是什么原因促使着手进行企业风险管理呢?原因很复杂。其中一个因素就是,IT是业务经营的主要风险。
过去几年发生的几件大事暴露出IT给业务带来的经营风险。先是千年虫问题,它人们认识到我 们依赖的IT系统脆弱不堪。接着是计算机病毒,它在不断干扰我们的工作,表明了使用劣质软件带来的风险。后来是9·11事件以及因此暴露出来的众多风险。最近,公司声誉也面临风险,个人资料大规模失窃。当然,还要考虑恐怖活动、政治动乱、战争和恶劣天气等其他全球性风险。
现在突然要求有人来对这些风险负责,原因在于IT系统更加关键。如今,一个IT失策就会严重影响甚至毁掉一家公司。
推动企业风险管理的第二个因素是监管环境,以及有些行业为保护公司远离不稳定的全球商业环境而采取的方案。譬如说,由十国主要金融服务利益相关者牵头发起的《巴塞尔第二号协定》(Basel Ⅱ Accord)规定:2006年年底之前,金融服务公司必须拥有一定数额的资本,以抵消公司内部风险。与1988年出台的第一个版本不同,《巴塞尔第二号协定》不仅涉及资本风险,还涉及经营风险,包括IT系统给公司带来的风险。换句话说,该协定强制要求采用某种企业风险管理。特里德威委员会下设的发起组织委员会(COSO)颁布了企业风险管理框架。1985年组建的这个自愿性私营组织旨在打击欺诈性财务报告。信息系统审计和控制协会(Isaca)也制订了信息和相关技术控制目标(Cobit),这份文档同样概述了怎样拟订企业风险管理框架。而颁布这两项方案的目的都是为了促进企业风险管理在公司企业的应用。还有《萨班斯-奥克斯利法案》(Sarbanes-Oxley)。毕竟,CEO们可不想坐牢。英国巴克莱金融服务公司的CIO David Weymouth说:“我们在一项监管项目上就花了约2.5亿美元,不合法规是我们要控制管理的一个巨大风险。”McCann公司的CIO Sharon说,对他来讲,《萨班斯-奥克斯利法案》听上去既熟悉又可怕,该法案充分证明了现在是实行风险管理的时候了。美国发生储蓄贷款丑闻期间,Sharon从事于金融服务业。当时为了遵守旨在整顿金融业的法律,“我们历时两年采用风险管理方法,进行了繁重的风险评估工作。”遵守法规成了风险评估项目附带产生的结果。同样,Sharon预言,企业风险管理也会让遵守《萨班斯-奥克斯利法案》成为风险管理的附带结果,而不是其关注的对象。
最后,企业风险管理现在浮出水面,还因为越来越多的大量证据表明它确实可行: MIT的Westerman发现了业务和IT一致跟风险信心之间的密切关系:CIO对自己管理经营风险的能力越有自信,IT与业务的关系就越一致。管理技术大学教务长J. Davidson Frame工作过的一家公司曾引入风险管理,然后让业务单位的副总裁确认IT项目给业务带来的风险。结果,项目成功率迅即增加。这一发现结果证明了CIO和风险专家们再三提到的企业风险管理具有的一个重要优点:它可以帮助公司避免风险过高的业务引起的重大失败,从而改进决策能力。
有了企业风险管理,业务单位在规划时可以把这因素考虑进来,汇报搬迁会带来哪些风险。譬如说,搬迁会影响业务单位能否成功完成项目。现在考虑到了这一点,就可以调拨资源,暂停项目,尽量减少公司面临的风险。不管怎样,与这些因素没有考虑进来相比,能够做出更好的决策。(T228)
