风险管理势在必行
假设公司上市两个月后,两大主要销售市场的其中一个完全消逝了,你会怎样办?假设在短短七天内,3.5亿美元的销售额说没就没了,你又会怎样办?你会不会无法地说:谁会预料到“9.11”事情,继而就在一旁看着自己的公司砍掉五六个运营不良的部门?还是只好接受预算和人员缩减的理想、避开原先为了协助业务开展而制定的战略方案?缘由就在于没人会料到会发作这么严重的灾难?
风险管理又名危机管理,是指如何在一个一定有风险的环境里把风险减至最低的管理进程。当中包括了对风险的量度、评价和应变战略。风险管理可以节浩荡量的资源,运输时间,并且可以提高对客户的效劳质量。它会识别那些对关于效劳的资产传递有负面影响的潜在效果区域,允许提高对资产风险框架的了解及未来的决策将怎样影响这一框架,可以增加结果的不确定性和经济损失。
为什么说如今着手停止企业风险管理很重要呢?缘由很复杂。其中一个要素就是,IT曾经成为业务运营的主要风险。过去几年发作的几件大事暴显露IT给业务带来的运营风险。
推进企业风险管理的第二个要素是监管环境,以及有些行业为维护公司远离不动摇的全球商业环境而采取的法案。譬如说,由十国主要金融效劳利益相关者牵头发起的《巴塞尔第二号协议》(Basel Ⅱ Accord)不只触及资本风险,还触及运营风险,包括IT系统给公司带来的风险。换句话说,该协议强迫要求采用某种企业风险管理。
当然,还有《萨班斯-奥克斯利法案》(Sarbanes-Oxley)。英国巴克莱金融效劳公司的CIO David Weymouth说:“我们在一项监管项目上就花了约2.5亿美元,不合法规是我们要控制管理的一个庞微风险。”McCann公司的CIO Sharon说,对他来讲,《萨班斯-奥克斯利法案》听上去既熟习又可怕,该法案充沛证明了如今是实行风险管理的时分了。美国发作储蓄存款丑闻时期,Sharo
n从事于金融效劳业。事先为了遵守旨在整理金融业的法律,“我们历时两年采用风险管理方法,停止了繁重的风险评价任务。”恪违法规成了风险评价项目附带发生的结果。异样,Sharon预言,企业风险管理也会让遵守《萨班斯-奥克斯利法案》成为风险管理的附带结果,而不是其关注的对象。
为什么是CIO?
风险管理自有公司的专家去担任,为什么要牵扯到CIO呢?
许多风险专家都预料CIO们会抵抗企业风险管理。“很多CIO以为自己可以避开企业风险管理,”IT咨询公司Robert Frances Group的风险专家Adrian Bowles说。Bowles劝说最好消除这个念头:“风险自己会找上门来,你的任务就会面临风险。独一的进攻就是积极地去管理风险。”
此外,MIT的风险管理专家Westerman发现了业务和IT分歧性跟风险决计之间的亲密关系:CIO对自己管理运营风险的才干越有自信,IT与业务的关系就越分歧。而在明天,很多企业管理专家们都强调CIO应当是个全才。“我们在飞机上部署空中交通预旧ㄎ怖撞系统(TCAS)。它可以不时监控飞机周围空间、记载25英里内的物体、决议飞机航道、航速并预测航向。假设某物体与飞机能够碰撞,它会提示飞行员,并提出可行的照应机制。如今,CIO对业务经理的作用就好比TCAS对飞行员的作用。”
因此,CIO 是企业董事会可以引荐出来的最适宜的从事风险管理的人。他们可以经过五步战略指导步骤,就可以很好的管理企业面临的风险。
在2003年的2月1日,美国哥伦比亚号航天飞机由于外部一个铝合金的框架在3000多度的热度下被消融,炸毁在得克萨斯的空中,船上的7位宇航员全部遇难。在喜剧发作以后不久的几个月里,哥伦比亚号飞机坠毁事故的独立调查委员会发现,招致事故的标明缘由是由行李箱大小的一块泡沫资料所引发的,这块资料在升空时从航天飞机外部燃料箱上零落,在机翼的隔
热瓷瓦上撞出了一个洞,使得铝合金框架暴露在高温下被消融,更深层次的缘由在于:NASA(美国国度航空和宇宙飞行局)外部缺乏有效沟通的松散的平安文明,参于整个航天飞机项目中的各个分包商之间缺乏有效的沟通。由于,各个部门的经理们都是散布在NASA的周围的,由于天文位置的限制,担任航天飞机平安的经理们之间并没有树立起正式的交流、讨论顺序,他们也就不能彼此对自己关心的效果和设计等停止讨论,更不能够制定一个片面的控制风险的战略。
在调查完毕后,NASA 的管理局任命其总经理来担任促进、改善其外部部门、员工间的交流和沟通。Scott Santiago 做为NASA的代理CIO原来是担任IT系统平安的,如今末尾寻觅降低IT系统风险的方法和途径。从外表下去看,IT 平安与航天飞机失事的灾难没有任何关系,但是Santiago 知道IT系统是航天飞机项目平安最重要的支出和保证,同时关于NASA 其他的少量的项目来说,IT系统关于项目的成功也具有至关重要的作用。
Santiago 留意到,NASA 的信息系统,不只仅是各个项目的承包商在运用,而且全国有成百上千的用户也可以进入这个系统,并且在不同的层面上可以修正和共享信息。但是,这些用户简直都没有和NASA有什么交流和沟通,他们对那些专门针对IT系统的平安性制定的政策和顺序简直一窍不通。由于在运用上缺乏分歧性,很能够会给系统带来未知的风险,一些病毒和潜在的破绽能够会大大降低信息系统的平安性。
为了控制和降低下面的风险,Santiago 末尾采用普通企业运用的方式:企业风险管理(ERM)。世界上第一位首席风险官Lam(最先在GE Capital公司担任此职)以为,ERM是指“综合管理业务风险、财务风险、运营风险和风险转移,力图公司股东价值的最大化。”也就是说,企业风险管理思想经过一致剖析公司内外的一切风险,制定行政级管理战略来处置这些风险,从而来提高
公司的盈利才干。假设措施妥当的话,ERM可以经过改善TI系统的管理,优化企业在IT设备上的投资,从而最终降低损失和事故发作的概率,提高企业的价值。
如今像Santiago 一样,很多企业的CIO 都末尾面对整个企业风险所带来的应战,缘由很复杂:如今的企业越来越依托IT系统的功用。虽然,ERM 是十分复杂的,关于很多人来说它还是深奥难懂的,同时采用ERM的方法通常都需求改动企业现有的企业文明,这一点往往会招致企业现有员工的抵抗,由于普通来说人们都会把风险的出现看作是对他们的批判。Santiago 也知道其实他是很难改动NASA的那些经理们以项目为导向的风险管理方法,何况他们运用这种方法曾经有几十年了。“普通的人都会倾向从技术的角度来处置效果,如防火墙、VPNs等等,” Santiago 解释道,“但是,我们必需从全体下去思索究竟是哪些信息与平安相关,我们究竟需求做哪些任务来维护那些信息,同时还需求知道如何去管理它们。”
为了让ERM系统有效的运转起来,CIO们需求制定一个专门的指导战略方案。作者曾经对将近30个实施ERM的管理顾问、学者和CIO们做过专访,在此基础上做了一个片面的整理和综合。但是,我们要留意的是,这个五步战略形式其实还可以运用到其他很多的相似指导战略的应战的。下面的内容是关于其如何运用在ERM中的。