CIO與企業風險管理一

      Sharon 并沒有和他們談論資料丟失帶來的風險，而是和他們一起討論怎樣改進內部網絡從而提供服務質量。Sharon 告訴他們自己是多么地了解他們的艱苦工作，并且承諾說他將為他們提供更好的后勤支持服務，以便讓他們集中精力為客戶提供優質的服務。他回顧到，自從公司的網站建設完成了之后，該部門可以做出實時的商業決策，大大降低了客戶因對服務速度不滿而造成的流失的風險。

      不過，有時候采用最直接的方法也會獲得最好的效果。Westerman 講述了一個財富100強企業中一位CIO的故事，該CIO為了處理一個看起來比通常的風險要大的大型IT項目的時候，他不得不努力去說服董事會。讓人驚奇的是該公司的IT 部門從來就沒有發生過項目延期或者預算超支的現象，因為他們每次評估項目所需的時間和資金的時候，他們總是在最初的評估數字上再增加一倍。

      事實上，CIO如果采用這種管理的方式對于公司來說是極其危險的，因為他并沒有給企業的管理層提供準確的信息來做商業決策。同時也刺激了IT 部門去花費更多的資金。CIO 應當做出準確的決定，他應該告訴公司董事會最準確的成本估計和項目結束時間，并且能夠給出將來項目可以帶來的更多的資金和時間收益。

      Westerman 認為，在會議開始之前，一個很鎮定的CIO 也會忐忑不安的。因為，他們擔心公司的董事會會認為他們的方法缺乏合適的分析而且增加了項目失敗的風險。但是，事實上董事會往往會同意他們的項目的，而且即使CIO 在項目實施了幾個月以后再來說項目需要更多的時間和資金的時候，董事會一般還是不會指責CIO們的判斷的。但是，CIO應該自己主動去為類似的風險做好準備。

第四個步驟：離開辦公室

      CIO們需要經常離開自己的辦公室，到各處去走走，會晤其他部門的經理們，或者去看看公司的一些關鍵的設施，這是公認的最佳的IT領導實踐做法。而且這種做法對于那些領導ERM項目的CIO們來說尤其顯得重要。那是因為ERM項目一般都要求企業文化的改變，如果ERM的思想和實踐沒有得到加強的話，企業的員工往往都會有一種傾向讓他們忽視ERM的要求，重新回到他們傳統的考慮風險的思維方式。

      Sharon 認為領導ERM項目的CIO們需要努力去建立良好的私人關系。CIO 們必須去解決那些對業務伙伴很重要的問題，不管這些問題看上去是否瑣碎，而且你還要通過引入新的流程來提高他們在商業運營方面的覺悟。

      Santiago 談到他為了向NASA的同事們解釋他的關于ERM提高IT 系統安全的概念的時候，他親自拜訪了NASA內部的幾百位經理和員工，橫跨NASA所有的部門。他跑到NASA的總部舉行各種各樣的電話會議和展覽，向人們闡述他的系統降低IT安全性風險的理念，并且向他們提出自己的建議。他的聽眾包括NASA各個分部的CIO、負責IT 安全的員工、產品線的經理和工程師——任何人都可以去參加。通過Santiago 九個月的不懈努力，NASA的人終于開始接受他的思想。

      Santiago 把他的IT安全展覽一直伴隨著航天飛機項目的電腦安全專家們持續到12月份。展覽的目的就是確立建立起IT系統安全計劃的步驟。其中一項任務就是定義哪些在中心傳遞的信息是需要保密的。然后，這個小組才開始辨認信息風險——系統容易受到病毒感染和攻擊的漏洞，內部的員工有意或者無意的行為造成對系統信息的更改，同時還就降低這些風險的步驟進行了深入的探討。

      “大家開始并爭論如何才能把這些事情做好，” Santiago 高興地說“這意味著他們接受了我的觀點，我知道我已經取得了成功，他們開始停止談論我個人和我的計劃，而是開始使用‘我和我們’這些單詞。”同時，他還發現NASA所有的負責安全的員工都開始從日常運作去著手尋找運營的風險。至此，ERM已經成為他們日常工作的一部分。

第五個步驟：成為模范的公民

      CIO的態度和行為必須與他所傳達的信息保持一致。國際著名咨詢機構Cutter Consortium的CIO Bob Charette 通過他的ERM領導實踐認為如果企業的領導都不能按照規章、流程進行到底的話，剩余的那些步驟也就不會有任何作用了。

      對于企業的業務單元的經理們和行政人員來說，如果你指出他們負責的領域內存在風險的話，他們可能會認為你是在對他們進行批評。同樣地，反過來說，如果有人跑過來和你說他發現的IT系統存在的風險的話，在某些人看來是對你的工作的否定。因此，大家都要改變這種因IT系統導致的風險而否定對方的做法。相反地，CIO們應該鼓勵其手下和公司中的同事來發現企業      IT系統的風險，應當把這些信息看成解決問題的機會。美國前國務卿鮑威爾（Colin Powell），在他還是過美國參謀首長聯席會議的主席的時候，他就非常鼓勵士兵們向他提出各種各樣的問題，他說過一句很有名的話可以給我們很多啟發——“如果有一天你的部下不向你提出問題了，那么那一天也就是你應該停止領導他們的時候。”

      一種推動ERM持續進行的好方法就是，通過不斷的商業測試，不斷加強ERM實施中所需要的持續不斷的關注。就像在學校里面一樣，通過對孩子們不斷進行火警的實踐操練，從而向他們強調安全防火的重要性。CIO 們也應該堅持持續不斷的測試計劃，這樣可以向大家傳遞連續的信號——組織對于處理IT系統的風險是非常嚴肅的。

      美國納斯達克的CIO Steve Randich 正是通過他的數據中心進行持續的、有規律的業務測試計劃，并通過這些測試活動讓公司的員工們時刻注意——ERM是整個組織的核心原則。在納斯達克的公司超過3300家，每秒鐘的處理的交易超過20000筆，同時還從全球350000臺電腦和工作站搜集信息。如果納斯達克不能運營這個交易處理系統，那么它只有關門了。“然后我們只有等待著破產了。” Randich 補充道。

      9.11事件發生以后，納斯達克花了好幾個月的時間把它在紐約的辦公室永久性的遷移出去。但是數據中心仍然沒有停止自己的運作，雖然美國政府宣布交易市場關閉四天，不過通過這件事，Randich 還是發現公司需要更加詳細的風險管理計劃。在新的計劃中，Randich準備添置額外的設施（如電腦和互聯網接入通道），制定在發生災難的情況下雇員的溝通程序和備用的辦公地點。

      Randich 每隔半個月都要檢查自己的假設。他不僅僅對公司的備用系統進行測試，同時還要確認新的雇員在發生緊急情況下能夠獲得去哪里以及做什么的消息。此外，他還要確保在陸上通訊被中斷的情況下，雇員們有足夠的移動電話進行聯系。Randich 還指定了一個團隊處理專門應對突發性的大浩劫，他們將和其他300準備買賣未股票的經紀人共同決定經銷商的需求是否能夠保持市場的正常開放。

      由于經常進行系統的測試，Randich 已經成功的向公司的全體雇員傳遞了這樣一個清楚響亮的信號——IT部門對于維護交易系統網絡的持續性運營是非常嚴肅認真的，不管發生什么事情都不會改變。他強調：“我們的觀點不是危機發生的中途找到所有的風險，而是確定所有可能發生的風險都可以得到妥善的解決。”

      總之，從全球的范圍來看，企業運營中的風險是普遍存在的，而企業的IT系統既是造成風險的原因又是用來管理風險的資源，ERM 現在已經成為管理這些風險的一個根本的措施。Barclays' Weymouth 認為，為了實施ERM，企業需要一位可以信任的領導，他應該是組織中的資深人士，深受整個組織的尊敬，同時他還需要精通組織所有的業務及其相互間的關系。