CIO与企业风险管理

作者：Allan Holmes

CIO与企业风险管理：风险管理势在必行

如果公司上市两个月后，两大主要销售市场的其中一个完全消失了，你会怎么办？如果在短短七天内，3.5亿美元的销售额说没就没了，你又会怎么办？你会不会无奈地说：谁会预料到“9·11”事件，继而就在一旁看着自己的公司砍掉五六个经营不良的部门？还是只好接受预算和人员缩减的现实、避开原先为了帮助业务发展而制订的战略计划？原因就在于没人会料到会发生这么重大的灾难？

风险管理又名危机管理，是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。当中包括了对风险的量度、评估和应变策略。风险管理可以节省大量的资源，运输时间，并且可以提高对客户的服务质量。它会辨认那些对关于服务的资产传递有负面影响的潜在问题区域，允许提高对资产风险框架的了解及未来的决策将怎样影响这一框架，可以减少后果的不确定性和经济损失。

为什么说现在着手进行企业风险管理很重要呢？原因很复杂。其中一个因素就是，IT已经成为业务经营的主要风险。过去几年发生的几件大事暴露出IT给业务带来的经营风险。

推动企业风险管理的第二个因素是监管环境，以及有些行业为保护公司远离不稳定的全球商业环境而采取的法案。譬如说，由十国主要金融服务利益相关者牵头发起的《巴塞尔第二号协定》（Basel Ⅱ Accord）不仅涉及资本风险，还涉及经营风险，包括IT系统给公司带来的风险。换句话说，该协定强制要求采用某种企业风险管理。

当然，还有《萨班斯－奥克斯利法案》（Sarbanes-Oxley）。英国巴克莱金融服务公司的CIO David Weymouth说：“我们在一项监管项目上就花了约2.5亿美元，不合法规是我们要控制管理的一个巨大风险。”McCann公司的CIO Sharon说，对他来讲，《萨班斯－奥克斯利法案》听上去既熟悉又可怕，该法案充分证明了现在是实行风险管理的时候了。

美国发生储蓄贷款丑闻期间，Sharon从事于金融服务业。当时为了遵守旨在整顿金融业的法律，“我们历时两年采用风险管理方法，进行了繁重的风险评估工作。”遵守法规成了风险评估项目附带产生的结果。同样，Sharon预言，企业风险管理也会让遵守《萨班斯－奥克斯利法案》成为风险管理的附带结果，而不是其关注的对象。

CIO与企业风险管理：为什么是CIO？

风险管理自有公司的专家去负责，为什么要牵扯到CIO呢？

许多风险专家都预料CIO们会抵制企业风险管理。“很多CIO以为自己可以避开企业风险管理，”IT咨询公司Robert Frances Group的风险专家Adrian Bowles说。Bowles劝说最好打消这个念头：“风险自己会找上门来，你的工作就会面临风险。惟一的防御就是积极地去管理风险。”

此外，MIT的风险管理专家Westerman发现了业务和IT一致性跟风险信心之间的密切关系：CIO对自己管理经营风险的能力越有自信，IT与业务的关系就越一致。而在今天，很多企业管理专家们都强调CIO应当是个全才。“我们在飞机上部署空中交通预警和防撞系统（TCAS）。它能够不断监控飞机周围空间、记录25英里内的物体、决定飞机航道、航速并预测航向。如果某物体与飞机可能碰撞，它会提醒飞行员，并提出可行的响应机制。如今，CIO对业务经理的作用就好比TCAS对飞行员的作用。”

因此，CIO 是企业董事会可以推荐出来的最合适的从事风险管理的人。他们可以通过五步战略领导步骤，就可以很好的管理企业面临的风险。

在2003年的2月1日，美国哥伦比亚号航天飞机因为外部一个铝合金的框架在3000多度的热度下被融化，炸毁在得克萨斯的高空，船上的7位宇航员全部遇难。在悲剧发生以后不久的几个月里，哥伦比亚号飞机坠毁事故的独立调查委员会发现，导致事故的表明原因是由行李箱大小的一块泡沫材料所引发的，这块材料在升空时从航天飞机外部燃料箱上脱落，在机翼的隔热瓷瓦上撞出了一个洞，使得铝合金框架暴露在高温下被融化，更深层次的原因在于：NASA(美国国家航空和宇宙航行局)内部缺乏有效沟通的松懈的安全文化，参于整个航天飞机项目中的各个分包商之间缺乏有效的沟通。

因为，各个部门的经理们都是分布在NASA的周围的，由于地理位置的限制，负责航天飞机安全的经理们之间并没有建立起正式的交流、讨论程序，他们也就不能彼此对自己关心的问题和设计等进行探讨，更不可能制定一个全面的控制风险的战略。

在调查结束后，NASA 的管理局任命其总经理来负责促进、改善其内部部门、员工间的交流和沟通。Scott Santiago 做为NASA的代理CIO原来是负责IT系统安全的，现在开始寻找降低IT系统风险的方法和途径。从表面上来看，IT 安全与航天飞机失事的灾难没有任何关系，但是Santiago 知道IT系统是航天飞机项目安全最重要的支持和保证，同时对于NASA 其他的大量的项目来说，IT系统对于项目的成功也具有至关重要的作用。

Santiago 注意到，NASA 的信息系统，不仅仅是各个项目的承包商在使用，而且全国有成百上千的用户也可以进入这个系统，并且在不同的层面上可以修改和共享信息。但是，这些用户几乎都没有和NASA有什么交流和沟通，他们对那些专门针对IT系统的安全性制定的政策和程序几乎一窍不通。由于在使用上缺乏一致性，很可能会给系统带来未知的风险，一些病毒和潜在的漏洞可能会大大降低信息系统的安全性。

为了控制和降低上面的风险，Santiago 开始采用一般企业使用的方式：企业风险管理（ERM）。世界上第一位首席风险官Lam（最先在GE Capital公司担任此职）认为，ERM是指“综合管理业务风险、财务风险、经营风险和风险转移，力求公司股东价值的最大化。”也就是说，企业风险管理思想通过统一分析公司内外的所有风险，制订行政级管理策略来处理这些风险，从而来提高公司的盈利能力。如果措施得当的话，ERM可以通过改善TI系统的管理，优化企业在IT设施上的投资，从而最终降低损失和事故发生的概率，提高企业的价值。

现在像Santiago 一样，很多企业的CIO 都开始面对整个企业风险所带来的挑战，原因很简单：现在的企业越来越依靠IT系统的功能。虽然，ERM 是非常复杂的，对于很多人来说它还是深奥难懂的，同时采用ERM的方法通常都需要改变企业现有的企业文化，这一点往往会导致企业现有员工的抵制，因为一般来说人们都会把风险的出现看作是对他们的批评。

Santiago 也知道其实他是很难改变NASA的那些经理们以项目为导向的风险管理方法，何况他们使用这种方法已经有几十年了。“一般的人都会倾向从技术的角度来解决问题，如防火墙、VPNs等等，” Santiago 解释道，“但是，我们必须从整体上来考虑到底是哪些信息与安全相关，我们到底需要做哪些工作来保护那些信息，同时还需要知道如何去管理它们。”

为了让ERM系统有效的运转起来，CIO们需要制定一个专门的领导战略计划。作者曾经对将近30个实施ERM的管理顾问、学者和CIO们做过专访，在此基础上做了一个全面的整理和综合。但是，我们要注意的是，这个五步战略模式其实还可以应用到其他很多的类似领导战略的挑战的。下面的内容是关于其如何应用在ERM中的。

CIO与企业风险管理：第一步：发现必要性

一些CIO们发现了采用ERM的方式是不可避免的：如果企业不从整体上来把握风险的话，大家面临的只有死路一条。例如，IT 系统已经成为美国海军作战方式的核心。美国海军部门的CIO Dave Wennergren 正在为海军舰队开发一个全军的内部网络，在今年完成之后，该网络将给陆基部队和海洋上的舰队提供一个公共的、标准的平台，通过这个标准的平台，他们可以进行战斗情报的实时共享和交换。

Wennergren 指出，如果系统失灵的话，舰队官兵和飞行战斗人员将得不到他们要攻击目标的信息。9.11事件中，美国的五角大楼也受到了攻击，而海军指挥中心受到的攻击则让军事设施从当地的通讯设施中暴露在风险之下，这也从一个侧面强调了Wennergren 的ERM是关键的观点。

当然有些时候，特别是企业的CEO 或者是公司董事会要求你去实施ERM的战略的时候，你就不需要花费什么额外的工作来让你自己相信ERM的价值了。一直到90年代中期，J.P. 摩根的懂事们才做出了向新的商业风险投资的决定，这还是通过董事会的辩论获得足够的说服力才同意的。不过遗憾的是，新的战略给这家老牌的投资银行带来了一些不愉快的经历，因为那些投资都没有达到预期的目标。

Bill Sharon 曾经担任过该投行的技术风险首席管，现在是J.P. 摩根的顾问和执行懂事，据他回忆，当初决定在新兴的国家开办办事处的决定，并没有考虑运营的风险和范围，包括对银行现有的IT系统和通讯设施带来的冲击，正是这些忽略最后才导致了那些不愉快的经历。

当时，J.P. 摩根的董事长要求执行经理们开发出更好的决策过程来选择投资。Sharon 和房地产部门的主管一起合作，率先开始设计新的流程来满足董事长的要求——包括IT设施要满足任意新的业务的需求。当设计完成后，他意识到他事实上开发了一个从整体上分析企业风险的流程，从那以后他就开始完全接受了ERM的思想。

Sharon 开始询问公司所有部门的人，新的业务选择流程会给他们带来什么样的影响。然后他开发出一个需要满足的条件清单，只有清单上列出的条件得到满足后，相关的员工才可以把新产品或者新的办事处的地点拿到执行委员会上去讨论，包括哪些IT设施或者相关的支持设施的投资。当这个项目被批准实施以后，新的项目的发起人就要去搜集每条业务线或者相关部门的信息，以保证他的项目能够满足Sharon 清单上的要求。

例如，当有人提出要在墨西哥城开设一个办事处，该项目的发起人就要报告项目实施后需要多少台电脑，需要什么样并且如何获得网络连接，以及电力供应的可靠性。虽然所有的这些事情并不是例行的公事，但是它们通常都对新的风险投资的成功具有关键的作用。

Sharon 解释道：“我发现在IT系统中或者在任意的业务中，CIO的责任都是没有边界的，你不可能做完你的工作就回家。而且，在IT系统中，其实是没有一个人真正知道经营战略是什么的。那就是我对ERM的体会，它让所有的人都处于同一个平面。”

CIO与企业风险管理：第二个步骤：定义ERM的语言信息

CIO们成为企业ERM项目的主管之后，需要做的第一件事情就是必须给出明确的定义为什么ERM对于我们的企业是必不可少的，这是ERM项目中最重要的一步之一，这可以让更多的人更好的去理解ERM的意义，同时这也是非常难的一步。因为，ERM项目是横跨整个企业的，你必须要了解企业各个不同业务线的复杂的运作及其相互之间的关系。同时，CIO们还需要考虑你可能忽视或者压根就没有考虑到的事件和结果，尤其是企业的文化是把考虑风险当作一种悲观者的看法的时候。

Barclays （英国巴克莱银行）的商业道德战略负责人David Weymouth（他曾经是该银行的CIO）认为，CIO们必须找到一种描述风险的方式，如果你不能找到合适的描述风险的方法，你将会发现自己无所适从。

要找到有效的描述风险的方式，CIO们可能需要去设计一种新的与行政同事和一般的员工交流的方式。在NASA，Santiago 开发出了一个企业全局系统的模型来维护IT系统的安全，并用此取代NASA 传统的每个部门中心各自负责自己的IT系统安全的做法。通过建立起共同的平台，Santiago 发现，几乎所有的空间项目和系统都要横跨NASA的多个中心，在一个地方发生的事情不仅仅却决于它本身的状况，同时还受到其他地方发生的事情和状况的影响。

Santiago 建立信息中心的依据是：信息必须能够及时传递到需要他们的人那里去。因此，它必须受到保护避免威胁。他不喜欢谈论巩固各个部门的系统的安全，他关心的是他所谓的“信息容器”，谈论的是所有的NASA 雇员从“信息容器”中获取的内容。他制定出“信息容器”中的信息管理者，信息的使用者，并且评估出信息不能到达需要它的人的手中和信息在任意一个方面被修改后所带来的风险。通过该方式，他可以区分出数据受到的不同的风险的大小，并且可以做出缓和风险的最优策略。

巴克莱银行的Weymouth 认为一个定义良好的ERM信息应该包括那些可以改变持怀疑论者的态度的事实。他建立了一个监控系统来收集巴克莱银行运营系统的数据，这些数据包括银行拦截的欺骗付款或阻拦的取消服务企图的次数。通过获得IT部门努力降低的事故的频率——那些事故会导致银行业务的中断，而对于Weymouth 来说，这些事故就意味着风险，通过上述的方式他可以计算出可以节省的具体数目的费用。同时，他还有足够的理由来证明为什么巴克莱银行还应该持续地对IT系统进行投资，以便来有效的防范和缓和风险。