风险管理

基础要点

1.如果管理到位，产品和服务代表了创造和获取价值的机会。否则是威胁。

2.通过平衡有关风险的措施，让潜在收益高于解决风险的成本。

3.风险是业务的一部分，在识别风险时要考虑和描述不确定性。

4.根据风险暴露的水平，对其概率、影响和接近程度进行优先级排序。

5.区分风险的所有者和行动者，实施监控与控制。

6.风险管理既要保持一致性，又要根据特定情况对不同部门提供灵活性。

7.应主动、持续、跟进风险管理与报告，保证角色与责任的透明度与清晰度，不断学习成长。

解读

1.首先从风险类型上说，企业的日常服务与项目可能会面临如下风险：

①时间风险，包括：未按SLA提供服务、项目的延期等。

②成本风险，包括：服务获取成本高过产生的价值、项目费用的超支等。

③范围风险，包括：客户需求的频繁变更、项目内容的重大调整等。

④技术风险，包括：设计、接口、兼容性、安全、性能和稳定性等。

⑤法律风险，包括：法规、合同效力、不可抗力等。

2.那么根据PMBOK的理论，我们对于风险的管理流程一般为如下：

①计划：根据现有数据源与技术方法，定义人员角色与责任，参照时间表、预算和范围，提出风险管理的方法和目标。

②识别界定：根据过往记录、业界经验，招集成员使用头脑风暴、互动访谈、矩阵与图表分解等方法，识别现有环境内的风险特征。

③分析：运用定性/定量等不同方法，对已发现的风险进行程度、范围、以及可能性三个维度的评估与排序，得出风险等级矩阵。

④应对：采用通用的风险减轻、转移、规避、以及接受四种方法，减少风险对于现有服务或项目的威胁。根据木桶原理，我们应当注意措施的一致性，以免出现局部“短板”；同时也要在区分风险的所有者、控制实施者的基础上，兼顾上述提到的时间、预算与成本，灵活实现各项策略与管控的强度。

⑤监控改进：通过持续监控与跟踪事件，既能识别新的风险，又能获悉管理的效果，还能控制残留风险的态势，进而提出纠正或改进的计划。

实务

在我们企业中，最简单的风险管理方式就是从“知己”的角度出发进行业务影响分析（BIA）和从“知彼”的方面进行风险评估（RA）的定义。那么在落地的过程中，我们依次引入了三个维度的参考指标：

1.内/外部威胁源，包括：

①自然层面上的各种灾害。

②技术层面上，由于软/硬件损坏所造成的数据丢失、以及分布式拒绝服务攻击等。

③支撑系统层面上的供电、空调、以及接入网络的中断。

④人为层面上，使用恶意软件进行的故意破坏和操作失误等。

2.风险可能性：过往事件/事故的记录、系统中物理与逻辑上所处的区域、自身的容错能力、等级保护与合规的达标情况等。

3.影响范围：涉及到整个组织、所有外部客户、多个站点、某个部门、部分系统与服务等。

最后将这些指标量化或是分高、中、低，分别对应到各业务模块上形成风险分析的矩阵，为必要时的全面复盘做好基础性的准备工作。