协同作战

　　无论在公共还是私营领域，为了同步、协调和整合整个公司范围内的风险管理战略，越来越多具有先见之明的企业建立了跨部门的风险管理委员会。这些委员会从不同角度出发，建立起包括日常监管、运营规划和危机管理在内的风险管理支持架构。除了负责从技术、运营和法律方面确认企业现有及潜在的威胁之外，这些委员会还必须针对这些威胁制订出合理的战略来。

　　其实，像风险管理委员会这样的组织不乏先例。我也曾在不同的公司中担任过信息安全负责人——先是在微软公司（Microsoft）担任首席安全官（CSO），后来又在电子港湾公司（eBay）担任首席信息安全官（CISO）。我在这两家公司中都曾建立过类似的组织结构。他们的职责是处理非常规的信息安全事务，这些事务对于企业实现运营目标来说格外重要；同时，在大型企业内部统一核心部门的步调方面，他们也发挥了举足轻重的作用。

　　这些委员会不仅有助于企业减少风险，而且，在帮助公众和私营企业提升自身竞争力方面，设立这一架构也被证明是达到目标的非常好的之选。

　　的确，风险和安全问题都受到突发事件和瞬息万变的局势影响，因此往往很难界定。在如今的数字经济环境中，新的问题层出不穷，比如病毒和蠕虫攻击、电脑欺诈、黑客入侵等。这些问题无不威胁着企业的安全生存状态。同样，在新的竞争压力或者新的监管规则下，企业的核心业务战略也不得不随之改变，并明显地影响到企业的现状和考虑问题的重点。

　　面对不断发展的外界环境，风险管理委员会首先应该承担的最为重要的职责之一，就是记录并监管组织所面临的风险、威胁和弱点，分析组成这些问题的关键要素。而且，如果想要让这一委员会发挥出应有的作用的话，就不能将这种评估和总结仅仅简化为罗列了各种技术威胁的清单了事。事实上，在这个评估过程中，应该让所有对实现目标起到重要作用的部门参与进来，听听他们对风险管理深思熟虑后的看法。

　　每个组织都不尽相同，所以关于企业如何组建风险管理委员会，也没有一个四海通用的秘方。每个垂直行业都有自己的安全防范和风险管理的侧重点，就是在同一个行业内部，由于公司或政府机构进入市场的具体战略不同，风险管理委员会运作的环境也是千差万别的，其成员组成自然也应该有所不同。不过，通常说来，CIO和CISO/CSO应该是其中的重要角色。

　　企业业务网络已经成为大部分组织的中枢神经系统，而CIO也随之成为公司经理人中最常与风险打交道的人。所以，在CIO日益扩大的职责范围之中，我们有理由把风险管理也归并进去。至于这么做是好是坏，就是仁者见仁了。在一个大型组织内部，跨各个层面进行全面的风险管理是不太可能的，因此对于接管这一新职责的CIO来说，与其采取直接管理的方式，倒不如依赖于矩阵式管理法（Matrix-management）更好一点。他们可以创建一个必要的合作框架，以便让组织内部所有关键部门都能共同制订、实施与时俱进的风险管理战略。同时，CISO和CIO还应该承担这么一个重要责任，那就是把安全和风险防范措施放到组织其余成员都能够理解和认可的业务环境中，并在这样的环境中进行宣传和实施。

　　换句话说，信息和安全管理人员必须与组织内部所有的关键决策者合作，共同强化与普及风险防范意识。不过，如果这方面的讨论技术性过强、过于抽象化或理论化，那么就很难达到目的。要让风险防范成为大家共同的责任，就必须在风险管理委员会的决策指导下采取联合行动。毕竟，风险管理委员会与监管公司治理的蓝带委员会（Blue-ribbon Commission）不同。如果委员会真的希望其推行的计划能够切实降低或者缓和风险的话，那么在计划推行的每个阶段都需要保证所有人的共同参与。

　　举个实例来说，如果企业决定在下一季度里集中力量实施新的客户关系管理（CRM）项目，从而对工作流程进行重组，那么委员会就应该承担起为各部门提供政策指导的责任，具体则表现为：

　　● 确认技术上的弱势（由CIO或CISO/CSO负责）。

　　● 记录新的操作程序中可能存在的安全漏洞（主要由CISO/CSO协同业务经理来共同负责）。

　　● 起草新的人员培训文件（由人力资源经理和业务经理共同负责）。

　　● 为内部和外部参与者制订新的法律合同[由法律顾问和首席运营官（COO）负责]。

　　● 评估政策变化后的安全和风险管理成本。

　　[由首席财务官（CFO）、CIO和CSO共同来负责]。

　　● 建立有关风险和安全管理的公司政策（由人力资源经理和法律顾问负责）。

　　● 执行风险管理委员会中来自各部门的成员认为有必要采取的其他措施。

　　重要的是，风险管理委员会不应该仅仅满足于定期聚会和纸上谈兵，它应该是一个务实的组织，无论是在改进现行运营的过程中，还是在控制业务发展所带来的风险上，都必须积极而有效地做出贡献。

　　要使风险管委会发挥如上作用，就要充分意识到联合行动的重要性。显而易见，风险管理委员会不可能面面俱到，也不可能时时刻刻都能处理所有的流程、威胁或新的发展带来的问题。但是，一旦它经过企业内部讨论，确认了对企业有广泛而深远影响的问题，那么就有可能发挥重要作用，并使企业在安全防范方面取得显著的进步。CIO的一个重要职责，就是创建一个合作的框架，从而跟踪委员会每个行动方案的进展，并将这些行动融入到“走向市场”（Go to Market）的核心进程中去。