Changes for page 第11章 管理战略性风险

Summary

• Page properties (1 modified, 0 added, 0 removed)

Details

Page properties

Content

...	...	@@ -1,12 +1,26 @@
	1	+
	2	+
	3	+
	4	+ [[阅读下一章>>http://itil4hub.cn/bin/view/ITIL%204%E3%80%8A%E6%95%B0%E5%AD%97%E5%8C%96%E5%92%8CIT%E6%88%98%E7%95%A5%E3%80%8BDITS/%E7%AC%AC12%E7%AB%A0%20%E6%9E%84%E5%BB%BA%E6%95%B0%E5%AD%97%E5%8C%96%E4%B8%9A%E5%8A%A1/]]  [[返回上一章>>http://itil4hub.cn/bin/view/ITIL%204%E3%80%8A%E6%95%B0%E5%AD%97%E5%8C%96%E5%92%8CIT%E6%88%98%E7%95%A5%E3%80%8BDITS/%E7%AC%AC10%E7%AB%A0%20%E7%AE%A1%E7%90%86%E5%88%9B%E6%96%B0%E5%92%8C%E6%96%B0%E5%85%B4%E6%8A%80%E6%9C%AF/]]
	5	+
	6	+{{box cssClass="floatinginfobox" title="
	7	+
	8	+**Contents**"}}
	9	+{{toc/}}
	10	+{{/box}}
	11	+
1	1	= **第11章 管理战略性风险** =
2	2
	14	+
3	3	数字化技术的发展提供了前所未有的机遇，但也具有内在的破坏性和风险。毫不夸张地说，数字化转型既可以推动组织走向成功，也可以使其破产。
4	4
5	5	在战术层面，风险管理是要确定对抗现有威胁、新威胁及脆弱性的方法。在战略层面，风险管理是为了确保组织在数字化技术改变了规则的环境中获得成功。
6	6
7	7
8		-== **11.1 定义** ==
9	9
	21	+== 11.1 定义 ==
	22	+
	23	+
10	10	《ITIL风险管理实践指南》包含对风险的定义，以及对风险管理及相关概念和活动的描述。
11	11
12	12
...	...	@@ -28,8 +28,10 @@
28	28	* 确保风险策略能被相应地实施
29	29
30	30
31		-== **11.2 数字化组织的风险管理** ==
32	32
	46	+== 11.2 数字化组织的风险管理 ==
	47	+
	48	+
33	33	风险管理方法取决于组织使用的转型范例。组织使用基于流程的范例可能会首先评估当前状态、定义期望的未来状态，并确定与从一个状态迁移到另一个状态相关的风险。组织使用基于模型的范例，将从识别潜在的商业用例并评价与每个用例相关的风险开始。
34	34
35	35	风险有多种来源，形式多样，例如：
...	...	@@ -58,15 +58,19 @@
58	58	**Anya：**我们管理许多战略风险，包括我们商业模式的风险、竞争的租车公司颠覆我们市场的风险，以及供应链遭受破坏的风险。送餐服务会带来我们从未遇到过的风险，如不符合食品安全标准的风险。我们甚至必须考虑我们的外卖业务可能无法吸引足够的注意和消费者的风险！
59	59
60	60
61		-== **11.3 组织风险管理** ==
62	62
	78	+== 11.3 组织风险管理 ==
	79	+
	80	+
63	63	组织的治理机构最终对实施适当的风险管理框架负责。高管负责以与该框架一致的方式监督和指导工作。
64	64
65	65	每个组织都应建立正式的风险管理实践，该实践的结构应反映组织的管理方式。风险或审计委员会通常负责对框架的持续维护，并确保适当地定义和处理风险。首席信息安全官或设施总监等专家专注于实施风险和安全措施。
66	66
67	67
68		-== **11.4 使用风险管理评价机会** ==
69	69
	87	+== 11.4 使用风险管理评价机会 ==
	88	+
	89	+
70	70	数字化技术带来了很多机会，但并非所有机会都能将组织带到想要去的地方。组织使用风险管理确定哪些机会可能有助于实现目标，哪些机会几乎没有或只有很少的回报、甚至损害目标的实现。
71	71
72	72	风险管理是战略推动力，通过以下方式帮助决策者和领导者：
...	...	@@ -78,8 +78,10 @@
78	78	* 评估所有负面风险和正面风险的净结果
79	79
80	80
81		-== **11.5 风险识别** ==
82	82
	102	+== 11.5 风险识别 ==
	103	+
	104	+
83	83	几乎所有学科都使用框架来理解和管理风险，且每个框架都具有可用于识别风险的风险类别提示清单。例如：
84	84
85	85	**VUCA** Bennis和Nanus于1986年针对一般条件和情况所开发的风险提示清单
...	...	@@ -95,8 +95,10 @@
95	95	通过使用颠覆、创新、网络安全和互动（Disruption, Innovation, Cybersecurity and Engagement，缩写DICE）等概念，从业人员可以扩大风险识别范围，以涵盖数字化技术的影响。
96	96
97	97
98		-=== **11.5.1 颠覆风险** ===
99	99
	121	+=== 11.5.1 颠覆风险 ===
	122	+
	123	+
100	100	**定义：颠覆风险**
101	101
102	102	颠覆组织的运营或商业模式的风险。
...	...	@@ -111,8 +111,10 @@
111	111	关于技术采纳和消费者需求演变的行业报告会列出所识别的颠覆风险。
112	112
113	113
114		-=== **11.5.2 创新风险** ===
115	115
	139	+=== 11.5.2 创新风险 ===
	140	+
	141	+
116	116	**定义：创新风险**
117	117
118	118	组织创新所带来的风险。
...	...	@@ -129,8 +129,10 @@
129	129	可以通过对特定行业报告的定期分析来确定创新风险，这些报告涵盖了建模、测试评审、对消费者反馈的持续分析（以更快的迭代周期）以及运营绩效。
130	130
131	131
132		-=== **11.5.3 网络安全风险** ===
133	133
	159	+=== 11.5.3 网络安全风险 ===
	160	+
	161	+
134	134	**定义：网络安全风险**
135	135
136	136	网络攻击或数据泄露给组织造成曝光或损失的风险。
...	...	@@ -143,8 +143,10 @@
143	143	通常通过使用专用软件工具、漏洞评估、威胁情报评估以及行业报告分析来确定网络安全风险，当通过机器学习增强这些方法时，可以实现更加主动和可靠的风险识别。
144	144
145	145
146		-=== **11.5.4 互动风险** ===
147	147
	175	+=== 11.5.4 互动风险 ===
	176	+
	177	+
148	148	**定义：互动风险**
149	149
150	150	来自组织利益相关者的风险，包括供应商和合作伙伴、消费者和员工。
...	...	@@ -170,8 +170,10 @@
170	170	**Su：**当然也应该有限制。例如，不能指望工程师管理法律风险。敏捷从业者谈论“将工作移交给合适的团队”。管理风险的合适团队可能是高管团队或其他职能部门。ITIL指导原则为从事风险管理提供了坚实的基础！
171	171
172	172
173		-== **11.6 风险登记册** ==
174	174
	204	+== 11.6 风险登记册 ==
	205	+
	206	+
175	175	风险识别的主要输出是风险登记册，包括已识别的主要风险清单，对其进行优先级排序，以及关于这些风险历史和当前状态的信息。风险登记册由高级管理人员监督，并由组织的风险或审计委员会定期审查。影响组织战略或生存能力的风险必须与组织的治理机构沟通，并由该机构来审查。
176	176
177	177	在战略层面，风险记录更新的频率应能反映对组织战略和商业模式的审查和更新的频率。在举措或项目层面，应在检查点会议发生时更新登记册。
...	...	@@ -179,13 +179,17 @@
179	179	《风险管理实践指南》中详细地描述了风险登记册的内容和格式。
180	180
181	181
182		-== **11.7 定性风险分析** ==
183	183
	215	+== 11.7 定性风险分析 ==
	216	+
	217	+
184	184	定性风险分析用于确定风险发生的可能性及风险的影响。由于不可能深入解决每种风险，因此，定性风险分析有助于确定哪些风险需要首先处理，以及需要花费多少精力。定性风险分析有不同类型，包括风险矩阵和基于场景的分析。
185	185
186	186
187		-=== **11.7.1 风险矩阵** ===
188	188
	222	+=== 11.7.1 风险矩阵 ===
	223	+
	224	+
189	189	如图11.1所示，风险矩阵显示了风险在y轴上的潜在影响以及在x轴上的可能性。尽管这一风险矩阵主要用于评估负面风险，但既可以用于负面风险，也可以用于正面风险。
190	190
191	191	组织首先要消除负面的“高”风险，因为这些风险具有潜在的灾难性。 “低”风险的影响和可能性较低，组织通常选择接受而不采取主动的行动。但是，组织将继续监测“低”风险，以防这些风险变成“中”或“高”风险。 “中”风险是风险修改或风险分享的最佳选择。
...	...	@@ -196,8 +196,9 @@
196	196	图11.1用于定性风险分析的矩阵示例
197	197
198	198
199		-=== **11.7.2 基于场景的分析** ===
	235	+=== 11.7.2 基于场景的分析 ===
200	200
	237	+
201	201	战略关注机会评估，结合机会所有负面的和正面的风险，以确定它是否值得进一步开发利用。
202	202
203	203	场景允许组织评估机会，在风险管理的背景下，场景有：
...	...	@@ -210,8 +210,10 @@
210	210	* 识别应采取哪些措施处理负面风险，并确保实现正面风险
211	211
212	212
213		-== **11.8 定量风险分析** ==
214	214
	251	+== 11.8 定量风险分析 ==
	252	+
	253	+
215	215	定量风险分析技术试图在风险上引入货币价值。这些方法很复杂，需要大量的研究和分析，通常仅在风险超过预定阈值时使用。
216	216
217	217	场景分析中使用的定量计算包括：
...	...	@@ -221,13 +221,18 @@
221	221	* **年度预期损失**（annualized loss expectancy, ALE）一年中平均风险发生的预期损失（SLE×ARO）
222	222
223	223
224		-== **11.9 风险触发因素** ==
225	225
	264	+== 11.9 风险触发因素 ==
	265	+
	266	+
226	226	风险触发因素是将风险转变为实际事件或问题的条件，也可能是将风险转换成不同类或相似类影响的条件。所有主要风险应具有相关的风险触发因素，并有一个负责监测这些风险的所有者，以便可以及时采取措施。此角色最好由了解相关风险类别的主题专家来承担。
227	227
228	228
229		-== **11.10 风险姿态：平衡数字化技术的风险和收益** ==
230	230
	271	+
	272	+== 11.10 风险姿态：平衡数字化技术的风险和收益 ==
	273	+
	274	+
231	231	“风险姿态”是指组织识别、分析、计划、响应和管理风险的总体方法。《风险管理实践指南》中描述了风险姿态，本节概述风险姿态的主要概念，及其在定义和管理战略风险中的用途。
232	232
233	233	定义战略的主要部分是准确说明组织为实现目标愿意承受的风险。表11.1概述了用于描述这一问题的术语。这些术语经常互换使用，并且不同行业的定义也有所不同。所使用的术语或定义并不重要，重要的是组织中的每个人都以相同的方式使用这些术语，并将它们的含义纳入组织的风险规划和响应活动中。
...	...	@@ -235,13 +235,17 @@
235	235
236	236	表11.1定义组织风险管理方法的概念
237	237
238		-|**术语**|**描述**|**示例**
239		-|风险容量|组织可以承受的总风险|风险登记册中的风险总体负面影响必须低于1亿美元
240		-|风险偏好|组织在追求目标时将承受的负面风险的程度|对于负面风险值高于5万美元的任何项目，高管必须寻求董事会批准
	282	+(% style="width:479px" %)
	283	+|(% style="width:82px" %)**术语**|(% style="width:160px" %)**描述**|(% style="width:234px" %)**示例**
	284	+|(% style="width:82px" %)风险容量|(% style="width:160px" %)组织可以承受的总风险|(% style="width:234px" %)风险登记册中的风险总体负面影响必须低于1亿美元
	285	+|(% style="width:82px" %)风险偏好|(% style="width:160px" %)组织在追求目标时将承受的负面风险的程度|(% style="width:234px" %)对于负面风险值高于5万美元的任何项目，高管必须寻求董事会批准
241	241
242	242
243		-=== **11.10.1 风险态度** ===
244	244
	289	+
	290	+=== 11.10.1 风险态度 ===
	291	+
	292	+
245	245	风险态度是由风险基于风险容量、偏好、容忍度和阈值的典型响应所组成的，它不仅适用于组织，而且也适用于单个利益相关者。重要的是要了解组织对风险的态度，而且要识别各个利益相关者如何以及为什么支持或抗拒特定的机会。
246	246
247	247	用于描述风险态度的术语有所不同，经常使用的术语有：
...	...	@@ -251,7 +251,6 @@
251	251	* **风险容忍** 选择风险容忍的组织和个人对风险的态度淡漠，他们不会试图减轻负面风险，也不会积极追求正面风险。这些组织的数字化战略不太可能讨论数字化转型，他们可能认为他们现有的客户群和商业模式是无懈可击的。
252	252	* **风险中立** 选择风险中立的组织和个人对风险采取长期措施。在评估作为数字和IT战略一部分的机会时，他们会评估正面和负面威胁。这是最健康的风险态度，领导者应尽可能地促进这种态度的发展，平衡规避风险和寻求风险的利益相关者的观点，形成一种平衡的组织风险管理方法。
253	253
254		-
255	255	**ITIL的故事：风险态度**
256	256
257	257	**Dave：**一个经常被忽视的重要观点是，组织的不同部分可以有不同的态度和对风险的容忍度，也许应该鼓励可以有不同。例如，我们的敏捷软件开发团队比我们的供应链和物流团队具有更高的风险承受能力。我们的商业模式意味着，送餐服务的风险不会对私家车租赁业务造成直接影响。
...	...	@@ -259,8 +259,10 @@
259	259	**Anya：**即使组织的不同层级也可能对风险有不同的态度。在 Su的风险登记册上，不能满足客户要求的功能带来的风险可能很高，但高管团队的功能相应的风险却不那么高。重要的是，我们必须认识到团队所担心的事情，但同样要帮助他们理解这些风险可能是或不是其他所有人所关心的。
260	260
261	261
262		-== **11.11 风险处置** ==
263	263
	310	+== 11.11 风险处置 ==
	311	+
	312	+
264	264	“风险处置”或“风险缓解”是指用于准备和减轻风险对组织的影响的策略、计划、流程和工具。 风险处置通常分为以下几类：
265	265
266	266	* **风险保留或接受** 组织认为潜在风险的影响或可能性不值得投资于预防风险的发生。该举措将不采取任何对策。
...	...	@@ -275,8 +275,10 @@
275	275	** 对于明显的风险，快速响应并恢复
276	276
277	277
278		-== **11.12 形成风险告知思维和文化** ==
279	279
	328	+== 11.12 形成风险告知思维和文化 ==
	329	+
	330	+
280	280	高管在建立风险告知的思维和文化（包括确定组织的风险度势和态度）方面发挥着至关重要的作用。该角色要求领导者参与意识教育和沟通活动，促进所有员工的理解。这种理念和文化最终批准组织将采取的应对风险的措施。
281	281
282	282	风险意识与风险规避不同。领导不应对负面结果的每种可能性反应过度，也不能怕担任何风险。实际上，具有风险意识的思维方式鼓励领导者在风险显现之前先考虑组织将如何应对。没有组织可以预测每种风险并做好准备，但是，具有风险意识的组织对最相关的风险有很好的了解，并可以做出相应的准备。
...	...	@@ -287,4 +287,6 @@
287	287
288	288	应通过对重要风险因素的正式教育，以及对有关常见风险及如何预防的常规宣传方案来支持这种方法，例如，使用口令保护个人计算机。
289	289
290		-
	341	+
	342	+
	343	+ [[阅读下一章>>http://itil4hub.cn/bin/view/ITIL%204%E3%80%8A%E6%95%B0%E5%AD%97%E5%8C%96%E5%92%8CIT%E6%88%98%E7%95%A5%E3%80%8BDITS/%E7%AC%AC12%E7%AB%A0%20%E6%9E%84%E5%BB%BA%E6%95%B0%E5%AD%97%E5%8C%96%E4%B8%9A%E5%8A%A1/]]  [[返回上一章>>http://itil4hub.cn/bin/view/ITIL%204%E3%80%8A%E6%95%B0%E5%AD%97%E5%8C%96%E5%92%8CIT%E6%88%98%E7%95%A5%E3%80%8BDITS/%E7%AC%AC10%E7%AB%A0%20%E7%AE%A1%E7%90%86%E5%88%9B%E6%96%B0%E5%92%8C%E6%96%B0%E5%85%B4%E6%8A%80%E6%9C%AF/]]