返回本章节索引       阅读下一部分

关于风险管理，我们可以参考国际公认的权威——ISO31000:2018 风险管理指南。在 这个 版本中， 其提出了风险管理目的和原则的总体和一般视角。它们适用于任何类型的组织中的所有级别。有趣的是，该标准的上一版本也是发布于 2009 年，同样 9 年来第一次更新。ISO31000:2018 声明“风险管理的目的是创造和保护价值”，风险管理“提高绩效，鼓励创新并支持实现目标”。

ISO31000:2018 有 8 项主题：

1. 高管支持是基础；

2. 在商业决策中考虑风险；

3. 强调正确地履行；

4. 风险管理不是放之四海而皆准的；

5. 积极主动；

6. 标准化词汇；

7. 利用现有的最佳信息；

8. 评价成功。

    

与之对比，ITIL 4 中风险管理实践的目的是确保组织理解并有效地处理风险，从而确保组织的可持续性和为客户创造价值。风险中有威胁也有机会，与威胁有关时，通常被认为是可以避免的。而与机会相关时，不抓住机会本身就是一种风险。风险管理是所有组织活动的一个必然的组成部分，对组织的 SVS 至关重要。近期华为在应对美国一系列动作时，就表现出极高的风险管理水平，当然，还有极高的业务连续性管理水平。

在 7 项指导原则中，和 ISO31000:2018 中 8 项主题有不少是能匹配的：

• 聚焦价值以及基于反馈迭代推进，对应于评价成功。这里强调衡量、评估和改进风险管理实践的价值。这样做的目的不是第一次就把所有的事情都做好，而是在每次迭代完成时都要持续改进它。即使是不完美的风险数据也可能有用，只要它与显示趋势的时间表一起呈现。最终，风险报告能为管理人员提供高质量信息。

• 通盘思考和工作，对应高管支持是基础，以及风险管理不是放之四海而皆准的。风险管理是一个循环过程，有足够的定制和改进空间，但其并非万能，管理者应该从整体去考虑，为自己的组织定制风险管理指南——特别是其风险概况、文化和风险偏好。风险管理实践必须全面管理，以实现整个组织的一致性。为确保有效性，应与利益相关方进行持续磋商，并为组织的不同部门提供适当的灵活性。这种灵活性将允许开发定制的风险管理程序，以便解决组织单位和 / 或客户特定情况。同时， 组织需要根据其愿意承担的风险偏好（即风险水平），对风险进行识别、评估、监控和管理。管理者还需要确保风险管理实践在组织的所有级别上得到充分集成，并与组织的目标结合在一起，让风险意识融入企业的运作方式中。

• 从你所处的地方开始，对应利用现有的最佳信息。当前很多风险管理都集中在可用的最佳信息上，而忽视了风险中的模糊性和不完善之处。管理者不应只是试图分享绝对的风险信息，而应利用这些模糊点，对他们提供的数据进行反思，从而更好地发现问题。

• 保持简单实用，对应标准化词汇。通过风险管理实践，提供一种公共语言，对风险、事件、后果和概率有简单和不复杂的定义。组织内均应采用这些术语，以确保交流不会产生分歧。

• 优化和自动化，对应积极主动。对风险应该采取积极的立场，并确保将风险管理集成到组织各级决策的各个方面。这包括在业务连续性管理、业务分析、劳动力和人才管理、信息安全管理、问题管理等方面，都需要作出主动的优化，形成主动风险管理行为。

   

回到管理实践中，我们试举几个和风险管理相关的例子：

• 在信息安全管理中，首当其冲的就是对可能产生的风险进行识别，以确保组织所需的信息安全性。

• 在问题管理实践中，问题管理活动可以为风险管理提供特定的案例，可识别、评估和控制服务管理的四个方面的风险，此时采用风险管理工具和技术进行问题管理往往很有效。

• 在可用性管理中，某些组织会将导致可靠性降低的因素作为风险管理的一部分。

• 在服务连续性中，需要彻底考虑影响服务连续性的因素，以及多个因素之间的关系，。假如不做风险评估，那么应急相关对应的场景就无法有效的识别，可能存在应急预案缺失的问题。

• 在服务设计方面，风险管理嵌入到了所有设计过程和活动中，确保所提供的产品和服务所涉及的风险和组织的风险控制水平保持一致。

• 在服务验证和测试方面，风险管理相关的条件也是服务验证的输入之一。

   

返回本章节索引       阅读下一部分