文档更改第11章 管理战略性风险

Summary

• Page properties (2 modified, 0 added, 0 removed)

Details

Page properties

父

...	...	@@ -1,1 +1,1 @@
1		-xwiki:ITIL 4《数字化和IT战略》DITS.WebHome
	1	+ITIL 4《数字化和IT战略》DITS.WebHome

Content

...	...	@@ -3,19 +3,24 @@
3	3
4	4	[[阅读下一章>>http://itil4hub.cn/bin/view/ITIL%204%E3%80%8A%E6%95%B0%E5%AD%97%E5%8C%96%E5%92%8CIT%E6%88%98%E7%95%A5%E3%80%8BDITS/%E7%AC%AC12%E7%AB%A0%20%E6%9E%84%E5%BB%BA%E6%95%B0%E5%AD%97%E5%8C%96%E4%B8%9A%E5%8A%A1/]]  [[返回上一章>>http://itil4hub.cn/bin/view/ITIL%204%E3%80%8A%E6%95%B0%E5%AD%97%E5%8C%96%E5%92%8CIT%E6%88%98%E7%95%A5%E3%80%8BDITS/%E7%AC%AC10%E7%AB%A0%20%E7%AE%A1%E7%90%86%E5%88%9B%E6%96%B0%E5%92%8C%E6%96%B0%E5%85%B4%E6%8A%80%E6%9C%AF/]]
5	5
6		-{{box cssClass="floatinginfobox" title="**Contents**"}}
	6	+{{box cssClass="floatinginfobox" title="
	7	+
	8	+**Contents**"}}
7	7	{{toc/}}
8	8	{{/box}}
9	9
10	10	= **第11章 管理战略性风险** =
11	11
	14	+
12	12	数字化技术的发展提供了前所未有的机遇，但也具有内在的破坏性和风险。毫不夸张地说，数字化转型既可以推动组织走向成功，也可以使其破产。
13	13
14	14	在战术层面，风险管理是要确定对抗现有威胁、新威胁及脆弱性的方法。在战略层面，风险管理是为了确保组织在数字化技术改变了规则的环境中获得成功。
15	15
16	16
17		-== **11.1 定义** ==
18	18
	21	+== 11.1 定义 ==
	22	+
	23	+
19	19	《ITIL风险管理实践指南》包含对风险的定义，以及对风险管理及相关概念和活动的描述。
20	20
21	21
...	...	@@ -36,8 +36,11 @@
36	36	* 识别风险触发因素和所有者
37	37	* 确保风险策略能被相应地实施
38	38
39		-== **11.2 数字化组织的风险管理** ==
40	40
	45	+
	46	+== 11.2 数字化组织的风险管理 ==
	47	+
	48	+
41	41	风险管理方法取决于组织使用的转型范例。组织使用基于流程的范例可能会首先评估当前状态、定义期望的未来状态，并确定与从一个状态迁移到另一个状态相关的风险。组织使用基于模型的范例，将从识别潜在的商业用例并评价与每个用例相关的风险开始。
42	42
43	43	风险有多种来源，形式多样，例如：
...	...	@@ -66,15 +66,19 @@
66	66	**Anya：**我们管理许多战略风险，包括我们商业模式的风险、竞争的租车公司颠覆我们市场的风险，以及供应链遭受破坏的风险。送餐服务会带来我们从未遇到过的风险，如不符合食品安全标准的风险。我们甚至必须考虑我们的外卖业务可能无法吸引足够的注意和消费者的风险！
67	67
68	68
69		-== **11.3 组织风险管理** ==
70	70
	78	+== 11.3 组织风险管理 ==
	79	+
	80	+
71	71	组织的治理机构最终对实施适当的风险管理框架负责。高管负责以与该框架一致的方式监督和指导工作。
72	72
73	73	每个组织都应建立正式的风险管理实践，该实践的结构应反映组织的管理方式。风险或审计委员会通常负责对框架的持续维护，并确保适当地定义和处理风险。首席信息安全官或设施总监等专家专注于实施风险和安全措施。
74	74
75	75
76		-== **11.4 使用风险管理评价机会** ==
77	77
	87	+== 11.4 使用风险管理评价机会 ==
	88	+
	89	+
78	78	数字化技术带来了很多机会，但并非所有机会都能将组织带到想要去的地方。组织使用风险管理确定哪些机会可能有助于实现目标，哪些机会几乎没有或只有很少的回报、甚至损害目标的实现。
79	79
80	80	风险管理是战略推动力，通过以下方式帮助决策者和领导者：
...	...	@@ -85,8 +85,11 @@
85	85	* 指明哪些行为最有可能确保积极结果
86	86	* 评估所有负面风险和正面风险的净结果
87	87
88		-== **11.5 风险识别** ==
89	89
	101	+
	102	+== 11.5 风险识别 ==
	103	+
	104	+
90	90	几乎所有学科都使用框架来理解和管理风险，且每个框架都具有可用于识别风险的风险类别提示清单。例如：
91	91
92	92	**VUCA** Bennis和Nanus于1986年针对一般条件和情况所开发的风险提示清单
...	...	@@ -102,8 +102,10 @@
102	102	通过使用颠覆、创新、网络安全和互动（Disruption, Innovation, Cybersecurity and Engagement，缩写DICE）等概念，从业人员可以扩大风险识别范围，以涵盖数字化技术的影响。
103	103
104	104
105		-=== **11.5.1 颠覆风险** ===
106	106
	121	+=== 11.5.1 颠覆风险 ===
	122	+
	123	+
107	107	**定义：颠覆风险**
108	108
109	109	颠覆组织的运营或商业模式的风险。
...	...	@@ -118,8 +118,10 @@
118	118	关于技术采纳和消费者需求演变的行业报告会列出所识别的颠覆风险。
119	119
120	120
121		-=== **11.5.2 创新风险** ===
122	122
	139	+=== 11.5.2 创新风险 ===
	140	+
	141	+
123	123	**定义：创新风险**
124	124
125	125	组织创新所带来的风险。
...	...	@@ -136,8 +136,10 @@
136	136	可以通过对特定行业报告的定期分析来确定创新风险，这些报告涵盖了建模、测试评审、对消费者反馈的持续分析（以更快的迭代周期）以及运营绩效。
137	137
138	138
139		-=== **11.5.3 网络安全风险** ===
140	140
	159	+=== 11.5.3 网络安全风险 ===
	160	+
	161	+
141	141	**定义：网络安全风险**
142	142
143	143	网络攻击或数据泄露给组织造成曝光或损失的风险。
...	...	@@ -150,8 +150,10 @@
150	150	通常通过使用专用软件工具、漏洞评估、威胁情报评估以及行业报告分析来确定网络安全风险，当通过机器学习增强这些方法时，可以实现更加主动和可靠的风险识别。
151	151
152	152
153		-=== **11.5.4 互动风险** ===
154	154
	175	+=== 11.5.4 互动风险 ===
	176	+
	177	+
155	155	**定义：互动风险**
156	156
157	157	来自组织利益相关者的风险，包括供应商和合作伙伴、消费者和员工。
...	...	@@ -177,8 +177,10 @@
177	177	**Su：**当然也应该有限制。例如，不能指望工程师管理法律风险。敏捷从业者谈论“将工作移交给合适的团队”。管理风险的合适团队可能是高管团队或其他职能部门。ITIL指导原则为从事风险管理提供了坚实的基础！
178	178
179	179
180		-== **11.6 风险登记册** ==
181	181
	204	+== 11.6 风险登记册 ==
	205	+
	206	+
182	182	风险识别的主要输出是风险登记册，包括已识别的主要风险清单，对其进行优先级排序，以及关于这些风险历史和当前状态的信息。风险登记册由高级管理人员监督，并由组织的风险或审计委员会定期审查。影响组织战略或生存能力的风险必须与组织的治理机构沟通，并由该机构来审查。
183	183
184	184	在战略层面，风险记录更新的频率应能反映对组织战略和商业模式的审查和更新的频率。在举措或项目层面，应在检查点会议发生时更新登记册。
...	...	@@ -186,13 +186,17 @@
186	186	《风险管理实践指南》中详细地描述了风险登记册的内容和格式。
187	187
188	188
189		-== **11.7 定性风险分析** ==
190	190
	215	+== 11.7 定性风险分析 ==
	216	+
	217	+
191	191	定性风险分析用于确定风险发生的可能性及风险的影响。由于不可能深入解决每种风险，因此，定性风险分析有助于确定哪些风险需要首先处理，以及需要花费多少精力。定性风险分析有不同类型，包括风险矩阵和基于场景的分析。
192	192
193	193
194		-=== **11.7.1 风险矩阵** ===
195	195
	222	+=== 11.7.1 风险矩阵 ===
	223	+
	224	+
196	196	如图11.1所示，风险矩阵显示了风险在y轴上的潜在影响以及在x轴上的可能性。尽管这一风险矩阵主要用于评估负面风险，但既可以用于负面风险，也可以用于正面风险。
197	197
198	198	组织首先要消除负面的“高”风险，因为这些风险具有潜在的灾难性。 “低”风险的影响和可能性较低，组织通常选择接受而不采取主动的行动。但是，组织将继续监测“低”风险，以防这些风险变成“中”或“高”风险。 “中”风险是风险修改或风险分享的最佳选择。
...	...	@@ -203,8 +203,9 @@
203	203	图11.1用于定性风险分析的矩阵示例
204	204
205	205
206		-=== **11.7.2 基于场景的分析** ===
	235	+=== 11.7.2 基于场景的分析 ===
207	207
	237	+
208	208	战略关注机会评估，结合机会所有负面的和正面的风险，以确定它是否值得进一步开发利用。
209	209
210	210	场景允许组织评估机会，在风险管理的背景下，场景有：
...	...	@@ -216,8 +216,11 @@
216	216	* 评估每项变更的可能性和影响
217	217	* 识别应采取哪些措施处理负面风险，并确保实现正面风险
218	218
219		-== **11.8 定量风险分析** ==
220	220
	250	+
	251	+== 11.8 定量风险分析 ==
	252	+
	253	+
221	221	定量风险分析技术试图在风险上引入货币价值。这些方法很复杂，需要大量的研究和分析，通常仅在风险超过预定阈值时使用。
222	222
223	223	场景分析中使用的定量计算包括：
...	...	@@ -226,13 +226,19 @@
226	226	* **单一预期损失**（single loss expectancy, SLE）每次由于发生风险而导致的预期财务损失
227	227	* **年度预期损失**（annualized loss expectancy, ALE）一年中平均风险发生的预期损失（SLE×ARO）
228	228
229		-== **11.9 风险触发因素** ==
230	230
	263	+
	264	+== 11.9 风险触发因素 ==
	265	+
	266	+
231	231	风险触发因素是将风险转变为实际事件或问题的条件，也可能是将风险转换成不同类或相似类影响的条件。所有主要风险应具有相关的风险触发因素，并有一个负责监测这些风险的所有者，以便可以及时采取措施。此角色最好由了解相关风险类别的主题专家来承担。
232	232
233	233
234		-== **11.10 风险姿态：平衡数字化技术的风险和收益** ==
235	235
	271	+
	272	+== 11.10 风险姿态：平衡数字化技术的风险和收益 ==
	273	+
	274	+
236	236	“风险姿态”是指组织识别、分析、计划、响应和管理风险的总体方法。《风险管理实践指南》中描述了风险姿态，本节概述风险姿态的主要概念，及其在定义和管理战略风险中的用途。
237	237
238	238	定义战略的主要部分是准确说明组织为实现目标愿意承受的风险。表11.1概述了用于描述这一问题的术语。这些术语经常互换使用，并且不同行业的定义也有所不同。所使用的术语或定义并不重要，重要的是组织中的每个人都以相同的方式使用这些术语，并将它们的含义纳入组织的风险规划和响应活动中。
...	...	@@ -245,8 +245,12 @@
245	245	|(% style="width:82px" %)风险容量|(% style="width:160px" %)组织可以承受的总风险|(% style="width:234px" %)风险登记册中的风险总体负面影响必须低于1亿美元
246	246	|(% style="width:82px" %)风险偏好|(% style="width:160px" %)组织在追求目标时将承受的负面风险的程度|(% style="width:234px" %)对于负面风险值高于5万美元的任何项目，高管必须寻求董事会批准
247	247
248		-=== **11.10.1 风险态度** ===
249	249
	288	+
	289	+
	290	+=== 11.10.1 风险态度 ===
	291	+
	292	+
250	250	风险态度是由风险基于风险容量、偏好、容忍度和阈值的典型响应所组成的，它不仅适用于组织，而且也适用于单个利益相关者。重要的是要了解组织对风险的态度，而且要识别各个利益相关者如何以及为什么支持或抗拒特定的机会。
251	251
252	252	用于描述风险态度的术语有所不同，经常使用的术语有：
...	...	@@ -263,8 +263,10 @@
263	263	**Anya：**即使组织的不同层级也可能对风险有不同的态度。在 Su的风险登记册上，不能满足客户要求的功能带来的风险可能很高，但高管团队的功能相应的风险却不那么高。重要的是，我们必须认识到团队所担心的事情，但同样要帮助他们理解这些风险可能是或不是其他所有人所关心的。
264	264
265	265
266		-== **11.11 风险处置** ==
267	267
	310	+== 11.11 风险处置 ==
	311	+
	312	+
268	268	“风险处置”或“风险缓解”是指用于准备和减轻风险对组织的影响的策略、计划、流程和工具。 风险处置通常分为以下几类：
269	269
270	270	* **风险保留或接受** 组织认为潜在风险的影响或可能性不值得投资于预防风险的发生。该举措将不采取任何对策。
...	...	@@ -278,8 +278,11 @@
278	278	** 借助自动化减少错误
279	279	** 对于明显的风险，快速响应并恢复
280	280
281		-== **11.12 形成风险告知思维和文化** ==
282	282
	327	+
	328	+== 11.12 形成风险告知思维和文化 ==
	329	+
	330	+
283	283	高管在建立风险告知的思维和文化（包括确定组织的风险度势和态度）方面发挥着至关重要的作用。该角色要求领导者参与意识教育和沟通活动，促进所有员工的理解。这种理念和文化最终批准组织将采取的应对风险的措施。
284	284
285	285	风险意识与风险规避不同。领导不应对负面结果的每种可能性反应过度，也不能怕担任何风险。实际上，具有风险意识的思维方式鼓励领导者在风险显现之前先考虑组织将如何应对。没有组织可以预测每种风险并做好准备，但是，具有风险意识的组织对最相关的风险有很好的了解，并可以做出相应的准备。