上海黄金搭档生物科技有限公司(下称黄金搭档)IT项目负责人朱永明讲了这样一个故事。

魏文王问名医扁鹊说：“你们家兄弟三人，都精于医术，到底哪一位医术最好呢？”扁鹊回答说：“大哥最好，二哥次之，我最差。我大哥治病，是治病于病情发作之前。由于一般人不知道他事先能铲除病因，所以他的名气无法传出去，只有我们家里的人才知道。我二哥治病，是治病于病情刚刚发作之时。一般人以为他只能治轻微的小病，所以他只在我们的村子里才小有名气。而我扁鹊治病，是治病于病情严重之时。一般人看见的都是我在经脉上穿针管来放血、在皮肤上敷药等大手术，所以他们以为我的医术最高明，因此名气响遍全国。”

朱永明认为，这个为人熟知的故事讲了一个很浅显的道理——事后控制不如事中控制，事中控制不如事前控制。可惜大多数CIO均未能体会到这一点，等到错误的决策造成了重大损失才寻求弥补。弥补得好，当然是声名鹊起，但更多的时候是亡羊补牢，为时已晚。

“日本的活力门事件是一个典型的乌龙球。”李大鹏也对事前控制的重要性深有体会，“这一事件的实质是系统设计容量没有一个很好的预期，不知道峰值在哪里，完全是个失职行为。”

太平洋保险集团的程明是一名“海归”，他指出，中国内地企业在风险管理上往往采取临时应急的办法，主要是因为缺少经验或管理团队缺乏管理训练的缘故。外国企业更熟悉如何调配资源来进行风险管理规划，而中国企业则是到了感到事态不妙时，才开始到处求助和做准备。

“风险虽然是很难避免的，但是我们可以积极应对，去有效地组织、建立我们的管理体系。”程明把风险的发生比喻成人的生死，分为四个阶段：第一个阶段就是前兆阶段，如果先兆处理得好也许风险就不会发生；但是如果没有处理好就会进入下一个阶段——紧急阶段，这个时候事件已经发生了，就需要去积极应对；到第三个阶段就是相持阶段，这个时候相对平稳，但是仍然有恶化的可能，相对来讲可能也是最艰难的阶段；到最后阶段，风险事件得到完全解决，总结经验教训。

李大鹏谈到，许多酿成重大风险事件企业的CIO，对于企业自身系统往往会有一种“明显是问题，早晚必爆发”的感觉。就是说，如果这些CIO能在早期采取行动的话，很多风险都可以早早消除，不必等着成为事件后再来处理。

由此可见，正如一位经历过风险事件的CIO所总结的那样：风险管理绝不是风险出现了以后才开始的管理，化解风险，就是在问题爆发之前，在其尚在胚胎中将其化解。这等“武功”需要修炼的时间就要长得多，而且要有运行良好的日常工作监督和反馈机制。任何风险问题的爆发，都有其酝酿的过程，处理得当，则可以事半功倍地化解风险。

建立高效体制

IT风险管理除了在思想和行动上要做到事前控制外，在体制上，CIO也应建立起一套灵活高效的管理体制。

国内企业，尤其是国有企业的管理体系存在两方面的脆弱性：首先，他们的管理体系是建立在一种常态假设之上的，包括首席执行官(CEO)在内的管理者，都“宁愿”相信天天无险、日日平安的可能，都习惯于按常态规划和开展工作。

但是，管理环境中的不确定性总是存在的，难以预料的危机是无法避免的，因此，基于常态假设的管理体系具有很大的脆弱性。其次，在许多公司，风险管理是由各部门各自进行，尽管这样做有利于实现“分工负责”，但是当发生需要多个部门共同应对的“综合性”风险时，将产生很高的协调成本，并严重影响反应速度。

如何打破风险管理体系中的常态假设等弊端？朱永明建议，企业可以事先建立一个风险管理小组，小组成员由不同部门的负责人参加，这个小组的作用就是为解决风险问题而协调各部门的资源。“这样做的好处是，当风险事件发生的时候，可以有效地杜绝相关部门推诿扯皮的现象。”身兼财务和IT多项职位的朱永明就在黄金搭档负责这样一个小组。2006年初，这个小组在解决一次重大的客户资源泄密事件中起到了积极作用。

在风险管理体制中引入“外部人”参与决策也是一个很好的方法。程明的经验是，面临“非常规问题”的IT风险事件，“内部人”的智慧短缺不可避免，而“外部人”参与决策则可能出现柳暗花明的局面。

所谓“常规问题”和“非常规问题”，前者是指那些重复出现的日常管理问题，后者是那些偶然发生的、管理者很少遭遇过的管理问题，风险问题就属于非常规问题。

程明认为：作为“内部人”，常规部门在危机面前常常会现出智慧短缺，因为他们长期在一个领域工作，长期处理大同小异的常规问题，逐渐形成了思维定势，从而很难正确应对突发性的新事件。

他介绍说，一些西方企业在解决这一矛盾时通常采用的办法是，聘请外部的专家顾问。这些“外部人”来自大学、研究机构、咨询公司，他们不受任何“既定”思维的约束，带来的是新的视角、新的逻辑、新的对策，他们常常能够使决策出现柳暗花明的气象。

良好的风险管理体制还需要有一个善于沟通的团队。程明谈到，在一个IT预算会议上，他的团队提交的预算完全围绕IT安全，根本没有涉及任何具体技术。

他只简单说明了一些敏感数据存在的安全隐患，以及可能付出的安全代价，接着就讨论如何把钱花在降低风险上，并指出，这些开支要大大低于潜在风险所带来的破坏。结果，预算请求不仅获得了批准，而且公司首席财务官(CFO)和首席运营官(COO)还为该项目增加了额外的预算。

对于企业的CIO来说，有关风险管理的讨论和实践目前仅仅是拉开了序幕。一位CIO说：其实，风险既是危险，又是机会，风险管理是“刀尖上的舞蹈”，舞得好，CIO在企业中的作用将更加显现；舞得不好，CIO将成为企业失败的掘墓人。

(c113)