CIO與企業(yè)風(fēng)險管理一
Sharon 并沒有和他們談?wù)撡Y料丟失帶來的風(fēng)險,而是和他們一起討論怎樣改進內(nèi)部網(wǎng)絡(luò)從而提供服務(wù)質(zhì)量。Sharon 告訴他們自己是多么地了解他們的艱苦工作,并且承諾說他將為他們提供更好的后勤支持服務(wù),以便讓他們集中精力為客戶提供優(yōu)質(zhì)的服務(wù)。他回顧到,自從公司的網(wǎng)站建設(shè)完成了之后,該部門可以做出實時的商業(yè)決策,大大降低了客戶因?qū)Ψ?wù)速度不滿而造成的流失的風(fēng)險。
不過,有時候采用最直接的方法也會獲得最好的效果。Westerman 講述了一個財富100強企業(yè)中一位CIO的故事,該CIO為了處理一個看起來比通常的風(fēng)險要大的大型IT項目的時候,他不得不努力去說服董事會。讓人驚奇的是該公司的IT 部門從來就沒有發(fā)生過項目延期或者預(yù)算超支的現(xiàn)象,因為他們每次評估項目所需的時間和資金的時候,他們總是在最初的評估數(shù)字上再增加一倍。
事實上,CIO如果采用這種管理的方式對于公司來說是極其危險的,因為他并沒有給企業(yè)的管理層提供準(zhǔn)確的信息來做商業(yè)決策。同時也刺激了IT 部門去花費更多的資金。CIO 應(yīng)當(dāng)做出準(zhǔn)確的決定,他應(yīng)該告訴公司董事會最準(zhǔn)確的成本估計和項目結(jié)束時間,并且能夠給出將來項目可以帶來的更多的資金和時間收益。
Westerman 認(rèn)為,在會議開始之前,一個很鎮(zhèn)定的CIO 也會忐忑不安的。因為,他們擔(dān)心公司的董事會會認(rèn)為他們的方法缺乏合適的分析而且增加了項目失敗的風(fēng)險。但是,事實上董事會往往會同意他們的項目的,而且即使CIO 在項目實施了幾個月以后再來說項目需要更多的時間和資金的時候,董事會一般還是不會指責(zé)CIO們的判斷的。但是,CIO應(yīng)該自己主動去為類似的風(fēng)險做好準(zhǔn)備。
第四個步驟:離開辦公室
CIO們需要經(jīng)常離開自己的辦公室,到各處去走走,會晤其他部門的經(jīng)理們,或者去看看公司的一些關(guān)鍵的設(shè)施,這是公認(rèn)的最佳的IT領(lǐng)導(dǎo)實踐做法。而且這種做法對于那些領(lǐng)導(dǎo)ERM項目的CIO們來說尤其顯得重要。那是因為ERM項目一般都要求企業(yè)文化的改變,如果ERM的思想和實踐沒有得到加強的話,企業(yè)的員工往往都會有一種傾向讓他們忽視ERM的要求,重新回到他們傳統(tǒng)的考慮風(fēng)險的思維方式。
Sharon 認(rèn)為領(lǐng)導(dǎo)ERM項目的CIO們需要努力去建立良好的私人關(guān)系。CIO 們必須去解決那些對業(yè)務(wù)伙伴很重要的問題,不管這些問題看上去是否瑣碎,而且你還要通過引入新的流程來提高他們在商業(yè)運營方面的覺悟。
Santiago 談到他為了向NASA的同事們解釋他的關(guān)于ERM提高IT 系統(tǒng)安全的概念的時候,他親自拜訪了NASA內(nèi)部的幾百位經(jīng)理和員工,橫跨NASA所有的部門。他跑到NASA的總部舉行各種各樣的電話會議和展覽,向人們闡述他的系統(tǒng)降低IT安全性風(fēng)險的理念,并且向他們提出自己的建議。他的聽眾包括NASA各個分部的CIO、負(fù)責(zé)IT 安全的員工、產(chǎn)品線的經(jīng)理和工程師——任何人都可以去參加。通過Santiago 九個月的不懈努力,NASA的人終于開始接受他的思想。
Santiago 把他的IT安全展覽一直伴隨著航天飛機項目的電腦安全專家們持續(xù)到12月份。展覽的目的就是確立建立起IT系統(tǒng)安全計劃的步驟。其中一項任務(wù)就是定義哪些在中心傳遞的信息是需要保密的。然后,這個小組才開始辨認(rèn)信息風(fēng)險——系統(tǒng)容易受到病毒感染和攻擊的漏洞,內(nèi)部的員工有意或者無意的行為造成對系統(tǒng)信息的更改,同時還就降低這些風(fēng)險的步驟進行了深入的探討。
“大家開始并爭論如何才能把這些事情做好,” Santiago 高興地說“這意味著他們接受了我的觀點,我知道我已經(jīng)取得了成功,他們開始停止談?wù)撐覀€人和我的計劃,而是開始使用‘我和我們’這些單詞。”同時,他還發(fā)現(xiàn)NASA所有的負(fù)責(zé)安全的員工都開始從日常運作去著手尋找運營的風(fēng)險。至此,ERM已經(jīng)成為他們?nèi)粘9ぷ鞯囊徊糠帧?/font>
第五個步驟:成為模范的公民
CIO的態(tài)度和行為必須與他所傳達的信息保持一致。國際著名咨詢機構(gòu)Cutter Consortium的CIO Bob Charette 通過他的ERM領(lǐng)導(dǎo)實踐認(rèn)為如果企業(yè)的領(lǐng)導(dǎo)都不能按照規(guī)章、流程進行到底的話,剩余的那些步驟也就不會有任何作用了。
對于企業(yè)的業(yè)務(wù)單元的經(jīng)理們和行政人員來說,如果你指出他們負(fù)責(zé)的領(lǐng)域內(nèi)存在風(fēng)險的話,他們可能會認(rèn)為你是在對他們進行批評。同樣地,反過來說,如果有人跑過來和你說他發(fā)現(xiàn)的IT系統(tǒng)存在的風(fēng)險的話,在某些人看來是對你的工作的否定。因此,大家都要改變這種因IT系統(tǒng)導(dǎo)致的風(fēng)險而否定對方的做法。相反地,CIO們應(yīng)該鼓勵其手下和公司中的同事來發(fā)現(xiàn)企業(yè) IT系統(tǒng)的風(fēng)險,應(yīng)當(dāng)把這些信息看成解決問題的機會。美國前國務(wù)卿鮑威爾(Colin Powell),在他還是過美國參謀首長聯(lián)席會議的主席的時候,他就非常鼓勵士兵們向他提出各種各樣的問題,他說過一句很有名的話可以給我們很多啟發(fā)——“如果有一天你的部下不向你提出問題了,那么那一天也就是你應(yīng)該停止領(lǐng)導(dǎo)他們的時候。”
一種推動ERM持續(xù)進行的好方法就是,通過不斷的商業(yè)測試,不斷加強ERM實施中所需要的持續(xù)不斷的關(guān)注。就像在學(xué)校里面一樣,通過對孩子們不斷進行火警的實踐操練,從而向他們強調(diào)安全防火的重要性。CIO 們也應(yīng)該堅持持續(xù)不斷的測試計劃,這樣可以向大家傳遞連續(xù)的信號——組織對于處理IT系統(tǒng)的風(fēng)險是非常嚴(yán)肅的。
美國納斯達克的CIO Steve Randich 正是通過他的數(shù)據(jù)中心進行持續(xù)的、有規(guī)律的業(yè)務(wù)測試計劃,并通過這些測試活動讓公司的員工們時刻注意——ERM是整個組織的核心原則。在納斯達克的公司超過3300家,每秒鐘的處理的交易超過20000筆,同時還從全球350000臺電腦和工作站搜集信息。如果納斯達克不能運營這個交易處理系統(tǒng),那么它只有關(guān)門了。“然后我們只有等待著破產(chǎn)了。” Randich 補充道。
9.11事件發(fā)生以后,納斯達克花了好幾個月的時間把它在紐約的辦公室永久性的遷移出去。但是數(shù)據(jù)中心仍然沒有停止自己的運作,雖然美國政府宣布交易市場關(guān)閉四天,不過通過這件事,Randich 還是發(fā)現(xiàn)公司需要更加詳細(xì)的風(fēng)險管理計劃。在新的計劃中,Randich準(zhǔn)備添置額外的設(shè)施(如電腦和互聯(lián)網(wǎng)接入通道),制定在發(fā)生災(zāi)難的情況下雇員的溝通程序和備用的辦公地點。
Randich 每隔半個月都要檢查自己的假設(shè)。他不僅僅對公司的備用系統(tǒng)進行測試,同時還要確認(rèn)新的雇員在發(fā)生緊急情況下能夠獲得去哪里以及做什么的消息。此外,他還要確保在陸上通訊被中斷的情況下,雇員們有足夠的移動電話進行聯(lián)系。Randich 還指定了一個團隊處理專門應(yīng)對突發(fā)性的大浩劫,他們將和其他300準(zhǔn)備買賣未股票的經(jīng)紀(jì)人共同決定經(jīng)銷商的需求是否能夠保持市場的正常開放。
由于經(jīng)常進行系統(tǒng)的測試,Randich 已經(jīng)成功的向公司的全體雇員傳遞了這樣一個清楚響亮的信號——IT部門對于維護交易系統(tǒng)網(wǎng)絡(luò)的持續(xù)性運營是非常嚴(yán)肅認(rèn)真的,不管發(fā)生什么事情都不會改變。他強調(diào):“我們的觀點不是危機發(fā)生的中途找到所有的風(fēng)險,而是確定所有可能發(fā)生的風(fēng)險都可以得到妥善的解決。”
總之,從全球的范圍來看,企業(yè)運營中的風(fēng)險是普遍存在的,而企業(yè)的IT系統(tǒng)既是造成風(fēng)險的原因又是用來管理風(fēng)險的資源,ERM 現(xiàn)在已經(jīng)成為管理這些風(fēng)險的一個根本的措施。Barclays' Weymouth 認(rèn)為,為了實施ERM,企業(yè)需要一位可以信任的領(lǐng)導(dǎo),他應(yīng)該是組織中的資深人士,深受整個組織的尊敬,同時他還需要精通組織所有的業(yè)務(wù)及其相互間的關(guān)系。
- 編輯推薦:
