CIO與企業(yè)風(fēng)險(xiǎn)管理

第一步：發(fā)現(xiàn)必要性

      一些CIO們發(fā)現(xiàn)了采用ERM的方式是不可避免的：如果企業(yè)不從整體上來把握風(fēng)險(xiǎn)的話，大家面臨的只有死路一條。例如，IT 系統(tǒng)已經(jīng)成為美國海軍作戰(zhàn)方式的核心。美國海軍部門的CIO Dave Wennergren 正在為海軍艦隊(duì)開發(fā)一個(gè)全軍的內(nèi)部網(wǎng)絡(luò)，在今年完成之后，該網(wǎng)絡(luò)將給陸基部隊(duì)和海洋上的艦隊(duì)提供一個(gè)公共的、標(biāo)準(zhǔn)的平臺(tái)，通過這個(gè)標(biāo)準(zhǔn)的平臺(tái)，他們可以進(jìn)行戰(zhàn)斗情報(bào)的實(shí)時(shí)共享和交換。Wennergren 指出，如果系統(tǒng)失靈的話，艦隊(duì)官兵和飛行戰(zhàn)斗人員將得不到他們要攻擊目標(biāo)的信息。9.11事件中，美國的五角大樓也受到了攻擊，而海軍指揮中心受到的攻擊則讓軍事設(shè)施從當(dāng)?shù)氐耐ㄓ嵲O(shè)施中暴露在風(fēng)險(xiǎn)之下，這也從一個(gè)側(cè)面強(qiáng)調(diào)了Wennergren 的ERM是關(guān)鍵的觀點(diǎn)。

      當(dāng)然有些時(shí)候，特別是企業(yè)的CEO 或者是公司董事會(huì)要求你去實(shí)施ERM的戰(zhàn)略的時(shí)候，你就不需要花費(fèi)什么額外的工作來讓你自己相信ERM的價(jià)值了。一直到90年代中期，J.P. 摩根的懂事們才做出了向新的商業(yè)風(fēng)險(xiǎn)投資的決定，這還是通過董事會(huì)的辯論獲得足夠的說服力才同意的。不過遺憾的是，新的戰(zhàn)略給這家老牌的投資銀行帶來了一些不愉快的經(jīng)歷，因?yàn)槟切┩顿Y都沒有達(dá)到預(yù)期的目標(biāo)。Bill Sharon 曾經(jīng)擔(dān)任過該投行的技術(shù)風(fēng)險(xiǎn)首席管，現(xiàn)在是J.P. 摩根的顧問和執(zhí)行懂事，據(jù)他回憶，當(dāng)初決定在新興的國家開辦辦事處的決定，并沒有考慮運(yùn)營的風(fēng)險(xiǎn)和范圍，包括對銀行現(xiàn)有的IT系統(tǒng)和通訊設(shè)施帶來的沖擊，正是這些忽略最后才導(dǎo)致了那些不愉快的經(jīng)歷。

      當(dāng)時(shí)，J.P. 摩根的董事長要求執(zhí)行經(jīng)理們開發(fā)出更好的決策過程來選擇投資。Sharon 和房地產(chǎn)部門的主管一起合作，率先開始設(shè)計(jì)新的流程來滿足董事長的要求——包括IT設(shè)施要滿足任意新的業(yè)務(wù)的需求。當(dāng)設(shè)計(jì)完成后，他意識(shí)到他事實(shí)上開發(fā)了一個(gè)從整體上分析企業(yè)風(fēng)險(xiǎn)的流程，從那以后他就開始完全接受了ERM的思想。

      Sharon 開始詢問公司所有部門的人，新的業(yè)務(wù)選擇流程會(huì)給他們帶來什么樣的影響。然后他開發(fā)出一個(gè)需要滿足的條件清單，只有清單上列出的條件得到滿足后，相關(guān)的員工才可以把新產(chǎn)品或者新的辦事處的地點(diǎn)拿到執(zhí)行委員會(huì)上去討論，包括哪些IT設(shè)施或者相關(guān)的支持設(shè)施的投資。當(dāng)這個(gè)項(xiàng)目被批準(zhǔn)實(shí)施以后，新的項(xiàng)目的發(fā)起人就要去搜集每條業(yè)務(wù)線或者相關(guān)部門的信息，以保證他的項(xiàng)目能夠滿足Sharon 清單上的要求。例如，當(dāng)有人提出要在墨西哥城開設(shè)一個(gè)辦事處，該項(xiàng)目的發(fā)起人就要報(bào)告項(xiàng)目實(shí)施后需要多少臺(tái)電腦，需要什么樣并且如何獲得網(wǎng)絡(luò)連接，以及電力供應(yīng)的可靠性。雖然所有的這些事情并不是例行的公事，但是它們通常都對新的風(fēng)險(xiǎn)投資的成功具有關(guān)鍵的作用。

      Sharon 解釋道：“我發(fā)現(xiàn)在IT系統(tǒng)中或者在任意的業(yè)務(wù)中，CIO的責(zé)任都是沒有邊界的，你不可能做完你的工作就回家。而且，在IT系統(tǒng)中，其實(shí)是沒有一個(gè)人真正知道經(jīng)營戰(zhàn)略是什么的。那就是我對ERM的體會(huì)，它讓所有的人都處于同一個(gè)平面。”

第二個(gè)步驟：定義ERM的語言信息

      CIO們成為企業(yè)ERM項(xiàng)目的主管之后，需要做的第一件事情就是必須給出明確的定義為什么ERM對于我們的企業(yè)是必不可少的，這是ERM項(xiàng)目中最重要的一步之一，這可以讓更多的人更好的去理解ERM的意義，同時(shí)這也是非常難的一步。因?yàn)椋珽RM項(xiàng)目是橫跨整個(gè)企業(yè)的，你必須要了解企業(yè)各個(gè)不同業(yè)務(wù)線的復(fù)雜的運(yùn)作及其相互之間的關(guān)系。同時(shí)，CIO們還需要考慮你可能忽視或者壓根就沒有考慮到的事件和結(jié)果，尤其是企業(yè)的文化是把考慮風(fēng)險(xiǎn)當(dāng)作一種悲觀者的看法的時(shí)候。

      Barclays （英國巴克萊銀行）的商業(yè)道德戰(zhàn)略負(fù)責(zé)人David Weymouth（他曾經(jīng)是該銀行的CIO）認(rèn)為，CIO們必須找到一種描述風(fēng)險(xiǎn)的方式，如果你不能找到合適的描述風(fēng)險(xiǎn)的方法，你將會(huì)發(fā)現(xiàn)自己無所適從。

      要找到有效的描述風(fēng)險(xiǎn)的方式，CIO們可能需要去設(shè)計(jì)一種新的與行政同事和一般的員工交流的方式。在NASA，Santiago 開發(fā)出了一個(gè)企業(yè)全局系統(tǒng)的模型來維護(hù)IT系統(tǒng)的安全，并用此取代NASA 傳統(tǒng)的每個(gè)部門中心各自負(fù)責(zé)自己的IT系統(tǒng)安全的做法。通過建立起共同的平臺(tái)，Santiago 發(fā)現(xiàn)，幾乎所有的空間項(xiàng)目和系統(tǒng)都要橫跨NASA的多個(gè)中心，在一個(gè)地方發(fā)生的事情不僅僅卻決于它本身的狀況，同時(shí)還受到其他地方發(fā)生的事情和狀況的影響。

      Santiago 建立信息中心的依據(jù)是：信息必須能夠及時(shí)傳遞到需要他們的人那里去。因此，它必須受到保護(hù)避免威脅。他不喜歡談?wù)撿柟谈鱾€(gè)部門的系統(tǒng)的安全，他關(guān)心的是他所謂的“信息容器”，談?wù)摰氖撬械腘ASA 雇員從“信息容器”中獲取的內(nèi)容。他制定出“信息容器”中的信息管理者，信息的使用者，并且評(píng)估出信息不能到達(dá)需要它的人的手中和信息在任意一個(gè)方面被修改后所帶來的風(fēng)險(xiǎn)。通過該方式，他可以區(qū)分出數(shù)據(jù)受到的不同的風(fēng)險(xiǎn)的大小，并且可以做出緩和風(fēng)險(xiǎn)的最優(yōu)策略。

      巴克萊銀行的Weymouth 認(rèn)為一個(gè)定義良好的ERM信息應(yīng)該包括那些可以改變持懷疑論者的態(tài)度的事實(shí)。他建立了一個(gè)監(jiān)控系統(tǒng)來收集巴克萊銀行運(yùn)營系統(tǒng)的數(shù)據(jù)，這些數(shù)據(jù)包括銀行攔截的欺騙付款或阻攔的取消服務(wù)企圖的次數(shù)。通過獲得IT部門努力降低的事故的頻率——那些事故會(huì)導(dǎo)致銀行業(yè)務(wù)的中斷，而對于Weymouth 來說，這些事故就意味著風(fēng)險(xiǎn)，通過上述的方式他可以計(jì)算出可以節(jié)省的具體數(shù)目的費(fèi)用。同時(shí)，他還有足夠的理由來證明為什么巴克萊銀行還應(yīng)該持續(xù)地對IT系統(tǒng)進(jìn)行投資，以便來有效的防范和緩和風(fēng)險(xiǎn)。

第三個(gè)步驟：保持靈活性

      其實(shí)并沒有人真正明白風(fēng)險(xiǎn)到底是怎么一回事，而且每個(gè)人看待風(fēng)險(xiǎn)的視角都是不一樣的。換句話說，CIO們必須很有耐心，同時(shí)還要給公司的員工一定的時(shí)間讓他們來理解你所說的每一句話。靈活性在這里是最關(guān)鍵的，因此，CIO們需要采用不同的話語來讓不同的員工去面對你所遇到的風(fēng)險(xiǎn)。

      George Westerman 是美國麻省理工學(xué)院斯隆管理學(xué)院的研究專家，他正在研究ERM與IT系統(tǒng)的關(guān)系，為了更好的說明其觀點(diǎn)，他列舉了一個(gè)關(guān)于他四歲女兒的故事。小女孩喜歡攀登爬梯的體育活動(dòng)，一天，當(dāng)她攀登到半路的時(shí)候，她忽然說：“爸爸，快看我！”。

      “我的本性讓我沖動(dòng)的答道，非常棒，努力登上梯頂吧。我希望她能夠避免父母過渡保護(hù)她的風(fēng)險(xiǎn)，” Westerman 解釋說，“但是，她母親卻給出相反的建議，要她馬上下來，希望我們的女兒能夠避免掉下來受到傷害的風(fēng)險(xiǎn)。我們兩個(gè)對于風(fēng)險(xiǎn)的看法是不一樣的，雖然我們兩個(gè)首先都是為我們的女兒的福利著想。在我們看來這件事情的結(jié)果是：一個(gè)最好的反應(yīng)是我們站在她旁邊，然后讓她爬到她自己想到達(dá)的高度，如果她跌倒了的話，我們就呆在她的身邊。” Westerman 認(rèn)為傳遞的信息是，在他女兒的安全有適當(dāng)?shù)谋Ｕ系那疤嵯拢畠嚎梢猿惺芨蟮娘L(fēng)險(xiǎn)。

      但是，有時(shí)候你向別人傳遞你的ERM信息的時(shí)候，你最好不要向?qū)Ψ教崞鹨稽c(diǎn)點(diǎn)的風(fēng)險(xiǎn)。當(dāng)Sharon 還是廣告商肯國際集團(tuán)（McCann WorldGroup ）的CIO的時(shí)候，他就經(jīng)常避免談?wù)擄L(fēng)險(xiǎn)的話題。在參與集團(tuán)全球的代理帳戶部門的時(shí)候，他就知道那些會(huì)計(jì)經(jīng)理們是不會(huì)理解他所說的風(fēng)險(xiǎn)管理的。該部門的業(yè)務(wù)涉及全球100多個(gè)市場，在跟蹤記錄其電子郵件和傳真方面面臨著不小的困難，因?yàn)檫@些資料都涉及集團(tuán)所有的業(yè)務(wù)范圍。這些通訊資料頻繁地發(fā)生丟失的現(xiàn)象，或者需要很長的時(shí)間才能下載下來，大大增加了該部門不能迅速對客戶的需求做出反應(yīng)的風(fēng)險(xiǎn)。