風險管理

基礎要點

1.如果管理到位，產品和服務代表了創造和獲取價值的機會。否則是威脅。

2.通過平衡有關風險的措施，讓潛在收益高于解決風險的成本。

3.風險是業務的一部分，在識別風險時要考慮和描述不確定性。

4.根據風險暴露的水平，對其概率、影響和接近程度進行優先級排序。

5.區分風險的所有者和行動者，實施監控與控制。

6.風險管理既要保持一致性，又要根據特定情況對不同部門提供靈活性。

7.應主動、持續、跟進風險管理與報告，保證角色與責任的透明度與清晰度，不斷學習成長。

解讀

1.首先從風險類型上說，企業的日常服務與項目可能會面臨如下風險：

①時間風險，包括：未按SLA提供服務、項目的延期等。

②成本風險，包括：服務獲取成本高過產生的價值、項目費用的超支等。

③范圍風險，包括：客戶需求的頻繁變更、項目內容的重大調整等。

④技術風險，包括：設計、接口、兼容性、安全、性能和穩定性等。

⑤法律風險，包括：法規、合同效力、不可抗力等。

2.那么根據PMBOK的理論，我們對于風險的管理流程一般為如下：

①計劃：根據現有數據源與技術方法，定義人員角色與責任，參照時間表、預算和范圍，提出風險管理的方法和目標。

②識別界定：根據過往記錄、業界經驗，招集成員使用頭腦風暴、互動訪談、矩陣與圖表分解等方法，識別現有環境內的風險特征。

③分析：運用定性/定量等不同方法，對已發現的風險進行程度、范圍、以及可能性三個維度的評估與排序，得出風險等級矩陣。

④應對：采用通用的風險減輕、轉移、規避、以及接受四種方法，減少風險對于現有服務或項目的威脅。根據木桶原理，我們應當注意措施的一致性，以免出現局部“短板”；同時也要在區分風險的所有者、控制實施者的基礎上，兼顧上述提到的時間、預算與成本，靈活實現各項策略與管控的強度。

⑤監控改進：通過持續監控與跟蹤事件，既能識別新的風險，又能獲悉管理的效果，還能控制殘留風險的態勢，進而提出糾正或改進的計劃。

實務

在我們企業中，最簡單的風險管理方式就是從“知己”的角度出發進行業務影響分析（BIA）和從“知彼”的方面進行風險評估（RA）的定義。那么在落地的過程中，我們依次引入了三個維度的參考指標：

1.內/外部威脅源，包括：

①自然層面上的各種災害。

②技術層面上，由于軟/硬件損壞所造成的數據丟失、以及分布式拒絕服務攻擊等。

③支撐系統層面上的供電、空調、以及接入網絡的中斷。

④人為層面上，使用惡意軟件進行的故意破壞和操作失誤等。

2.風險可能性：過往事件/事故的記錄、系統中物理與邏輯上所處的區域、自身的容錯能力、等級保護與合規的達標情況等。

3.影響范圍：涉及到整個組織、所有外部客戶、多個站點、某個部門、部分系統與服務等。

最后將這些指標量化或是分高、中、低，分別對應到各業務模塊上形成風險分析的矩陣，為必要時的全面復盤做好基礎性的準備工作。