编者按:目前,企业对风险管理的理解和管理方式上还存在很多问题,他们必须采取协作战略来管理风险。
在许多组织中,对风险管理进行界定就好像是在做一次罗夏墨迹测验(编者按:Rorschach Test,这是一种古老的心理测验方法,根据被测试者对10幅墨迹图的描述来判断其性格的心理测试)。在定义和描述这一概念时,经理人往往对他们所关注的问题更为敏感,而他们就此问题所阐述的观点也充分反应出他们各自的专业特征、经历和关注焦点。
比如,财务人员关注的往往是资产负债表,业务经理更关心运营和工作流程的情况,律师们则将目光锁定在可能引发风险的合约和执行情况上,而留给首席信息官(CIO)们的职责就是:实时了解和把握对企业运营来说至关重要的信息资产,并找出其中是否存在致命的缺陷和不足。
简而言之,无论是在公共还是私营领域,许多主要企业内部都普遍存在这么一个问题:各部门在对风险的理解和管理方式上还存在很多漏洞,而且对风险的理解也过于狭隘。我相信,这种弊端迟早将招致重大风险。这一现象背后的原因很多,其中最重要的一个原因是:威胁企业利益的风险从本质上说跨越了多个业务部门和支持性部门。
比如,过去企业通常的做法是,CIO与安全经理一起,共同制订安全措施来缓和电脑病毒的侵害,并分头处理内部系统的权限控制和外部黑客的入侵。而现在,企业所面临的则是综合性的攻击方式——起先它只是以病毒的形式呈现,随后便利用网络社会工程技术策略,通过网络钓鱼的伎俩蒙蔽相关人员,从而盗取企业的关键资产。
这种新的风险所带来的后果也是多方面的。其中一个结果就是:由于价值链上各环节相互合作的趋势日益增强,因而,那些以往只能破坏一家企业的攻击行为,现在却可能激发连带效应,不但导致业务运作的中断,而且还会使受攻击的企业连同其在供应链上的关键合作伙伴一起,都遭受灾难性的经济损失。对于此类威胁,我们无法用纯粹的技术方案来解决。人们必须训练出高度的警惕性,拒绝向任何的未授权方提供敏感信息。在业务流程的发展过程中,企业必须尽可能提高对各种技术和社会学入侵手段的防范能力。由此可见,业务经理的参与对风险管理来说也是至关重要的。
另外要注意的是,在签订业务合同时,企业应该让重要的交易伙伴明确,他们不应该从事那些可能导致整个业务网络暴露于不必要的风险之下的活动。这就要求公司法律人员及时提供重要的信息。同时,在实施所有这些措施时,又一定要避免给企业实现关键目标的进程设立障碍。换句话说,有战略眼光的高层主管在给风险管理开“药方”时,不能使 “药方”本身的危害比他们所防范的风险还要大。
协同作战
无论在公共还是私营领域,为了同步、协调和整合整个公司范围内的风险管理战略,越来越多具有先见之明的企业建立了跨部门的风险管理委员会。这些委员会从不同角度出发,建立起包括日常监管、运营规划和危机管理在内的风险管理支持架构。除了负责从技术、运营和法律方面确认企业现有及潜在的威胁之外,这些委员会还必须针对这些威胁制订出合理的战略来。
其实,像风险管理委员会这样的组织不乏先例。我也曾在不同的公司中担任过信息安全负责人——先是在微软公司(Microsoft)担任首席安全官(CSO),后来又在电子港湾公司(eBay)担任首席信息安全官(CISO)。我在这两家公司中都曾建立过类似的组织结构。他们的职责是处理非常规的信息安全事务,这些事务对于企业实现运营目标来说格外重要;同时,在大型企业内部统一核心部门的步调方面,他们也发挥了举足轻重的作用。
这些委员会不仅有助于企业减少风险,而且,在帮助公众和私营企业提升自身竞争力方面,设立这一架构也被证明是达到目标的非常好的之选。
的确,风险和安全问题都受到突发事件和瞬息万变的局势影响,因此往往很难界定。在如今的数字经济环境中,新的问题层出不穷,比如病毒和蠕虫攻击、电脑欺诈、黑客入侵等。这些问题无不威胁着企业的安全生存状态。同样,在新的竞争压力或者新的监管规则下,企业的核心业务战略也不得不随之改变,并明显地影响到企业的现状和考虑问题的重点。
面对不断发展的外界环境,风险管理委员会首先应该承担的最为重要的职责之一,就是记录并监管组织所面临的风险、威胁和弱点,分析组成这些问题的关键要素。而且,如果想要让这一委员会发挥出应有的作用的话,就不能将这种评估和总结仅仅简化为罗列了各种技术威胁的清单了事。事实上,在这个评估过程中,应该让所有对实现目标起到重要作用的部门参与进来,听听他们对风险管理深思熟虑后的看法。
每个组织都不尽相同,所以关于企业如何组建风险管理委员会,也没有一个四海通用的秘方。每个垂直行业都有自己的安全防范和风险管理的侧重点,就是在同一个行业内部,由于公司或政府机构进入市场的具体战略不同,风险管理委员会运作的环境也是千差万别的,其成员组成自然也应该有所不同。不过,通常说来,CIO和CISO/CSO应该是其中的重要角色。
企业业务网络已经成为大部分组织的中枢神经系统,而CIO也随之成为公司经理人中最常与风险打交道的人。所以,在CIO日益扩大的职责范围之中,我们有理由把风险管理也归并进去。至于这么做是好是坏,就是仁者见仁了。在一个大型组织内部,跨各个层面进行全面的风险管理是不太可能的,因此对于接管这一新职责的CIO来说,与其采取直接管理的方式,倒不如依赖于矩阵式管理法(Matrix-management)更好一点。他们可以创建一个必要的合作框架,以便让组织内部所有关键部门都能共同制订、实施与时俱进的风险管理战略。同时,CISO和CIO还应该承担这么一个重要责任,那就是把安全和风险防范措施放到组织其余成员都能够理解和认可的业务环境中,并在这样的环境中进行宣传和实施。
换句话说,信息和安全管理人员必须与组织内部所有的关键决策者合作,共同强化与普及风险防范意识。不过,如果这方面的讨论技术性过强、过于抽象化或理论化,那么就很难达到目的。要让风险防范成为大家共同的责任,就必须在风险管理委员会的决策指导下采取联合行动。毕竟,风险管理委员会与监管公司治理的蓝带委员会(Blue-ribbon Commission)不同。如果委员会真的希望其推行的计划能够切实降低或者缓和风险的话,那么在计划推行的每个阶段都需要保证所有人的共同参与。
举个实例来说,如果企业决定在下一季度里集中力量实施新的客户关系管理(CRM)项目,从而对工作流程进行重组,那么委员会就应该承担起为各部门提供政策指导的责任,具体则表现为:
● 确认技术上的弱势(由CIO或CISO/CSO负责)。
● 记录新的操作程序中可能存在的安全漏洞(主要由CISO/CSO协同业务经理来共同负责)。
● 起草新的人员培训文件(由人力资源经理和业务经理共同负责)。
● 为内部和外部参与者制订新的法律合同[由法律顾问和首席运营官(COO)负责]。
● 评估政策变化后的安全和风险管理成本。
[由首席财务官(CFO)、CIO和CSO共同来负责]。
● 建立有关风险和安全管理的公司政策(由人力资源经理和法律顾问负责)。
● 执行风险管理委员会中来自各部门的成员认为有必要采取的其他措施。
重要的是,风险管理委员会不应该仅仅满足于定期聚会和纸上谈兵,它应该是一个务实的组织,无论是在改进现行运营的过程中,还是在控制业务发展所带来的风险上,都必须积极而有效地做出贡献。
要使风险管委会发挥如上作用,就要充分意识到联合行动的重要性。显而易见,风险管理委员会不可能面面俱到,也不可能时时刻刻都能处理所有的流程、威胁或新的发展带来的问题。但是,一旦它经过企业内部讨论,确认了对企业有广泛而深远影响的问题,那么就有可能发挥重要作用,并使企业在安全防范方面取得显著的进步。CIO的一个重要职责,就是创建一个合作的框架,从而跟踪委员会每个行动方案的进展,并将这些行动融入到“走向市场”(Go to Market)的核心进程中去。
持续贯彻
风险管理委员会的职责重点在于3方面:风险管理的治理、风险管理的评估,以及对于运营和危机风险的管理。随着委员会成员之间富有建设性的、具有创意的对话逐步推进,新的动议必然会陆续出台。而所有这些动议几乎都可以被归纳到上述一个或多个方面中去。
这3个方面的初始规划应该同时进行,并在几个月之内付诸实施,同时规定一个最终期限。随后,还要密切监控实施的进程。
● 风险管理的管理。在制订委员会的使命宣言之前,企业必须建立一个较正式的监管机构,对责任和对话机制做出明确规定,不仅要界定每个成员的职责,还要激励他们共同施行,务必在规定期限内完成任务。
管理的重点应在于:敦促委员会采取实际行动,将责任落实到每个成员身上,并制订切实可行的政策,为目标的达成提供直接支持。但同时,委员会也应本着协同一致的原则,确保所有行动都获得全体成员的一致赞同,避免工作过于繁重或过于琐碎。因此,关键是既要采取积极恰当的行动,又要避免毫无成效的繁文缛节。管理机构应该定期做出调整,以确保有效支持委员会履行其使命。因此,这项工作应该由CXO级的高层经理人在互相合作的框架下进行监管。
● 风险管理的评估。这是一项持久而且多变的工作。每个关键部门的负责人都应该就他们关心的风险和安全问题列出清单,并描述这些问题对他们产生的影响。将这些清单汇总后,委员会要进行讨论、分析并制订所有部门共同关注的问题。
随后,我们应该对各部门高度关注的一些问题所造成的影响进行缜密的分析。最好能对企业的风险、威胁和弱点进行量化,也就是说,设法衡量出企业在这些问题上所消耗或浪费的时间、人力和物力。很快大家就都会明白,这并非简单的数据收集活动,而是另一种形式的分析,它能使我们更为深刻地理解与企业休戚相关的各项业务。
● 运营和危机风险管理。现有的运营部门应该担负起贯彻委员会政策的责任。这就是为什么在制订政策和评估风险的过程中,要让相关运营部门的主管参与进来的原因。不过,如果委员会在颁布政策时并未给予详细的指导,或者在行动上未能给予应有的支持,这种做法也是不公平的,而且最终也会证明是不明智的。在危机管理的前沿阵地,如果能够根据威胁、弱点和风险的变化情况,阶段性地对行动计划进行重新评估和协调,那么一些有害事件产生的负面影响就将大为减小。
委员会的危机管理计划应该有利于整个企业的发展,并充分反应出已经和正在出现的风险。
回顾历史教训,我们应该清醒地认识到,一份过时的风险管理计划无疑是毫无用处的。
对风险做出的定义只是一种理论上的理解。当风险体现在各类实际问题上时,这些问题可能是组织已经遇到过的,但也很可能是他们不太可能碰上的,这也就是为什么许多大型组织对风险管理漠不关心的原因之一。
切合实际
因此,我们有必要以高度切合实际的方式,将风险管理委员会的政策贯彻到日常运营中去。也就是说,我们应该以贴近实际工作的语言来传达委员会的方针,并针对潜在的问题采取及时的行动,这不仅是为了缓解风险,也是为了改善和提高当前行动的效果。
以我的经验看来,对于那些从某个部门的风险或安全分析中吸取的经验,你可以举一反三地推广到其他重要的业务部门中去。在这一过程中,你往往能意外地领悟到一些重要的规律,并且在你亲身经历潜在的挫折之前就吸取到必要的教训。
作者简介:
Howard A. Schmidt是R&H安全咨询公司(R&H Security Consulting LLC)的CEO,最近担任了美国电脑紧急应对团队(U.S. Computer Emergency Readiness Team,简称“US-CERT”)的CISO。这个机构是美国国土安全部(Homeland Security Department)下属国家网络安全办公室(National Cyber Security Division)的一个分支机构。
边栏:首席信息安全官在风险管理中所起的作用
在过去15年中,企业的风险管理战略,即防范、应对、转移和缓和风险的能力,几乎没有什么改变。但是要求企业在更短的时间内消化更多信息的压力却日益增强,给高层管理人员制订正确的决策制造了更多的障碍。
要进行有效的风险管理就必须考虑信息保护的问题,也就是说,在不违反诸如《萨班斯-奥克雷法案》(Sarbanes-Oxley)等监管规则的前提下,在信息的有效期内安全地管理信息。做好信息保护工作有利于更好地进行业务决策,因为只有企业高层管理人员重视了信息保护,企业才能制订出管理风险的战略方案来。
但是,在大多数公司的监管结构中,往往缺少了与信息保护相关的风险管理战略。如今,现代企业所面对的问题不断增加、涉及范围不断扩大,无法应对这些问题将导致严重的后果,而通过各部门的经理人[包括首席信息官(CIO)]的密切合作来解决这些问题的需求也显得格外迫切。鉴于此,企业必须设立一个负责信息保护的高层管理职位,这点尤为关键。
事实上,一个行之有效的信息保护项目必须考虑到业务运作的不同方面和不同模式,需要管理层给予执行信息保护和风险管理流程的部门以恰当的权力和财务资源。首席信息安全官(CISO)必须有权动用特定的业务功能、流程和模式等,以确保实现合理而恰当的保护效果。
CISO只有从整个组织的视角出发,理解业务的运营流程后才能开展自己的工作。《首席信息官的安全职责》图显示了CISO在组织结构中所处的地位,以及在管理上面对的一些复杂问题。
董事会、首席执行官(CEO)、首席财务官(CFO)以及首席运营官(COO,如果组织内部设立的话)所制订的决策都会影响到CISO职责的履行。但是,同样道理,没有CISO的参与,这些权威人士也无法做出恰当的决策。因此,CISO的职位应该近似于首席法律顾问或者审计委员会负责人的角色,这样才能够让他发挥出应有的作用。
由于CISO需要与高层和董事会直接沟通,因此担任这个职位的人必须完全独立于CIO。理想的状态是,CISO负责风险的治理,而CIO则进行信息技术的日常运营管理。
通常来说,CIO所掌握的预算要远远多于CISO。另外,前者手下往往有很大一支员工队伍,与之相比,后者的属下可能就只有10多人,或者更少。但无论如何,这两者都有一个共同的使命,即携手推动企业实现优化股东价值的目标。
在一个运营协调的企业里,CISO可以对负责业务功能、运营以及保障流程这几方面的管理人员施加影响,并从他们那里获取反馈。与信息保护相关的业务功能管理人员包括:进行风险管理分析的人员、人力资源和法务部人员,以及那些制订、起草和实施相关政策、标准和流程的人员;运营管理人员包括:参与信息技术测试和变革控制的人员、负责实际运营安全及信息安全技术实施的人员,以及处理紧急事故的人员;而负责保障流程的管理人员则包括:审计人员、进行安全知识和安全意识培训的人员,以及从事文书工作的职员。
如果CISO在组织结构中的职位过低,则会产生很多严重问题。由于缺乏必要的职权,他们无法获得相关人员和信息的支持,无法施加必要影响来完成信息保护的职能,而最终的失败只能由高层管理人员和董事会自行承担。让我们回顾一下2004年所发生的前车之鉴:
各自为政的问题:在一个案例中,某家公司由其生产部门负责实际运营中的安全问题。但不幸的是,CISO的职位较低,不足以指导生产部门的决策。结果,负责渗透性测试的人员有好几次都得以径直进入最机密的区域,甚至进入了存放关键信息资料的禁区。这些资料包括公司尚未对外公布的全面财务数据、成百上千名员工的工资条复印件,以及几起悬而未决的购并交易的会议记要。迄今为止,这位CISO仍缺乏解决这些问题应有的职权。
与CIO共事的问题:在另一家大型分销商那里,CISO要向CIO汇报,结果前者增强数据安全的措施因无法令后者满意而未能推行。在公司从订单到运输的整个流程中,CIO擅自剔除了看似冗余的几个组件,这种做法虽然略微为公司节省了资金,但无疑于将企业直接暴露在风险之下。不久,一个关键系统的磁盘驱动器失灵,为了解决问题,公司耗费了 100万美元的直接成本,还损失了上百万美元的业务,公司的良好信誉也同时受到了严重影响。这名CIO最终难逃被炒鱿鱼的命运。
我们主张CISO 应有较高的职位以及充分的技能,但这并不意味着需要对企业进行结构重组。实际上,CISO应该在现有的企业架构下卓有成效地开展工作,同时又不至于打乱正常的业务进程或是招致怨恨。一名好的CISO就好像是一个技艺高超的驯养员,能够恰到好处地将管理技能、人际交往技能和技术知识融于一身。
和CIO 一样,CISO要有效地开展工作,也必须充分地理解信息保护和业务管理流程。当组织制订了风险管理的战略方法后,就有必要赋予CISO跨部门调用业务资源的权力,以及与各层面直接沟通的有效渠道。这不仅仅是管理风险的明智方法,也是未来企业培养其管理队伍的有效模式。
作者简介:
Fred Cohen是Burton集团咨询公司(Burton Group)的首席分析师。
小贴士
虽然业务经理和技术经理都面临着有效贯彻风险管理战略的压力,但很多经理在执行这些战略时仍然存在很大的问题。这一结论是系统监管公司(Oversight System)在针对2005年5月举行的“财务执行官国际会议”(Financial Executive International Conference)与会者所做的调查后得出的。
虽然68%的与会者反映,他们的首席执行官(CEO)比以往更为强调全方位的风险管理,但55%的人反馈说,他们的公司并没有设立专职的风险管理经理;另有55%的被访者承认,公司上下并未就风险的定义进行过广泛沟通。54%的人说在过去5年时间中,曾有一些让他们感到震惊的重大事件发生,这也是沟通不畅的佐证。此外,公司在风险管理上运用科技手段的步伐显得比较缓慢:只有32%的受访者称,公司已经开始用科技手段来甄别风险,仅仅15%的人表示科技手段被应用到了对未来风险的预估中。
(信息周刊)
