在过去十年中,IT所带来的风险在大多数公司中已经出现了显着的变化。现今,IT问题所带来的潜在风险,已经远远超出IT投资本身,这种情况几乎普遍存在。比如,很多公司花费数百万美元部署了ERP系统,一旦这个系统停止工作一周,其带来的损失,可能要超过系统部署成本的十倍以上。
近来,就发生了与IT问题有关的两个案例:礼来公司(Eli Lilly)意外泄露了600多名Prozac(一种抗抑郁症药物)使用者的姓名和地址,其带来的直接后果是,美国联邦贸易委员会(Federal Trade Commission)颁布了一项为期20年的法令,法令规定,将对公司的IT安全每年进行审核。另一个案例是,电子游戏厂商瓦尔伏公司(Valve)由于一个简单的安全漏洞而丢失了一种新游戏的源代码。结果,这个游戏不得不推迟六个月上市,公司花费数月进行研发所带来的竞争优势也因此而丧失殆尽。
当你意识到,公司丢失一小部分内部机密数据可能会带来多大的损失,你就能对几乎所有公司都面对的风险有一个总体认识。这也意味着,CIO们比过去的责任更大了。企业期望由CIO们来应对这些风险。CIO别无选择。对新型CIO而言,风险管理已经成为他们工作中不可或缺的一部分。顾能公司(Gartner)日前对上百名CIO进行了年度调查,CIO们在调查中提出了四种他们关注的风险:
企业联系:公司与供应商、合作伙伴、消费者之间的联系愈发紧密,这不仅使企业对他们的依赖度越来越高,而且也带来了企业信息被窃取或滥用的可能。如果企业的这些关系管理不善,就会带来新的风险。这种风险,传统的IT观念并没有考虑到。
符合法规要求:由于管理不善及随之而生的犯罪行为,使得许多公司最终经营失败。政府因此出台了多项法规,希望减少滥用管理权力的现象,并对滥用管理权力者进行惩罚。但这样做的同时,这也为公司处理和保护信息带来了法律风险。
消费者要求保护隐私:消费者关心隐私,主要是因为窃取身份信息和个人信息的行为不断增加,同时,也和政府出台的多项反恐计划有关。缺乏隐私保护,对公司而言,是一种新的消费者风险;同时,不能遵守刚出台的隐私法,也使公司面临新的法律风险。
IT问题带来的损失不断上升:IT问题不仅会影响到公司的客户、客户的客户以及供应商,而且也有可能给企业的商誉带来巨大损害,并使公司面临民事和刑事的双重惩罚。
整体考虑
在IT风险管理上,CIO们面临的一个共同问题是,IT风险带来的威胁、IT风险的影响面、IT风险的范围,都要大大超过以往。因此,很多企业并没有很好理解,应该如何去化解这些新的风险和消除这些风险的影响—要么是企业的CIO不熟悉如何管理业务风险,要么是企业的管理者对IT问题所带来的风险不重视。
我们的研究显示,CIO们把IT风险划分为好几类,比如应用、架构和供应商等,而没有把IT风险和业务风险作为一个整体来考虑。由于这种划分,使得CIO们也搞不清,究竟有多少IT预算用在了风险管理上。在我们的调查中,CIO们估计他们把IT预算的6~7%用在风险管理上。然而,当把这些风险管理支出进行具体分解后,实际的风险管理开支数据可能要翻上一番,达到约15%。对IT风险进行分类管理的办法,在过去可能是有效的,但在IT已经深深融入企业业务流程的今天,就已经不再合适。
不能把IT风险管理与业务风险管理综合起来进行整体考虑,这样将使企业陷入愈发危险的境地。因为对这两种风险的管理相互交叉,其结果会影响到整个公司。在安全或者技术上出现的问题,很容易就会从IT问题演变为整个公司的问题,进而影响到消费者的忠诚度,企业不得不被迫接受法律稽查,公司形象也由此受损。
化解风险,一般有四种主要的方法:缓解,转移,接受和避免。“缓解”是指降低风险,或降低风险可能带来的后果。要让“缓解”起作用,企业必须拥有足够的控制力,以减少风险时间出现的可能性,或消除风险事件带来的可能影响。
“转移”是指把风险转嫁给另一个有能力并愿意承担风险的载体,比如保险公司。“接受”是指企业有意识地去设想几种风险,这称为自我保险。为了让“接受”发挥作用,风险发生的几率必须足够小,或其重要性微不足道,对企业来说能够承受。“避免”则是指消除风险事件发生的可能性。对于大多数企业而言,“避免”意味着从某项业务或某个市场中退出,或放弃某个产品。要做到那样,企业必须具备自由退出的能力,还必须甘愿放弃与风险同时存在的市场机会。
在CIO的职责范围内出现的绝大部分新型IT风险,唯一可行的管理策略就是“缓解”。
虽然很难对风险管理的成功进行客观的量化评价,但你必须证明,是你终止了某项从未发生过的事件。Gartner公司对CIO们识别风险并采取有效措施缓解风险的信心进行了研究。我们把这些CIO称为高度自信的经理人。Gartner公司发现,这些高度自信的经理人可能只是略微增加了在风险管理上的投入,但是,他们在改善业务关系、提高IT可靠度、缓解风险等方面,却获得了高得多的回报。
这些高度自信的经理人,一般都采用了缓解风险的三种方法中的一种,当然,对另外两种也没有忽视。这三种方法分别是:风险管理的流程,简化配置的系统和个人经验。后两个方法比较通俗易懂:系统复杂性降低了,风险自然也就降低了,而且可以消灭出现错误点的可能。个人经验方法则是在团队中保留一名拥有丰富风险管理经验的员工。