目的CIO们需要努力去建立良好的私人关系。CIO们必须去解决那些对业务伙伴很重要的问题,不管这些问题看上去是否琐碎,而且还要通过引入新的流程来提高他们在商业运营方面的觉悟。
Santiago谈到为了向NASA的同事们解释关于ERM提高IT系统安全的概念的时候,他亲自拜访了NASA内部的几百位经理和员工,横跨NASA所有的部门。他跑到NASA的总部举行各种各样的电话会议和展览,向人们阐述他的系统降低IT安全性风险的理念,并且向他们提出自己的建议。他的听众包括NASA各个分部的CIO、负责IT安全的员工、产品线的经理和工程师—一任何人都可以去参加。通过Santiago九个月的不懈努力,NASA的人终于开始接受他的思想。Santiago的IT安全展览伴随着航天飞机项目的电脑安全专家们一直到12月份,展览的目的就是确立建立汀系统安全计划的步骤。其中一项任务就是定义哪些在中心传递的信息是需要保密的。然后,这个小组才开始辨认信息风险——系统容易受到病毒感染和攻击的漏洞,内部员工有意或者无意的行为造成对系统信息的更改,同时还就降低这些风险的步骤进行了深入的探讨。
现在,“大家开始争论如何才能把这些事情做好,”Santiago高兴地说,“这意味着他们接受了我的观点,我知道我已经取得了成功,他们开始停止谈论我个人和我的计划,而是开始使用‘我和我们’这些单词。同时,他还发现NASA所有负责安全的员工都开始从日常运作去着手寻找运营的风险。至此,ERM已经成为他们日常工作的一部分。
公司上市两个月后,两大主要销售市场的其中一个突然完全消失了,你会怎么办?短短七天内,3.5亿美元的销售额说没就没了,你又会怎么办?
是在一旁看着自己的公司砍掉五六个经营不良的部门,还是无奈地接受预算缩减和裁员的现实、避开之前为了帮助业务发展而制定的战略计划?也许你会无奈的感叹:谁会预料到“9·11”事件的发生呢?是的,所有的一切,原因就在于没有人会料到发生如此重大的灾难!在危机面前,人们变得束手无策。
正是这些在众多人眼里认为的不可预计的灾难的发生,带来了巨大损失的同时也使得越来越多的组织开始意识到危机亦即风险管理的意义所在,无论是人为的还是自然引发的灾难。大到国家,小到企业甚至个人,怎样辨认潜在的问题,减少后果的不确定性和经济损失?记得2006年国家公务员考试的申论试题就再一次将焦点放在了危机管理上。
于是,在危机中复活的企业也开始着手注重风险管理,而管理者们也发现,在过去几年发生的几件大事都暴露出IT已经成为业务经营的主要风险。或者,换句话说,企业在不断扩张和发展的同时,一方面IT已经成为贯穿企业全过程的运营和管理;另一方面,也正是这个原因,任何疏于防范的潜在IT问题都有可能给这个庞大的组织带来瘫痪性的灾难。
推动企业风险管理的第二个因素是其监管环境,有些行业为确保公司远离不稳定的全球商业环境而采取的法案。比如《萨班斯—奥克斯利法案》(Sarbanes-Oxley),英国巴克莱金融服务公司的CIO DavldWeymouth说:“我们在一项监管项目上就花了约2.5亿美元,不合法规是我们要控制管理的一个巨大风险。”McCann公司的CIO Sharon说,对他来讲,《萨班斯—奥克斯利法案》听上去既熟悉又可怕,该法案充分证明了现在是实行风险管理的时候了。美国发生储蓄贷款丑闻期间,Sharon从事于金融服务业,当时为了遵守旨在整顿金融业的法律,“我们历时两年采用风险管理方法,进行了繁重的风险评估工作。”遵守法规成了风险评估项目附带产生的结果。同样,Sharon预言,企业风险管理也会让遵守《萨班斯—奥克斯利法案》成为风险管理的附带结果,而不是其关注的对象。
为什么是CIO?
许多风险专家都预料到CIO们会抵制企业风险管理。“很多CIO以为自己可以避开企业风险管理,”IT咨询公司(RobertFrancesGroup的)风险专家AdrianBowles说,“不过,最好打消这个念头,因为风险自己会找上门来,那时候你的工作就会面临风险。惟一的防御就是积极地去管理风险。”
此外,MIT的风险管理专家Westerman发现了业务和IT一致性与企业风险之前存在着密切的关系:CIO对自己管理经营风险的能力越有自信,IT与业务的关系就越一致;而在今天,很多企业管理专家们都强调CIO应当是个全才。“我们在飞机上部署空中交通预警和防撞系统(TCAS),它能够不断监控飞机周围空间、记录25英里内的物体、决定飞机航道、航速并预测航向。如果某物体与飞机可能碰撞,它会提醒飞行员,并提出可行的响应机制。如今,CIO对业务经理的作用就好比TCAS对飞行员的作用。”因此,CIO是企业董事会可以推荐出来的最合适从事风险管理的人。
2003年的2月1日,美国哥伦比亚号航天飞机因故炸毁在得克萨斯的高空,船上的7位宇航员全部遇难。在悲剧发生后不久的几个月里,哥伦比亚号飞机坠毁事故的独立调查委员会发现,由于行李箱大小的一块泡沫材料在升空时从航天飞机外部燃料箱上脱落,在机翼的隔热瓷瓦上撞出了一个洞,使得铝合金框架暴露在高温下被融化;然而,造成事故发生更深层次的原因在于:NASA(美国国家航空和宇宙航行局)内部缺乏安全管理的沟通氛围,参与整个航天飞机项目中的各个分包商都是分布在NASA的周围的,由于地理位置的限制,各负责安全的经理之间没能建立起正式的交流、讨论程序,他们也就不能彼此对自己关心的问题和设计等进行探讨,更不可能制定一个全面的控制风险的战略。
调查结束后,NASA的管理局任命其总经理来负责促进和改善内部机构、员工间的交流和沟通。而作为NASA的代理CIO,ScottSantiago,也开始寻找降低IT系统风险的方法和途径。从表面上看,IT安全与航天飞机失事的灾难没有任何关系,但是Santiago知道IT系统是航天飞机项目安全最重要的支持和保证,同时对于NASA其他众多的项目来说,IT系统对于项目的成功也具有至关重要的作用。同时,Santiago注意到,NASA的信息系统,不仅各个项目的承包商在使用,而且全国有成百上千的用户也可以进入这个系统,并且在不同的层面上可以修改和共享信息;但是,这些用户几乎都没有和NASA有过什么交流和沟通,而且他们对IT系统安全的政策和程序知之甚少,使用上一致性的缺乏,很可能会给系统带来未知的风险,一些病毒和潜在的漏洞可能会大大降低信息系统的安全性。为了控制和降低上面的风险,Santiago开始采用一般企业使用的方式:企业风险管理(ERM)。通过统一分析公司内外的所有风险,制订行政级管理策略来处理和应对,从而提高公司的盈利能力。如果措施得当的话,ERM可以通过改善IT系统的管理,优化企业在IT设施上的投资来最终降低损失和事故发生的概率,提高企业的价值。
像Santiago一样,很多企业的CIO都开始面对整个企业风险所带来的挑战,原因很简单:现在的企业越来越依赖IT系统的功能。对于很多人来说,ERIM不仅复杂,而且深奥难懂,采用ERM的方法通常都需要改变现有的企业文化,因此常常会导致员工的抵制,因为人们都会把风险的出现看作是对他们的批评。Santlago也知道很难改变NASA的那些经理们以项目为导向的风险管理方法,何况他们使用这种方法已经有几十年了。“一般人都会倾向从技术的角度来解决问题,如防火墙、vPNs等等,”Santiago解释说,“但是,我们必须从整体上来考虑到底是哪些信息与安全相关,我们到底需要做哪些工作来保护那些信息,同时还需要知道如何去管理它们。”
让风险管理系统运转起来
为了让ERM系统有效的运转起来,企业CIO们需要制定一个专门的领导战略计划。通过对将近30个实施ERM的管理顾问、学者和CIO们的专访,让我们一起来探讨一下企业应用风险管理的四步战略。
风险管理必要吗?
风险管理必要吗?有的时候,尤其是企业的CEO或者是公司董事会指派你去实施ERM战略的时候,也许你就不必要多花费精力让自己确信ERM的价值了,这实在是毫无必要,因为CIO会在这个过程中自然而然的感受到ERM的必要性。当时,J.P.摩根的董事长 要求部门经理们能够拥有完善的决策程序来选择投资项目,Sharon和房地产部门的主管一起合作设计了一套这样的流程,其中就包括IT要有能够满足任意新的业务需求的能力。设计完成之后,他才意识到他事实上开发了一个从整体上分析企业风险的流程,由此也就开始完全接受了ERM思想。
Sharon开始询问公司所有部门的人,这个新的业务决策流程会给他们带来什么样的影响?然后他设计出一个需要满足的条件清单,只有清单上列出的条件得到满足后,相关部门的员工才可以把新产品生产或者新办事处地点设置的建议拿到执行委员会上去讨论,包括具体的IT设施及其相关支持设施的投资。当这个项目得到批准实施后,项目发起人就要去搜集每条业务线或者相关部门的信息,来保证项目能够满足之前的条件清单要求。比如有人提出要在墨西哥城开设一个办事处,那么这个项目的发起人就要报告项目实施后需要多少台电脑,如何获得网络连接,以及电力供应的可靠性等前提条件,IT对新风险投资的成功具有关键的作用。举个例子,对于美国海军来说,IT系统已经成为其作战方式的核心。目前,美国海军部门的CIO,DaveWennergren正在为海军舰队开发一个全军的内部网络系统,该系统将给海陆军队提供一个公共、标准的平台,通过这个平台,他们可以进行战斗情报的实时共享和交换。如果系统失灵的话,舰队官兵和飞行战斗人员将得不到他们要攻击目标的信息,也可见对其潜在风险的保护是关系战役成败的大事。
Sharon解释道:“我发现在IT系统中或者在任意的业务中,CIO的责任都是没有边界的,你不可能做完你的工作就回家。而且,在IT系统中,其实是没有一个人真正知道经营战略是什么的。那就是我对ERM的体会,它让所有的人都处于同一个平面。”
如何描述企业的风险?
对于企业CIO来说,在承担起ERM项目的主管之后,最开始、最重要也是最难的一步就是必须让员工知道ERM对于我们的企业是不可或缺的,并能够将这种诉求用很好的方式定义出来,然而,这的确不是易事。试想一下,ERM横跨整个企业不同的业务线,相互之间存在复杂的内部联系;同时,CIO们还需要考虑到自己可能忽视或者根本就没有考虑到的事件和结果,尤其是把考虑风险看作是一种悲观者的文化认同普遍存在于企业当中的时候。
所以,CIO们必须找到一种描述风险的方式,如果不能找到合适的描述风险的方法,将会发现自己无所适从。要找到有效的描述风险的方式,CIO们可能需要去设计一种与行政人员和一般员工交流的平台。在NASA,Santiago开发了一个企业全局系统的模型来维护IT系统的安全,并取代NASA传统的每个部门各自负责自己的IT系统安全的做法。Santiago发现,几乎所有的项目和系统都要横跨NASA的多个中心,在一个地方发生的事情不仅仅取决于它本身的状况,同时还受到其他地方发生的事情和状况的影响。
Santiago建立信息中心的依据是:信息必须能够及时传递到需要他们的人那里去。他不喜欢谈论如何巩固各个部门系统的安全,他关心的是他所谓的“信息容器”,谈论的是所有的NASA雇员从“信息容器”中获取的内容。他制定出“信息容器”中的信息管理者,信息的使用者,并且授权使用相应的信息,防范信息被修改后带来的风险。通过该方式,他可以区分出数据遭受到的风险的大小,并可以做出缓和风险的最优策略。
巴克莱银行的Weymouth认为一个定义良好的ERM信息应该足够让那些怀疑论者转变自己的看法。他建立了一个监控系统来收集巴克莱银行运营系统的数据,这些数据包括银行拦截的欺骗付款次数或者拦截的取消服务企图次数,这些IT部门努力降低事故频率的数据获得可以让他计算出节省的费用数目。同时,他还有足够的理由来证明为什么巴克莱银行还应该持续地对IT系统进行投资,以便更有效的防范和缓和风险。
保持灵活性
其实并没有人真正明白风险到底是怎么一回事,而且每个人看待风险的视角都是不一样的。换句话说,CIO们必须很有耐心,同时还要给公司的员工们一定的时间让他们来理解你所说的每一句话。灵活性在这里是最关键的,因此,CIO们需要采用不同的交流方式让不同的员工去面对你所描述的风险。
GeorgeWesterman是美国麻省理工学院斯隆管理学院的研究专家,他正在研究ERM与IT系统的关系,他列举了一个关于他四岁女儿的故事:小女孩很喜欢攀登爬梯的,有一天,当她攀登到半路的时候,她忽然说:“爸爸,快看我!”。“我的本性让我冲动的答道,非常棒,努力登上梯顶吧。我希望她能够避免父母过渡保护她的风险,”Westerman解释说,“但是,她母亲却给出相反的建议,要她马上下来,希望我们的女儿能够避免掉下来受到伤害的风险。我们两个对于风险的看法是不一样的,虽然我们两个首先都是为我们女儿的安全着想。在我们看来这件事情的结果是:一个最好的反应是我们站在她旁边,然后让她爬到她自己想到达的高度,如果她跌倒了的话,我们就呆在她的身边。”Westerman认为传递的信息是,在他女儿的安全有适当保障的前提下,他女儿可以承受更大的风险。
但是,有时候你向别人传递风险管理的时候,最好不要向对方提起一点点的风险。当Sharon担任麦肯国际集团(McCannWorldGroup)的CIO的时候,他就经常避免谈论风险的话题。比如,在参与集团某个部门会议的时候,他就知道那些执行经理们是不会理解他所说的风险管理的。该部门的业务涉及全球100多个市场,在跟踪记录其电子邮件和传真方面面临着不小的困难,因为这些资料都涉及集团所有的业务范围。这些通讯资料频繁地丢失,或者需要很长的时间才能下载下来,大大增加了该部门不能迅速对客户的需求做出反应的风险。然而,Sharon并没有和他们谈论资料丢失带来的风险,而是和他们一起讨论怎样改进内部网络从而提高服务质量。Sharon告诉他们自己是多么地了解他们艰苦的工作,并且承诺将为他们提供更好的后勤支持服务,以便让他们集中精力为客户提供优质的服务。他回顾到,自从公司的网站建设完成了之后,该部门可以做出实时的商业决策,大大降低了因对服务速度不满而造成的客户流失风险。
不过,有时候采用最直接的方法也会获得很好的效果。Westerman讲述了一个财富100强企业中一位CIO的故事,该CIO为了处理一个看起来比通常风险要大的大型IT项目时,他不得不努力去说服董事会同意项目的展开。让人惊奇的是该公司IT部门从来就没有发生过项目延期或者预算超支的现象,因为他们每次评估项目所需时间和资金的时候,总是在最初的评估数字上再增加一倍。事实上,CIO采用这种管理方式对公司来说是极其危险的,因为他并没有给企业的管理层提供准确的信息来支持商业决策。同时也刺激 了汀部门去花费更多的资金。CIO应当做出准确的决定,他应该告诉公司董事会最准确的成本估计和项目结束时间,并且能够证明将来项目可以带来更多的资金和时间收益。Westerman认为,在会议开始之前,一个很镇定的CIO也会忐忑不安的。因为,他们担心公司的董事会会认为他们的方法缺乏合适的分析而且增加了项目失败的风险。但是,事实上董事会往往会同意他们的项目,即使CIO在项目实施了几个月以后再来说项目需要更多的时间和资金的时候,董事会一般还是不会指责CIO们的判断的。但是,CIO应该自己主动去为类似的风险做好准备。
离开办公室
CIO们需要经常离开自己的办公室,到各处去走走,会晤其他部门的经理们,或者去看看公司一些关键的设施,这是公认的最佳的IT领导实践做法。而且这种做法对于那些领导ERM项目的CIO们来说尤其显得重要。那是因为ERM项目一般都要求企业文化的改变,如果ERM的思想和实践没有得到加强的话,企业的员工往往忽视ERM的要求,重新回到传统的考虑风险的思维方式。
Sharon认为领导ERM项目的CIO们需要努力去建立良好的私人关系。CIO们必须去解决那些对业务伙伴很重要的问题,不管这些问题看上去是否琐碎,而且还要通过引入新的流程来提高他们在商业运营方面的觉悟。
Santiago谈到为了向NASA的同事们解释关于ERM提高IT系统安全的概念的时候,他亲自拜访了NASA内部的几百位经理和员工,横跨NASA所有的部门。他跑到NASA的总部举行各种各样的电话会议和展览,向人们阐述他的系统降低IT安全性风险的理念,并且向他们提出自己的建议。他的听众包括NASA各个分部的CIO、负责IT安全的员工、产品线的经理和工程师—一任何人都可以去参加。通过Santiago九个月的不懈努力,NASA的人终于开始接受他的思想。Santiago的IT安全展览伴随着航天飞机项目的电脑安全专家们一直到12月份,展览的目的就是确立建立汀系统安全计划的步骤。其中一项任务就是定义哪些在中心传递的信息是需要保密的。然后,这个小组才开始辨认信息风险——系统容易受到病毒感染和攻击的漏洞,内部员工有意或者无意的行为造成对系统信息的更改,同时还就降低这些风险的步骤进行了深入的探讨。
现在,“大家开始争论如何才能把这些事情做好,”Santiago高兴地说,“这意味着他们接受了我的观点,我知道我已经取得了成功,他们开始停止谈论我个人和我的计划,而是开始使用‘我和我们’这些单词。同时,他还发现NASA所有负责安全的员工都开始从日常运作去着手寻找运营的风险。至此,ERM已经成为他们日常工作的一部分。