几年前,风险管理还是一个金融经济学的专用语。但是最近,这一概念却开始向IT领域渗透,企业风险管理成为CIO们的热点话题。
对于首席信息官(CIO)来说,碰到下列情况无疑是一场噩梦:项目做到一半,负责项目实施的公司倒闭了;电子邮件服务器崩溃而备份工作又数月没有进行;野蛮施工单位挖断电缆使整个期货交易系统瘫痪。
这些几乎令CIO心脏骤停的时刻描述出了各类风险导致IT失效时的恐惧。今天,由于IT深深植根于企业业务结构之中,任何重大的IT失效都会造成极其严重的影响。
今年年初,日本“活力门”(LiveDoor)事件引发的交易系统瘫痪就是一个典型例子。由于日本检查机构对日本三大门户网站之一的“活力门”网站总部及其关联公司进行了搜查,东京证券交易所因“活力门”事件导致交易量大增,超过其电脑系统处理能力极限,结果该交易所于当地时间下午2点40分提前停止交易,致使投资者蒙受了巨大损失。此事件同时也导致了东京证券交易所相关IT负责人的离职。
在国内,由于IT失败导致业务陷入困境的典型案例是哈尔滨医药集团(下称哈药集团)的企业资源计划(ERP)项目。由于实施方利玛公司在项目实施期间的倒闭,造成哈药集团ERP项目的实施团队全部离职。
城门失火,殃及池鱼,哈药集团投资巨大的整个项目也被迫终止,给哈药集团带来重大损失。
“IT对于现代企业的重要性从它高昂的投资、技术的渗透性,对于它持续运作的依赖和它瘫痪时我们所遭受的痛苦中可见一斑。”美国PA咨询公司的两位咨询顾问在他们合著的新作《击败IT危机》中写道,“IT危机是巨大和普遍的。它们可能大到使企业破产,而大多数企业却没有系统或全面的方法来加以应对。”
因此,企业风险管理——过去一个金融经济学的专用语——开始向IT领域中渗透,并且成为热点话题。
上海期货交易所技术管理委员会主任李大鹏认为:IT风险管理的内涵,可以分成几类。一类是IT项目实施时的风险管理;一类是系统运行中IT本身失效的风险管理;还有一类是外部的危机导致IT系统失效的风险管理。
从广义上来说,项目范围界定极差而且实施欠佳;第三方服务失败;员工参与IT欺诈;备份碟盘失窃;卖方误导自己产品的能力;新规则导致需要变更主要软件等等都属于企业风险管理的一部分。
IT风险管理谈论趋热同时说明CIO的责任越来越重大了。太平洋保险集团信息总监程明甚至认为,企业资产管理都是IT风险管理的重要组成部分,“企业资产管理对预测和发现企业业务运营中的潜在风险有着非常关键的作用。”在程明看来,这说明了IT企业风险管理所涉及的内容已经从最初的IT安全领域,扩展到了企业业务安全上。
虽然“IT风险管理”对于大多数企业用户还相当神秘,但与风险共生却是广大CIO共同的心态。上海中路集团前IT负责人吴渊学就曾表示:“对于风险,CIO不应寄希望于在短期排除风险,而是要有长期管理风险的准备。”由此看来,要在复杂的应用环境中成功规避各类因素导致的IT风险,需要的是强大而有效的系统管理理念和手段。
重在事前控制
上海黄金搭档生物科技有限公司(下称黄金搭档)IT项目负责人朱永明讲了这样一个故事。
魏文王问名医扁鹊说:“你们家兄弟三人,都精于医术,到底哪一位医术最好呢?”扁鹊回答说:“大哥最好,二哥次之,我最差。我大哥治病,是治病于病情发作之前。由于一般人不知道他事先能铲除病因,所以他的名气无法传出去,只有我们家里的人才知道。我二哥治病,是治病于病情刚刚发作之时。一般人以为他只能治轻微的小病,所以他只在我们的村子里才小有名气。而我扁鹊治病,是治病于病情严重之时。一般人看见的都是我在经脉上穿针管来放血、在皮肤上敷药等大手术,所以他们以为我的医术最高明,因此名气响遍全国。”
朱永明认为,这个为人熟知的故事讲了一个很浅显的道理——事后控制不如事中控制,事中控制不如事前控制。可惜大多数CIO均未能体会到这一点,等到错误的决策造成了重大损失才寻求弥补。弥补得好,当然是声名鹊起,但更多的时候是亡羊补牢,为时已晚。
“日本的活力门事件是一个典型的乌龙球。”李大鹏也对事前控制的重要性深有体会,“这一事件的实质是系统设计容量没有一个很好的预期,不知道峰值在哪里,完全是个失职行为。”
太平洋保险集团的程明是一名“海归”,他指出,中国内地在企业风险管理上往往采取临时应急的办法,主要是因为缺少经验或管理团队缺乏管理训练的缘故。外国更熟悉如何调配资源来进行企业风险管理规划,而中国企业则是到了感到事态不妙时,才开始到处求助和做准备。
“风险虽然是很难避免的,但是我们可以积极应对,去有效地组织、建立我们的管理体系。”程明把风险的发生比喻成人的生死,分为四个阶段:第一个阶段就是前兆阶段,如果先兆处理得好也许风险就不会发生;但是如果没有处理好就会进入下一个阶段——紧急阶段,这个时候事件已经发生了,就需要去积极应对;到第三个阶段就是相持阶段,这个时候相对平稳,但是仍然有恶化的可能,相对来讲可能也是最艰难的阶段;到最后阶段,风险事件得到完全解决,总结经验教训。
李大鹏谈到,许多酿成重大风险事件企业的CIO,对于企业自身系统往往会有一种“明显是问题,早晚必爆发”的感觉。就是说,如果这些CIO能在早期采取行动的话,很多风险都可以早早消除,不必等着成为事件后再来处理。
由此可见,正如一位经历过风险事件的CIO所总结的那样:企业风险管理绝不是风险出现了以后才开始的管理,化解风险,就是在问题爆发之前,在其尚在胚胎中将其化解。这等“武功”需要修炼的时间就要长得多,而且要有运行良好的日常工作监督和反馈机制。任何风险问题的爆发,都有其酝酿的过程,处理得当,则可以事半功倍地化解风险。
建立高效体制
IT企业风险管理除了在思想和行动上要做到事前控制外,在体制上,CIO也应建立起一套灵活高效的管理体制。
国内企业,尤其是民营企业家的管理体系存在两方面的脆弱性:首先,他们的管理体系是建立在一种常态假设之上的,包括首席执行官(CEO)在内的经理人,都“宁愿”相信天天无险、日日平安的可能,都习惯于按常态规划和开展工作。
但是,管理环境中的不确定性总是存在的,难以预料的危机是无法避免的,因此,基于常态假设的管理体系具有很大的脆弱性。其次,在许多公司,企业风险管理是由各部门各自进行,尽管这样做有利于实现“分工负责”,但是当发生需要多个部门共同应对的“综合性”风险时,将产生很高的协调成本,并严重影响反应速度。
如何打破企业风险管理体系中的常态假设等弊端?朱永明建议,可以事先建立一个企业风险管理小组,小组成员由不同部门的负责人参加,这个小组的作用就是为解决风险问题而协调各部门的资源。“这样做的好处是,当风险事件发生的时候,可以有效地杜绝相关部门推诿扯皮的现象。”身兼财务和IT多项职位的朱永明就在黄金搭档负责这样一个小组。年初,这个小组在解决一次重大的客户资源泄密事件中起到了积极作用。
在企业风险管理体制中引入“外部人”参与决策也是一个很好的方法。程明的经验是,面临“非常规问题”的IT风险事件,“内部人”的智慧短缺不可避免,而“外部人”参与决策则可能出现柳暗花明的局面。
所谓“常规问题”和“非常规问题”,前者是指那些重复出现的日常管理问题,后者是那些偶然发生的、经理人很少遭遇过的管理问题,风险问题就属于非常规问题。
程明认为:作为“内部人”,常规部门在危机面前常常会现出智慧短缺,因为他们长期在一个领域工作,长期处理大同小异的常规问题,逐渐形成了思维定势,从而很难正确应对突发性的新事件。
他介绍说,一些西方企业在解决这一矛盾时通常采用的办法是,聘请外部的专家顾问。这些“外部人”来自大学、研究机构、咨询公司,他们不受任何“既定”思维的约束,带来的是新的视角、新的逻辑、新的对策,他们常常能够使决策出现柳暗花明的气象。
良好的企业风险管理体制还需要有一个善于沟通的团队。程明谈到,在一个IT预算会议上,他的团队提交的预算完全围绕IT安全,根本没有涉及任何具体技术。
他只简单说明了一些敏感数据存在的安全隐患,以及可能付出的安全代价,接着就讨论如何把钱花在降低风险上,并指出,这些开支要大大低于潜在风险所带来的破坏。结果,预算请求不仅获得了批准,而且公司首席财务官(CFO)和首席运营官(COO)还为该项目增加了额外的预算。
对于企业的CIO来说,有关企业风险管理的讨论和实践目前仅仅是拉开了序幕。一位CIO说:其实,风险既是危险,又是机会,企业风险管理是“刀尖上的舞蹈”,舞得好,CIO在企业中的作用将更加显现;舞得不好,CIO将成为企业失败的掘墓人。