企业的合规性风险管理日渐提上日程

日期: 2008-10-21 作者:Elisabeth Horwitt翻译:王霆 来源:TechTarget中国 英文

去年5月,Standard and Poor’s (S&P)集团宣布开始就ERM(企业风险管理)问题与各大公司进行讨论,最早可能从2009年第二季度开始对他们进行ERM评估。这项举动给其它企业的业务领导和技术领导发出了一个强烈的讯号:不要再拖延时间了,迅速启动ERM项目吧!   S&P在这方面并不是孤军奋战。Moody的Investors Service公司已经制定了全面的风险管理评价方法,作为一家保险信息提供商,A.M. Best Co.公司也已经宣布将ERM列入其评估过程中的核心内容。ERM从整体上对企业的风险管理战略、流程、以及组织机构做出了精确而又严密的界定……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

去年5月,Standard and Poor's (S&P)集团宣布开始就ERM(企业风险管理)问题与各大公司进行讨论,最早可能从2009年第二季度开始对他们进行ERM评估。这项举动给其它企业的业务领导和技术领导发出了一个强烈的讯号:不要再拖延时间了,迅速启动ERM项目吧!

  S&P在这方面并不是孤军奋战。Moody的Investors Service公司已经制定了全面的风险管理评价方法,作为一家保险信息提供商,A.M. Best Co.公司也已经宣布将ERM列入其评估过程中的核心内容。ERM从整体上对企业的风险管理战略、流程、以及组织机构做出了精确而又严密的界定。根据Gartner公司今年4月份《关于企业和IT风险管理人员的风险等级》的报告,ERM的首要目的是确保各种业务和IT组织能够“明白自己的风险管理职责(避免由系统问题、人为原因、操作流程不当或是外部原因导致的风险)”。

  另一个目标是促使各组织和机构的领导就相关问题开始进行讨论,来评定涉及到业务持续性、信息安全、法规遵从以及私密性管理这些业务领域或IT领域的问题会如何威胁到企业业绩及其长期目标、以及业务重点的确定。

  企业的IT和其它业务领导长期以来已经意识到了采取全面、而不是分散的风险管理方法的价值。而9.11事件和Katrina飓风在很大程度上表明,如果一个企业的IT系统遭到严重破坏,不光会对其关键的业务流程构成威胁,还会对其长期财政稳定性和竞争力造成破坏。而目前联邦监管机构和法院已开始对某些企业因不遵守Sarbanes-Oxley Act、Health Insurance Portability以及Accountability Act这样的信息安全条款和数据保密条例而开出了数百万美元的罚单,这对他们来讲也是另一种方式的提醒。

  另一方面,就ERM的实际实施情况而言,许多组织和机构仍迟迟不肯行动。在2007年的2月份,Marsh风险顾问公司和Risk and Insurance Management Society公司联合主办了一项调查,调查对象是U.S.境内的501名风险管理者、高级管理行政人员以及风险相关公司的任职人员,其中有12%的受访者表示他们所在的公司已经全面地实施了ERM。这比2006年的4%有了很大提高。

  实际上这一结果并不足以为奇。这种从储存型流程向ERM的转化本身就要求有一个基本的文化变革,而大量的初期基础工作则更是难以避免。

  “企业领导们往往不愿接受风险和安全决策的问责制”, Gartner公司科研副总裁Paul Proctor说。此外,许多IT部门和企业的管理者习惯于因小失大,总是把重点放在处理来自其部门内部的威胁上。

  但这些企业和IT部门的管理者至少已经习惯了彼此间时不时地就服务水平等问题进行探讨。另一方面,负责安装和维护安全及备份系统的下属却很少与企业管理者相互配合,这些管理者的日常工作主要依靠那些系统服务小组提供的服务来完成。CIO们和其他IT管理人员几乎很少有机会可以和负责处理金融和市场威胁的风险管理人员合作。

  现在的问题是,在面对风险管理时双方都倾向于在内部解决问题。“从历史上看,风险管理者们一直在扮演一群保险购买者、而不是战略思想家的角色”,Navigant Consulting公司负责业务持续性实践的Michael Keating主管说。他还补充说,IT管理者们通常都只是就某一问题引入相关技术来处理相应的业务威胁,而并没有将企业的业务目标和优先事项考虑进去。

  “这种储存型管理方法导致的问题之一是使各工作小组间无法就各自的工作成果进行共享,因为他们对对方的业务缺乏了解”,Keating说。IT部门决定再创建一个数据中心以确保其关键应用程序不会停止工作超过一小时。这就给那些想要和你公司打交道的客户提供了一个非常值得信服的理由。销售人员可以对客户说:“我们非常重视你的业务,因此我们做出了这项投资以确保总是可以满足你的需求。”

  事实上,即使是没有来自评估机构降低其信用指数的威胁,企业还是有足够的理由来实施ERM,因为这可以使他们变得更具竞争力,同时避免一些金融问题。

  “我知道有许多组织和机构会将更多精力放在应对技术风险上,他们也没有相应的风险管理办法,这使他们可以更多地依据营业风险的大小来决定自己的投资”,Swiss firm BirchTree Consulting公司总裁Peter Berlich说,他同时也是International Information Systems Security Certification Consortium(ISC)公司董事会成员之一。这会导致企业“在风险缓解和预防方面的投入更少,以至于业务流程在遭受灾难破坏后的恢复时间变得更长,反过来说,就是会使其因过多强调技术风险的预防而失去一些商业机遇。”

  ERM就是指那些拥有各自不同优先业务的公司集团间的沟通和协作,也包括那些能够促使各公司在企业范围内对风险进行主动评估与处理的专业知识和经验。

  一项完善的ERM战略使各业务和IT小组的领导人有机会携手合作来为公司制定更为积极广泛的相关解决方案,这对企业的长远发展是有益的。它还可以促使那些业务运行受到威胁的企业和IT部门领导人承担起对风险进行评估并制定可行方案的责任。

  Gartner公司的Proctor通过一个反问句对该问题做出了陈述:“当涉及到风险和安全追踪问题时,你希望由谁来做决定?难道是那些负责管理防火墙的低级别员工?”

翻译

王霆
王霆

相关推荐