让你的企业“险”中求胜

RFC认为：以前的面向IT风险的管理的目标主要集中在灾难恢复和业务连贯性方面的努力上，而现在的风险管理则涉及到了与业务有关的所有领域，从投资到消耗全盘来考虑。因此，业务与IT的行政管理人员们就需要建立有关的标准、可重复的方式方法来确定、评估、区分各种风险，从而降低业务方面的、组织方面的和技术方面的风险，提高投入的有效性与协同性。

有效的沟通、执行上的支持与组织结构、处理流程和信任度等诸多方面的基本要素就是要求它们能够在计划和协作没有充分考虑的情况下也能雪中送炭般地出现在该出现的地方。作为IT行政管理人员应该与业务方面的行政管理人员一道构建起应该简单而又包罗万象的基于企业能力的方法论，以便用该方法论来表达风险对业务、成本等的影响，从而达到将这些因素和谐作用，让企业不再那么脆弱，将风险降到最低。

让你的企业“险”中求胜：业务的发展要求我们要有自己的风险管理策略

1、就象企业所付出的所有努力一样，风险管理需要一个协调的营销和沟通程序来培训教育项目的所有构成要素。 政府和媒体最近所进行的一项详细的调查是关于从帐目审计到数据安全领域的，而且还将把这项调查继续下去。 该项调查的目的是为了帮助企业能对这些方面能有个全面、清楚的认识，从而迫使C级行政管理人员能更加明确自己对协作工作实践的责任和义务。而IT行政管理人员则应该与C级行政管理人员以及企业中的其他行政管理人员一起采纳或是构建一个风险管理方法论的轮廓，对有价值的业务和IT风险、接受的资金、各类人员、处理流程和技术的有关需求有个明确的表述。

2、不是所有的风险领域都是与IT有关的，IT行政管理人员要既能够服务于风险评估、缓解、流程管理以及跟踪方面的事务，也要能在某些情况下起到重要的支持作用。IT行政管理人员还应该参与到企业的风险管理中去，这主要是由于IT本身有能力催化和刺激很多行业自身的发展，与此同时这样的效果与支持在很多方面能降低业务的风险。

加上来自审计、业务单元和C级行政管理小组、金融、法律和公共关系团队的人员也应该参与到整个风险管理委员会中来，贡献自己的一份力量。IT 行政管理人员与其他人员构成的委员会应该一起工作，彼此合作、协调，对风险的优先顺序、需求和风险的危险级别有个清楚的认识，并在此基础上提出相应的降低风险的解决方案来。

3、一旦在某个领域中发现了风险的存在，上述团队就应该使用所建立起来的风险管理框架的轮廓来评估出风险的级别、对业务的影响程度、需要增加的成本以及待解决问题的轻重缓急程度的先后次序是什么。这很象在不同的选项里做选择，而且由于每个人的日程、背景和所扮演的角色都各不相同，所以最终付出的努力、对各项任务处理的先后次序、资金的支配能也各不相同。

因此，对于起明察秋毫作用的委员会而言，形成达成一致的用于测控成本和每个备选项的收益统一方案是很关键的。IT行政管理人员和业务行政管理人员应该采用简单但有效的风险管理框架，该框架要具备检测变化或风险管理、业务重要性、连接其他系统与流程和洞察潜在影响的性能，从而对各项行动作出恰当的优化与顺序上的安排选择。

让你的企业“险”中求胜：如何考虑风险管理框架

风险是一个一直在增长变化的因素，它与所接收到的大量来自检测人员、行政管理人员、治理实体、各种媒介和股东等信息有关。这样的工作是否符合审计实践的要求或是其他的安全性的要求通常受到起业务在发展中国家不断增长着、海外外包、过去的不合理因素或是任何其他因素的影响，也就是说所有的业务行为都可能不同程度地要承担某种风险。因此，那些内在的和外在的对企业当前发展构成威胁的因素就是对IT和其他业务管理人员的一种挑战。很多不同的因素都将对这些情况造成影响，包括业务合作商和外包商在内，因为它们之中也存在各种风险因素，而且其风险的程度随着公共网络和不同企图的人的不良用心在不断升级。

这其中有着很大一个未知领域。政府总是喜欢以象GLBA(Gramm-Leach-Bliley Act)法案、SOX (Sarbanes-Oxley Act of 2002)和HIPAA(Health Insurance Portability and Accountability Act)等这样的强制性措施来解决问题。企业期待着在未来10年里能有更多的这类由联邦政府和州政府制定的法案出台，这样就能为他们保护权利和私有权提供法律方面的保证了。

而他们只要提供少量的指导性的企业准则就可以了。例如：证券交易委员会SEC(Securities and Exchange Commission)已经把自己的审计人员增加到总人员的27%了，而且还把违规者的罚金提高到30亿美元。无庸置疑，这还只是冰山的一角，有更多的组织和委员会也在进行着这样的工作。

而且，法律也有意地不是那么明确地表明着某些条款的内容，使得对它的诠释成为冗长的代价巨大的法律战斗。企业的管理人员将被召唤过来对他们的最佳管理实践作出合理的解释，并演示出这些最佳的实践是如何来降低风险的。因此，管理人员对关键点、增长点、营销战略和企业策略以及关键的业务合作商的全面了解将是责无旁贷的。除此之外，他们还要缓解各种问题领域。更进一步说，一个象对象管理组OMG (Object Management Group)这样的多样化的组织要建立相关的IT遵循的标准来降低风险。

要有效的降低风险就得全面评价业务内在的所有方面，这会涉及到人员、流程、技术方面的改变。数不胜数的公司已经认可了评价操作与采纳新方法的方式来丢弃、承担或转变风险，但是还有其他一些公司依然对这样的变化反应迟缓。这种令人讨厌的局面是由诸多因素造成的：从如何深入而又广泛地审视到资金的缺乏、对变革管理能力的不足以及对业务单元所承担的职责不明确等因素都是这其中的原因。

而这些问题因素中没有一个是能够减缓或阻止问题的出现和恶化的。因此，C级行政管理人员和其他行政管理人员必须精诚团结与努力协作来迅速而又协调地打破现有的任何一种障碍。跨功能的团队在这样复杂的环境要能很好地工作。因此，需要来自审计、业务单元、C级管理人员、金融、法律和公共关系等其他团队的支持。

业务单元不是存在于真空中的，它会受到其他各种因素的制约与影响，所以至少每个业务部门应该有一名成员参与到委员会的工作中来。而委员会要能明确每个领域中的问题与他们彼此间关联，并建立起风险评价的标准来管理必要的变革。划分风险的等级并决定如何避免他们先后的顺序是要明确表示出来的，这主要是由于它们出现的背景不同、要实现的商业目标不同、债券发行的定位不同、驱动力和期望值也不同。

风险的等级应该从重要性的不同来划分，还要视其对成本的影响力而定。要最终达成一致意见是不那么容易的，涉及到的每个领域都有其主观性。所以要让一个具体的风险管理框架真正运做起来就得先划分风险任务的优先顺序并有策略地采取降低风险的努力，从而抓住关键因素成功降低风险。

此外，这类挑战还来自风险管理框架本身，毕竟你的风险管理框架是要降低风险的，尤其是要设计和定位好业务方面的资深管理人员的管理职责。现在大家普遍认同的是：降低风险的第一步就是要建立驱动必要的变革的框架。而管理人员要能牢牢地把降低风险的项目放在自己工作的首要地位。

让你的企业“险”中求胜：一种行之有效的方法

正如上述观点所表达的一样，风险管理委员会应该能评价出潜在项目中的各种风险，以便把钱用在刀刃上。从价值链的角度来分析就是一种简单而又有效可行的方法。把企业的处理流程划分成不同的分别支持组织的、支持流程的、支持技术的组成元素来各个击破就可以有效地降低风险了。尽管这样做的过程本身并不是很复杂，但是却是评估风险的最原始有效的方法。最后我们列举出这中做法里必须要明确的若干问题：

• 问题通常暴露在那里？

• 这些问题要承担那些风险？

• 这些容易受伤的薄弱环节对企业的影响是什么？

• 企业文化中要如何改变才能既让人员感觉不到而又降低了风险呢？

• 降低或消除风险的成本是多少？

• 如果风险真的发生了带来的最严重的危害将是什么？

总之，风险管理是需要从企业的所有方面来全盘考虑的，所以建立由来自企业各个领域的人员组成的风险管理委员会，划分好各自的职责与工作任务，明确风险的等级与轻重缓急程度，制定出有效的风险管理框架，有策略地进行风险管理是我们倡导的方法，也希望该方法对您的企业有所帮助。