CIO们经常问,“我们面临的IT风险是什么?”不幸的是,这个问题太笼统了,因为有如此多类型的风险。在开始任何风险评估之前,IT需要同时理解厉害关系导致需求的道理,以及哪些风险需要被评估。更重要的是,每个人都需要理解可能会影响IT企业全部业务的几乎所有的风险。
风险可以分为四类,需要不同的缓解工具:
商业运营风险
一个评估要判断解决还是忽略某个具有挑战的威胁的风险。分析挑战性的威胁可以帮助企业决定是否投入必要的资源来战胜威胁。
判断如何对来自非传统的资源的挑战性威胁做出合理反映是非常困难的。例如,许多高技术企业都认为微软只不过是一群哈佛的退学生而已。他们因为没有理解到这个风险而付出了沉痛的代价。
适当的缓解工具是一个可以评估所有相关风险的良好的商业情况。对于新的商业机会来说,一个彻底的风险评估对于成功来说,就像是精确投入资金一样重要。
计划风险
对于通过的或者现有的计划来说,管理的关键集中在计划或者项目是否会在预算之内,高质量的按时交货。风险可以通过有效的项目管理和定期监控来降低。
业务中断风险
这种类型的风险影响了公司在困难的环境下继续运营的能力。场景从崩溃的服务器到被毁灭的建筑物,范围极其广泛。在大多数情况中,一个崩溃的服务器对于某些人来说只引起了微小的问题。相反,一个被毁灭的建筑物可能让所有的企业运行都停顿下来了。
风险可以通过持续的运行(COOP)计划来降低,这个计划描述了业务如何在各种困难中继续运转。大多数企业在开始的时候都会为数据中心准备了IT灾难恢复计划(DRP)。最终,DRP需要被扩宽,以便将重点集中在重新存储业务处理和发展为一个成熟的COOP计划上。
市场风险
这种类型的风险可以划分为地域和特定行业的风险。地域风险包括战争,恐怖行动和瘟疫,还有国家和进口限制。这些风险根据不同的国家、社会供应链的复杂度,以及该行业对于政治领导人的重要意义而有所区别。特定行业的风险也是多种多样。例如,金融服务必须通过信用挤压,债务抵押义务的彻底崩溃,以及结构化投资手段来进行竞争。消费产品制造商可能会因为“flash mobs”通过社会网络倾销他们的产品而感到苦恼。
场景计划可以通过制定应对各种不可能的事件的反应来降低风险。最重要的是,它尝试发现先前未知的风险,因为最危险的风险通常是你没有识别的风险。
采购行为——特别是离岸——增加了各个种类的风险。对这些风险的评估必须要解决类似通讯、逻辑困难、供应商变化,以及知识产权等特殊的关键点。
在着手开始任何风险评估之前,弄清楚哪个类型的风险对于你的执行管理来说最为紧要。然后选择合适的风险降低工具来解决潜在的困难。根据财务结果,风险的保单才会被批准。
彻底的风险评估可以为解决潜在威胁的结构化准备带来创造性的思维,这些创造性的思维对于成功至关重要。正如那句流传已久的格言所说,“预先警告就是预先武装。”