风险管理的流程
一些大型的IT项目面对的风险是不确定的。但是,作为项目管理者,必须对此有所了解,尽可能降低这些风险发生的可能性。对于一些常见的,根据自己经验可以预知的风险,需要利用一些手段进行有效预防和做好应对措施。好的风险管理的流程能够缓解风险。
根据卡内基-梅隆大学软件工程学院(Carnegie Mellon University Software Engineering Institute)的研究结果,一个好的风险管理流程包含五个步骤:识别、分析、计算、防御计划,以及执行/评估。
首先,要识别目标和威胁。要识别风险,就先得把你的企业勾画为一个整体。对你的业务来说,什么策略是最重要的?公司制定的每项策略的主要障碍在哪里?是否存在单独的错误点?在数据、资金、原材料,或其他价值较高的公司资产中,公司策略的重心在哪里?把这些因素与业务流程结合起来,判断哪些业务流程会面临风险,或会受到风险的影响。对这些问题,要尽可能地明确。
例如,在卢森堡综合银行(Banque Générale du Luxembourg),公司CIO迈克尔·道芬(Michel Dauphin)和他的同僚就识别出以下对业务来说非常关键的IT风险:
● 如果系统不可用或用户界面不友好,会对业务人员的效率产生影响;
● 由于系统不灵活,使得公司对新的商业机会不能做出快速反应;
● 数据支离破碎;
● 由于对用户接入管理不善,将导致欺诈行为的出现;
● 如果IT无法提供合适的报告方法,企业就无法按照法律要求进行充分的信息披露;
● 如果IT系统运转不正常,会使员工情绪紧张。
高度自信的风险管理者们总是把对风险的评估当作一项任务来对待,从整个企业的角度定期进行回顾检讨。如果把所有IT风险进行分类,就不能对他们进行有效管理。首先叫你的资深IT经理们识别出最重要的风险,以及他们所参与的可能的重要业务流程。要有效地做到这一点,他们很可能需要与他们的合作伙伴通力协作。
其次,分析威胁。给各种资产赋予风险价值,从业务流程、市场,到数据库。价值的形式可以是营业收入的减少或者市场份额的下降。把无形损失,比如商誉损失,转化为经济术语,估算他们对公司销售的影响,是否会引发营销下降,公司受到法律惩罚或罚款。另一个评估资产风险价值的好办法是计算可能的犯罪利益,也就是会吸引外部人员攻击的价值。对于那些损失可能涉及第三方的资产,应该估算出因为疏忽而可能带来的潜在债务。
第三,对每次设想中的攻击,计算出每年的风险。如果你拥有完整的数据资料的话,就能很容易计算出外部对你企业的攻击,以及你响应攻击所用去的费用。你可以用下面的等式来计算每年因风险而造成的潜在损失:每年的潜在损失 = 事件发生的成本 x 漏洞。然后根据风险级别进行优先性排序。
第四,确定可能的防御措施,用它们来平衡风险。一旦你拥有一张可能的防御清单,就按照四个标准来检讨取舍:成本;与企业目标的一致程度或偏离程度;对业务流程的影响,包括成本——这取决于是否需要对流程进行重新设计;以及对当前和未来风险管理行动的影响。最后一项可能取决于:你是否需要一直使用昂贵的、难以获取的技巧和知识;这是否会限制灵活性或缓解其他风险的能力;这是否有利于促进长期、而非暂时的风险管理。
最后,你还必须执行这些防御措施,并对你的成功进行评估。而且,你还要定期汇报识别出来的风险的状态,以及你所采取的风险管理措施。在公司的每一级,管理层应该大致关注五至七个主要的风险,并且定期地向更上一级管理层汇报。
除了利用好的风险管理流程来缓解风险,有些项目管理者会习惯于通过直觉或者说经验来管理风险,这一个比较依赖于项目管理者的能力,不是什么项目经理都可以做到的。而利用风险管理流程来进行风险管理,可借鉴性和可学习性更强。
本文转载自拓源优课:www.toyoke.com
根据卡内基-梅隆大学软件工程学院(Carnegie Mellon University Software Engineering Institute)的研究结果,一个好的风险管理流程包含五个步骤:识别、分析、计算、防御计划,以及执行/评估。
首先,要识别目标和威胁。要识别风险,就先得把你的企业勾画为一个整体。对你的业务来说,什么策略是最重要的?公司制定的每项策略的主要障碍在哪里?是否存在单独的错误点?在数据、资金、原材料,或其他价值较高的公司资产中,公司策略的重心在哪里?把这些因素与业务流程结合起来,判断哪些业务流程会面临风险,或会受到风险的影响。对这些问题,要尽可能地明确。
例如,在卢森堡综合银行(Banque Générale du Luxembourg),公司CIO迈克尔·道芬(Michel Dauphin)和他的同僚就识别出以下对业务来说非常关键的IT风险:
● 如果系统不可用或用户界面不友好,会对业务人员的效率产生影响;
● 由于系统不灵活,使得公司对新的商业机会不能做出快速反应;
● 数据支离破碎;
● 由于对用户接入管理不善,将导致欺诈行为的出现;
● 如果IT无法提供合适的报告方法,企业就无法按照法律要求进行充分的信息披露;
● 如果IT系统运转不正常,会使员工情绪紧张。
高度自信的风险管理者们总是把对风险的评估当作一项任务来对待,从整个企业的角度定期进行回顾检讨。如果把所有IT风险进行分类,就不能对他们进行有效管理。首先叫你的资深IT经理们识别出最重要的风险,以及他们所参与的可能的重要业务流程。要有效地做到这一点,他们很可能需要与他们的合作伙伴通力协作。
其次,分析威胁。给各种资产赋予风险价值,从业务流程、市场,到数据库。价值的形式可以是营业收入的减少或者市场份额的下降。把无形损失,比如商誉损失,转化为经济术语,估算他们对公司销售的影响,是否会引发营销下降,公司受到法律惩罚或罚款。另一个评估资产风险价值的好办法是计算可能的犯罪利益,也就是会吸引外部人员攻击的价值。对于那些损失可能涉及第三方的资产,应该估算出因为疏忽而可能带来的潜在债务。
第三,对每次设想中的攻击,计算出每年的风险。如果你拥有完整的数据资料的话,就能很容易计算出外部对你企业的攻击,以及你响应攻击所用去的费用。你可以用下面的等式来计算每年因风险而造成的潜在损失:每年的潜在损失 = 事件发生的成本 x 漏洞。然后根据风险级别进行优先性排序。
第四,确定可能的防御措施,用它们来平衡风险。一旦你拥有一张可能的防御清单,就按照四个标准来检讨取舍:成本;与企业目标的一致程度或偏离程度;对业务流程的影响,包括成本——这取决于是否需要对流程进行重新设计;以及对当前和未来风险管理行动的影响。最后一项可能取决于:你是否需要一直使用昂贵的、难以获取的技巧和知识;这是否会限制灵活性或缓解其他风险的能力;这是否有利于促进长期、而非暂时的风险管理。
最后,你还必须执行这些防御措施,并对你的成功进行评估。而且,你还要定期汇报识别出来的风险的状态,以及你所采取的风险管理措施。在公司的每一级,管理层应该大致关注五至七个主要的风险,并且定期地向更上一级管理层汇报。
除了利用好的风险管理流程来缓解风险,有些项目管理者会习惯于通过直觉或者说经验来管理风险,这一个比较依赖于项目管理者的能力,不是什么项目经理都可以做到的。而利用风险管理流程来进行风险管理,可借鉴性和可学习性更强。
本文转载自拓源优课:www.toyoke.com
