CIO与企业风险管理(一)(AMT研究院 彭辉 编译)

作者：Allan Holmes

风险管理势在必行

如果公司上市两个月后，两大主要销售市场的其中一个完全消失了，你会怎么办？如果在短短七天内，3.5亿美元的销售额说没就没了，你又会怎么办？你会不会无奈地说：谁会预料到“9·11”事件，继而就在一旁看着自己的公司砍掉五六个经营不良的部门？还是只好接受预算和人员缩减的现实、避开原先为了帮助业务发展而制订的战略计划？原因就在于没人会料到会发生这么重大的灾难？

风险管理又名危机管理，是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。当中包括了对风险的量度、评估和应变策略。风险管理可以节省大量的资源，运输时间，并且可以提高对客户的服务质量。它会辨认那些对关于服务的资产传递有负面影响的潜在问题区域，允许提高对资产风险框架的了解及未来的决策将怎样影响这一框架，可以减少后果的不确定性和经济损失。

为什么说现在着手进行企业风险管理很重要呢？原因很复杂。其中一个因素就是，IT已经成为业务经营的主要风险。过去几年发生的几件大事暴露出IT给业务带来的经营风险。

推动企业风险管理的第二个因素是监管环境，以及有些行业为保护公司远离不稳定的全球商业环境而采取的法案。譬如说，由十国主要金融服务利益相关者牵头发起的《巴塞尔第二号协定》（Basel Ⅱ Accord）不仅涉及资本风险，还涉及经营风险，包括IT系统给公司带来的风险。换句话说，该协定强制要求采用某种企业风险管理。

当然，还有《萨班斯－奥克斯利法案》（Sarbanes-Oxley）。英国巴克莱金融服务公司的CIO David Weymouth说：“我们在一项监管项目上就花了约2.5亿美元，不合法规是我们要控制管理的一个巨大风险。”McCann公司的CIO Sharon说，对他来讲，《萨班斯－奥克斯利法案》听上去既熟悉又可怕，该法案充分证明了现在是实行风险管理的时候了。美国发生储蓄贷款丑闻期间，Sharon从事于金融服务业。当时为了遵守旨在整顿金融业的法律，“我们历时两年采用风险管理方法，进行了繁重的风险评估工作。”遵守法规成了风险评估项目附带产生的结果。同样，Sharon预言，企业风险管理也会让遵守《萨班斯－奥克斯利法案》成为风险管理的附带结果，而不是其关注的对象。

为什么是CIO？

风险管理自有公司的专家去负责，为什么要牵扯到CIO呢？

许多风险专家都预料CIO们会抵制企业风险管理。“很多CIO以为自己可以避开企业风险管理，”IT咨询公司Robert Frances Group的风险专家Adrian Bowles说。Bowles劝说最好打消这个念头：“风险自己会找上门来，你的工作就会面临风险。惟一的防御就是积极地去管理风险。”

此外，MIT的风险管理专家Westerman发现了业务和IT一致性跟风险信心之间的密切关系：CIO对自己管理经营风险的能力越有自信，IT与业务的关系就越一致。而在今天，很多企业管理专家们都强调CIO应当是个全才。“我们在飞机上部署空中交通预警和防撞系统（TCAS）。它能够不断监控飞机周围空间、记录25英里内的物体、决定飞机航道、航速并预测航向。如果某物体与飞机可能碰撞，它会提醒飞行员，并提出可行的响应机制。如今，CIO对业务经理的作用就好比TCAS对飞行员的作用。”

因此，CIO 是企业董事会可以推荐出来的最合适的从事风险管理的人。他们可以通过五步战略领导步骤，就可以很好的管理企业面临的风险。

在2003年的2月1日，美国哥伦比亚号航天飞机因为外部一个铝合金的框架在3000多度的热度下被融化，炸毁在得克萨斯的高空，船上的7位宇航员全部遇难。在悲剧发生以后不久的几个月里，哥伦比亚号飞机坠毁事故的独立调查委员会发现，导致事故的表明原因是由行李箱大小的一块泡沫材料所引发的，这块材料在升空时从航天飞机外部燃料箱上脱落，在机翼的隔热瓷瓦上撞出了一个洞，使得铝合金框架暴露在高温下被融化，更深层次的原因在于：NASA(美国国家航空和宇宙航行局)内部缺乏有效沟通的松懈的安全文化，参于整个航天飞机项目中的各个分包商之间缺乏有效的沟通。因为，各个部门的经理们都是分布在NASA的周围的，由于地理位置的限制，负责航天飞机安全的经理们之间并没有建立起正式的交流、讨论程序，他们也就不能彼此对自己关心的问题和设计等进行探讨，更不可能制定一个全面的控制风险的战略。

在调查结束后，NASA 的管理局任命其总经理来负责促进、改善其内部部门、员工间的交流和沟通。Scott Santiago 做为NASA的代理CIO原来是负责IT系统安全的，现在开始寻找降低IT系统风险的方法和途径。从表面上来看，IT 安全与航天飞机失事的灾难没有任何关系，但是Santiago 知道IT系统是航天飞机项目安全最重要的支持和保证，同时对于NASA 其他的大量的项目来说，IT系统对于项目的成功也具有至关重要的作用。

Santiago 注意到，NASA 的信息系统，不仅仅是各个项目的承包商在使用，而且全国有成百上千的用户也可以进入这个系统，并且在不同的层面上可以修改和共享信息。但是，这些用户几乎都没有和NASA有什么交流和沟通，他们对那些专门针对IT系统的安全性制定的政策和程序几乎一窍不通。由于在使用上缺乏一致性，很可能会给系统带来未知的风险，一些病毒和潜在的漏洞可能会大大降低信息系统的安全性。

为了控制和降低上面的风险，Santiago 开始采用一般企业使用的方式：企业风险管理（ERM）。世界上第一位首席风险官Lam（最先在GE Capital公司担任此职）认为，ERM是指“综合管理业务风险、财务风险、经营风险和风险转移，力求公司股东价值的最大化。”也就是说，企业风险管理思想通过统一分析公司内外的所有风险，制订行政级管理策略来处理这些风险，从而来提高公司的盈利能力。如果措施得当的话，ERM可以通过改善TI系统的管理，优化企业在IT设施上的投资，从而最终降低损失和事故发生的概率，提高企业的价值。

现在像Santiago 一样，很多企业的CIO 都开始面对整个企业风险所带来的挑战，原因很简单：现在的企业越来越依靠IT系统的功能。虽然，ERM 是非常复杂的，对于很多人来说它还是深奥难懂的，同时采用ERM的方法通常都需要改变企业现有的企业文化，这一点往往会导致企业现有员工的抵制，因为一般来说人们都会把风险的出现看作是对他们的批评。Santiago 也知道其实他是很难改变NASA的那些经理们以项目为导向的风险管理方法，何况他们使用这种方法已经有几十年了。“一般的人都会倾向从技术的角度来解决问题，如防火墙、VPNs等等，” Santiago 解释道，“但是，我们必须从整体上来考虑到底是哪些信息与安全相关，我们到底需要做哪些工作来保护那些信息，同时还需要知道如何去管理它们。”

为了让ERM系统有效的运转起来，CIO们需要制定一个专门的领导战略计划。作者曾经对将近30个实施ERM的管理顾问、学者和CIO们做过专访，在此基础上做了一个全面的整理和综合。但是，我们要注意的是，这个五步战略模式其实还可以应用到其他很多的类似领导战略的挑战的。下面的内容是关于其如何应用在ERM中的。