从一本畅销书说起
2005年到2006年最具影响力的经济和管理类图书是哪一本?笔者认为是托马斯-弗里德曼的《世界是平的》。
在《世界是平的》这本书中,给读者冲击最大的就是该书作者弗里德曼总结出来的碾平世界的十大力量。这十大力量就是:
从弗里德曼总结的十大力量看,技术对世界的影响,特别是信息化技术的影响非常之深刻。其中,Windows操作系统、互联网、浏览器、BBS论坛、博客、搜索引擎等等通过建立基础平台和上传下达的信息知识渠道,已经让原先可能存在的贸易壁垒、文化壁垒、地理壁垒等等被越削越平。弗里德曼以印度成为美国的夜间办公室为例阐述了外包的力量,以中国成为全球制造厂为例阐述了离岸经营,将沃尔玛阐述为一个超级供应链拥有者而不仅仅是一个零售商,当然UPS也不仅仅是一个快递公司而是一个通过内包模式经营着的供应链企业。在这个过程中,移动技术、虚拟技术等也都起着催化剂的作用,助推着碾平世界的力量。这其中,都离不开信息技术和信息化。
信息化对于当今社会政治、经济、文化等方面的影响如此之大,作为一个现代企业,走上信息化之路可以说是必然的趋势和不得不作的选择。
当然,信息化不仅仅带来了新的业务机会和挑战,同时也带来了很多我们不太喜欢的副产物。比如,让家长们头痛的孩子们难以戒掉的网游瘾;再比如,全球都难以根治的网上色情;以及借助信息技术和网络开展的犯罪行为等。信息化也是一把双刃剑,在应用信息化来创造效益的同时,也要防止信息化给我们带来危害。
面向企业业务,从风险防范到风险经营
随着现代企业管理制度在国内企业中逐步完善,企业管理中各种先进的方法都得到了广泛的应用,其中一个很重要的方法是“风险管理”。
几乎,在所有的管理方法中,也都会包含“风险管理”这一环节。比如,在美国项目管理协会PMI的项目管理方法论中的9大要素中,有一个就是风险管理。再比如,发源于惠普公司的企业计划十步方法中,其中的第八步就是“潜在问题和风险分析及运用”。总体来说,常说的风险都是一个负面的词汇。而随着大家对于风险的认识越来越深入,对于风险的理解也越来越全面。
2006年6月6日,国务院国有资产监督管理委员会印发了《中央企业全面风险管理指引》(以下简称《指引》),指出企业全面风险管理是一项十分重要的工作,关系到国有资产保值增值和企业持续、健康、稳定发展。并期望通过《指引》指导企业开展全面风险管理工作,进一步提高企业管理水平,增强企业竞争力,促进企业稳步发展。
在《指引》的第三条,就旗帜鲜明地提出了对于风险的认识:
“第三条 本指引所称企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。”
这一条非常清楚地指出,从企业经营者的角度看,不仅仅“可能遭到一些破坏”是我们所称的风险,而“可能不能达到预期的经营目标”也同样是风险。当然,从正向的角度看,“可能超出预期的经营指标”也是作为管理者需要关注的机会风险。
在这样的形势下,企业经营者应当怎么做呢?就像《指引》第四条所说的那样:
“第四条 本指引所称全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。”
按照这个大思路,全面风险管理就是让企业从简单的风险防范逐步向全面的风险经营过渡,让风险的意识和管理方法能够贯彻到整个的企业组织中,让风险管理的流程在组织中贯通,让风险管理的工具和基础设施能够被有效地部署。当然,在向风险经营过渡的过程中,做好全面的风险防范工作是必须的基础。
不管从风险防范的角度看,还是从风险经营的角度看,风险所针对的都是企业的业务。风险管理工作必须从业务风险出发,才能真正切合企业的需要。
从企业业务出发的信息化风险
信息化是企业一定要做的,而且已经是正在进行的一项业务活动。那么信息化必然围绕着企业风险有其突出表现。
1. 信息化风险是业务风险的组成部分
现在,很多行业中,信息系统和信息技术应用已经成为了业务不可分割的部分。比如,电信运营商行业完全就是在经营一个信息网络及其上的增值服务。再比如,我国的商业银行的日常业务已经完全依赖信息系统和网络才能展开,而且伴随加入WTO后我国银行业保护期的结束,信息化也将是中资银行应对国外金融大鳄进攻的有力武器。大型的制造企业、资源型企业和物流企业等等,都在纷纷建设ERP系统以提高整体的运营效率和效果。
企业对于信息系统的依赖度越来越高。这个时候,信息系统本身所可能产生的信息风险,就会直接或间接地导致依赖于这些信息系统的业务产生风险。一个依赖于信息系统的资源调拨系统,在系统出现故障的时候,所有货车可能就要停在仓库前等待信息了;一个依靠无线网络作为调度基础平台的港口,在网络病毒泛滥的时候,可能整个港口的装卸工作就要停顿了。
所以说,信息化风险是业务风险的组成部分。如果从《指引》第四条所阐述的战略风险、财务风险、市场风险、运营风险和法律风险中看,信息系统的风险应当直接归类到运营风险中。另外一个可以参考的例子就是国际上针对银行业的新《巴塞尔资本协议》,其中将银行的风险分为信用风险、市场风险和操作风险,而信息风险就在操作风险中体现。
2. 信息化是威胁的一种渠道
在一般的风险管理中,常常将威胁阐述为风险产生的外因。在全世界第一个风险管理标准——澳大利亚标准AS/NZS4360《风险管理》中,就提出评估风险主要是评估威胁和评估资产影响。
在大规模应用信息系统之前,威胁企业业务的方式主要在市场上(也就是交易过程和环境中)、组织上(比如人员流失)、物理环境上(比如自然灾害)等等。而现在由于信息系统的广泛应用,威胁企业核心业务的一个有效方式可以通过对信息系统的破坏来实现,比如:病毒传播泛滥、通过网上渗透偷窃敏感资料、内部人员通过邮件泄露核心机密等等。
3. 信息化具有放大作用
当今的信息系统已经被网络连接成一个大系统,一个大网。信息系统能够为我们的业务能力产生放大效应应当不用多说,另一方面,信息系统也是负面作用的放大器。比如,一个学校食堂的卫生事件,可能由于学生们在校内论坛的传播迅速成为学校内的大事,再借由学生们的个人博客,媒体的推波助澜,迅速借助互联网和传统媒体而成为一个社会事件。这种现象已经不是奇闻了。
在业务风险管理,特别是信息风险管理的过程中要充分认识这种特点。
4. 信息化是控制风险的有效手段和必要工具
当然,信息系统和信息技术应用不仅仅可能带来新的风险,另一方面,也能够帮助我们控制风险。在《指引》中的第八章,就特意用相当的篇幅专门阐述“风险管理信息系统”。
现今,信息系统可以让我们尽快地掌握企业各个环节的风险苗头,通过网络将风险数据收集在一起,进行综合分析和数据挖掘。在国外的一些先进的商业银行,当你向行长询问银行的风险状况的时候,他会立刻打开桌上的电脑,给你展示由“集中风险监控系统”显示出来的风险分布图、当前热点风险事件等等。这样的工具对于企业经营者的感知和决策是非常非常重要的。在关键时刻,甚至于可以说是生死攸关的。
信息系统不仅仅可以成为一个风险监控系统,也同样可以成为一个风险应对和响应的支撑工具和平台。现在,在一些先进城市正在建设的公共事件应急响应平台中,信息系统就是和交通、通信等系统一样的关键基础设施。
5. 信息风险管理的融合
总之,信息风险应当成为企业经营者重点关注的风险之一。为了实现信息风险管理和业务风险管理的融合,一个最彻底的方式就是在组织上的保证。比如:世界十大银行之一的瑞士联合银行,就设立了一个高管职位“首席风险官”。而首席风险官下属的组织体系中,就有专门的高级管理人员和部门负责信息风险。
信息安全产业的支持
信息风险管理从根本方法上和业务风险管理是一致的。在风险管理中,只要抓住“资产—业务、威胁、防护措施”这三大要素,就抓住了风险管理的实质,也就抓住了零乱的风险管理线索中的线头。
当然,信息风险管理由于具备相当的专业性,和一般的风险管理还是有一定差异,这个专业性就是“信息安全”,也常常称为网络安全,《指引》中也同样提到了这一点。信息安全风险管理的一些特殊性,可以简单地用下面这个信息安全保障总体框架图来表达:
当前已经相当成熟的信息安全产品、服务和平台都可以对应到这个框架中。信息安全产品如:防火墙、入侵检测、漏洞扫描、防病毒、加密、身份认证、业务审计、存储备份等等;信息安全服务如:系统风险评估和加固、信息安全管理体系咨询服务、应急服务、安全事件监控服务等等;信息安全平台如:风险监控平台、综合审计平台、应急响应支撑平台、集中身份认证平台等等。
可喜的是,我国信息安全产业已经经历了10年的发展历程,在很多关键技术和管理领域掌握了核心能力,可以成为支撑我国国有大中型企业信息安全风险管理工作的主力军。
相信,在党中央的正确领导下,在国资委《中央企业全面风险管理指引》的推动下,在国内信息安全产业的支持下,在各大企业经营者的重视和落实下,我国大中型国有企业的全面风险管理工作一定可以取得卓有成效的成绩,进而稳步推动企业持续、健康、稳定发展,使得国有大中型企业成为构建和谐社会的最牢固基石。
