ccidnet????

出版日期:2004-05-24 总期号:611 本年期号:18

本期导读
新闻直通车
产业观察
应用前沿
选型指南
信息系统
企业管理
技术讲堂
企业追踪
高端导刊
 探寻避“风”的港湾
谈对风险管理的看法
■ 英国Fox信息技术有限公司

   IT服务管理咨询顾问 Nell Battell

   本刊记者 晏创业 译

  尽管风险在组织活动中普遍存在,所产生的影响也很大,但人们对风险的关注程度却显得很轻微。这除了意识方面的欠缺外,没有科学的风险管理方法也是主要原因。关于如何识别和管理风险,请看——

  风险是日常生活的基本组成部分,无论是过马路、开车,还是做一项重要决策,都会承担一定的风险。同样,在商业环境中,实施流程、提供服务和做战略规划时,风险总是随影而至。

  真正能回避风险的做法是拒绝实施含有风险的变更,或停止有风险的行动。但这样做的结果是将引发更严重的风险,因为在竞争时代,任何商业组织都不能承担裹步不前的后果。在现代商业环境中,面对持续变化的IT环境,为了追求成功,所有的管理者首先必须是一个优秀的风险管理者。


  管理风险:从识别风险开始
  以关键IT服务或关键业务流程的某一环节(如销售订购)为例,知道风险隐藏在什么地方吗?这些风险会在什么时候发生?它们对业务的冲击力有多大?

  通常,个人是无法感知所有风险的。比如,服务器管理组的成员深谙服务器中可能发生的风险,但因为缺乏网络管理方面的知识,他们却对网络风险一窍不通。

  组织来自技术团队、IT管理部门和业务部门的代表召开一个“头脑风暴式”的会议,是解决问题最有效的方式。来自各个部门的成员会参与许多关于风险的讨论、获取相关知识,并认识组织各个方面存在的风险。

  仅仅识别风险还不够,量化风险发生的可能性和潜在影响力,也非常重要。在分析风险的时候,经常出现这样的情况:那些被确认为重要级别的风险,最终对组织产生很轻微的影响;而那些被认为是微不足道的风险,却往往产生让人始料不及的严重后果。


  理解风险:磨刀不误砍柴工
  当然,识别和理解风险是要耗费时间和精力的,所以要明白,风险管理肯定是要资源投资的。投资于风险管理,具有充分的理由:

  ◆ 如果不能识别并理解那些存在于计划行动和变更中的风险,那么计划最终肯定会流产。通常,组织在为一个新项目做成本-收益分析时,包括风险分析在内的成本-收益分析是非常必要的。

  ◆ 识别和理解风险使组织有能力去采取前摄性措施防范风险。可以找到监测风险的方法,将风险产生的影响控制在尽可能小的范围。

  ◆ 作为一个管理者,在你工作的控制区域内,于事态发生到不可救药的地步前知晓风险,对于缓解工作压力和扩展职业前景都是可取的。

  识别工作环境中的风险,就像预测隐性热带疾病一样。一种做法是不采取任何行动,只是在主观上期望自己不会遭遇这些风险;另一种做法是分析风险产生的原因,尽一切可能将风险消灭于萌芽之时,或至少能尽早地探测到风险,以便采取对策。


  分析风险:不仅是任务,更是习惯
  在许多IT流程中,尤其是像IT服务可获得性管理、IT服务持续性管理、安全管理、变更管理和发布管理等流程中,风险分析是一项非常重要的活动。随着IT在组织业务中的作用的提升,有必要在组织内营造一种关注风险的文化氛围,在这种氛围中,随时随地分析风险,被看作是理所当然的事情。

  有时,应该特地召开“头脑风暴”式的会议,以识别和讨论风险;同时,“风险分析”应该被列入计划会议、管理会议和团队会议等会议的议事日程。


  增设一个风险记录簿
  无论是个人、团体会议,还是某些正规流程运作(如,可获得性管理)中被识别的风险信息,都应该被记录到一个专门的、规范的IT风险记录簿中去。

  IT风险记录簿中记载的风险信息都应该比较详尽、准确。比如,要准确记载风险所涉及的基础组件、主要操作人员和技术集,而并非一些不着边际、关于风险的常规性东西。以为诸如“硬件问题”这样的记录,可能用于尚可,但对于提升IT的恢复能力是没有任何好处的。

  如果IT风险记录簿详细记载了有关硬件的风险(比如,具体的问题出现在哪个硬件的哪个环节),就可使用于规避风险的费用准确定位,从而避免浪费。

  不仅如此,还应该用一些诸如“硬件故障”或“技术短缺”之类的通俗标题,对这些详细描述的风险进行分类。这样,便于决定哪一层次的风险信息应该被上传到组织的中心风险处理机构,从而受到更高层次的重视。

  此外,也应该对风险出现的可能性,以及风险对组织的潜在影响进行评级。但需要注意的是,不要把这些操作搞得过于复杂。

  通常,有10个或更多个可能性级别,会给人留下非常深刻的印象。但对于IT风险而言,情况就不是这样的了。因为要准确地计算IT风险发生的可能性似乎不太现实,把风险发生的可能性级别定得太繁杂,除了会延误评估进程外,并不能提升评估的准确性。


  应对风险:需要“全攻全守”战术
  在组织的IT运作环境中,风险无处不在,适时地识别并量化IT风险至关重要。风险识别任务并非一定要在像可用性管理或IT服务持续性管理这样比较明晰的流程中完成,在组织的任何层次都要推行风险意识文化,要让每一个团队、每一个技师明白,识别风险,并竭力规避风险是他们不可推卸的责任。

  在风险管理中,不要总是想着如何去投机取巧,比如,仅记录一些老生常谈的风险去应景,这会给风险管理的后继工作带来一系列的连锁麻烦。比如,不能按照风险的级别将其准确分类,也不能识别一些重大风险,并将其上升为企业级风险。一旦这样的风险发生,就会让企业的风险防范体系如同虚设。

  量化风险时,不要把问题搞得过于复杂,必须确保这套量化方法符合组织的目标。

  识别和量化标准后,就要确定事先规避哪些风险,怎么去做。有了风险管理的前期工作,这后一阶段的规避工作就会有的放矢,实施起来也就不困难了。(本文译自Service Talk2003年第10期的《Learning to Understand Risks》。)