從一本暢銷書說(shuō)起
2005年到2006年最具影響力的經(jīng)濟(jì)和管理類圖書是哪一本?筆者認(rèn)為是托馬斯-弗里德曼的《世界是平的》。
在《世界是平的》這本書中,給讀者沖擊最大的就是該書作者弗里德曼總結(jié)出來(lái)的碾平世界的十大力量。這十大力量就是:
從弗里德曼總結(jié)的十大力量看,技術(shù)對(duì)世界的影響,特別是信息化技術(shù)的影響非常之深刻。其中,Windows操作系統(tǒng)、互聯(lián)網(wǎng)、瀏覽器、BBS論壇、博客、搜索引擎等等通過(guò)建立基礎(chǔ)平臺(tái)和上傳下達(dá)的信息知識(shí)渠道,已經(jīng)讓原先可能存在的貿(mào)易壁壘、文化壁壘、地理壁壘等等被越削越平。弗里德曼以印度成為美國(guó)的夜間辦公室為例闡述了外包的力量,以中國(guó)成為全球制造廠為例闡述了離岸經(jīng)營(yíng),將沃爾瑪闡述為一個(gè)超級(jí)供應(yīng)鏈擁有者而不僅僅是一個(gè)零售商,當(dāng)然UPS也不僅僅是一個(gè)快遞公司而是一個(gè)通過(guò)內(nèi)包模式經(jīng)營(yíng)著的供應(yīng)鏈企業(yè)。在這個(gè)過(guò)程中,移動(dòng)技術(shù)、虛擬技術(shù)等也都起著催化劑的作用,助推著碾平世界的力量。這其中,都離不開(kāi)信息技術(shù)和信息化。
信息化對(duì)于當(dāng)今社會(huì)政治、經(jīng)濟(jì)、文化等方面的影響如此之大,作為一個(gè)現(xiàn)代企業(yè),走上信息化之路可以說(shuō)是必然的趨勢(shì)和不得不作的選擇。
當(dāng)然,信息化不僅僅帶來(lái)了新的業(yè)務(wù)機(jī)會(huì)和挑戰(zhàn),同時(shí)也帶來(lái)了很多我們不太喜歡的副產(chǎn)物。比如,讓家長(zhǎng)們頭痛的孩子們難以戒掉的網(wǎng)游癮;再比如,全球都難以根治的網(wǎng)上色情;以及借助信息技術(shù)和網(wǎng)絡(luò)開(kāi)展的犯罪行為等。信息化也是一把雙刃劍,在應(yīng)用信息化來(lái)創(chuàng)造效益的同時(shí),也要防止信息化給我們帶來(lái)危害。
面向企業(yè)業(yè)務(wù),從風(fēng)險(xiǎn)防范到風(fēng)險(xiǎn)經(jīng)營(yíng)
隨著現(xiàn)代企業(yè)管理制度在國(guó)內(nèi)企業(yè)中逐步完善,企業(yè)管理中各種先進(jìn)的方法都得到了廣泛的應(yīng)用,其中一個(gè)很重要的方法是“風(fēng)險(xiǎn)管理”。
幾乎,在所有的管理方法中,也都會(huì)包含“風(fēng)險(xiǎn)管理”這一環(huán)節(jié)。比如,在美國(guó)項(xiàng)目管理協(xié)會(huì)PMI的項(xiàng)目管理方法論中的9大要素中,有一個(gè)就是風(fēng)險(xiǎn)管理。再比如,發(fā)源于惠普公司的企業(yè)計(jì)劃十步方法中,其中的第八步就是“潛在問(wèn)題和風(fēng)險(xiǎn)分析及運(yùn)用”。總體來(lái)說(shuō),常說(shuō)的風(fēng)險(xiǎn)都是一個(gè)負(fù)面的詞匯。而隨著大家對(duì)于風(fēng)險(xiǎn)的認(rèn)識(shí)越來(lái)越深入,對(duì)于風(fēng)險(xiǎn)的理解也越來(lái)越全面。
2006年6月6日,國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)印發(fā)了《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》(以下簡(jiǎn)稱《指引》),指出企業(yè)全面風(fēng)險(xiǎn)管理是一項(xiàng)十分重要的工作,關(guān)系到國(guó)有資產(chǎn)保值增值和企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展。并期望通過(guò)《指引》指導(dǎo)企業(yè)開(kāi)展全面風(fēng)險(xiǎn)管理工作,進(jìn)一步提高企業(yè)管理水平,增強(qiáng)企業(yè)競(jìng)爭(zhēng)力,促進(jìn)企業(yè)穩(wěn)步發(fā)展。
在《指引》的第三條,就旗幟鮮明地提出了對(duì)于風(fēng)險(xiǎn)的認(rèn)識(shí):
“第三條 本指引所稱企業(yè)風(fēng)險(xiǎn),指未來(lái)的不確定性對(duì)企業(yè)實(shí)現(xiàn)其經(jīng)營(yíng)目標(biāo)的影響。企業(yè)風(fēng)險(xiǎn)一般可分為戰(zhàn)略風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、運(yùn)營(yíng)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)等;也可以能否為企業(yè)帶來(lái)盈利等機(jī)會(huì)為標(biāo)志,將風(fēng)險(xiǎn)分為純粹風(fēng)險(xiǎn)(只有帶來(lái)?yè)p失一種可能性)和機(jī)會(huì)風(fēng)險(xiǎn)(帶來(lái)?yè)p失和盈利的可能性并存)。”
這一條非常清楚地指出,從企業(yè)經(jīng)營(yíng)者的角度看,不僅僅“可能遭到一些破壞”是我們所稱的風(fēng)險(xiǎn),而“可能不能達(dá)到預(yù)期的經(jīng)營(yíng)目標(biāo)”也同樣是風(fēng)險(xiǎn)。當(dāng)然,從正向的角度看,“可能超出預(yù)期的經(jīng)營(yíng)指標(biāo)”也是作為管理者需要關(guān)注的機(jī)會(huì)風(fēng)險(xiǎn)。
在這樣的形勢(shì)下,企業(yè)經(jīng)營(yíng)者應(yīng)當(dāng)怎么做呢?就像《指引》第四條所說(shuō)的那樣:
“第四條 本指引所稱全面風(fēng)險(xiǎn)管理,指企業(yè)圍繞總體經(jīng)營(yíng)目標(biāo),通過(guò)在企業(yè)管理的各個(gè)環(huán)節(jié)和經(jīng)營(yíng)過(guò)程中執(zhí)行風(fēng)險(xiǎn)管理的基本流程,培育良好的風(fēng)險(xiǎn)管理文化,建立健全全面風(fēng)險(xiǎn)管理體系,包括風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)理財(cái)措施、風(fēng)險(xiǎn)管理的組織職能體系、風(fēng)險(xiǎn)管理信息系統(tǒng)和內(nèi)部控制系統(tǒng),從而為實(shí)現(xiàn)風(fēng)險(xiǎn)管理的總體目標(biāo)提供合理保證的過(guò)程和方法。”
按照這個(gè)大思路,全面風(fēng)險(xiǎn)管理就是讓企業(yè)從簡(jiǎn)單的風(fēng)險(xiǎn)防范逐步向全面的風(fēng)險(xiǎn)經(jīng)營(yíng)過(guò)渡,讓風(fēng)險(xiǎn)的意識(shí)和管理方法能夠貫徹到整個(gè)的企業(yè)組織中,讓風(fēng)險(xiǎn)管理的流程在組織中貫通,讓風(fēng)險(xiǎn)管理的工具和基礎(chǔ)設(shè)施能夠被有效地部署。當(dāng)然,在向風(fēng)險(xiǎn)經(jīng)營(yíng)過(guò)渡的過(guò)程中,做好全面的風(fēng)險(xiǎn)防范工作是必須的基礎(chǔ)。
不管從風(fēng)險(xiǎn)防范的角度看,還是從風(fēng)險(xiǎn)經(jīng)營(yíng)的角度看,風(fēng)險(xiǎn)所針對(duì)的都是企業(yè)的業(yè)務(wù)。風(fēng)險(xiǎn)管理工作必須從業(yè)務(wù)風(fēng)險(xiǎn)出發(fā),才能真正切合企業(yè)的需要。
從企業(yè)業(yè)務(wù)出發(fā)的信息化風(fēng)險(xiǎn)
信息化是企業(yè)一定要做的,而且已經(jīng)是正在進(jìn)行的一項(xiàng)業(yè)務(wù)活動(dòng)。那么信息化必然圍繞著企業(yè)風(fēng)險(xiǎn)有其突出表現(xiàn)。
1. 信息化風(fēng)險(xiǎn)是業(yè)務(wù)風(fēng)險(xiǎn)的組成部分
現(xiàn)在,很多行業(yè)中,信息系統(tǒng)和信息技術(shù)應(yīng)用已經(jīng)成為了業(yè)務(wù)不可分割的部分。比如,電信運(yùn)營(yíng)商行業(yè)完全就是在經(jīng)營(yíng)一個(gè)信息網(wǎng)絡(luò)及其上的增值服務(wù)。再比如,我國(guó)的商業(yè)銀行的日常業(yè)務(wù)已經(jīng)完全依賴信息系統(tǒng)和網(wǎng)絡(luò)才能展開(kāi),而且伴隨加入WTO后我國(guó)銀行業(yè)保護(hù)期的結(jié)束,信息化也將是中資銀行應(yīng)對(duì)國(guó)外金融大鱷進(jìn)攻的有力武器。大型的制造企業(yè)、資源型企業(yè)和物流企業(yè)等等,都在紛紛建設(shè)ERP系統(tǒng)以提高整體的運(yùn)營(yíng)效率和效果。
企業(yè)對(duì)于信息系統(tǒng)的依賴度越來(lái)越高。這個(gè)時(shí)候,信息系統(tǒng)本身所可能產(chǎn)生的信息風(fēng)險(xiǎn),就會(huì)直接或間接地導(dǎo)致依賴于這些信息系統(tǒng)的業(yè)務(wù)產(chǎn)生風(fēng)險(xiǎn)。一個(gè)依賴于信息系統(tǒng)的資源調(diào)撥系統(tǒng),在系統(tǒng)出現(xiàn)故障的時(shí)候,所有貨車可能就要停在倉(cāng)庫(kù)前等待信息了;一個(gè)依靠無(wú)線網(wǎng)絡(luò)作為調(diào)度基礎(chǔ)平臺(tái)的港口,在網(wǎng)絡(luò)病毒泛濫的時(shí)候,可能整個(gè)港口的裝卸工作就要停頓了。
所以說(shuō),信息化風(fēng)險(xiǎn)是業(yè)務(wù)風(fēng)險(xiǎn)的組成部分。如果從《指引》第四條所闡述的戰(zhàn)略風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、運(yùn)營(yíng)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)中看,信息系統(tǒng)的風(fēng)險(xiǎn)應(yīng)當(dāng)直接歸類到運(yùn)營(yíng)風(fēng)險(xiǎn)中。另外一個(gè)可以參考的例子就是國(guó)際上針對(duì)銀行業(yè)的新《巴塞爾資本協(xié)議》,其中將銀行的風(fēng)險(xiǎn)分為信用風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn),而信息風(fēng)險(xiǎn)就在操作風(fēng)險(xiǎn)中體現(xiàn)。
2. 信息化是威脅的一種渠道
在一般的風(fēng)險(xiǎn)管理中,常常將威脅闡述為風(fēng)險(xiǎn)產(chǎn)生的外因。在全世界第一個(gè)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)——澳大利亞標(biāo)準(zhǔn)AS/NZS4360《風(fēng)險(xiǎn)管理》中,就提出評(píng)估風(fēng)險(xiǎn)主要是評(píng)估威脅和評(píng)估資產(chǎn)影響。
在大規(guī)模應(yīng)用信息系統(tǒng)之前,威脅企業(yè)業(yè)務(wù)的方式主要在市場(chǎng)上(也就是交易過(guò)程和環(huán)境中)、組織上(比如人員流失)、物理環(huán)境上(比如自然災(zāi)害)等等。而現(xiàn)在由于信息系統(tǒng)的廣泛應(yīng)用,威脅企業(yè)核心業(yè)務(wù)的一個(gè)有效方式可以通過(guò)對(duì)信息系統(tǒng)的破壞來(lái)實(shí)現(xiàn),比如:病毒傳播泛濫、通過(guò)網(wǎng)上滲透偷竊敏感資料、內(nèi)部人員通過(guò)郵件泄露核心機(jī)密等等。
3. 信息化具有放大作用
當(dāng)今的信息系統(tǒng)已經(jīng)被網(wǎng)絡(luò)連接成一個(gè)大系統(tǒng),一個(gè)大網(wǎng)。信息系統(tǒng)能夠?yàn)槲覀兊臉I(yè)務(wù)能力產(chǎn)生放大效應(yīng)應(yīng)當(dāng)不用多說(shuō),另一方面,信息系統(tǒng)也是負(fù)面作用的放大器。比如,一個(gè)學(xué)校食堂的衛(wèi)生事件,可能由于學(xué)生們?cè)谛?nèi)論壇的傳播迅速成為學(xué)校內(nèi)的大事,再借由學(xué)生們的個(gè)人博客,媒體的推波助瀾,迅速借助互聯(lián)網(wǎng)和傳統(tǒng)媒體而成為一個(gè)社會(huì)事件。這種現(xiàn)象已經(jīng)不是奇聞了。
在業(yè)務(wù)風(fēng)險(xiǎn)管理,特別是信息風(fēng)險(xiǎn)管理的過(guò)程中要充分認(rèn)識(shí)這種特點(diǎn)。
4. 信息化是控制風(fēng)險(xiǎn)的有效手段和必要工具
當(dāng)然,信息系統(tǒng)和信息技術(shù)應(yīng)用不僅僅可能帶來(lái)新的風(fēng)險(xiǎn),另一方面,也能夠幫助我們控制風(fēng)險(xiǎn)。在《指引》中的第八章,就特意用相當(dāng)?shù)钠鶎iT闡述“風(fēng)險(xiǎn)管理信息系統(tǒng)”。
現(xiàn)今,信息系統(tǒng)可以讓我們盡快地掌握企業(yè)各個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)苗頭,通過(guò)網(wǎng)絡(luò)將風(fēng)險(xiǎn)數(shù)據(jù)收集在一起,進(jìn)行綜合分析和數(shù)據(jù)挖掘。在國(guó)外的一些先進(jìn)的商業(yè)銀行,當(dāng)你向行長(zhǎng)詢問(wèn)銀行的風(fēng)險(xiǎn)狀況的時(shí)候,他會(huì)立刻打開(kāi)桌上的電腦,給你展示由“集中風(fēng)險(xiǎn)監(jiān)控系統(tǒng)”顯示出來(lái)的風(fēng)險(xiǎn)分布圖、當(dāng)前熱點(diǎn)風(fēng)險(xiǎn)事件等等。這樣的工具對(duì)于企業(yè)經(jīng)營(yíng)者的感知和決策是非常非常重要的。在關(guān)鍵時(shí)刻,甚至于可以說(shuō)是生死攸關(guān)的。
信息系統(tǒng)不僅僅可以成為一個(gè)風(fēng)險(xiǎn)監(jiān)控系統(tǒng),也同樣可以成為一個(gè)風(fēng)險(xiǎn)應(yīng)對(duì)和響應(yīng)的支撐工具和平臺(tái)。現(xiàn)在,在一些先進(jìn)城市正在建設(shè)的公共事件應(yīng)急響應(yīng)平臺(tái)中,信息系統(tǒng)就是和交通、通信等系統(tǒng)一樣的關(guān)鍵基礎(chǔ)設(shè)施。
5. 信息風(fēng)險(xiǎn)管理的融合
總之,信息風(fēng)險(xiǎn)應(yīng)當(dāng)成為企業(yè)經(jīng)營(yíng)者重點(diǎn)關(guān)注的風(fēng)險(xiǎn)之一。為了實(shí)現(xiàn)信息風(fēng)險(xiǎn)管理和業(yè)務(wù)風(fēng)險(xiǎn)管理的融合,一個(gè)最徹底的方式就是在組織上的保證。比如:世界十大銀行之一的瑞士聯(lián)合銀行,就設(shè)立了一個(gè)高管職位“首席風(fēng)險(xiǎn)官”。而首席風(fēng)險(xiǎn)官下屬的組織體系中,就有專門的高級(jí)管理人員和部門負(fù)責(zé)信息風(fēng)險(xiǎn)。
信息安全產(chǎn)業(yè)的支持
信息風(fēng)險(xiǎn)管理從根本方法上和業(yè)務(wù)風(fēng)險(xiǎn)管理是一致的。在風(fēng)險(xiǎn)管理中,只要抓住“資產(chǎn)—業(yè)務(wù)、威脅、防護(hù)措施”這三大要素,就抓住了風(fēng)險(xiǎn)管理的實(shí)質(zhì),也就抓住了零亂的風(fēng)險(xiǎn)管理線索中的線頭。
當(dāng)然,信息風(fēng)險(xiǎn)管理由于具備相當(dāng)?shù)膶I(yè)性,和一般的風(fēng)險(xiǎn)管理還是有一定差異,這個(gè)專業(yè)性就是“信息安全”,也常常稱為網(wǎng)絡(luò)安全,《指引》中也同樣提到了這一點(diǎn)。信息安全風(fēng)險(xiǎn)管理的一些特殊性,可以簡(jiǎn)單地用下面這個(gè)信息安全保障總體框架圖來(lái)表達(dá):
當(dāng)前已經(jīng)相當(dāng)成熟的信息安全產(chǎn)品、服務(wù)和平臺(tái)都可以對(duì)應(yīng)到這個(gè)框架中。信息安全產(chǎn)品如:防火墻、入侵檢測(cè)、漏洞掃描、防病毒、加密、身份認(rèn)證、業(yè)務(wù)審計(jì)、存儲(chǔ)備份等等;信息安全服務(wù)如:系統(tǒng)風(fēng)險(xiǎn)評(píng)估和加固、信息安全管理體系咨詢服務(wù)、應(yīng)急服務(wù)、安全事件監(jiān)控服務(wù)等等;信息安全平臺(tái)如:風(fēng)險(xiǎn)監(jiān)控平臺(tái)、綜合審計(jì)平臺(tái)、應(yīng)急響應(yīng)支撐平臺(tái)、集中身份認(rèn)證平臺(tái)等等。
可喜的是,我國(guó)信息安全產(chǎn)業(yè)已經(jīng)經(jīng)歷了10年的發(fā)展歷程,在很多關(guān)鍵技術(shù)和管理領(lǐng)域掌握了核心能力,可以成為支撐我國(guó)國(guó)有大中型企業(yè)信息安全風(fēng)險(xiǎn)管理工作的主力軍。
相信,在黨中央的正確領(lǐng)導(dǎo)下,在國(guó)資委《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》的推動(dòng)下,在國(guó)內(nèi)信息安全產(chǎn)業(yè)的支持下,在各大企業(yè)經(jīng)營(yíng)者的重視和落實(shí)下,我國(guó)大中型國(guó)有企業(yè)的全面風(fēng)險(xiǎn)管理工作一定可以取得卓有成效的成績(jī),進(jìn)而穩(wěn)步推動(dòng)企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展,使得國(guó)有大中型企業(yè)成為構(gòu)建和諧社會(huì)的最牢固基石。
