CIO与企业风险管理(二)(AMT研究院 彭辉 编译)

第三个步骤：保持灵活性

其实并没有人真正明白风险到底是怎么一回事，而且每个人看待风险的视角都是不一样的。换句话说，CIO们必须很有耐心，同时还要给公司的员工一定的时间让他们来理解你所说的每一句话。灵活性在这里是最关键的，因此，CIO们需要采用不同的话语来让不同的员工去面对你所遇到的风险。

George Westerman 是美国麻省理工学院斯隆管理学院的研究专家，他正在研究ERM与IT系统的关系，为了更好的说明其观点，他列举了一个关于他四岁女儿的故事。小女孩喜欢攀登爬梯的体育活动，一天，当她攀登到半路的时候，她忽然说：“爸爸，快看我！”。

“我的本性让我冲动的答道，非常棒，努力登上梯顶吧。我希望她能够避免父母过渡保护她的风险，” Westerman 解释说，“但是，她母亲却给出相反的建议，要她马上下来，希望我们的女儿能够避免掉下来受到伤害的风险。我们两个对于风险的看法是不一样的，虽然我们两个首先都是为我们的女儿的福利着想。在我们看来这件事情的结果是：一个最好的反应是我们站在她旁边，然后让她爬到她自己想到达的高度，如果她跌倒了的话，我们就呆在她的身边。” Westerman 认为传递的信息是，在他女儿的安全有适当的保障的前提下，他女儿可以承受更大的风险。

但是，有时候你向别人传递你的ERM信息的时候，你最好不要向对方提起一点点的风险。当Sharon 还是广告商麦肯国际集团（McCann WorldGroup ）的CIO的时候，他就经常避免谈论风险的话题。在参与集团全球的代理帐户部门的时候，他就知道那些会计经理们是不会理解他所说的风险管理的。该部门的业务涉及全球100多个市场，在跟踪记录其电子邮件和传真方面面临着不小的困难，因为这些资料都涉及集团所有的业务范围。这些通讯资料频繁地发生丢失的现象，或者需要很长的时间才能下载下来，大大增加了该部门不能迅速对客户的需求做出反应的风险。

Sharon 并没有和他们谈论资料丢失带来的风险，而是和他们一起讨论怎样改进内部网络从而提供服务质量。Sharon 告诉他们自己是多么地了解他们的艰苦工作，并且承诺说他将为他们提供更好的后勤支持服务，以便让他们集中精力为客户提供优质的服务。他回顾到，自从公司的网站建设完成了之后，该部门可以做出实时的商业决策，大大降低了客户因对服务速度不满而造成的流失的风险。

不过，有时候采用最直接的方法也会获得最好的效果。Westerman 讲述了一个财富100强企业中一位CIO的故事，该CIO为了处理一个看起来比通常的风险要大的大型IT项目的时候，他不得不努力去说服董事会。让人惊奇的是该公司的IT 部门从来就没有发生过项目延期或者预算超支的现象，因为他们每次评估项目所需的时间和资金的时候，他们总是在最初的评估数字上再增加一倍。

事实上，CIO如果采用这种管理的方式对于公司来说是极其危险的，因为他并没有给企业的管理层提供准确的信息来做商业决策。同时也刺激了IT 部门去花费更多的资金。CIO 应当做出准确的决定，他应该告诉公司董事会最准确的成本估计和项目结束时间，并且能够给出将来项目可以带来的更多的资金和时间收益。

Westerman 认为，在会议开始之前，一个很镇定的CIO 也会忐忑不安的。因为，他们担心公司的董事会会认为他们的方法缺乏合适的分析而且增加了项目失败的风险。但是，事实上董事会往往会同意他们的项目的，而且即使CIO 在项目实施了几个月以后再来说项目需要更多的时间和资金的时候，董事会一般还是不会指责CIO们的判断的。但是，CIO应该自己主动去为类似的风险做好准备。

第四个步骤：离开办公室

CIO们需要经常离开自己的办公室，到各处去走走，会晤其他部门的经理们，或者去看看公司的一些关键的设施，这是公认的最佳的IT领导实践做法。而且这种做法对于那些领导ERM项目的CIO们来说尤其显得重要。那是因为ERM项目一般都要求企业文化的改变，如果ERM的思想和实践没有得到加强的话，企业的员工往往都会有一种倾向让他们忽视ERM的要求，重新回到他们传统的考虑风险的思维方式。

Sharon 认为领导ERM项目的CIO们需要努力去建立良好的私人关系。CIO 们必须去解决那些对业务伙伴很重要的问题，不管这些问题看上去是否琐碎，而且你还要通过引入新的流程来提高他们在商业运营方面的觉悟。

Santiago 谈到他为了向NASA的同事们解释他的关于ERM提高IT 系统安全的概念的时候，他亲自拜访了NASA内部的几百位经理和员工，横跨NASA所有的部门。他跑到NASA的总部举行各种各样的电话会议和展览，向人们阐述他的系统降低IT安全性风险的理念，并且向他们提出自己的建议。他的听众包括NASA各个分部的CIO、负责IT 安全的员工、产品线的经理和工程师——任何人都可以去参加。通过Santiago 九个月的不懈努力，NASA的人终于开始接受他的思想。

Santiago 把他的IT安全展览一直伴随着航天飞机项目的电脑安全专家们持续到12月份。展览的目的就是确立建立起IT系统安全计划的步骤。其中一项任务就是定义哪些在中心传递的信息是需要保密的。然后，这个小组才开始辨认信息风险——系统容易受到病毒感染和攻击的漏洞，内部的员工有意或者无意的行为造成对系统信息的更改，同时还就降低这些风险的步骤进行了深入的探讨。

“大家开始并争论如何才能把这些事情做好，” Santiago 高兴地说“这意味着他们接受了我的观点，我知道我已经取得了成功，他们开始停止谈论我个人和我的计划，而是开始使用‘我和我们’这些单词。”同时，他还发现NASA所有的负责安全的员工都开始从日常运作去着手寻找运营的风险。至此，ERM已经成为他们日常工作的一部分。

第五个步骤：成为模范的公民

CIO的态度和行为必须与他所传达的信息保持一致。国际著名咨询机构Cutter Consortium的CIO Bob Charette 通过他的ERM领导实践认为如果企业的领导都不能按照规章、流程进行到底的话，剩余的那些步骤也就不会有任何作用了。

对于企业的业务单元的经理们和行政人员来说，如果你指出他们负责的领域内存在风险的话，他们可能会认为你是在对他们进行批评。同样地，反过来说，如果有人跑过来和你说他发现的IT系统存在的风险的话，在某些人看来是对你的工作的否定。因此，大家都要改变这种因IT系统导致的风险而否定对方的做法。相反地，CIO们应该鼓励其手下和公司中的同事来发现企业      IT系统的风险，应当把这些信息看成解决问题的机会。美国前国务卿鲍威尔（Colin Powell），在他还是过美国参谋首长联席会议的主席的时候，他就非常鼓励士兵们向他提出各种各样的问题，他说过一句很有名的话可以给我们很多启发——“如果有一天你的部下不向你提出问题了，那么那一天也就是你应该停止领导他们的时候。”

一种推动ERM持续进行的好方法就是，通过不断的商业测试，不断加强ERM实施中所需要的持续不断的关注。就像在学校里面一样，通过对孩子们不断进行火警的实践操练，从而向他们强调安全防火的重要性。CIO 们也应该坚持持续不断的测试计划，这样可以向大家传递连续的信号——组织对于处理IT系统的风险是非常严肃的。

美国纳斯达克的CIO Steve Randich 正是通过他的数据中心进行持续的、有规律的业务测试计划，并通过这些测试活动让公司的员工们时刻注意——ERM是整个组织的核心原则。在纳斯达克上市的公司超过3300家，每秒钟的处理的交易超过20000笔，同时还从全球350000台电脑和工作站搜集信息。如果纳斯达克不能运营这个交易处理系统，那么它只有关门了。“然后我们只有等待着破产了。” Randich 补充道。

9.11事件发生以后，纳斯达克花了好几个月的时间把它在纽约的办公室永久性的迁移出去。但是数据中心仍然没有停止自己的运作，虽然美国政府宣布交易市场关闭四天，不过通过这件事，Randich 还是发现公司需要更加详细的风险管理计划。在新的计划中，Randich准备添置额外的设施（如电脑和互联网接入通道），制定在发生灾难的情况下雇员的沟通程序和备用的办公地点。

Randich 每隔半个月都要检查自己的假设。他不仅仅对公司的备用系统进行测试，同时还要确认新的雇员在发生紧急情况下能够获得去哪里以及做什么的消息。此外，他还要确保在陆上通讯被中断的情况下，雇员们有足够的移动电话进行联系。Randich 还指定了一个团队处理专门应对突发性的大浩劫，他们将和其他300准备买卖未上市股票的经纪人共同决定经销商的需求是否能够保持市场的正常开放。

由于经常进行系统的测试，Randich 已经成功的向公司的全体雇员传递了这样一个清楚响亮的信号——IT部门对于维护交易系统网络的持续性运营是非常严肃认真的，不管发生什么事情都不会改变。他强调：“我们的观点不是危机发生的中途找到所有的风险，而是确定所有可能发生的风险都可以得到妥善的解决。”

总之，从全球的范围来看，企业运营中的风险是普遍存在的，而企业的IT系统既是造成风险的原因又是用来管理风险的资源，ERM 现在已经成为管理这些风险的一个根本的措施。Barclays' Weymouth 认为，为了实施ERM，企业需要一位可以信任的领导，他应该是组织中的资深人士，深受整个组织的尊敬，同时他还需要精通组织所有的业务及其相互间的关系。