会员登录
会员注册Sharon 并没有和他们谈论资料丢失带来的风险,而是和他们一起讨论怎样改进内部网络从而提供服务质量。Sharon 告诉他们自己是多么地了解他们的艰苦工作,并且承诺说他将为他们提供更好的后勤支持服务,以便让他们集中精力为客户提供优质的服务。他回顾到,自从公司的网站建设完成了之后,该部门可以做出实时的商业决策,大大降低了客户因对服务速度不满而造成的流失的风险。
不过,有时候采用最直接的方法也会获得最好的效果。Westerman 讲述了一个财富100强企业中一位CIO的故事,该CIO为了处理一个看起来比通常的风险要大的大型IT项目的时候,他不得不努力去说服董事会。让人惊奇的是该公司的IT 部门从来就没有发生过项目延期或者预算超支的现象,因为他们每次评估项目所需的时间和资金的时候,他们总是在最初的评估数字上再增加一倍。
事实上,CIO如果采用这种管理的方式对于公司来说是极其危险的,因为他并没有给企业的管理层提供准确的信息来做商业决策。同时也刺激了IT 部门去花费更多的资金。CIO 应当做出准确的决定,他应该告诉公司董事会最准确的成本估计和项目结束时间,并且能够给出将来项目可以带来的更多的资金和时间收益。
Westerman 认为,在会议开始之前,一个很镇定的CIO 也会忐忑不安的。因为,他们担心公司的董事会会认为他们的方法缺乏合适的分析而且增加了项目失败的风险。但是,事实上董事会往往会同意他们的项目的,而且即使CIO 在项目实施了几个月以后再来说项目需要更多的时间和资金的时候,董事会一般还是不会指责CIO们的判断的。但是,CIO应该自己主动去为类似的风险做好准备。
第四个步骤:离开办公室
CIO们需要经常离开自己的办公室,到各处去走走,会晤其他部门的经理们,或者去看看公司的一些关键的设施,这是公认的最佳的IT领导实践做法。而且这种做法对于那些领导ERM项目的CIO们来说尤其显得重要。那是因为ERM项目一般都要求企业文化的改变,如果ERM的思想和实践没有得到加强的话,企业的员工往往都会有一种倾向让他们忽视ERM的要求,重新回到他们传统的考虑风险的思维方式。
Sharon 认为领导ERM项目的CIO们需要努力去建立良好的私人关系。CIO 们必须去解决那些对业务伙伴很重要的问题,不管这些问题看上去是否琐碎,而且你还要通过引入新的流程来提高他们在商业运营方面的觉悟。
Santiago 谈到他为了向NASA的同事们解释他的关于ERM提高IT 系统安全的概念的时候,他亲自拜访了NASA内部的几百位经理和员工,横跨NASA所有的部门。他跑到NASA的总部举行各种各样的电话会议和展览,向人们阐述他的系统降低IT安全性风险的理念,并且向他们提出自己的建议。他的听众包括NASA各个分部的CIO、负责IT 安全的员工、产品线的经理和工程师——任何人都可以去参加。通过Santiago 九个月的不懈努力,NASA的人终于开始接受他的思想。
Santiago 把他的IT安全展览一直伴随着航天飞机项目的电脑安全专家们持续到12月份。展览的目的就是确立建立起IT系统安全计划的步骤。其中一项任务就是定义哪些在中心传递的信息是需要保密的。然后,这个小组才开始辨认信息风险——系统容易受到病毒感染和攻击的漏洞,内部的员工有意或者无意的行为造成对系统信息的更改,同时还就降低这些风险的步骤进行了深入的探讨。
“大家开始并争论如何才能把这些事情做好,” Santiago 高兴地说“这意味着他们接受了我的观点,我知道我已经取得了成功,他们开始停止谈论我个人和我的计划,而是开始使用‘我和我们’这些单词。”同时,他还发现NASA所有的负责安全的员工都开始从日常运作去着手寻找运营的风险。至此,ERM已经成为他们日常工作的一部分。