從一本暢銷書說起
2005年到2006年最具影響力的經濟和管理類圖書是哪一本？筆者認為是托馬斯-弗里德曼的《世界是平的》。
    
在《世界是平的》這本書中，給讀者沖擊最大的就是該書作者弗里德曼總結出來的碾平世界的十大力量。這十大力量就是：

從弗里德曼總結的十大力量看，技術對世界的影響，特別是信息化技術的影響非常之深刻。其中，Windows操作系統、互聯網、瀏覽器、BBS論壇、博客、搜索引擎等等通過建立基礎平臺和上傳下達的信息知識渠道，已經讓原先可能存在的貿易壁壘、文化壁壘、地理壁壘等等被越削越平。弗里德曼以印度成為美國的夜間辦公室為例闡述了外包的力量，以中國成為全球制造廠為例闡述了離岸經營，將沃爾瑪闡述為一個超級供應鏈擁有者而不僅僅是一個零售商，當然UPS也不僅僅是一個快遞公司而是一個通過內包模式經營著的供應鏈企業。在這個過程中，移動技術、虛擬技術等也都起著催化劑的作用，助推著碾平世界的力量。這其中，都離不開信息技術和信息化。
信息化對于當今社會政治、經濟、文化等方面的影響如此之大，作為一個現代企業，走上信息化之路可以說是必然的趨勢和不得不作的選擇。
當然，信息化不僅僅帶來了新的業務機會和挑戰，同時也帶來了很多我們不太喜歡的副產物。比如，讓家長們頭痛的孩子們難以戒掉的網游癮；再比如，全球都難以根治的網上色情；以及借助信息技術和網絡開展的犯罪行為等。信息化也是一把雙刃劍，在應用信息化來創造效益的同時，也要防止信息化給我們帶來危害。

面向企業業務，從風險防范到風險經營
隨著現代企業管理制度在國內企業中逐步完善，企業管理中各種先進的方法都得到了廣泛的應用，其中一個很重要的方法是“風險管理”。
幾乎，在所有的管理方法中，也都會包含“風險管理”這一環節。比如，在美國項目管理協會PMI的項目管理方法論中的9大要素中，有一個就是風險管理。再比如，發源于惠普公司的企業計劃十步方法中，其中的第八步就是“潛在問題和風險分析及運用”。總體來說，常說的風險都是一個負面的詞匯。而隨著大家對于風險的認識越來越深入，對于風險的理解也越來越全面。
2006年6月6日，國務院國有資產監督管理委員會印發了《中央企業全面風險管理指引》（以下簡稱《指引》），指出企業全面風險管理是一項十分重要的工作，關系到國有資產保值增值和企業持續、健康、穩定發展。并期望通過《指引》指導企業開展全面風險管理工作，進一步提高企業管理水平，增強企業競爭力，促進企業穩步發展。
在《指引》的第三條，就旗幟鮮明地提出了對于風險的認識：
“第三條　本指引所稱企業風險，指未來的不確定性對企業實現其經營目標的影響。企業風險一般可分為戰略風險、財務風險、市場風險、運營風險、法律風險等；也可以能否為企業帶來盈利等機會為標志，將風險分為純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存)。”
這一條非常清楚地指出，從企業經營者的角度看，不僅僅“可能遭到一些破壞”是我們所稱的風險，而“可能不能達到預期的經營目標”也同樣是風險。當然，從正向的角度看，“可能超出預期的經營指標”也是作為管理者需要關注的機會風險。
在這樣的形勢下，企業經營者應當怎么做呢？就像《指引》第四條所說的那樣：
“第四條　本指引所稱全面風險管理，指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。”
按照這個大思路，全面風險管理就是讓企業從簡單的風險防范逐步向全面的風險經營過渡，讓風險的意識和管理方法能夠貫徹到整個的企業組織中，讓風險管理的流程在組織中貫通，讓風險管理的工具和基礎設施能夠被有效地部署。當然，在向風險經營過渡的過程中，做好全面的風險防范工作是必須的基礎。
不管從風險防范的角度看，還是從風險經營的角度看，風險所針對的都是企業的業務。風險管理工作必須從業務風險出發，才能真正切合企業的需要。

從企業業務出發的信息化風險
信息化是企業一定要做的，而且已經是正在進行的一項業務活動。那么信息化必然圍繞著企業風險有其突出表現。

1. 信息化風險是業務風險的組成部分
現在，很多行業中，信息系統和信息技術應用已經成為了業務不可分割的部分。比如，電信運營商行業完全就是在經營一個信息網絡及其上的增值服務。再比如，我國的商業銀行的日常業務已經完全依賴信息系統和網絡才能展開，而且伴隨加入WTO后我國銀行業保護期的結束，信息化也將是中資銀行應對國外金融大鱷進攻的有力武器。大型的制造企業、資源型企業和物流企業等等，都在紛紛建設ERP系統以提高整體的運營效率和效果。
企業對于信息系統的依賴度越來越高。這個時候，信息系統本身所可能產生的信息風險，就會直接或間接地導致依賴于這些信息系統的業務產生風險。一個依賴于信息系統的資源調撥系統，在系統出現故障的時候，所有貨車可能就要停在倉庫前等待信息了；一個依靠無線網絡作為調度基礎平臺的港口，在網絡病毒泛濫的時候，可能整個港口的裝卸工作就要停頓了。
所以說，信息化風險是業務風險的組成部分。如果從《指引》第四條所闡述的戰略風險、財務風險、市場風險、運營風險和法律風險中看，信息系統的風險應當直接歸類到運營風險中。另外一個可以參考的例子就是國際上針對銀行業的新《巴塞爾資本協議》，其中將銀行的風險分為信用風險、市場風險和操作風險，而信息風險就在操作風險中體現。

2. 信息化是威脅的一種渠道
在一般的風險管理中，常常將威脅闡述為風險產生的外因。在全世界第一個風險管理標準——澳大利亞標準AS/NZS4360《風險管理》中，就提出評估風險主要是評估威脅和評估資產影響。
在大規模應用信息系統之前，威脅企業業務的方式主要在市場上（也就是交易過程和環境中）、組織上（比如人員流失）、物理環境上（比如自然災害）等等。而現在由于信息系統的廣泛應用，威脅企業核心業務的一個有效方式可以通過對信息系統的破壞來實現，比如：病毒傳播泛濫、通過網上滲透偷竊敏感資料、內部人員通過郵件泄露核心機密等等。

3. 信息化具有放大作用
當今的信息系統已經被網絡連接成一個大系統，一個大網。信息系統能夠為我們的業務能力產生放大效應應當不用多說，另一方面，信息系統也是負面作用的放大器。比如，一個學校食堂的衛生事件，可能由于學生們在校內論壇的傳播迅速成為學校內的大事，再借由學生們的個人博客，媒體的推波助瀾，迅速借助互聯網和傳統媒體而成為一個社會事件。這種現象已經不是奇聞了。
在業務風險管理，特別是信息風險管理的過程中要充分認識這種特點。

4. 信息化是控制風險的有效手段和必要工具
當然，信息系統和信息技術應用不僅僅可能帶來新的風險，另一方面，也能夠幫助我們控制風險。在《指引》中的第八章，就特意用相當的篇幅專門闡述“風險管理信息系統”。
現今，信息系統可以讓我們盡快地掌握企業各個環節的風險苗頭，通過網絡將風險數據收集在一起，進行綜合分析和數據挖掘。在國外的一些先進的商業銀行，當你向行長詢問銀行的風險狀況的時候，他會立刻打開桌上的電腦，給你展示由“集中風險監控系統”顯示出來的風險分布圖、當前熱點風險事件等等。這樣的工具對于企業經營者的感知和決策是非常非常重要的。在關鍵時刻，甚至于可以說是生死攸關的。
信息系統不僅僅可以成為一個風險監控系統，也同樣可以成為一個風險應對和響應的支撐工具和平臺。現在，在一些先進城市正在建設的公共事件應急響應平臺中，信息系統就是和交通、通信等系統一樣的關鍵基礎設施。

5. 信息風險管理的融合
總之，信息風險應當成為企業經營者重點關注的風險之一。為了實現信息風險管理和業務風險管理的融合，一個最徹底的方式就是在組織上的保證。比如：世界十大銀行之一的瑞士聯合銀行，就設立了一個高管職位“首席風險官”。而首席風險官下屬的組織體系中，就有專門的高級管理人員和部門負責信息風險。

信息安全產業的支持
信息風險管理從根本方法上和業務風險管理是一致的。在風險管理中，只要抓住“資產—業務、威脅、防護措施”這三大要素，就抓住了風險管理的實質，也就抓住了零亂的風險管理線索中的線頭。
當然，信息風險管理由于具備相當的專業性，和一般的風險管理還是有一定差異，這個專業性就是“信息安全”，也常常稱為網絡安全，《指引》中也同樣提到了這一點。信息安全風險管理的一些特殊性，可以簡單地用下面這個信息安全保障總體框架圖來表達：

當前已經相當成熟的信息安全產品、服務和平臺都可以對應到這個框架中。信息安全產品如：防火墻、入侵檢測、漏洞掃描、防病毒、加密、身份認證、業務審計、存儲備份等等；信息安全服務如：系統風險評估和加固、信息安全管理體系咨詢服務、應急服務、安全事件監控服務等等；信息安全平臺如：風險監控平臺、綜合審計平臺、應急響應支撐平臺、集中身份認證平臺等等。
可喜的是，我國信息安全產業已經經歷了10年的發展歷程，在很多關鍵技術和管理領域掌握了核心能力，可以成為支撐我國國有大中型企業信息安全風險管理工作的主力軍。
相信，在黨中央的正確領導下，在國資委《中央企業全面風險管理指引》的推動下，在國內信息安全產業的支持下，在各大企業經營者的重視和落實下，我國大中型國有企業的全面風險管理工作一定可以取得卓有成效的成績，進而穩步推動企業持續、健康、穩定發展，使得國有大中型企業成為構建和諧社會的最牢固基石。