直面风险管理正在成为CIO的中心职责(下)
制订流程
根据卡内基-梅隆大学软件工程学院(Carnegie Mellon University Software Engineering Institute)的研究结果,一个好的风险管理流程包含五个步骤:识别、分析、计算、防御计划,以及执行/评估。
首先,要识别目标和威胁。要识别风险,就先得把你的企业勾画为一个整体。对你的业务来说,什么策略是最重要的?公司制定的每项策略的主要障碍在哪里?是否存在单独的错误点?在数据、资金、原材料,或其他价值较高的公司资产中,公司策略的重心在哪里?把这些因素与业务流程结合起来,判断哪些业务流程会面临风险,或会受到风险的影响。对这些问题,要尽可能地明确。
例如,在卢森堡综合银行(Banque Générale du Luxembourg),公司CIO迈克尔·道芬(Michel Dauphin)和他的同僚就识别出以下对业务来说非常关键的IT风险:
● 如果系统不可用或用户界面不友好,会对业务人员的效率产生影响;
● 由于系统不灵活,使得公司对新的商业机会不能做出快速反应;
● 数据支离破碎;
● 由于对用户接入管理不善,将导致欺诈行为的出现;
● 如果IT无法提供合适的报告方法,企业就无法按照法律要求进行充分的信息披露;
● 如果IT系统运转不正常,会使员工情绪紧张。
高度自信的风险管理者们总是把对风险的评估当作一项任务来对待,从整个企业的角度定期进行回顾检讨。正如前文所述,如果把所有IT风险进行分类,就不能对他们进行有效管理。首先叫你的资深IT经理们识别出最重要的风险,以及他们所参与的可能的重要业务流程。要有效地做到这一点,他们很可能需要与他们的合作伙伴通力协作。
其次,分析威胁。给各种资产赋予风险价值,从业务流程、市场,到数据库。价值的形式可以是营业收入的减少或者市场份额的下降。把无形损失,比如商誉损失,转化为经济术语,估算他们对公司销售的影响,是否会引发营销下降,公司受到法律惩罚或罚款。另一个评估资产风险价值的好办法是计算可能的犯罪利益,也就是会吸引外部人员攻击的价值。对于那些损失可能涉及第三方的资产,应该估算出因为疏忽而可能带来的潜在债务。
第三,对每次设想中的攻击,计算出每年的风险。如果你拥有完整的数据资料的话,就能很容易计算出外部对你企业的攻击,以及你响应攻击所用去的费用。你可以用下面的等式来计算每年因风险而造成的潜在损失:每年的潜在损失 = 事件发生的成本 x 漏洞。然后根据风险级别进行优先性排序。
第四,确定可能的防御措施,用它们来平衡风险。一旦你拥有一张可能的防御清单,就按照四个标准来检讨取舍:成本;与企业目标的一致程度或偏离程度;对业务流程的影响,包括成本——这取决于是否需要对流程进行重新设计;以及对当前和未来风险管理行动的影响。最后一项可能取决于:你是否需要一直使用昂贵的、难以获取的技巧和知识;这是否会限制灵活性或缓解其他风险的能力;这是否有利于促进长期、而非暂时的风险管理。
最后,你还必须执行这些防御措施,并对你的成功进行评估。而且,你还要定期汇报识别出来的风险的状态,以及你所采取的风险管理措施。在公司的每一级,管理层应该大致关注五至七个主要的风险,并且定期地向更上一级管理层汇报。
在风险管理流程方面,英国电信批发公司(BT Wholesale)就是一个很好的例子。
该公司是英国电信公司(BT)下属的一家公司,为英国电信公司和其他通信公司提供网络服务和全面解决方案。公司CIO菲尔·丹斯(Phil Dance)和他的团队认为,不完善的语音网络是公司的主要风险。这种不完善,将对公司的股价、信誉以及未来的业务会带来不可估量的损害。由于这种风险的成本非常巨大,公司因此决定,把IP网络根据运行在当前网络上的各种应用进行分割,负责数据处理的网络部分,和管理像路由器、交换机那样的硬件系统、维持网络运行的网络部分必须分开。这样做,使得公司很好地保护了交换网,极大地降低了危及网络安全的风险。英国电信批发公司对风险管理的这种态度,充分说明了网络和信息安全对提高网络效率也非常重要。
正如大多数CIO们所知,风险管理代价不低。但值得关注的是,相对于那些不够自信的管理者们,高度自信的风险管理者们的平均支出只增加了20%。而从占公司收入的百分比看,这点差异几乎可以忽略不计。
我们把这一点告诉了那些正在努力争取风险管理预算的CIO们。如果你的情况也类似,那么请记住,风险管理问题不是IT问题,是企业问题,因此,你也要用针对企业问题的办法来对待它。
你应该确保你的同事及董事会,不仅充分理解这些风险,而且理解为了缓解风险而采取的各种努力是符合企业风险管理标准的。然后,在企业层面上做出决策,分配预算和资源,并确定什么级别的风险是可以接受的。
一位CIO在我们近期的座谈会上谈到,在一个IT预算会议上,他的团队提交的预算完全围绕IT安全,根本没有涉及任何具体技术。他的团队简单说明了一些敏感数据存在的安全隐患,以及可能付出的安全代价,接着就讨论如何把钱花在降低风险上,并指出,这些开支要大大低于潜在风险所带来的破坏。结果,预算请求不仅获得了批准,而且公司首席财务官和首席运营官还为该项目增加了额外的预算。
企业的风险管理不仅仅是为了IT,它将会成为新型CIO日常工作的一部分。如果你还不怎么熟悉风险管理的步骤和程序,那么,从今天起就开始练习。你是一个领导者,你必须领导和教育其他管理者,哪些是和技术有关的重大风险。很显然,成为企业的风险管理的领导人,对提升新型CIO的威信将具有非常重要的作用。
