基礎要點

1.如果管理到位，產品和服務代表了創(chuàng)造和獲取價值的機會。否則是威脅。

2.通過平衡有關風險的措施，讓潛在收益高于解決風險的成本。

3.風險是業(yè)務的一部分，在識別風險時要考慮和描述不確定性。

4.根據風險暴露的水平，對其概率、影響和接近程度進行優(yōu)先級排序。

5.區(qū)分風險的所有者和行動者，實施監(jiān)控與控制。

6.風險管理既要保持一致性，又要根據特定情況對不同部門提供靈活性。

7.應主動、持續(xù)、跟進風險管理與報告，保證角色與責任的透明度與清晰度，不斷學習成長。

解讀

1.首先從風險類型上說，企業(yè)的日常服務與項目可能會面臨如下風險：

①時間風險，包括：未按SLA提供服務、項目的延期等。

②成本風險，包括：服務獲取成本高過產生的價值、項目費用的超支等。

③范圍風險，包括：客戶需求的頻繁變更、項目內容的重大調整等。

④技術風險，包括：設計、接口、兼容性、安全、性能和穩(wěn)定性等。

⑤法律風險，包括：法規(guī)、合同效力、不可抗力等。

2.那么根據PMBOK的理論，我們對于風險的管理流程一般為如下：

①計劃：根據現(xiàn)有數(shù)據源與技術方法，定義人員角色與責任，參照時間表、預算和范圍，提出風險管理的方法和目標。

②識別界定：根據過往記錄、業(yè)界經驗，招集成員使用頭腦風暴、互動訪談、矩陣與圖表分解等方法，識別現(xiàn)有環(huán)境內的風險特征。

③分析：運用定性/定量等不同方法，對已發(fā)現(xiàn)的風險進行程度、范圍、以及可能性三個維度的評估與排序，得出風險等級矩陣。

④應對：采用通用的風險減輕、轉移、規(guī)避、以及接受四種方法，減少風險對于現(xiàn)有服務或項目的威脅。根據木桶原理，我們應當注意措施的一致性，以免出現(xiàn)局部“短板”；同時也要在區(qū)分風險的所有者、控制實施者的基礎上，兼顧上述提到的時間、預算與成本，靈活實現(xiàn)各項策略與管控的強度。

⑤監(jiān)控改進：通過持續(xù)監(jiān)控與跟蹤事件，既能識別新的風險，又能獲悉管理的效果，還能控制殘留風險的態(tài)勢，進而提出糾正或改進的計劃。

實務

在我們企業(yè)中，最簡單的風險管理方式就是從“知己”的角度出發(fā)進行業(yè)務影響分析（BIA）和從“知彼”的方面進行風險評估（RA）的定義。那么在落地的過程中，我們依次引入了三個維度的參考指標：

1.內/外部威脅源，包括：

①自然層面上的各種災害。

②技術層面上，由于軟/硬件損壞所造成的數(shù)據丟失、以及分布式拒絕服務攻擊等。

③支撐系統(tǒng)層面上的供電、空調、以及接入網絡的中斷。

④人為層面上，使用惡意軟件進行的故意破壞和操作失誤等。

2.風險可能性：過往事件/事故的記錄、系統(tǒng)中物理與邏輯上所處的區(qū)域、自身的容錯能力、等級保護與合規(guī)的達標情況等。

3.影響范圍：涉及到整個組織、所有外部客戶、多個站點、某個部門、部分系統(tǒng)與服務等。

最后將這些指標量化或是分高、中、低，分別對應到各業(yè)務模塊上形成風險分析的矩陣，為必要時的全面復盤做好基礎性的準備工作。