关于风险管理,我们可以参考国际公认的权威——ISO31000:2018风险管理指南。在2018版本中,其提出了风险管理目的和原则的总体和一般视角。它们适用于任何类型的组织中的所有级别。有趣的是,该标准的上一版本也是发布于2009年,同样9年来第一次更新。ISO 31000:2018声明“风险管理的目的是创造和保护价值”,风险管理“提高绩效,鼓励创新并支持实现目标”。
ISO 31000:2018有8项主题:
1.高管支持是基础;
3.强调正确地履行;
4.风险管理不是放之四海而皆准的;
5.积极主动;
6.标准化词汇;
7.利用现有的最佳信息;
8.评价成功。
与之对比,ITIL 4中风险管理实践的目的是确保组织理解并有效地处理风险,从而确保组织的可持续性和为客户创造价值。风险中有威胁也有机会,与威胁有关时,通常被认为是可以避免的。而与机会相关时,不抓住机会本身就是一种风险。风险管理是所有组织活动的一个必然的组成部分,对组织的SVS至关重要。近期华为在应对美国一系列动作时,就表现出极高的风险管理水平,当然,还有极高的业务连续性管理水平。
在7项指导原则中,和ISO 31000:2018中8项主题有不少是能匹配的:
● 聚焦价值以及基于反馈迭代推进,对应于评价成功。这里强调衡量、评估和改进风险管理实践的价值。这样做的目的不是第一次就把所有的事情都做好,而是在每次迭代完成时都要持续改进它。即使是不完美的风险数据也可能有用,只要它与显示趋势的时间表一起呈现。最终,风险报告能为管理人员提供高质量信息。(www.xing528.com)
● 通盘思考和工作,对应高管支持是基础,以及风险管理不是放之四海而皆准的。风险管理是一个循环过程,有足够的定制和改进空间。但其并非万能,管理者应该从整体去考虑,为自己的组织定制风险管理指南——特别是其风险概况、文化和风险偏好。风险管理实践必须全面管理,以实现整个组织的一致性。为确保有效性,应与利益相关方进行持续磋商,并为组织的不同部门提供适当的灵活性。这种灵活性将允许开发定制的风险管理程序,以便解决组织单位和/或客户特定情况。同时,组织需要根据其原意承担的风险偏好(即风险水平),对风险进行识别、评估、监控和管理。管理者还需要确保风险管理实践在组织的所有级别上得到充分集成,并与组织的目标结合在一起,让风险意识融入企业的运作方式中。
● 从你所处的地方开始,对应利用现有的最佳信息。当前很多风险管理都集中在可用的最佳信息上,而忽视了风险中的模糊性和不完善之处。管理者不应只是试图分享绝对的风险信息,而应利用这些模糊点,对他们提供的数据进行反思,从而更好地发现问题。
● 保持简单实用,对应标准化词汇。通过风险管理实践,提供一种公共语言,对风险、事件、后果和概率有简单和不复杂的定义。组织内均应采用这些术语,以确保交流不会产生分歧。
● 优化和自动化,对应积极主动。对风险应该采取积极的立场,并确保将风险管理集成到组织各级决策的各个方面。这包括在业务连续性管理、业务分析、劳动力和人才管理、信息安全管理、问题管理等方面,都需要作出主动的优化,形成主动风险管理行为。
回到管理实践中,我们试举几个和风险管理相关的例子:
● 在信息安全管理中,首当其冲的就是对可能产生的风险进行识别,以确保组织所需的信息安全性。
● 在问题管理实践中,问题管理活动可以为风险管理提供特定的案例,可识别、评估和控制服务管理的四个方面的风险,此时采用风险管理工具和技术进行问题管理往往很有效。
● 在可用性管理中,某些组织会会导致可靠性降低的因素作为风险管理的一部分。
● 在服务连续性中,需要彻底考虑影响服务连续性的因素,以及多个因素之间的关系,。假如不做风险评估,那么应急相关对应的场景就无法有效的识别,可能存在应急预案缺失的问题。
● 在服务设计方面,风险管理嵌入了所有设计过程和活动中,确保所提供的产品和服务所涉及的风险和组织的风险保持一致。
● 在服务验证和测试方面,风险管理相关的条件也是服务验证的输入之一。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。