|
在过去十年中,IT所带来的风险在大多数公司中已经出现了显著的变化。现今,IT问题所带来的潜在风险,已经远远超出IT投资本身,这种情况几乎普遍存在。比如,很多公司花费数百万美元部署了ERP系统,一旦这个系统停止工作一周,其带来的损失,可能要超过系统部署成本的十倍以上。
近来,就发生了与IT问题有关的两个案例:礼来公司(Eli Lilly)意外泄露了600多名Prozac(一种抗抑郁症药物)使用者的姓名和地址,其带来的直接后果是,美国联邦贸易委员会(Federal Trade Commission)颁布了一项为期20年的法令,法令规定,将对公司的IT安全每年进行审核。另一个案例是,电子游戏厂商瓦尔伏公司(Valve)由于一个简单的安全漏洞而丢失了一种新游戏的源代码。结果,这个游戏不得不推迟六个月上市,公司花费数月进行研发所带来的竞争优势也因此而丧失殆尽。项目管理者联盟
当你意识到,公司丢失一小部分内部机密数据可能会带来多大的损失,你就能对几乎所有公司都面对的风险有一个总体认识。这也意味着,CIO们比过去的责任更大了。企业期望由CIO们来应对这些风险。CIO别无选择。对新型CIO而言,风险管理已经成为他们工作中不可或缺的一部分。(见边栏《新型CIO》)。顾能公司(Gartner)日前对上百名CIO进行了年度调查,CIO们在调查中提出了四种他们关注的风险:talent.mypm.net
● 企业联系:公司与供应商、合作伙伴、消费者之间的联系愈发紧密,这不仅使企业对他们的依赖度越来越高,而且也带来了企业信息被窃取或滥用的可能。如果企业的这些关系管理不善,就会带来新的风险。这种风险,传统的IT观念并没有考虑到。项目管理者联盟
● 符合法规要求:由于管理不善及随之而生的犯罪行为,使得许多公司最终经营失败。政府因此出台了多项法规,希望减少滥用管理权力的现象,并对滥用管理权力者进行惩罚。但这样做的同时,这也为公司处理和保护信息带来了法律风险。项目管理者联盟
● 消费者要求保护隐私:消费者关心隐私,主要是因为窃取身份信息和个人信息的行为不断增加,同时,也和政府出台的多项反恐计划有关。缺乏隐私保护,对公司而言,是一种新的消费者风险;同时,不能遵守刚出台的隐私法,也使公司面临新的法律风险。项目管理者联盟
● IT问题带来的损失不断上升:IT问题不仅会影响到公司的客户、客户的客户以及供应商,而且也有可能给企业的商誉带来巨大损害,并使公司面临民事和刑事的双重惩罚。项目管理者联盟
整体考虑
在IT风险管理上,CIO们面临的一个共同问题是,IT风险带来的威胁、IT风险的影响面、IT风险的范围,都要大大超过以往。因此,很多企业并没有很好理解,应该如何去化解这些新的风险和消除这些风险的影响—要么是企业的CIO不熟悉如何管理业务风险,要么是企业的管理者对IT问题所带来的风险不重视。项目管理者联盟
我们的研究显示,CIO们把IT风险划分为好几类,比如应用、架构和供应商等,而没有把IT风险和业务风险作为一个整体来考虑。由于这种划分,使得CIO们也搞不清,究竟有多少IT预算用在了风险管理上。在我们的调查中,CIO们估计他们把IT预算的6~7%用在风险管理上。然而,当把这些风险管理支出进行具体分解后,实际的风险管理开支数据可能要翻上一番,达到约15%。对IT风险进行分类管理的办法,在过去可能是有效的,但在IT已经深深融入企业业务流程的今天,就已经不再合适。项目管理者联盟
不能把IT风险管理与业务风险管理综合起来进行整体考虑,这样将使企业陷入愈发危险的境地。因为对这两种风险的管理相互交叉,其结果会影响到整个公司。在安全或者技术上出现的问题,很容易就会从IT问题演变为整个公司的问题,进而影响到消费者的忠诚度,企业service.mypm.net
不得不被迫接受法律稽查,公司形象也由此受损。项目管理论坛
化解风险,一般有四种主要的方法:缓解,转移,接受和避免。“缓解”是指降低风险,或降低风险可能带来的后果。要让“缓解”起作用,企业必须拥有足够的控制力,以减少风险时间出现的可能性,或消除风险事件带来的可能影响。项目管理者联盟
“转移”是指把风险转嫁给另一个有能力并愿意承担风险的载体,比如保险公司。“接受”是指企业有意识地去设想几种风险,这称为自我保险。为了让“接受”发挥作用,风险发生的几率必须足够小,或其重要性微不足道,对企业来说能够承受。“避免”则是指消除风险事件发生的可能性。对于大多数企业而言,“避免”意味着从某项业务或某个市场中退出,或放弃某个产品。要做到那样,企业必须具备自由退出的能力,还必须甘愿放弃与风险同时存在的市场机会。blog.mypm.net
在CIO的职责范围内出现的绝大部分新型IT风险,唯一可行的管理策略就是“缓解”。PgMp.mypm.net
虽然很难对风险管理的成功进行客观的量化评价,但你必须证明,是你终止了某项从未发生过的事件。Gartner公司对CIO们识别风险并采取有效措施缓解风险的信心进行了研究。我们把这些CIO称为高度自信的经理人。Gartner公司发现,这些高度自信的经理人可能只是略微增加了在风险管理上的投入,但是,他们在改善业务关系、提高IT可靠度、缓解风险等方面,却获得了高得多的回报。项目管理者联盟
这些高度自信的经理人,一般都采用了缓解风险的三种方法中的一种,当然,对另外两种也没有忽视。这三种方法分别是:风险管理的流程,简化配置的系统和个人经验。后两个方法比较通俗易懂:系统复杂性降低了,风险自然也就降低了,而且可以消灭出现错误点的可能。个人经验方法则是在团队中保留一名拥有丰富风险管理经验的员工。因此,我们将着重关注风险管理的流程这一方法。转自项目管理者联盟
制订流程项目管理者联盟
根据卡内基-梅隆大学软件工程学院(Carnegie Mellon University Software Engineering Institute)的研究结果,一个好的风险管理流程包含五个步骤:识别、分析、计算、防御计划,以及执行/评估。pmp.mypm.net
首先,要识别目标和威胁。要识别风险,就先得把你的企业勾画为一个整体。对你的业务来说,什么策略是最重要的?公司制定的每项策略的主要障碍在哪里?是否存在单独的错误点?在数据、资金、原材料,或其他价值较高的公司资产中,公司策略的重心在哪里?把这些因素与业务流程结合起来,判断哪些业务流程会面临风险,或会受到风险的影响。对这些问题,要尽可能地明确。service.mypm.net
例如,在卢森堡综合银行(Banque Générale du Luxembourg),公司CIO迈克尔·道芬(Michel Dauphin)和他的同僚就识别出以下对业务来说非常关键的IT风险:项目管理者联盟
● 如果系统不可用或用户界面不友好,会对业务人员的效率产生影响;项目管理者联盟
● 由于系统不灵活,使得公司对新的商业机会不能做出快速反应;项目管理者联盟
● 数据支离破碎;项目管理者联盟
● 由于对用户接入管理不善,将导致欺诈行为的出现;项目管理者联盟
|
