敷药等大手术,所以他们以为我的医术最高明,因此名气响遍全国。”
朱永明认为,这个为人熟知的故事讲了一个很浅显的道理——事后控制不如事中控制,事中控制不如事前控制。可惜大多数CIO均未能体会到这一点,等到错误的决策造成了重大损失才寻求弥补。弥补得好,当然是声名鹊起,但更多的时候是亡羊补牢,为时已晚。
“日本的活力门事件是一个典型的乌龙球。”李大鹏也对事前控制的重要性深有体会,“这一事件的实质是系统设计容量没有一个很好的预期,不知道峰值在哪里,完全是个失职行为。”
太平洋保险集团的程明是一名“海归”,他指出,中国内地企业在风险管理上往往采取临时应急的办法,主要是因为缺少经验或管理团队缺乏管理训练的缘故。外国企业更熟悉如何调配资源来进行风险管理规划,而中国企业则是到了感到事态不妙时,才开始到处求助和做准备。
“风险虽然是很难避免的,但是我们可以积极应对,去有效地组织、建立我们的管理体系。”程明把风险的发生比喻成人的生死,分为四个阶段:第一个阶段就是前兆阶段,如果先兆处理得好也许风险就不会发生;但是如果没有处理好就会进入下一个阶段——紧急阶段,这个时候事件已经发生了,就需要去积极应对;到第三个阶段就是相持阶段,这个时候相对平稳,但是仍然有恶化的可能,相对来讲可能也是最艰难的阶段;到最后阶段,风险事件得到完全解决,总结经验教训。
李大鹏谈到,许多酿成重大风险事件企业的CIO,对于企业自身系统往往会有一种“明显是问题,早晚必爆发”的感觉。就是说,如果这些CIO能在早期采取行动的话,很多风险都可以早早消除,不必等着成为事件后再来处理。
由此可见,正如一位经历过风险事件的CIO所总结的那样:风险管理绝不是风险出现了以后才开始的管理,化解风险,就是在问题爆发之前,在其尚在胚胎中将其化解。这等“武功”需要修炼的时间就要长得多,而且要有运行良好的日常工作监督和反馈机制。任何风险问题的爆发,都有其酝酿的过程,处理得当,则可以事半功倍地化解风险。
建立高效体制
IT风险管理除了在思想和行动上要做到事前控制外,在体制上,CIO也应建立起一套灵活高效的管理体制。
国内企业,尤其是国有企业的管理体系存在两方面的脆弱性:首先,他们的管理体系是建立在一种常态假设之上的,包括首席执行官(CEO)在内的管理者,都“宁愿”相信天天无险、日日平安的可能,都习惯于按常态规划和开展工作。但是,管理环境中的不确定性总是存在的,难以预料的危机是无法避免的,因此,基于常态假设的管理体系具有很大的脆弱性。其次,在许多公司,风险管理是由各部门各自进行,尽管这样做有利于实现“分工负责”,但是当发生需要多个部门共同应对的“综合性”风险时,将产生很高的协调成本,并严重影响反应速度。
如何打破风险管理体系中的常态假设等弊端?朱永明建议,企业可以事先建立一个风险管理小组,小组成员由不同部门的负责人参加,这个小组的作用就是为解决风险问题而协调各部门的资源。“这样做的好处是,当风险事件发生的时候,可以有效地杜绝相关部门推诿扯皮的现象。”身兼财务和IT多项职位的朱永明就在黄金搭档负责这样一个小组。2006年初,这个小组在解决一次重大的客户资源泄密事件中起到了积极作用。
在风险管理体制中引入“外部人”参与决策也是一个很好的方法。程明的经验是,面临“非常规问题”的IT风险事件,“内部人”的智慧短缺不可避免,而“外部人”参与决策则可能出现柳暗花明的局面。
所谓“常规问题”和“非常规问题”,前者是指那些重复出现的日常管理问题,后者是那些偶然发生的、管理者很少遭遇过的管理问题,风险问题就属于非常规问题。