这是关于风险缓解的两篇文章中的第一篇
IT组织的变革管理过程有两个主要目标:最大限度地提高变革实施的有效性和管理业务的风险。IT组织一般都遵守文件化的变革流程,大多关注流程的合规性,而不是在必要时持续思考预测和降低风险。
IT团队按照ITIL®等框架创建并执行这些流程。源于这种方法的治理使组织变得非常被动。传统的流程对于今天的变化和创新水平来说太慢了。
当变化的速度较慢时,这很好。变革咨询委员会(CAB)可以每周或甚至每月召开一次会议,来处理这些变化。但是,外部(由竞争驱动)和内部(由创新机会驱动)的变化速度已经加快到了这种节奏不再适用的地步。
结果,重要的变化被搁置了,因为IT和业务无法跟上。管理层现在认识到了这些变化可能带来的业务风险的重要性。变更请求被卡在审查过程中,直到风险被理解。越来越多的企业感到必须做出这些改变,以应对竞争的威胁和利用机会,但他们把过度消耗的IT功能视为障碍,而不是盟友。业务人员开始寻找围绕IT工作的方法,而不是与之打交道。
这就是为什么在敏捷时代,传统的CAB方法受到了质疑。像DevOps这样的新的管理理念带来了加速的变化和创新,通过大幅减少发布的范围,将每个新版本的内在风险分解成更小的增量。这就减少了在出错时对业务的影响--这也是不可避免的,它将会发生。
在这个新环境中,IT组织必须根据三个不同的维度来评估风险。
- ǞǞǞ 概率 根据过去的经验,改变导致的问题。
- ǞǞǞ 影响 对企业的影响--即 "精益变革管理 "大师Jason Little所说的变革的 "爆炸半径"--包括财务影响、声誉风险、安全等;以及
- ǞǞǞ 可收回性 如果出了问题--如果事情没有按计划进行,回退变化或以其他方式进行调整所涉及的难度、努力和费用。
这些维度形成了一个类似于关于客户和承包商的流行笑话中所描述的三元组。("你说你希望这个东西是高质量的;你希望它便宜,而且你希望它快。好吧......选两个。")从理论上讲,企业可以承受一个高概率的问题,对企业的影响很大,只要它能快速和容易地恢复。或者,它可以接受一个高影响的变化的可能性,甚至是一个难以恢复的变化,如果发生的概率很低的话。但是,企业不能冒着在所有三个方面都很高的变化的风险。
利用这个三要素广泛评估变化所产生的风险水平是很有帮助的。但有时,变化属于更大的范围类别,从缓解的角度来看也是有用的。我们将在关于风险的系列文章的第二篇中考虑这种分类。
KT为IT组织提供了为期一天的风险缓解研讨会,为在企业中建立基本的风险缓解提供了有用的基本纪律。
