4.5 发展战略和业务识别案例

以某公司的电商平台为例，本书给出了一种风险评估过程中发展战略和业务识别示例。该电商平台是全球知名的综合性网上购物商城。公司使命是让全球使用中文上网的人们能享受网上购物带来的乐趣——丰富的种类、7×24购物的自由、优惠的价格；坚持“诚信为本”的经营理念，率先提出“上门退货、当面退款”及“正规渠道、正品保证”的诺言，追求诚信经营，健康发展。

公司特点：

（1）经营商品种类超过百万级；

（2）参照国际先进经验独创的商品分类，智能查询、直观的网站导航和简洁的购物流程等，还有基于云计算的个性化导购，以及基于人群分组的社交化商务平台，为消费者提供了愉悦的购物环境；

（3）建立了庞大的物流体系，位于六个城市的十大物流中心，全国库房面积达到18万平方米，成为国内库房面积最大的电子商务企业。

公司发展战略包括以下内容。

（1）采用“跨界人才”战略。该电商平台选择从传统行业中招贤纳士，将传统行业成熟的管理模式和供应商资源引入，解决大量用人需求和内部人才供应不足的矛盾。

（2）借用大数据时代的营销工具完善体验，提高服务质量。

（3）利用自身的高知名度与品牌效应，提升在顾客心目中的地位。

（4）重点发展人工智能领域，不盲目模仿其他商业网站，成为行业领军的智能化服务电商，可与互补品类企业进行战略合作。

（5）丰富支付方式，完善支付安全。

公司发展理念包括以下内容。

（1）不断重组。以服务顾客为核心，重组资源、重组机构，流程再造。

（2）迎接变革。在变革中再造产品、流程、功能，引领变革，主动引发新创意、新产品、新服务。

通过对该公司相关背景资料的了解，假设该公司已经建立了信息安全风险管理组织架构，相关高层管理人员和各业务部门负责人可配合信息安全风险管理工作组进行发展战略和业务识别有关的工作。风险管理团队前期经历了明确识别对象、确定实施内容与计划、明确风险管理责任、输出文档和验收确认等识别过程。

4.5.1 发展战略识别

信息安全风险管理工作组通过对该电商平台所在企业的高层管理人员进行访谈，查阅公司有关发展战略的文档，利用发展战略识别的相关方法，整理归纳出该企业的发展战略如表4-14所示。

由于企业在有关发展战略的表述上并没有清晰地界定以上四个层面的内容，需要风险管理工作组将整理出的发展战略就属性及职能定位、发展目标、业务规划和核心竞争力四个层面进行归类，以便于下一步进行业务识别与赋值。

4.5.2 业务识别与业务赋值

发展战略识别的同时展开对业务的识别。风险评估工作组通过与企业有关业务部门负责人访谈、查阅相关业务和产品资料，以及通过对企业信息系统的功能梳理，分析归纳出主要的业务和业务流程。业务识别表如表4-15所示。

将上述业务或业务流程与已识别出的发展战略四个层面的内容进行关联分析，通过发展战略对各业务的依赖程度决定业务的重要性。另外，业务间的关联性也会对业务的重要性造成影响。若被评估业务与高于其重要性赋值的业务具有紧密关联关系，则该业务重要性赋值应在原赋值基础上进行赋值调整，即就高不就低。本案例暂不考虑此种情况。业务重要性赋值如表4-16所示。

参考业务重要性等级赋值标准分为1～5个等级，分别是很低、低、中等、高和很高。该公司的9项业务重要性均为中等以上，其中有3项重要性等级是很高，例如网购业务流程、大数据服务业务流程和支付业务。其发展战略对这3项业务的依赖程度最高。

风险评估工作组根据发展战略识别表（如表4-14所示）和业务重要性赋值列表（如表4-16所示）编制《某电商平台发展战略和业务分析报告》，经双方项目经理签字确认，即为该项工作验收通过。