風(fēng)險(xiǎn)管理

基礎(chǔ)要點(diǎn)

1.如果管理到位，產(chǎn)品和服務(wù)代表了創(chuàng)造和獲取價(jià)值的機(jī)會(huì)。否則是威脅。

2.通過平衡有關(guān)風(fēng)險(xiǎn)的措施，讓潛在收益高于解決風(fēng)險(xiǎn)的成本。

3.風(fēng)險(xiǎn)是業(yè)務(wù)的一部分，在識(shí)別風(fēng)險(xiǎn)時(shí)要考慮和描述不確定性。

4.根據(jù)風(fēng)險(xiǎn)暴露的水平，對(duì)其概率、影響和接近程度進(jìn)行優(yōu)先級(jí)排序。

5.區(qū)分風(fēng)險(xiǎn)的所有者和行動(dòng)者，實(shí)施監(jiān)控與控制。

6.風(fēng)險(xiǎn)管理既要保持一致性，又要根據(jù)特定情況對(duì)不同部門提供靈活性。

7.應(yīng)主動(dòng)、持續(xù)、跟進(jìn)風(fēng)險(xiǎn)管理與報(bào)告，保證角色與責(zé)任的透明度與清晰度，不斷學(xué)習(xí)成長。

解讀

1.首先從風(fēng)險(xiǎn)類型上說，企業(yè)的日常服務(wù)與項(xiàng)目可能會(huì)面臨如下風(fēng)險(xiǎn)：

①時(shí)間風(fēng)險(xiǎn)，包括：未按SLA提供服務(wù)、項(xiàng)目的延期等。

②成本風(fēng)險(xiǎn)，包括：服務(wù)獲取成本高過產(chǎn)生的價(jià)值、項(xiàng)目費(fèi)用的超支等。

③范圍風(fēng)險(xiǎn)，包括：客戶需求的頻繁變更、項(xiàng)目內(nèi)容的重大調(diào)整等。

④技術(shù)風(fēng)險(xiǎn)，包括：設(shè)計(jì)、接口、兼容性、安全、性能和穩(wěn)定性等。

⑤法律風(fēng)險(xiǎn)，包括：法規(guī)、合同效力、不可抗力等。

2.那么根據(jù)PMBOK的理論，我們對(duì)于風(fēng)險(xiǎn)的管理流程一般為如下：

①計(jì)劃：根據(jù)現(xiàn)有數(shù)據(jù)源與技術(shù)方法，定義人員角色與責(zé)任，參照時(shí)間表、預(yù)算和范圍，提出風(fēng)險(xiǎn)管理的方法和目標(biāo)。

②識(shí)別界定：根據(jù)過往記錄、業(yè)界經(jīng)驗(yàn)，招集成員使用頭腦風(fēng)暴、互動(dòng)訪談、矩陣與圖表分解等方法，識(shí)別現(xiàn)有環(huán)境內(nèi)的風(fēng)險(xiǎn)特征。

③分析：運(yùn)用定性/定量等不同方法，對(duì)已發(fā)現(xiàn)的風(fēng)險(xiǎn)進(jìn)行程度、范圍、以及可能性三個(gè)維度的評(píng)估與排序，得出風(fēng)險(xiǎn)等級(jí)矩陣。

④應(yīng)對(duì)：采用通用的風(fēng)險(xiǎn)減輕、轉(zhuǎn)移、規(guī)避、以及接受四種方法，減少風(fēng)險(xiǎn)對(duì)于現(xiàn)有服務(wù)或項(xiàng)目的威脅。根據(jù)木桶原理，我們應(yīng)當(dāng)注意措施的一致性，以免出現(xiàn)局部“短板”；同時(shí)也要在區(qū)分風(fēng)險(xiǎn)的所有者、控制實(shí)施者的基礎(chǔ)上，兼顧上述提到的時(shí)間、預(yù)算與成本，靈活實(shí)現(xiàn)各項(xiàng)策略與管控的強(qiáng)度。

⑤監(jiān)控改進(jìn)：通過持續(xù)監(jiān)控與跟蹤事件，既能識(shí)別新的風(fēng)險(xiǎn)，又能獲悉管理的效果，還能控制殘留風(fēng)險(xiǎn)的態(tài)勢(shì)，進(jìn)而提出糾正或改進(jìn)的計(jì)劃。

實(shí)務(wù)

在我們企業(yè)中，最簡單的風(fēng)險(xiǎn)管理方式就是從“知己”的角度出發(fā)進(jìn)行業(yè)務(wù)影響分析（BIA）和從“知彼”的方面進(jìn)行風(fēng)險(xiǎn)評(píng)估（RA）的定義。那么在落地的過程中，我們依次引入了三個(gè)維度的參考指標(biāo)：

1.內(nèi)/外部威脅源，包括：

①自然層面上的各種災(zāi)害。

②技術(shù)層面上，由于軟/硬件損壞所造成的數(shù)據(jù)丟失、以及分布式拒絕服務(wù)攻擊等。

③支撐系統(tǒng)層面上的供電、空調(diào)、以及接入網(wǎng)絡(luò)的中斷。

④人為層面上，使用惡意軟件進(jìn)行的故意破壞和操作失誤等。

2.風(fēng)險(xiǎn)可能性：過往事件/事故的記錄、系統(tǒng)中物理與邏輯上所處的區(qū)域、自身的容錯(cuò)能力、等級(jí)保護(hù)與合規(guī)的達(dá)標(biāo)情況等。

3.影響范圍：涉及到整個(gè)組織、所有外部客戶、多個(gè)站點(diǎn)、某個(gè)部門、部分系統(tǒng)與服務(wù)等。

最后將這些指標(biāo)量化或是分高、中、低，分別對(duì)應(yīng)到各業(yè)務(wù)模塊上形成風(fēng)險(xiǎn)分析的矩陣，為必要時(shí)的全面復(fù)盤做好基礎(chǔ)性的準(zhǔn)備工作。