的几个月里,哥伦比亚号飞机坠毁事故的独立调查委员会发现,导致事故的表明原因是由行李箱大小的一块泡沫材料所引发的,这块材料在升空时从航天飞机外部燃料箱上脱落,在机翼的隔热瓷瓦上撞出了一个洞,使得铝合金框架暴露在高温下被融化,更深层次的原因在于:NASA(美国国家航空和宇宙航行局)内部缺乏有效沟通的松懈的安全文化,参于整个航天飞机项目中的各个分包商之间缺乏有效的沟通。因为,各个部门的经理们都是分布在NASA的周围的,由于地理位置的限制,负责航天飞机安全的经理们之间并没有建立起正式的交流、讨论程序,他们也就不能彼此对自己关心的问题和设计等进行探讨,更不可能制定一个全面的控制风险的战略。
在调查结束后,NASA 的管理局任命其总经理来负责促进、改善其内部部门、员工间的交流和沟通。Scott Santiago 做为NASA的代理CIO原来是负责IT系统安全的,现在开始寻找降低IT系统风险的方法和途径。从表面上来看,IT 安全与航天飞机失事的灾难没有任何关系,但是Santiago 知道IT系统是航天飞机项目安全最重要的支持和保证,同时对于NASA 其他的大量的项目来说,IT系统对于项目的成功也具有至关重要的作用。
Santiago 注意到,NASA 的信息系统,不仅仅是各个项目的承包商在使用,而且全国有成百上千的用户也可以进入这个系统,并且在不同的层面上可以修改和共享信息。但是,这些用户几乎都没有和NASA有什么交流和沟通,他们对那些专门针对IT系统的安全性制定的政策和程序几乎一窍不通。由于在使用上缺乏一致性,很可能会给系统带来未知的风险,一些病毒和潜在的漏洞可能会大大降低信息系统的安全性。
为了控制和降低上面的风险,Santiago 开始采用一般企业使用的方式:企业风险管理(ERM)。世界上第一位首席风险官Lam(最先在GE Capital公司担任此职)认为,ERM是指“综合管理业务风险、财务风险、经营风险和风险转移,力求公司股东价值的最大化。”也就是说,企业风险管理思想通过统一分析公司内外的所有风险,制订行政级管理策略来处理这些风险,从而来提高公司的盈利能力。如果措施得当的话,ERM可以通过改善TI系统的管理,优化企业在IT设施上的投资,从而最终降低损失和事故发生的概率,提高企业的价值。
现在像Santiago 一样,很多企业的CIO 都开始面对整个企业风险所带来的挑战,原因很简单:现在的企业越来越依靠IT系统的功能。虽然,ERM 是非常复杂的,对于很多人来说它还是深奥难懂的,同时采用ERM的方法通常都需要改变企业现有的企业文化,这一点往往会导致企业现有员工的抵制,因为一般来说人们都会把风险的出现看作是对他们的批评。Santiago 也知道其实他是很难改变NASA的那些经理们以项目为导向的风险管理方法,何况他们使用这种方法已经有几十年了。“一般的人都会倾向从技术的角度来解决问题,如防火墙、VPNs等等,” Santiago 解释道,“但是,我们必须从整体上来考虑到底是哪些信息与安全相关,我们到底需要做哪些工作来保护那些信息,同时还需要知道如何去管理它们。”
为了让ERM系统有效的运转起来,CIO们需要制定一个专门的领导战略计划。作者曾经对将近30个实施ERM的管理顾问、学者和CIO们做过专访,在此基础上做了一个全面的整理和综合。但是,我们要注意的是,这个五步战略模式其实还可以应用到其他很多的类似领导战略的挑战的。下面的内容是关于其如何应用在ERM中的。