发表于:2013年9月16日
正确而客观地评估风险承受能力(即“风险偏好”)是正式风险管理方法中的第一步,也是最重要的任务之一。风险管理的很多方面都可以是复杂的,而风险偏好则完全相反。但在它的核心,其内涵就是一些企业更愿意承担风险,而其他的一些企业则不愿意承担风险。
为了在实际操作中真正理解这一点,我们可以参考退休计划来进行类比。当人们都还很年轻时,他们普遍比较喜欢投资风险高于平均水平的高收益项目,这是因为他们能够在之后较长的一段时间内用时间来于弥补损失。而当人们接近退休年龄且能够赚钱的时间更少时,他们就会转变意愿倾向于更稳定、更低收益率的投资。在这个情况下,其中的原因是非常直接的:金融风险承受能力与剩余收入年限成正比。
但是,这个类比也意味着风险偏好的别的东西—即,它并不是一个固定的数值。考虑在他或她的生活中某一因素而导致的承受能力:可能某人比较喜欢诸如跳伞或登山这样的极限运动。这是否就意味着他或她应该改变他或她的退休策略呢?例如,这个人是否应当避开股票市场、维加斯赌场或者进入高度投机的对冲基金?回答当然是否定的。对于这个人而言,由于喜爱极限运动而降低风险承受程度是较为明智的(以便于在万一发生受伤情况下可以持有一定的积蓄)。关键问题是,有人可能对于某些类型的风险具有较高的承受能力,而对于其他类型的风险则具有较低的承受能力。
云计算风险偏好是什么?
组织的“风险偏好”工作方式与之相同。一家企业可能愿意承受某种风险(比方说业务风险)但在其他风险方面则显得更为谨慎(例如,技术风险)。另外,即便是同一种类的风险中,在某一方面的承受能力也是存在着较大差异的。例如,一家企业可能会不重视与雇员桌面使用相关的风险,但在涉及付款或财务系统就会变得非常谨慎。
从操作实际看,这就意味着某一个组织相对孤立地评估分析承受程度是比较有利的—具体而言就是,具有独特需求的领域是新的、或之前还未被评估过、或是新兴市场或者正在迅速变化。孤立地评估这些因素将会导致发生两件事情。首先,它允许“非周期”风险管理(其中包括分析和缓解)而无需重新评估无所不在的风险—这是一个潜在费时且可能需要不断重复的活动。其次,它允许灵活性,因为相对不成熟的技术可能会随着威胁出现和支持技术的成熟而快速发展。
云计算是这些领域中的一个:云计算相对较新(至少在很多企业中它还处于应用实施阶段),并具有一些可影响风险的独特属性(我们将在一篇相关文章中详细讨论这些属性中的部分)。因为云计算技术是在快速发展着的,而新的威胁也在不断涌现;随着云计算监管重点的不断扩大,了解企业在该特定领域中的承受程度是较为有利的。这种对企业关于特定云计算风险承受程度的集中了解就是我们所谓的“云计算风险偏好”。
评估云计算风险承受能力
那么,一家企业应当如何评估其云计算风险偏好呢?有几个因素需要考虑。第一个也是最重要的因素是考虑企业业务、财务以及技术方面的风险偏好,这是因为这些方面的因素将影响企业的文化和整体目标。在企业中有无数的文化、法规以及业务等具体因素将影响企业的风险偏好,并且也会因此影响企业实施云计算。如果一家企业已经实施了风险管理工作,那么就几乎可以肯定这些因素已经经过评估并已形成了相应文档。在这些基础之上开展进一步的工作将节省重复基础工作的时间。
如果你的企业从未进行过任何系统的或正式的风险管理,那么这种评价工作就变得具有挑战性了。你将需要对更广范围的风险输入企业的承受能力,但是这些可用于借鉴的文档可能并不存在。因此,你将需要完成充分的工作以便于能够告知你的活动,但是需要指出的是,充分评估每一个领域或获得主管级授权可能并不容易。
其次,你将需要了解你自己的技术战略。你是否会计划把你的大部分业务转移至云计算?你是否计划以非常有限的方法有选择性地使用云计算?这种性质的问题将影响你的企业将愿意承担云计算风险的数量,特别是在第一步中所分析的文化因素。例如,如果你下大注在云计算将其作为长期战略但你的企业文化却是以外部意见为重,那么你反而可能会不太愿意承受短期内的云计算风险。这是为什么呢?因为,非常明显的攻击可能会削弱企业长期实施云计算的信心,从而危及你的长期战略。
最后,人才和技术能够支持你按期望推出待评估的云计算。例如,企业的其他方面的(例如合规性、法律和审计)是否有助于风险评估、威胁监测、持续运行、供应商审批等等?你是否可以使用技术策略以标记威胁、脆弱性以及其他存在的风险?如果你明确地了解随着时间推移你跟踪、管理和应对这些风险的能力,那么你就可能能够容忍更高等级的风险。
一旦你已经评估了这些领域,那么下一步就是正式记录你的云计算风险偏好。这就意味着,将其形成书面文字并传达给企业。在书面文字上正式形成将有助于确保所有方面都是经过深思熟虑和审核的,并帮助企业其他方面的组织行为能够与你的决定保持一致。如果他们阅读你关于风险承受程度是如何低以及其原因的报告,那么他们就不会冒然实施不合适的云计算部署。