尽管企业风险管理开始会比较困难,但frame说:“你很快就能获得回报,项目启动六个月后,获得的数据就可以帮你提高决策能力。” 公司可以采用许多方法。譬如,weymouth说巴克莱的风险流程主要基于 cobit,不过这不意味着他已熟记这份文档。顾问lam建议开始不要拘泥于细节。首先,“实行流程比最终结果来得重要。流程本身会开始暴露出所有那些隐藏风险、互相依赖的关系以及你从未考虑过的诸业务单位之间的风险。”
以下是着手进行企业风险管理的基本步骤:
1.确认风险。这基本上指开会讨论。higgins:“这很简单,完全是进行假设分析。”mccann公司的sharon说,她曾分发调查表,让it人员和业务最终用户评定分为五类的风险。你需要与hr、it、法律、财务等部门的领导开会,讨论公司面临的种种风险。譬如让it部门谈一下it给公司带来的环境风险。在rockwell collins公司,有人可能会提到龙卷风摧毁基础设施或者导致系统停运的风险。随后讨论话题转移到企业:如果系统停运,这对公司业务意味着什么?收入减少?因呼叫中心无法帮助客户而导致声誉受损?这一步关键在于会谈,通过会谈找出不然可能被疏忽的风险。
2.评估风险。如果已经确认了企业风险,现在就要分门别类了。最简单的办法就是在概率影响图上把它们标出来。在每条轴上标出高、中、低等不同风险,这样就可以标出每个风险的概率和影响。下面介绍一下巴克莱公司的weymouth是怎样管理无许可证软件带来的风险的。“如果你有近十万个桌面,无许可证软件就会给公司带来风险。我们测量了总的风险。最坏的情况就是购买许可证、交罚金等,数额为x英镑。但可以缓解这一风险。我们进行了许可证审查,加强了用户意识,所以所有这些工作完成后,我们认为,在最坏情况下,金额其实只有原先的五分之一。然后分析一下发生最坏情况的概率,就可以得出净风险。”
重申一遍,这里的关键是正确,而不是精确。就算weymouth用的是实际数字,五分之一也是有一定依据的估计。比正确更重要的是确保一致性。公司的每个部门要以同样的方法来定义“高、中、低”等风险。
mit的westerman举了个例子:一家跨国化学公司把影响10%运营资本的问题定义为高风险、影响5%到10%的定义为中等风险、影响不到5%的定义为低风险。高风险意味着一年内发生,中等风险意味着一到五年内,而低风险意味着今后五年内不可能发生。关键在于,每个部门使用同样的风险衡量尺度。
3.缓解风险。最后,有了企业风险图,就可以从上面分析怎样控制风险、观察这些控制的效果,然后决定还要做什么。虽然你在风险确认阶段充当风险办公室的配角,但说到缓解风险,人家反而要靠你带头。风险办公室负责对确认风险作出决定,譬如使用无许可证软件的风险。但只有你才能评估你所实施的抵消相关风险的对策,譬如定期清点软件,或者控制桌面配置。
higgins在fbi实施风险管理框架时,发现其项目在桌面更新阶段的风险之一就是需要对用户进行变更管理。如果处理不当,用户工作效率就会骤降,从而有可能严重影响情报分析员打击犯罪的能力。higgins试着在小范围进行推广,然后利用试验所得数据,对项目的风险预测稍作改进。