作者： BUILDER.COM
Friday, October 11 2002 11:54 AM
--------------------------------------------------------------------------------
风险管理：系列文章
这是有关在真实世界中实现风险管理的三篇系列文章中的第一篇。这三篇文章来自于Builder.com，作者是George Sifri，在这些文章中描述了他的公司是如何确定他们是否需要风险管理的项目计划，如何实施和具体操作这个系统，以及他们从众所获取的宝贵经验等等。

--------------------------------------------------------------------------------

我的公司是一个规模巨大的企业，它在全球拥有超过四万五千名的员工。我们处在典型的市场环境之下，这个环境总是处于不断的变化和激烈的竞争之中。在我们最不景气的那些年里，也就是八十年代以及九十年代初期的那段时间里，我们不得不把很大的精力投入在更有效的进行计划以及如何更有效的执行计划的工作上去。在这段时间里，我们公司的IT部门遇到了前所未有大量增加的工作需求，需要他们对公司核心的商业活动进行大量的提升、支持以及开发工作。

管理层明确规定了IT部门的功能和职责。最为重要的一些内容就是要求他们进行的服务要有更高的品质、更快的速度以及持续不断的改进升级的能力。此外，我们还必须以更为严格的标准来完成工作的目标（进度时间表、资源以及技术性能）。

我们对于IT部门要求的增加不仅让这个部门而且也让我们公司面对了更多的挑战和风险。确定并且开始解决这些风险问题是我们具体实现一个风险管理项目计划的第一个步骤。

风险从何而来？
由于我们的公司规模相当的大，所以它的复杂性也可想而知。我们不得不面对许许多多的风险，那么，这些风险到底从何而来呢？

我们的客户以及最终用户的需求无时无刻不在发生着变化，满足他们的要求就是一种挑战。
为了发展我们的核心商务工作，IT系统总是在向着更为复杂化的方向发展，但是我们仍旧希望能够让这些系统变得更加快捷，也更加便宜。
由于我们所从事的商业活动本身的特性，公司的组织结构也在进行着不断的调整，从而适应商业活动的需求。
为了发展，公司内部会引进更新的管理方法和标准，这也具有一定的风险。

问题的征兆
我们公司的IT项目经常会遇到挫折甚至失败。下面有一个例子，通过这个例子我们可以了解哪些征兆能够让我们下决心实施风险管理的项目计划：

在工作中我们经常会发现，信息系统（IS）策略以及我们所正在从事的IT项目之间的关系是很难被确定下来的。
在很多的情况下，我们的IT项目所完成的服务经常会和产品最终用户的需求与期望值有着不小的差距。
我们的IT项目经常会落后于预定计划，并且最终导致失败。
我们的目标经常会变得很模糊，无法让我们对其进行明确的定义。
在这些年里，我们变得不那么敏感了，常常无法对将会遇到问题、需要或者改变做出适当的准备。
虽然这些问题对于我们公司的生存和发展并没有直接的威胁，但是我们仍然意识到解决这些问题对于增加我们自身的生存与竞争能力是非常必要的。而且，最为确定的一点就是，我们必须从我们的管理层开始做出改变，变得敏锐起来。这样才能有效的解决那些突发问题，并且让我们察觉和发现那些潜在的风险、威胁以及潜在的发展机会。

需要回答的问题
但是，对于许多问题，我们还是无法做出十分确定的答案：

我们对风险的定义是什么？
我们如何理解风险管理的含义？
为了能够在公司中实现风险管理的项目计划，我们到底需要些什么？
对于为风险管理项目计划配置的人员，我们需要让他们接受哪些方面的技能以及培训？
我们如何来衡量从中获取的收益？
我们到底需要多少时间才能真正的从中获得收益？
我们如何才能确保在这些项目计划中不会增加官僚作风，从而实际上是增加了一个官僚机构。
我们如何进行安全问题方面的支持？
我们如何能够保证风险管理的项目计划不会对公司中正确的改革与创新产生阻碍？
如何才能让该项目计划变得更具灵活性，从而能够更为有效的处理我们所遇到的多种多样的项目与工作。
如果进行风险管理所需要的资源已经被问题管理的工作占用，如何才能安全并合理的应用这些资源？
上面这些问题是我们遇到的，而且我们还意识到公司需要一个有系统规划的风险管理项目，这样才能够保证从问题管理到风险管理的平稳过渡。我们决定采用问题定义（Problem definition）的方法来确保公司能够清楚的了解哪些才是真正需要我们从事的。

问题定义（Problem definition）
问题定义的主要目的就是为了能够更深层次帮助我们阐述在风险管理的项目计划中所要面对的问题。为了完成问题定义的工作，我们需要采取下列这三个步骤：

寻求信息来源。
分析收集的信息。
把收集的信息整理成为问题定义报告。
我们利用多种方式来收集信息，比如说通过面试、问卷调查、专题讨论会以及论坛的方式等等。

公司上层所承担的责任

经过实际的工作，我们认为找到较高层次的赞助者以及安全稳定的资金来源对于风险管理项目能否成功是至关重要的。除了获得高层的支持是成功的关键以外，问题定义报告对于项目的支持也是不可忽视的。这个问题定义报告应该包含了公司中所有层次的详细观点，并且还应该能够明确指出以前错过的那些机会和需要进一步解决的问题。这个报告为上层管理者提供了是否应该投入资金和行政支持的理论依据。这个项目迅速获得了我们执行副总裁的全面支持，这就有助于我们克服困难，从而更加顺利的把工作向前推进。执行副总裁对于这个项目所承担的责任是非常重要的。如果希望能够持续不断的在整个公司内部推行这个项目计划，那么，他的帮助同样也是必不可少的。

项目的目标
通过使用问题定义报告，我们就能够确定风险管理项目计划的目标：

建立共同的语言，通过使用针对风险以及与风险相关的术语的标准化定义来让公司内部理解风险的含义。
制定并整理风险管理的政策方针。
为风险管理发展出一种系统而且富有活力的运作方式，并且让这种运作方式与现有的公司文化相互协调，从而更具灵活性。
一定要确定这种运作方式能够得到所需工具与技术的全面支持。
一定要确保我们所实施的每一项内容都能够带来应有的价值，并且要超过其带来的在行政管理方面的开销。
要确定我们拥有一套定义明确的方法，从而能够让我们确定是否会从某个项目中获取令人满意的效益。
制定风险管理项目的计划
在项目的开始阶段我们遇到的第一个挑战就是缺乏对风险管理这种项目的经验。我们对于风险管理的经验都是纵向的，而且仅仅集中于一种特殊类型的风险。举个例子来说，这种特殊类型的风险就是指与使用专门的开发工具或者专门的商用现货（commercial-off-the-shelf）组件有关系的技术风险。我们需要精通风险管理项目的人才，他必须能够在公司企业中实施这样的项目。很快，我们对于来自外部的支持以及帮助就变得非常必要了。

我们在从外面选择顾问的时候是非常仔细认真的。我们需要这些外部顾问具有相关的技能和一定的资格，愿意和我们分享他们的知识，并且能够为我们提供一种较高层次的顾问服务。我们清楚的知道，如果长期的依赖这种来自外部的帮助，那么我们的计划就无法存活。所以，我们在选择外部顾问的时候，他一定要展示出我们希望他具有的所有经验和资格。

我们遇到的第二个挑战就是项目的组织机构。这个项目对整个公司都会产生影响，因此，它就需要在它的各个功能与职责范围内都有专门的代表负责。这些代表应该有能力做出与他们职责领域中的决定，并且能够让他们的工作人员有效的实施这些决定。“风险管理项目计划指导委员会”就是由这些代表组成的，其中包括了信息系统、商务开发、执行以及人力资源等部门的代表。

负责这个项目的小组是由来自外部的顾问、两名全职技术文档编写人员以及项目管理者组成，项目管理人直接向执行副总裁汇报工作情况。

我们把这个项目计划划分成下面的这些阶段：

开发阶段：开发出风险管理框架结构中的内容。
试探阶段：有限的实施这个项目的框架内容，并通过这一方法获取第一手的资料以及经验。
回顾阶段：通过整理来自于上一个阶段的经验，从而丰富并增强框架结构以及其中的内容。
展开阶段：在整个公司内部推广并实施这个框架。
支持阶段：为了长期支持并且可持续的发展，需要提供对各种基础组织以及服务。
这些阶段会重复出现，也可能会相互交迭在一起而同时出现。因此，在进入到展开阶段之前，我们不得不经历数次反复的开发阶段、试探阶段以及回顾阶段。在最后的支持阶段，我们会获得对我们这个项目长期存在并且持续发展非常有价值的反馈与信息。