企業管理:風險管理分析
現代企業發展中競爭愈演愈烈,一個細節可能就決定一家企業的成敗,如何加強企業的競爭力減少企業冒不必要的風險是每個企業管理者應該考慮的問題,大多數的人類行為都存在固有的危險性:就連漫步街頭也會讓你置身險境,比如被一顆來自天外的小行星集中或是滑到在一塊香蕉皮上。當然 ,前一種風險非常罕見。而後一種風險儘管可能性更大一些,但其後果也不會嚴重到哪裡。此外對落腳之處小心留意,也可以防止此類“香蕉 皮事件”的發生。這兩個例子說明,並非所有的風險都是相同的,而有些風險是可以被控制的。風險管理包括以下兩項:風險分析:發現存在 哪些風險,以及這些風險可能導致的潛在損失。
風險控制:採取措施將潛在的損失控制在一個可以接受的程度內(即風險控制的成本與所減少的潛在損失之間要保有恰當的平衡)。
可以用好幾種方式來進行風險分析:定性和定量風險分析。風險分析還可以由第三方來實施。比如現在國有企業或者事業單位每年都有針對信 息化環境的安全等級評測,此評測的實施方都是第三方公司來進行的。
風險分析依賴於一套特定的專業術語,如下所示:
脆弱性(vulnerability):一個系統的缺陷(weakness)(通常非有意形成)。該缺陷可能存在於流程中(例如,未經批准擅自行動網路裝置);存在 與產品中(例如,一個軟體bug);存在於某些操作的工程實施中(例如,沒有開啟強加密選項(enablesecret))。
威脅(threat):蓄意利用(系統的)脆弱性的個人、組織或蠕蟲病毒等。
風險(risk):一個威脅利用(系統的)缺陷發起攻擊並造成損失的概率。
暴露(exposure):一個威脅事實上已經利用(系統的)缺陷發起了攻擊。
可以運用某些概率學計算來匯出年度損失預期值(lossexpectancy)(例如,在一年的時間範圍內估算的損失預期值)。該預期值需以美元(或其 他流通貨幣)度量。相對於一個類似於“公司形象損失”之類的風險來說,這一損失並不總是那麼顯而易見,但是,必須確定一個合理的損失 估算方法,以便於隨後對降低風險所帶來的收益進行評估。
風險分析事關發現所有潛在的缺陷並評估與之相關的損失。風險控制則是指處理這些風險從而減輕他們來的經濟影響。風險可以進行一下處理 。
降低:通過控制手段(也稱為對策(countermeasures)來消除缺陷或威脅,降低風險概率,或者預防風險。風險降低不可能100%成功,剩餘的風 險被稱為“留存風險”(residualrisk)。
轉移:轉移到另外一個組織。比如,投保一份火險來防範火災帶來的損失。
接受:當你在高速公路上駕車時,就要接受與之相關的風險——遭遇車禍。
忽略:即使風險分析顯示風險存在,也不試圖去控制它。這與接受風險是不同的,因為你升職都沒有考慮過它。這顯然是一種不明智的行為。
通過技術控制手段來降低風險是我們接下來後續文章的核心所在。然而,務必牢記:通過流程或是行政手段等其他途徑也可以降低風險。例如 ,讓全體員工簽署一份企業業務行為準則合同,對行為規範進行鉅細靡遺的羅列,或者對全體員工進行安全意識的培訓。
當然,對策(countermeasure)的成本必須小於損失的預期值。