近年來, 企業遵守薩班斯·奧克斯利法案(該法案是美國立法機構根據安然有限公司、世界通訊公司等財務欺詐事件破產暴露出來的公司和證券監管問題所立的監管法規,簡稱《SOX法案》或《索克思法案》)的重心已經轉移到在整個公司內部提升風險管理上。在本文中, 來自Gartner公司的副總裁兼分析員,向CIO和IT主管們就如何開展這一重要任務進行獻計。
為了遵守SOX法案,企業被要求把重心轉向改善公司整體的風險管理。監管機構正在向董事會施壓,希望他們更多地進行風險監督,因此在企業內部自上而下,都需要提高對于總體風險承擔的理解,以及風險對于戰略目標所形成的威脅,Caldwell說。這意味著,CIO和IT風險管理者越來越多地被要求精確地描述IT和業務風險之間的關聯。
Gartner公司最近的一項風險管理調查顯示, 約有43%的受訪者聲稱IT部門提供的風險管理數據的確會影響董事會的相關決策,Caldwell說。這聽上去似乎是個好消息,但它也同時意味著大多數受訪者并不認為IT信息可以影響董事會的決策。不僅如此,還有一些受訪者甚至質疑董事會是否能夠明白IT部門提供的數據。
為了增加積極影響的百分點, CIO們需要更好地讓董事會理解IT部門和業務部門之間的關聯,Caldwell說。首先, CIO們必須明白以下內容:在涉及企業風險管理上,董事會,CIO和其他IT主管們在企業內扮演什么角色? 而在向董事會匯報時, CIO應該如何將風險和業務目標相關聯,來更好的引起董事會的關注?Caldwell提出以下兩項指導原則來回答上述問題:
業務目標也是IT目標。本質上, IT部門和企業其他部門在一定程度上都享有相同的業務目標。這使得每個人都在向這同一個目標而努力。
IT風險也是業務風險。如果業務部門和IT部門都有相同的目標,那任何IT風險也等同于業務風險。這有助于使雙方都共同關注業務成果。
從表面上來看,我們都認為董事會不應該管理風險,Caldwell說。 “董事會在風險管理中起的作用是確保有一個有效的風險管理計劃,而公司的管理層正在有效地進行執行”, 他說。 “他們起一個監督的作用。 ”
任何和董事會成員會面的監管機構——在大型企業內發生的頻率正在逐漸提高, 特別是金融服務行業——都會詢問相關問題,以搞清楚董事會是否真正參與到監督風險管理計劃中。
“(董事會成員)認為一個有效的風險管理計劃意味著......他們不僅是拿到一個一年一次的,十大風險報告,而是希望有真正的風險指標來顯示管理層的確在監督”,Caldwell說。這些指標還應該權衡管理層的風險偏好,這也正是風險管理計劃的意義所在。
從這一角度而言, CIO們需要了解可能阻止或妨礙企業實現其戰略目標的IT風險指標。這一區別是很重要的。不再是把重點放在關注IT資產的風險, CIO們更應該關注在業務績效風險中起重要作用的技術。
“這并不意味著我們不再關心有關IT資產的風險,但我們會在向由董事會和高級管理層設立的業績目標努力的過程中,進行相應的審視”,Caldwell說。 “企業績效考核才是我們向董事會進行匯報時需要呈現的。”
當進行陳述時,盡管花了很長時間進行準備, CIO們都應該牢記他們只有大約15分鐘的時間來得到認同 – 這也可能是一年中唯一一次正式的機會。這一陳述不應該有任何驚喜或者全新的信息,Caldwell強調。首席風險官,首席財務官,首席執行官和關鍵的董事會成員都應該事先知道CIO將會談論什么。
實際上這一演示最好只包含四張幻燈片,Caldwell建議:
幻燈片一:列出三至六個企業的戰略目標。這是為了讓董事會知道你,作為CIO,知道并了解目標是些什么。換句話說,你知道什么對于董事會才是重要的。
幻燈片二:指出對應上述各項戰略目標,會產生影響的最大IT風險。
幻燈片三:解釋針對上述風險正在實施的相應風險管理措施。
幻燈片四:回顧和總結這一陳述。
京公網安備 11010502049343號