每个组织总会遇到不同的风险,从极小的威胁到可以威胁到你的声誉乃至整个公司的重大危机。如果事先做好准备,你就能够规避风险,让利益相关人相信你有能力在出事后继续运营,并且履行你的监管和法定义务——帮助你尽量降低对你的声誉、公司和品牌的影响。事实上,拥有完备的风险管理系统有助于你获得新客户,吸引员工和/或取得外部融资。
不论是什么样的风险,关键的是打好基础。但要想真正让利益相关人放心,并且得到最大的回报,你就要确保组织全面彻底地实施风险管理。
英国沃达丰(Vodaphone UK)和凯捷咨询公司(Capgemini)就是两家在组织脉络中渗透风险管理战略的公司。这两家公司的做法证明,风险管理未必就会让人头疼;相反,通过各自的最佳实践,英国沃达丰和凯捷证明,谨慎管理风险就能让组织抓住新的机遇。
英国沃达丰:业务照常运行
英国沃达丰是一家全球移动通信集团的下属公司,该集团拥有超过3.7亿用户,业务涵盖30多个国家,合作业务网络的覆盖范围则更广。作为依赖技术的大型企业,在拥有数以百万计的个人客户和数以千计的企业和公共服务行业客户的同时,不管出现任何规模、任何形式的干扰,保证业务的正常运营才是关键。
“业务连续性对我们来说格外重要,”英国沃达丰的业务连续性经理麦克罗林(Roger McLoughlin)。“首先,我们必须确保自己的业务得以继续运行;其次,我们在客户的业务连续性计划中是不可或缺的一环,因为我们的产品和服务能发挥关键作用,在他们遇到意外事件时维持业务运行;第三,我们的网络是英国重要的国家基础设施的一部分——如果我们停止运转,就会给整个国家造成损失。”
沃达丰一直以来都严抓业务中断的问题。二十年前,沃达丰的重点还放在灾难恢复上,但在那之后沃达丰开始拓宽思路,采用业务连续性管理(BCM)的原则。2008年,沃达丰在世界各国移动电信运营商中率先达到了BSI(英国标准协会)对BCM的划时代标准,即这套得到公司内部认可的管理框架增强了沃达丰原有的BCM项目的一致性和可靠性。
公司按照在原标准基础上升级的ISO 22301进行了审计,构建了持续改进的框架,并且能向利益相关人证明其BCM项目已经符合国际最佳实践。
“我们的兴趣在于将最佳实践变为现实,”麦克洛林说。“我们发现推行认证有助于我们做到这一点,因此推行认证的过程对我们而言有着合理的商业理由。”他说,BSI的认证在客户眼中也很有分量,“这一点对我们来说有很大价值”,让客户放心地小心沃达丰是按照最严格的BCM标准运作,持续监控和检查公司的程序,并且接受独立的审计。
他强烈感觉到对于BCM的信心成了大多数客户出价和续签合约的重要理由。“我们了解这个领域内竞争对手的动向以及客户的要求——并且我们还要求供应商也这样做。”麦克洛林说,新的标准帮助沃达丰看清了谁是自己重要的利益相关人,并且提高了与利益相关人沟通的效率。”这促使你采用内部整合的、全面的方法,以及正确的KPI(关键绩效指标)、审计和检查来确保你达到标准。”
沃达丰的BCM得到了高管层的大力支持,从而确保该项目完全融入更全面的公司治理和风险管理战略。该项目还与合规部门一致认为,必须遵守日益繁重的法律法规要求。“有一件事给我们带来了帮助,就是将我们的业务政策按照理由分为两类——‘可能需要知道’和‘需要知道’。”麦克洛林继续说。“BCM是属于“需要知道”类别的少数政策之一,因此所有员工都必须建立与此相关的意识。”
公司每两年会对员工进行调查,以检查员工对BCM的认识,以及在重大灾难或小型故障发生对正常业务活动构成干扰时他们所发挥的作用。公司还开发了适用于所有员工的在线培训模块,帮助他们将查看BCM当作日常工作的一部分。公司现在正试|用新的软件,以制造对员工更加友好的界面。
“我们想要确保在BCM上的领先地位,运用它管理每一天的事件,而不仅仅是灾难恢复;此外还要将最佳实践融入我们业务的每个环节,”麦克洛林说。“目的是为了万一在我们遇到各种事件时,客户丝毫不会注意到异样。”
凯捷:胸有成竹
凯捷是一家提供咨询、技术、外包和本地专业服务的全球一流企业。该公司在40个国家以100种语言运营,在世界各地拥有120,000名员工。安全是该集团立足的根本,保护着这个公司(以及公司客户)的资产、资源和人员,并最终为公司建立竞争优势。
秉承这一理念的凯捷在信息安全方面采用了一整套新的做法,引入多项指标来应对高效运营所需的信息的保密性、完整性和可用性的问题。信息安全的重要推力包括传统的威胁(例如事故、自然灾害和人为攻击)以及新的挑战(例如政府加大管制力度和支付卡行业标准提高)。
“如果我们未能满足合规要求,将会有面临高额罚金和信誉遭受沉重打击的风险,”凯捷在英国的信息外包服务公司信息安全主管米拉尔(Bill Millar)说。
客户也同样很关心安全问题。“如果没能拥有强大的系统,我们就会失去业务,”米拉尔说。“ISO 27001让我们将重点放在客户的安全要求上,而不是单纯地遵从商业实践。这就是我们选择这些标准的原因。我们希望达到最佳实践,希望能向自己证明这一点,但同时我们也希望让坚定支持这种最佳实践的商业和政府客户看到这一点。”
据米拉尔说,凯捷的荷兰和印度分公司率先采用了信息安全标准ISO 27001,并“明显从中受益”。比如说,在合并出价和投标这一举措上,公司“曾经为这两个项目分别消耗了大量的办公用纸,消耗大量的时间和资金来证明我们的信息安全可靠度。我们想,“去拿个认证吧”,并希望解放出人手从事其他工作。”
在2008年初,米拉尔创造了一个商业案例来说明需要进行投资的合理理由,并获得了董事会的许可。他说:“这并不困难。事实上,董事会问的是‘为什么我们没早点实施?’”。他使用凯捷自己的英国安全论坛作为项目的控制结构,并招聘了一个专门的二人团队。BSI被定为首选外部审计机构,并从确定项目参数开始参与相关工作。“BSI建议我们缩减规模,并将工作分解为较小的批量来完成,从而大大提高管理力度。”
首先,公司阐明了风险管理方法;然后公司会就该方法向员工进行宣传并获得客户的支持;接下来,公司会对安全记录进行更新,添加移动安全等新领域;最后公司会进入全面的安全审计循环,系统地审查最初列出的所有领域。
2008年11月,凯捷的英国外包公司达成了其目标,建立了经ISO 27001认证的信息安全管理系统。此后,该公司在2011年继续进行了认证,其在英国境内的14个营业地点有10个通过了该认证。凯捷未来的目标包括让最后的4个地点也通过该标准的认证,此外还要将该系统的好处告知集团内部的其他公司——波兰和德国的公司也已经加入了这一项目。米拉尔列举出了许多好处。但除此之外,他表示:“这个项目不仅仅是为了挖掘数据;也是为了关心员工和他们的人身安全。”
原文经许可,摘自Tom Nash写作、Director Publications Ltd. for the Institute of Directors于2012年3月发表的Achieving resilience: How to mitigate risk and protect your business一文。Director Publications于2012年登记版权。秦岭 译。
本中文版由世界经理人(www.ceconline.com)组织翻译并编辑。