关注：风险智能型CIO

　　往年提这个话题大家觉得风险智能离我相对远，因为现在是实施企业系统、确保安全、确保客户满意度。但今年大家知道背景下，我们叫金融危机的背景下，对于IT整个行业来讲，对CIO来讲，影响都很大。

　　为什么我们提出风险智能性的CIO呢？其实我觉得如果是往年提这个话题大家觉得风险智能离我相对远，因为现在是实施企业系统、确保安全、确保客户满意度。但今年大家知道背景下，我们叫金融危机的背景下，对于IT整个行业来讲，包括我们企业部门来讲，影响都很大，更促使大家把精力、资源、成本、先进投入到哪些应该公司风险最大的环节，这我是我们提出风险智能的含义。整个用风险导向架控公司的管控。提到这个话题，我之前跟一个客户参加了一个会，在座也有我们德勤华永的客户，这个客户正在实施ICP，我们跟他们谈一些ICP实施后的复合业务，重点是数据挖掘技术实现公司高层怎么从系统里很及时的、全面的要到我想要的信息，这个IT部门绞尽脑汁考虑搭建什么报表体系，按照管理体系做。

　　从而看到IT的主管或者CIO，迫切的需求是说如何跟公司业务挂钩，这也是今天我们的主题，当然还有其他服务。这个CIO说，在当今环境下，CIO面临的压力可以总结成一句话，就是说我们必须按照公司要求把事做好，这是当前在做的，同时要做的更好，做的更快，两之小时之内可能就让你响应。在国内企业我们刚刚做了一项调查，做明年预算的时候有40%的企业在不同程度的削减明年IT各方面投资，基本我们接触到、看到的情况是比较普遍的情况。另外IT不是以往的救火式的，这边来了需求、问题、变更或者具体的系统更改就马上去用我的资源投入，IT怎么更灵活、主动的跟公司业务和重大风险领域挂钩，这可能是在当今IT资源越来越紧张的情况下的思维和策略。

　　其实金融海啸，更主要的含义，今天CIO面临的压力，我们前期做了一项调研，前六位的地方，第一是资源很少，但公司让我提高资源整个使用效率，就是能效比的问题，我要提高比如服务设备的投资，用更小的投资，用更小的服务器提供更多的服务，减少投资。第二公司各个层面对信息质量要求越来越高，时间越来越短。第三是现在很多企业在不同地方上市，上美国、日本包括香港、国内，其实在当今环境下，可能大家接触过，整个资本市场对公司的要求，企业如果有很复杂的IT系统，遵循的成本、合规性的紧迫性也是CIO面临的压力。

　　第四项是宕机时间，客户不能查询到这个频率，怎么用更省钱的技术解决这个问题。第五是客户满意度，如何建立一套合适SL级别，可能需要风险导向的SL签的可能是更加主动一些，哪个地方不是很重点的话可能就差一些，这也是一个资源分配的问题。另外是成本，所以这六项也是CIO面临的情况。这个环境下，我们讲的金融危机，其实无疑加重了这些方面，不是IT部门就不干活了？不是这个含义，也不是把预算100%减掉了。而是每个部门，包括IT在内，心里都有很大的压力，怎么做的更好，今天的主题IT即业务，怎么和业务目标一致。风险智能性的CIO是讲风险管理的理念，是跟业务风险挂钩的。在座都是从事IT行业的，大家都在谈保证业务导向是符合公司重大风险领域，我去那个地方挖掘机会或者规避灾难性风险。IT支持业务，同时IT风险管理也就支持业务风险管理。

　　我们探讨ITIL的时候，往往只是服务或者运维这样的含义，怎么把事做的更有效力，客户别天天投诉我们，可能里面有十个方面，怎么配制、变更、财务控制好等等，但我们强调能够把风险的含义从头彻尾贯彻到十个领域里去，关注整个IT运作有哪些风险。第二整个机构我们面临哪些风险，IT部门不只是考虑本部门的东西，要站在公司的角度。第三是软硬件怎么跟公司配合。然后是战略性风险，这是很大、很虚，但有些客户做的非常好，包括我们看到的客户IT部门和市场部门成立了战情分析小组，这个环境下已经处于战斗状态，有一些制造业、建筑业等行业，都会有这样的问题。这家公司实际上是IT部门和市场部门成立了战情分析小组，运用IT的手段，在第一时间知道整个领域或者宏观经济或者他们客户最新的动态。这个东西好象不是IT部门做的么？这就是公司战略的风险，公司下一步发展面临什么问题呢？这通常不是IT部门要想的，我只是保证你系统不宕机等等要求。但现在IT部门在分析风险之后，就是系统分析公司的风险之后，就会发现有一些风险可以给公司以及自己部门带来机会的领域，比如这个例子，我们看的挺好，做完之后觉得CIO很创新，好象我以前从来没听过，这是一个好的例子。

　　最新德勤华永发布一个如何把风险管理到一个，在一个大家比较舒服的状态，有九个方面，企业如何搭建这样的风险智能平台，基本上前四条就是说我们IT部门在以前做了很多合规，等等认证，不同角度加强IT管理，但我们强调前四个方面，能不能用风险的角度，重新探讨和业务结合的问题。后面是看公司高官、治理层能不能通过IT系统给公司建立很透明的信息传递机制，第六项是风险管理计划设计、实施和维护。再往下是怎么落实风险，哪些风险需要管，后面具体说业务部门的支持，比如财务、人事、IT部门怎么具体实现。然后是一些机制，使得公司风险管控体制不断完善。

　　这是我们提出风险智能，去年很快的反映出的概念，叫风险智能，不只是IT智能。大家看到这个外围是企业面临的各种各样的外部和内部的压力，我们提到的调研报告里，我们发现有九个风险是目前亚太地区CIO比较关注的，在未来一段时间内大家关注的领域，第一知识产权和信息保护投诉的风险，这方面风险可能在中国越来越迫切，德勤华永协助一家跨国公司，做一件什么事呢？他的产品或者软件，比如卖给这位先生，是不是正确的使用，我们协助他，这使得中国的企业在这方面越来越有压力。第二风险是网络安全和客户信息保密问题。第三是外包和离岸，现在的背景下，外包公司的压力非常大，因为他们以前毛利率本来就低，客户订单减少量的优势也减少了。第四是移动技术的风险，比如移动的设备，包括公司网络移动搭建等等。第五是加速计算，比如运城计算。

　　第六是病毒，还有第三方服务，还有企业并购过程中IT风险。我们刚刚接了一个项目，帮助A客户看B客户的系统，是不是跟将来A要收购B，B整个IT是不是很好的结合，并购的话IT越来越重要了。第九是法规和遵循性的风险，如果将来在座各位公司希望在美国、国内上市，这样的资本市场的要求，对IT控制的要求就会越来越大，我相信有一些同志有亲身的体验。这九个风险是IT部门感知到的风险源。通过风险智能，公司怎么应对呢？我说一大堆风险不能照做以前的模式，其实可能要变一变方式，怎么变呢？绿色的圆圈其实有两个圈，中间是蓝色的，是我们强调的整个公司无论是运维、安全还是系统变更，从IT的角度，你必须重新审视一下公司的目标，就是发展与实施战略，这块业务，比如上一个ERP系统，是不是足以跟公司的呼叫中心、制造流程配合，然后根据这点你看实施这些系统有什么风险，有没有过度投资的风险，我们是不是可以避免投资或者推迟投资，整个系统实施过程中是不是给企业规避一些风险，这是一套专门的方法。这些风险有大有小，有紧迫性的，有不重要的，如何应对这些风险，从而整内部的运维、安全以及变更管理等措施，不是按照标准导向，最后是闭环的管理。

　　最外面是说从哪几个角度加强IT风险管理，一方面是人员，一方面是具体业务流程，第三方面是信息技术。这是说IT环境下，大家看到右边的圈，IT部门要从哪些角度规划、管理我所面临的各种各样风险，比如需要在IT战略角度考虑，需要治理、合规角度考虑，考虑信息安全、数据质量，包括IT风险内审，使得整个机构IT部门是一个很清楚的规避这些风险。这强调的是IT风险和企业风险一致性的问题，不是IT风险单独拿出来。我讲一些重点内容，这是现在我们提出的风险管理框架，这里从整个公司来看，从上一层叫IT治理，这里有具体的要做的事，具体有治理、策略、评估活动以及沟通等等。中间这个环节，政策和限制风险整合这块是把企业的数据、业务和架构整合起来考虑。下面是不同业务单位的识别，最后是基础的工作。

　　IT整个风险管理架构，我们从风险的角度把传统IT事项再分类，大家看到下面的一些领域可能比较熟悉，通过风险整合的方式，使得你的企业会更加智能。这里提到一个概念，用这种模式，大家会谈到整合的问题，比如会27001、20000，怎么整合在一起考虑，因为否则很多企业面临一个困惑，今年我上了一个认证，后年上了一些认证，到底有没有起导作用，现在谈整合的问题，我们是从风险管理的角度提出整合。我们强调了IT风险管理，总体来说风险管理还是运营层面和IT圈子里做的事情，现在很提倡IT上升到战略层面，这个东西提了很多年，但真正怎么落实是很重要的。

　　风险智能性的CIO怎么做，具体有一些措施，最后一部分我们看到这里有很多案例和细节，最后我希望大家有机会可以做一下，问了15个问题，你可以回答是或者不，判断一下自己的企业是不是实现了风险智能，你的CIO是不是智能化管理公司风险，使公司出现大灾难的时候，不至于业务上受到很大损失，这15个问题大家有机会可以看看。基本上来讲，我们提到刚才的调研报告，我们看到虽然有43%的公司缩减IT预算，但在金砖四国大家整个企业界的信心指数还是高居榜首，我们希望和同行一起，在这个时代下把我们的企业做得更好。