CIO与企业风险管理

作者：Allan Holmes

CIO与企业风险管理：第一步：发现必要性

一些CIO们发现了采用ERM的方式是不可避免的：如果企业不从整体上来把握风险的话，大家面临的只有死路一条。例如，IT 系统已经成为美国海军作战方式的核心。美国海军部门的CIO Dave Wennergren 正在为海军舰队开发一个全军的内部网络，在今年完成之后，该网络将给陆基部队和海洋上的舰队提供一个公共的、标准的平台，通过这个标准的平台，他们可以进行战斗情报的实时共享和交换。

Wennergren 指出，如果系统失灵的话，舰队官兵和飞行战斗人员将得不到他们要攻击目标的信息。9.11事件中，美国的五角大楼也受到了攻击，而海军指挥中心受到的攻击则让军事设施从当地的通讯设施中暴露在风险之下，这也从一个侧面强调了Wennergren 的ERM是关键的观点。

当然有些时候，特别是企业的CEO 或者是公司董事会要求你去实施ERM的战略的时候，你就不需要花费什么额外的工作来让你自己相信ERM的价值了。一直到90年代中期，J.P. 摩根的懂事们才做出了向新的商业风险投资的决定，这还是通过董事会的辩论获得足够的说服力才同意的。不过遗憾的是，新的战略给这家老牌的投资银行带来了一些不愉快的经历，因为那些投资都没有达到预期的目标。

Bill Sharon 曾经担任过该投行的技术风险首席管，现在是J.P. 摩根的顾问和执行懂事，据他回忆，当初决定在新兴的国家开办办事处的决定，并没有考虑运营的风险和范围，包括对银行现有的IT系统和通讯设施带来的冲击，正是这些忽略最后才导致了那些不愉快的经历。

当时，J.P. 摩根的董事长要求执行经理们开发出更好的决策过程来选择投资。Sharon 和房地产部门的主管一起合作，率先开始设计新的流程来满足董事长的要求——包括IT设施要满足任意新的业务的需求。当设计完成后，他意识到他事实上开发了一个从整体上分析企业风险的流程，从那以后他就开始完全接受了ERM的思想。

Sharon 开始询问公司所有部门的人，新的业务选择流程会给他们带来什么样的影响。然后他开发出一个需要满足的条件清单，只有清单上列出的条件得到满足后，相关的员工才可以把新产品或者新的办事处的地点拿到执行委员会上去讨论，包括哪些IT设施或者相关的支持设施的投资。当这个项目被批准实施以后，新的项目的发起人就要去搜集每条业务线或者相关部门的信息，以保证他的项目能够满足Sharon 清单上的要求。

例如，当有人提出要在墨西哥城开设一个办事处，该项目的发起人就要报告项目实施后需要多少台电脑，需要什么样并且如何获得网络连接，以及电力供应的可靠性。虽然所有的这些事情并不是例行的公事，但是它们通常都对新的风险投资的成功具有关键的作用。

Sharon 解释道：“我发现在IT系统中或者在任意的业务中，CIO的责任都是没有边界的，你不可能做完你的工作就回家。而且，在IT系统中，其实是没有一个人真正知道经营战略是什么的。那就是我对ERM的体会，它让所有的人都处于同一个平面。”

CIO与企业风险管理：第二个步骤：定义ERM的语言信息

CIO们成为企业ERM项目的主管之后，需要做的第一件事情就是必须给出明确的定义为什么ERM对于我们的企业是必不可少的，这是ERM项目中最重要的一步之一，这可以让更多的人更好的去理解ERM的意义，同时这也是非常难的一步。因为，ERM项目是横跨整个企业的，你必须要了解企业各个不同业务线的复杂的运作及其相互之间的关系。同时，CIO们还需要考虑你可能忽视或者压根就没有考虑到的事件和结果，尤其是企业的文化是把考虑风险当作一种悲观者的看法的时候。

Barclays （英国巴克莱银行）的商业道德战略负责人David Weymouth（他曾经是该银行的CIO）认为，CIO们必须找到一种描述风险的方式，如果你不能找到合适的描述风险的方法，你将会发现自己无所适从。

要找到有效的描述风险的方式，CIO们可能需要去设计一种新的与行政同事和一般的员工交流的方式。在NASA，Santiago 开发出了一个企业全局系统的模型来维护IT系统的安全，并用此取代NASA 传统的每个部门中心各自负责自己的IT系统安全的做法。通过建立起共同的平台，Santiago 发现，几乎所有的空间项目和系统都要横跨NASA的多个中心，在一个地方发生的事情不仅仅却决于它本身的状况，同时还受到其他地方发生的事情和状况的影响。

Santiago 建立信息中心的依据是：信息必须能够及时传递到需要他们的人那里去。因此，它必须受到保护避免威胁。他不喜欢谈论巩固各个部门的系统的安全，他关心的是他所谓的“信息容器”，谈论的是所有的NASA 雇员从“信息容器”中获取的内容。他制定出“信息容器”中的信息管理者，信息的使用者，并且评估出信息不能到达需要它的人的手中和信息在任意一个方面被修改后所带来的风险。通过该方式，他可以区分出数据受到的不同的风险的大小，并且可以做出缓和风险的最优策略。

巴克莱银行的Weymouth 认为一个定义良好的ERM信息应该包括那些可以改变持怀疑论者的态度的事实。他建立了一个监控系统来收集巴克莱银行运营系统的数据，这些数据包括银行拦截的欺骗付款或阻拦的取消服务企图的次数。通过获得IT部门努力降低的事故的频率——那些事故会导致银行业务的中断，而对于Weymouth 来说，这些事故就意味着风险，通过上述的方式他可以计算出可以节省的具体数目的费用。同时，他还有足够的理由来证明为什么巴克莱银行还应该持续地对IT系统进行投资，以便来有效的防范和缓和风险。

CIO与企业风险管理：第三个步骤：保持灵活性

其实并没有人真正明白风险到底是怎么一回事，而且每个人看待风险的视角都是不一样的。换句话说，CIO们必须很有耐心，同时还要给公司的员工一定的时间让他们来理解你所说的每一句话。灵活性在这里是最关键的，因此，CIO们需要采用不同的话语来让不同的员工去面对你所遇到的风险。

George Westerman 是美国麻省理工学院斯隆管理学院的研究专家，他正在研究ERM与IT系统的关系，为了更好的说明其观点，他列举了一个关于他四岁女儿的故事。小女孩喜欢攀登爬梯的体育活动，一天，当她攀登到半路的时候，她忽然说：“爸爸，快看我！”。

“我的本性让我冲动的答道，非常棒，努力登上梯顶吧。我希望她能够避免父母过渡保护她的风险，” Westerman 解释说，“但是，她母亲却给出相反的建议，要她马上下来，希望我们的女儿能够避免掉下来受到伤害的风险。我们两个对于风险的看法是不一样的，虽然我们两个首先都是为我们的女儿的福利着想。在我们看来这件事情的结果是：一个最好的反应是我们站在她旁边，然后让她爬到她自己想到达的高度，如果她跌倒了的话，我们就呆在她的身边。” Westerman 认为传递的信息是，在他女儿的安全有适当的保障的前提下，他女儿可以承受更大的风险。

但是，有时候你向别人传递你的ERM信息的时候，你最好不要向对方提起一点点的风险。当Sharon 还是广告商麦肯国际集团（McCann WorldGroup ）的CIO的时候，他就经常避免谈论风险的话题。在参与集团全球的代理帐户部门的时候，他就知道那些会计经理们是不会理解他所说的风险管理的。该部门的业务涉及全球100多个市场，在跟踪记录其电子邮件和传真方面面临着不小的困难，因为这些资料都涉及集团所有的业务范围。这些通讯资料频繁地发生丢失的现象，或者需要很长的时间才能下载下来，大大增加了该部门不能迅速对客户的需求做出反应的风险。