阅读下一章  返回上一章

第11章 管理战略性风险

数字化技术的发展提供了前所未有的机遇，但也具有内在的破坏性和风险。毫不夸张地说，数字化转型既可以推动组织走向成功，也可以使其破产。

在战术层面，风险管理是要确定对抗现有威胁、新威胁及脆弱性的方法。在战略层面，风险管理是为了确保组织在数字化技术改变了规则的环境中获得成功。

11.1 定义

《ITIL风险管理实践指南》包含对风险的定义，以及对风险管理及相关概念和活动的描述。

定义：风险

风险是可能会造成伤害或损失，或导致目标更难以实现的可能事件。风险也可以定义为结果的不确定性，并且可以用于测量正面和负面结果的概率。

如果不确定的结果会导致伤害或损失，则风险是负面的。当不确定的结果为利益相关者带来收益时，风险就是正面的。正面的风险有时也称为“机会”。

风险管理实践的目的是确保组织了解风险，并有效应对。其典型的活动包括：

• 进行环境分析，以识别和构架风险
• 确定和记录组织的风险容量和风险偏好
• 记录风险管理策略
• 识别、分析和评价风险
• 确定适当的风险处理方法
• 识别风险触发因素和所有者
• 确保风险策略能被相应地实施

11.2 数字化组织的风险管理

风险管理方法取决于组织使用的转型范例。组织使用基于流程的范例可能会首先评估当前状态、定义期望的未来状态，并确定与从一个状态迁移到另一个状态相关的风险。组织使用基于模型的范例，将从识别潜在的商业用例并评价与每个用例相关的风险开始。

风险有多种来源，形式多样，例如：

• 组织的战略以新技术为基础，面临替代技术占据领先地位的风险（例如，Zoom由于易用和免费增值，成为最受欢迎的远程会议平台）。
• 一种新的商业模式可能会被拒绝，因为它不熟悉员工和客户的当前文化。例如，Kellogg麦片在印度的发行最初失败了，因为印度文化是基于新鲜烹制的传统早餐。
• 处于开发初期的技术可能未经测试，且存在缺陷，从而导致成本增加和组织绩效的下降。
• 以新方式使用新技术的消费者和员工可能使组织面临意想不到的结果、受关注的失败，甚至道德问题。
• 物联网（IoT）方法使数据、信息和设备的操作程序面临风险。对数据采集与监控系统的攻击使组织容易遭受产线关闭或对工业流程的恶意操纵。
• 为了提高竞争力，组织提供了应用程序接口（API），使消费者、设备和合作伙伴可以访问数据。
• 网络罪犯大量投资于发现和利用新技术中的漏洞，通常在开发人员和合法用户发现这些漏洞之前就发现了。这些漏洞使组织容易遭受盗窃、品牌受损和拒绝服务的攻击。

专注于保护组织内部资产的方法是有限的。在数字化组织中，需要保护的资产无处不在：组织内部、云服务提供商托管处、移动应用程序中，有些甚至可以在网站上和通过第三方免费提供给公众。有效的风险管理依赖于所有利益相关者了解组织的风险管理活动，并使用组织提供的工具为风险评估和缓解做出积极贡献。

风险也可能来自组织承担了太多的工作或成本（例如，对大型项目或项目群的过度投资），或者花费太长时间为客户提供产品和服务。成功的数字化组织所承担的风险是精心设计的，不会带来大量风险。组织提供原型或最低限度可用产品和服务，以便在投入大量时间、金钱和其他资源之前获得频繁的反馈和数据。

ITIL的故事：数字化组织的风险管理

Anya：风险管理对于任何组织都是至关重要的功能，而且确保组织中的每个人都知道如何管理所面临的风险也非常重要。     

Dave：有些风险可能会影响我们的运营。法律或合规性风险是非常严重的问题，其他风险可能会影响我们的合作伙伴和供应商。高管团队讨论的一项主要风险是我们员工的水平和所需技能间的差距。

Henri：在我的团队中，我们管理与我们所用的技术相关的风险，包括技术运营的风险、开发新功能的能力的风险，以及发明的新技术被淘汰的风险。

Anya：我们管理许多战略风险，包括我们商业模式的风险、竞争的租车公司颠覆我们市场的风险，以及供应链遭受破坏的风险。送餐服务会带来我们从未遇到过的风险，如不符合食品安全标准的风险。我们甚至必须考虑我们的外卖业务可能无法吸引足够的注意和消费者的风险！

11.3 组织风险管理

组织的治理机构最终对实施适当的风险管理框架负责。高管负责以与该框架一致的方式监督和指导工作。

每个组织都应建立正式的风险管理实践，该实践的结构应反映组织的管理方式。风险或审计委员会通常负责对框架的持续维护，并确保适当地定义和处理风险。首席信息安全官或设施总监等专家专注于实施风险和安全措施。

11.4 使用风险管理评价机会

数字化技术带来了很多机会，但并非所有机会都能将组织带到想要去的地方。组织使用风险管理确定哪些机会可能有助于实现目标，哪些机会几乎没有或只有很少的回报、甚至损害目标的实现。   

风险管理是战略推动力，通过以下方式帮助决策者和领导者：

• 识别每个机会的正面和负面风险
• 确定正面和负面风险的可能性
• 指明组织应采取哪些措施避免负面风险
• 指明哪些行为最有可能确保积极结果
• 评估所有负面风险和正面风险的净结果

11.5 风险识别

几乎所有学科都使用框架来理解和管理风险，且每个框架都具有可用于识别风险的风险类别提示清单。例如：

VUCA Bennis和Nanus于1986年针对一般条件和情况所开发的风险提示清单

TECOP（技术、经济、文化、组织和政治）着重于了解内部环境的风险提示清单

OODA  这个概念涉及重复的”观察-判断-决策-执行”决策周期，最初由美国空军上校John Boyd提出，用于军事交战中的作战决策

波特五力分析 广泛用于关注商业世界中竞争所带来的威胁

力场分析 社会科学中一种用于检查影响某个场景的因素的方法

通过使用颠覆、创新、网络安全和互动（Disruption, Innovation, Cybersecurity and Engagement，缩写DICE）等概念，从业人员可以扩大风险识别范围，以涵盖数字化技术的影响。

11.5.1 颠覆风险

定义：颠覆风险

颠覆组织的运营或商业模式的风险。

在数字化技术背景之下，颠覆风险通常与竞争对手如何使用数字化技术彻底改变客户体验或行业运营方式有关，采用数字化技术的竞争对手与较慢采用该技术的组织相比获得了优势。当消费者需要更好的体验，或者需要使用数字化技术改变提供服务的方式时，颠覆风险也可能来自于消费者。

云或移动技术也可能引起颠覆风险，技能匮乏或贸易限制等因素也会影响数字化技术的使用方式。在停滞不前的行业中，对采用新技术的组织而言，颠覆风险尤其重要。如果进入的壁垒足够低，那么这些组织将成为极好的目标，会受到相邻甚至完全不同行业中公司的颠覆。

在另一个极端，一个采用未经验证的新技术的组织可能会发现该技术没有兑现诺言，只是浪费资源和金钱，并导致组织走向错误的方向。

关于技术采纳和消费者需求演变的行业报告会列出所识别的颠覆风险。

11.5.2 创新风险

定义：创新风险

组织创新所带来的风险。

创新本质上是冒险的，因此，要在受控环境中开发和测试创新，并在企业将未来押在其上之前评估创新的原型和最低可行产品（MVP）。

一些组织可能会在未经过适当测试之前发布创新的产品或服务，试图超越竞争对手。尽管数字市场对创新的需求更高，但是消费者并不总是准备等待服务提供商纠正有缺陷的产品或弥补不足的服务。更好或更有吸引力的产品将很快面世，特别是竞争对手很快就会从他们对手的失败中吸取教训。

创新是组织保持与不断变化的客户和市场相关的能力的关键。如果组织只专注于可以根据其当前业务的改进（如收入或效率）衡量创新，则可能会失去大量加强或增加其在市场中整体地位的机会。

另一方面，一些组织追求功能良好但对业务没有贡献的创新。一个新的应用程序似乎可以改善与客户的交流，但是如果不能带来更高的满意度或销售量就不值得投资。

可以通过对特定行业报告的定期分析来确定创新风险，这些报告涵盖了建模、测试评审、对消费者反馈的持续分析（以更快的迭代周期）以及运营绩效。

11.5.3 网络安全风险

定义：网络安全风险

网络攻击或数据泄露给组织造成曝光或损失的风险。

当组织收集、存储、挖掘和分析敏感数据（如消费者或财务数据）时，这些数据已越来越成为诱人的恶意行为的目标。分散的数据收集和分发使组织暴露于更多的信息窃取和丢失渠道中。   

安全泄露已得到广泛宣传，工具也已开发出来用于保护新技术的使用。但是，技术越新，对其漏洞的了解就越少。组织越来越依赖于提供威胁情报的供应商和关于网络犯罪增长的新闻。这些信息是从其他组织的经验以及在深网和暗网中交流的信息中收集到的。 

通常通过使用专用软件工具、漏洞评估、威胁情报评估以及行业报告分析来确定网络安全风险，当通过机器学习增强这些方法时，可以实现更加主动和可靠的风险识别。

11.5.4 互动风险

定义：互动风险

来自组织利益相关者的风险，包括供应商和合作伙伴、消费者和员工。

数字化组织依靠和一系列利益相关者的互动确保成功，如果组织与不合适的合作伙伴合作，或者互动的模式未检测到利益相关者的变化，则风险就会增加。例如：

• 消费者可以轻松地在供应商之间切换。如果另一个供应商提供的产品或服务略胜一筹，或者比现有供应商的表现更好，则该供应商可能会赢得业务。在《ITIL^®4：驱动利益相关者价值》中详细讨论了这一想法。
• 供应商必须能够匹配组织所需的功能和性能。长期、僵化的合同是对敏捷数字化组织的重大威胁。
• 如果某个合作伙伴比其他合作伙伴更愿意接受新技术，且对环境变化更敏感，则合伙关系可能会有风险。
• 监管机构可能不允许组织针对新机会进行必要的改变。尽管该机构可能会对市场中的所有组织构成约束，但在没有这些约束的其他市场中竞争时，监管机构将使受监管组织处于不利的地位。
• 内部参与至关重要。例如，IT与其他业务部门之间的关系较弱或存在争议，IT试图在业务部门制定自己的数字策略时保持控制力，可能导致组织的数字策略失败；创新的IT部门也会因领导者坚持过时的业务实践而受阻。

互动风险可以通过在关系的早期阶段进行尽职调查来确定（客户或员工旅程的“契动”步骤，更多信息参见《ITIL^®4：驱动利益相关者价值》以及《劳动力和人才管理实践指南》）。当尽职调查自动进行并通过机器学习增强时，可以实现更加主动和可靠的风险识别。

ITIL的故事：风险识别

Dave：风险管理和持续改进一样，是每个人的责任。现代组织能够快速识别和管理风险的唯一方法是使每个员工都能大声说出来并采取行动，而无需漫长的批准周期。

Anya：不要忘记，合作伙伴、供应商和客户可以成为风险识别和缓解策略的关键组成部分！

Su：当然也应该有限制。例如，不能指望工程师管理法律风险。敏捷从业者谈论“将工作移交给合适的团队”。管理风险的合适团队可能是高管团队或其他职能部门。ITIL指导原则为从事风险管理提供了坚实的基础！

11.6 风险登记册

风险识别的主要输出是风险登记册，包括已识别的主要风险清单，对其进行优先级排序，以及关于这些风险历史和当前状态的信息。风险登记册由高级管理人员监督，并由组织的风险或审计委员会定期审查。影响组织战略或生存能力的风险必须与组织的治理机构沟通，并由该机构来审查。

在战略层面，风险记录更新的频率应能反映对组织战略和商业模式的审查和更新的频率。在举措或项目层面，应在检查点会议发生时更新登记册。

《风险管理实践指南》中详细地描述了风险登记册的内容和格式。

11.7 定性风险分析

定性风险分析用于确定风险发生的可能性及风险的影响。由于不可能深入解决每种风险，因此，定性风险分析有助于确定哪些风险需要首先处理，以及需要花费多少精力。定性风险分析有不同类型，包括风险矩阵和基于场景的分析。

11.7.1 风险矩阵

如图11.1所示，风险矩阵显示了风险在y轴上的潜在影响以及在x轴上的可能性。尽管这一风险矩阵主要用于评估负面风险，但既可以用于负面风险，也可以用于正面风险。

组织首先要消除负面的“高”风险，因为这些风险具有潜在的灾难性。 “低”风险的影响和可能性较低，组织通常选择接受而不采取主动的行动。但是，组织将继续监测“低”风险，以防这些风险变成“中”或“高”风险。 “中”风险是风险修改或风险分享的最佳选择。

图11.1用于定性风险分析的矩阵示例

11.7.2 基于场景的分析

战略关注机会评估，结合机会所有负面的和正面的风险，以确定它是否值得进一步开发利用。

场景允许组织评估机会，在风险管理的背景下，场景有：

• 描述机会及其组成部分（消费者、员工、供应商、技术等）
• 列出定义机会时所做的假设
• 识别机会的变量
• 挑战假设和每个变量的预计影响
• 评估每项变更的可能性和影响 
• 识别应采取哪些措施处理负面风险，并确保实现正面风险

11.8 定量风险分析

定量风险分析技术试图在风险上引入货币价值。这些方法很复杂，需要大量的研究和分析，通常仅在风险超过预定阈值时使用。   

场景分析中使用的定量计算包括：

• 年度发生率（annual rate of occurrence，ARO）一年内发生风险的概率
• 单一预期损失（single loss expectancy, SLE）每次由于发生风险而导致的预期财务损失
• 年度预期损失（annualized loss expectancy, ALE）一年中平均风险发生的预期损失（SLE×ARO）

11.9 风险触发因素

风险触发因素是将风险转变为实际事件或问题的条件，也可能是将风险转换成不同类或相似类影响的条件。所有主要风险应具有相关的风险触发因素，并有一个负责监测这些风险的所有者，以便可以及时采取措施。此角色最好由了解相关风险类别的主题专家来承担。

11.10 风险姿态：平衡数字化技术的风险和收益

“风险姿态”是指组织识别、分析、计划、响应和管理风险的总体方法。《风险管理实践指南》中描述了风险姿态，本节概述风险姿态的主要概念，及其在定义和管理战略风险中的用途。  

定义战略的主要部分是准确说明组织为实现目标愿意承受的风险。表11.1概述了用于描述这一问题的术语。这些术语经常互换使用，并且不同行业的定义也有所不同。所使用的术语或定义并不重要，重要的是组织中的每个人都以相同的方式使用这些术语，并将它们的含义纳入组织的风险规划和响应活动中。

表11.1定义组织风险管理方法的概念

11.10.1 风险态度

风险态度是由风险基于风险容量、偏好、容忍度和阈值的典型响应所组成的，它不仅适用于组织，而且也适用于单个利益相关者。重要的是要了解组织对风险的态度，而且要识别各个利益相关者如何以及为什么支持或抗拒特定的机会。

用于描述风险态度的术语有所不同，经常使用的术语有：

• 风险规避 选择风险规避的组织和个人高估了负面风险，低估了正面风险。他们有可能捍卫现状，并抵制任何需要彻底改变的战略。这些组织不太可能利用数字机会颠覆市场。与之相反，他们只在存在失去市场地位的危险时，才会关注使用新技术，并且倾向于仅部署经过其他组织测试的解决方案。
• 风险追寻 选择风险追寻的组织和个人低估了负面风险，高估了正面风险。他们有可能在充分考虑所有涉及的负面风险之前就仓促抓住机会。许多初创公司就属于这一类。数字化和IT战略应确保组织已做好充分准备，可以管理所追寻机会的各个方面。领导者有责任发现并抚平过度的热情。 
• 风险容忍 选择风险容忍的组织和个人对风险的态度淡漠，他们不会试图减轻负面风险，也不会积极追求正面风险。这些组织的数字化战略不太可能讨论数字化转型，他们可能认为他们现有的客户群和商业模式是无懈可击的。
• 风险中立 选择风险中立的组织和个人对风险采取长期措施。在评估作为数字和IT战略一部分的机会时，他们会评估正面和负面威胁。这是最健康的风险态度，领导者应尽可能地促进这种态度的发展，平衡规避风险和寻求风险的利益相关者的观点，形成一种平衡的组织风险管理方法。

ITIL的故事：风险态度

Dave：一个经常被忽视的重要观点是，组织的不同部分可以有不同的态度和对风险的容忍度，也许应该鼓励可以有不同。例如，我们的敏捷软件开发团队比我们的供应链和物流团队具有更高的风险承受能力。我们的商业模式意味着，送餐服务的风险不会对私家车租赁业务造成直接影响。 

Anya：即使组织的不同层级也可能对风险有不同的态度。在 Su的风险登记册上，不能满足客户要求的功能带来的风险可能很高，但高管团队的功能相应的风险却不那么高。重要的是，我们必须认识到团队所担心的事情，但同样要帮助他们理解这些风险可能是或不是其他所有人所关心的。

11.11 风险处置

“风险处置”或“风险缓解”是指用于准备和减轻风险对组织的影响的策略、计划、流程和工具。 风险处置通常分为以下几类：

• 风险保留或接受 组织认为潜在风险的影响或可能性不值得投资于预防风险的发生。该举措将不采取任何对策。
• 规避风险 组织认为风险的影响或可能性太大，或避免发生的代价太高。因此，组织决定不寻求该机会或举措。
• 风险分担或转移 组织投资建立合作关系，由合作伙伴承担部分或全部风险（如云服务提供商保护组织的数据）或使组织免受该风险的影响（如通过保险）。尽管组织可以转移对风险的管理，但不能转移责任。例如，云服务提供商遭到黑客攻击，并且个人数据被泄露，则组织必须与客户一起纠正这种情况。
• 风险调整或风险降低 采取措施减少风险的影响和/或可能性，包括：
  • 限制对高价值资产的访问权限
  • 持续监测高价值资产，并在发生泄露或滥用时向主管部门报警
  • 持续监测环境，以查找高价值资产（如客户的个人身份信息）被盗或被攻击的证据 
  • 建立冗余，以防止发生失败或拒绝访问
  • 借助自动化减少错误
  • 对于明显的风险，快速响应并恢复

11.12 形成风险告知思维和文化

高管在建立风险告知的思维和文化（包括确定组织的风险度势和态度）方面发挥着至关重要的作用。该角色要求领导者参与意识教育和沟通活动，促进所有员工的理解。这种理念和文化最终批准组织将采取的应对风险的措施。

风险意识与风险规避不同。领导不应对负面结果的每种可能性反应过度，也不能怕担任何风险。实际上，具有风险意识的思维方式鼓励领导者在风险显现之前先考虑组织将如何应对。没有组织可以预测每种风险并做好准备，但是，具有风险意识的组织对最相关的风险有很好的了解，并可以做出相应的准备。

除了创造一种紧迫感外，数字化领导者还对风险充满了勇气。即使预期的收益并不总是能实现，并且偶尔会造成一些危害，领导者也会在寻求机会时对谨慎的冒险行为予以奖励。这体现在“快速失败”和“快速学习”这两个词中。即使某些试验失败了，也鼓励教育试验。最好在对解决方案投入过多之前失败，并以一种促进学习的方式失败。

同时，数字化领导者很快会对鲁莽予以告诫。 “快速失败”不是放弃常识的借口。员工应遵循的良好策略是在不确定是否需要承担风险时先予以澄清。

应通过对重要风险因素的正式教育，以及对有关常见风险及如何预防的常规宣传方案来支持这种方法，例如，使用口令保护个人计算机。

 阅读下一章  返回上一章