نوآوری در مدیریت برای توسعه پایدار

Kolnegar Private Media (Management Innovation for Sustainable Development)

1 آذر 1403 6:26 ب.ظ

پیشی گرفتن از خطرات زنجیره تأمین

23 ژوئیه 2021 توسط اد باریبال

چگونه سازمان‌های بخش دولتی و خصوصی می‌توانند با یکدیگر همکاری کنند، آسیب‌پذیری‌ها را ارزیابی کرده و به تصویر بزرگ‌تری برای بهبود انعطاف پذیری در زنجیره تأمین توجه کنند. در این قسمت از پادکست مک کینزی در دولت، شریک مک کینزی اد باریبل و باب کولاسکی، مدیر مرکز ملی مدیریت ریسک در آژانس امنیت سایبری و زیرساخت (CISA)، درباره لزوم تاب آوری زنجیره تأمین بحث می‌کنند. اما چرا در حال حاضر زنجیره‌های تأمین چنین موضوعی داغ برای دولت است؟ چه چیزی این تمرکز لیزر مانند را تحریک می‌کند؟ و نقش دولت در درک و بهبود انعطاف پذیری زنجیره تأمین چگونه تغییر می‌کند؟ متن ویرایش‌شده مکالمه آن‌ها در زیر آمده است.

انعطاف پذیری زنجیره تامین

فرانسیس رز: به مک کینزی خوش آمدید. در هر قسمت یکی از سخت‌ترین مشکلات امروز دولت، همراه با راه حل‌های کارشناسان مک کینزی و دیگر رهبران، بررسی می‌شود. من میزبان مک کینزی در دولت هستم، در چند ماه گذشته تعدادی از حوادث پر سر و صدا شکنندگی زنجیره تأمین را چه در حوزه سایبر و چه در کالاهای فیزیکی برجسته کرده است.

باب کولاسکی مدیر مرکز ملی مدیریت ریسک در آژانس امنیت سایبری و آگاهی از زیرساخت‌ها است. شریک مک کینزی Ed Barriball با سازمان‌های بخش دولتی و خصوصی کار می‌کند که عملیات تولید و زنجیره تأمین را مدیریت می‌کنند.

  • آقایان، از اینکه امروز به من پیوستید متشکرم. باب، بیایید با شما شروع کنیم. طی چند سال گذشته چه اتفاقی افتاده است که چنین علاقه‌ای در زنجیره تأمین ایجاد می‌‌کند؟

باب کولاسکی: امنیت و انعطاف پذیری زنجیره تامین مورد توجه دولت ایالات متحده است زیرا خطراتی آن را تهدید می‌کند. افزایش دیجیتالی شدن و استفاده از فناوری اطلاعات و ارتباطات برای ارائه عملکردهای حیاتی – که از نظر کارایی و اثر بخشی به طور حتم برای کشور بزرگ بوده است – جنبه‌های جدیدی از خطر را وارد کرده است که باید مدیریت شوند. که همچنین مورد توجه دشمنان ما قرار گرفته است. دولت‌های ملی که از طریق روش‌های سایبری علاقه مند به آسیب رساندن هستند، در حال بررسی زنجیره‌های تأمین به عنوان مکانیزمی برای این حملات هستند.

و وقتی می‌گویم، «زنجیره‌های تأمین به عنوان مکانیزمی برای حملات، من بیشتر در مورد حملات نرم‌افزاری و این واقعیت که نرم افزار همه چیز را اجرا می‌کند صحبت می‌کنم. نحوه استقرار نرم افزار آسیب پذیری‌های جدیدی ایجاد می‌کند. دشمنان به دنبال این آسیب پذیری‌ها رفته‌اند. ما به عنوان متخصصان امنیت ملی و شرکتی، باید آماده درک و رفع این آسیب‌پذیری‌ها باشیم.

در عین حال، جهانی بودن زنجیره‌های تأمین خطر جدیدی را از نظر قابلیت اطمینان و در دسترس بودن موارد خاص ایجاد کرده است و ما می‌خواهیم اطمینان حاصل کنیم که این زنجیره‌های تأمین به درستی مدیریت می‌شوند. بنابراین، سوال این است که به جایی که خطر وجود دارد بروید، از آن جلوتر بروید، و پیش بینی نیازهای امنیتی را برطرف کنید و آن‌ها را قبل از اینکه به مشکل تبدیل شوند، برطرف کنید.

چالش داده‌های بخش دولتی

  • فرانسیس رز: اد، خوش آمدید. از اینکه به گفتگو ملحق شدید سپاسگزاریم. بزرگترین چالش‌های پیش روی سازمان‌ها در بخش‌های عمومی در مدیریت و ارزیابی ریسک در زنجیره‌های تأمین چیست؟

 اد باریبال: اولین چالش داده‌هایی است که شما برای انجام این نوع ارزیابی نیاز دارید. اکثر شرکت‌ها و دولت‌ها می‌دانند که مستقیماً از چه افرادی خریداری می‌کنند، اما تحقیقات ما نشان می‌دهد که خطر بیشتری از سطح دو، سطح سه و سطح چهار از زنجیره تامین وجود دارد که تامین کنندگان تامین کننده یا تامین کننده تامین کننده شما هستند. برای اکثر صنایع، اکثر افراد این داده‌ها را ندارند. و اگر از تأمین کننده خود بپرسید، بسیاری از اوقات ممکن است بگویند این اطلاعات اختصاصی است. بنابراین حتی دانستن اینکه چه کسی را باید ارزیابی کرد یک چالش است. هنگامی که بدانید چه کسی را ارزیابی کنید، انواع مختلفی از بردارها برای حمله وجود دارد. اطمینان از اینکه شما ارزیابی واقعی و کاملی از آن تأمین کنندگان انجام داده‌اید، نیاز به جمع کردن داده‌ها و اطلاعات مختلف دارد. و انجام مقیاس آن برای هزاران یا ده‌ها هزار تامین کننده – که همان چیزی است که برای محصولات پیچیده مانند فناوری اطلاعات یا سیستم‌های تسلیحاتی وجود دارد – یک چالش واقعی است. و به همین دلیل این سخت است.

  • فرانسیس رز: سازمان‌ها چه کاری انجام داده‌اند که سعی کنند این خلا را پر کنند؟ آیا ارزیابی‌هایی وجود دارد؟ آیا ابزارهایی وجود دارد؟ آیا فرایندهایی وجود دارد که سازمان‌ها بتوانند خودشان بفهمند که برخی از آن‌ها را می‌فهمند؟

اد باربیال : این فضایی است که اکنون به سرعت در حال نوآوری است. بحران ویروس کرونا باعث شده کانون توجه صنایع مختلف باشد که این امر چه مشکلی برای ایالات متحده و اروپا و سایر نقاط جهان است، بنابراین بودجه زیادی برای سرمایه گذاری در این فضا وجود دارد. بسیاری از شرکت‌ها در حال ورود به آن هستند و بسیاری از شرکت‌های نوپا در تلاش‌اند تا راه حل‌های خود را ایجاد کنند. شرکت‌ها و آژانس‌های دولتی در حال طبقه بندی هستند که چه مقدار از این کار را می‌توانند به تنهایی انجام دهند. آیا آن‌ها فقط می‌خواهند داده‌ها را بخرند، اطلاعات را بدست آورند و آن‎‌ها را به تنهایی وصله بزنند؟ و در واقع چقدر قرار است به یک محصول یا خدمتی تبدیل شود که ما فقط باید بیرون برویم و بخریم؟ فکر می‌کنم هنوز این سوال کاملاً نامشخص است.

آزمایش‌های زیادی در مورد روش‌های مختلف وجود دارد، هم در دولت و هم در بخش خصوصی. در پایان روز، من فکر می‌کنم ترکیبی از داشتن داده‌ها است بنابراین می‌توان ارزیابی‌های بیرونی را انجام داد و پرسید: «فکر می‌کنم تهیه کننده تامین کننده من چه کسی باشد؟»

ما همچنین در مورد افزایش همکاری با تامین کننده است. یکی از شرکت‌هایی که در حال حاضر در کمبود نیمه هادی بسیار خوب عمل می‌کند، تویوتا است. تویوتا در واقع پس از سونامی در سال 2011 در ژاپن سرمایه گذاری سنگینی انجام داد که فشار زیادی بر زنجیره تأمین آن‌ها وارد کرد. همکاری تأمین کنندگان بسیار بهتر، درک بهتری از زنجیره تأمین آن‌ها و درک درستی از محل نیاز آن‌ها برای نگهداری سهام بیشتر – بدون کدام یک از اجزای خاص آسیب پذیر بودند وجود دارد. و با توجه به اینکه، وقتی به عملکرد آن‌ها در زمان بحران ویروس کرونا در برابر دیگران نگاه می‌کنید، بهتر بوده است. من فکر می‌کنم بسیاری از درس‌های مربوط به این نوع آمادگی وجود دارد که دیگران در حال تلاش برای اتخاذ آن هستند.

ایجاد یک زنجیره تأمین بهتر با هم

  • فرانسیس رز: من می‌خواهم به این مفاهیم برگردم زیرا فکر می‌کنم یک تشابه مهم و شاید یک تفاوت مهم برای یک سازمان بخش دولتی وجود دارد. باب، یکی از عناصری که شما و همکارانتان در CISA به عهده گرفته‌اید، کارگروه مدیریت ریسک زنجیره تأمین فناوری اطلاعات و ارتباطات است. به من بگویید که آن گروه ویژه در تلاش است تا وقتی به چالش زنجیره تأمین می‌رسد، چه کاری را انجام دهد؟

باب كولاسكی: گروه ویژه یكی از این نمونه‌های مشاركت دولتی و خصوصی است و اختیاری كه ما در این بخش داریم تا صنعت را برای گفتگو در اولویت‌های امنیت ملی در میز كار قرار دهیم. این گروه ویژه شامل 20 آژانس فدرال است – که در مورد چگونگی ایجاد امنیت بیشتر در دولت فدرال حرف‌های زیادی برای گفتن دارند – همچنین شرکت‌های بزرگ فناوری اطلاعات، شرکت‌های بزرگ ارتباطی و برخی از انجمن‌های نمایندگی برخی از سازمان‌های کوچک. و ما، صنعت و دولت با هم کار می‌کنیم تا برخی از این مشکلات را برطرف کنیم و یا در برابر مشکلات پیشرفت کنیم تا زنجیره تأمین بهتری ایجاد کنیم.

آیا ما می‌توانیم اطلاعات بین دولت و صنعت را برای درک ریسک زنجیره تامین به اشتراک بگذاریم؟ آیا می‌توانیم این اطلاعات را به عنوان یک کارگروه با هم گره کنیم و سپس بپرسیم، «تهدیدهای اولویتی که مدیران ریسک زنجیره تامین در دولت و صنعت باید بررسی کنند چیست؟»

ما بیش از 100 سناریو تهدید را شناسایی کرده‌ایم که می‌تواند پایه و اساس برنامه‌های مدیریت ریسک زنجیره تامین باشد. ابزارهای دیگری نیز وجود دارد: گروه ویژه در حال توسعه ابزارهایی برای کمک به مشاغل کوچک و متوسط ​​برای اجرای برنامه‌های مدیریت ریسک زنجیره تامین است.

در همان زمان، در سطح سیاست، ما در حال کار بر روی مواردی هستیم که انگیزه ایجاد می‌کند، با در نظر گرفتن خطر زنجیره تامین به عنوان بخشی از فرآیندهای خرید –  و روش‌های انجام آن به طور موثر. گروه ویژه دور هم نشسته و سعی می‌کند خطر را به طور جمعی درک کند. و سپس مواردی را که به پیشبرد رویکرد کلی امنیت ملی زنجیره تأمین کمک می‌کند، اولویت بندی می‌کنیم.

  • فرانسیس رز: آیا خطرات موجود در زنجیره تأمین آن شرکت‌های خصوصی به خطرات موجود در یک سازمان بخش دولتی مانند آژانس فدرال شباهت دارد؟ آیا آن‌ها به اندازه کافی نزدیک هستند – به اندازه کافی مشابه – که درس‌های آموخته شده منطقی هستند؟ آیا فقط این موضوع است که این شرکت‌ها می‌توانند چیزی را با بخش دولتی به اشتراک بگذارند یا من همه چیز را اشتباه می‌فهمم؟

باب کولاسکی: نه. اول از همه، این خطر مشترک است. این‌ها شرکت‌هایی هستند که دولت از آن‌ها فناوری خریداری می‌کند. ما در حال ساخت نرم افزار و سخت افزار خود نیستیم. ما در حال دریافت فناوری از این شرکت‌ها هستیم. اگر آن‌ها در تامین کنندگان خود خطری داشته باشند، این نیز خطر ما هم هست. بسیاری از این‌ها تأمین کنندگان سطح یک پایگاه صنعتی دفاعی، تأمین کنندگان سطح یک بانک‌ها و غیره هستند.

ما باید از طریق تأمین منابع موجود در دولت، ریسک ICT فناوری اطلاعات و ارتباطات خود را مدیریت کنیم. اما ما می‌خواهیم این شرکت‌ها همانطور كه ​​اد در مورد آن صحبت می‌كرد، ادامه دهند – تا تامین كنندگان ردیف دو، ردیف سه یا ردیف چهار. سپس، این ریسک مشترک است.

در مورد در دسترس بودن فناوری‌های تجاری که اد ذکر کرده است: برای شرکت‌های موجود در این فضا ریسک خود را درک کنند و برخی از این اطلاعات را به دولت تفهیم کنند و اطلاعاتی را که ما از طریق فرایندهای اطلاعاتی در اختیار داریم – این به ما کمک می‌کند تا درک بهتری از آن به صورت مشترک داشته باشیم و خطر را با تصمیمات مداوم مدیریت ریسک کنیم.

  • فرانسیس رز: اد، شما از این نمونه تویوتا استفاده کردید و این نمونه خوبی است زیرا این چیزی است که بسیاری از شهروندان عادی که لزوماً به نحوه کار دولت اهمیت نمی‌دهند یا به زنجیره تأمین فکر نمی‌کنند، آن را درک می‌کنند. آن‌ها می‌فهمند که اکنون یافتن اتومبیل جدید در بخش‌های مختلف به دلیل مشکل تراشه رایانه دشوارتر است. تویوتا چه کاری انجام داد که می‌تواند برای سازمانی در بخش دولتی صدق کند که لزوماً نمی‌تواند از آن سازمان‌های ردیف دو، ردیف سه یا ردیف چهار خرید کند اما برای تأمین نیاز به همکاری با آن‌ها دارد؟

اد باریبال: این یک سوال عالی است. فکر می‌کنم اولین قدم درک کارهایی است که می‌کنیم و نمی‌دانیم. و من می‌دانم که حتی در بخش خصوصی و دولتی همین حالا – اگر وارد سازمانی شوید که سعی در حل این مشکل دارد و می‌پرسید، «کجا می‌دانید چه کسی در زنجیره تأمین شماست و کجا شما آن‌جا نیستید؟» در واقع غیر معمول است که کسی آن را کمی کرده باشد. آن‌ها ممکن است بگویند، «اینجا جایی است که ما فکر می‌کنیم در نقطه کور هستیم. اینجا جایی است که فکر می‌کنیم واقعاً ممکن است بدانیم. این واقعاً اولین قدم است – گفتن «ما چه می دانیم؟» و «چه چیزی نمی‌دانیم؟»

در نمونه تویوتا، آن‌ها در واقع اندکی از قدرت بازار نسبت به تأمین کنندگان خود برخوردار هستند. آن‌ها توانستند بروند و بگویند، «ما دوست داریم شما این اطلاعات را ارائه دهید. آن‌ها توانستند به مرور زمان مطابقت داشته و دید بهتری داشته باشند.

من فکر می‌کنم چالش برای دولت این است که برخی بازارها وجود دارد که دولت از آن نوع اهرم استفاده می‌کند، اما بازارهای زیادی وجود دارد – مانند باب که در مورد ICT ذکر شده است – که صادقانه بگویم، دولت ممکن است از اهرم قدرت برخوردار نباشد. برای گفتن، «ببین، اگر می‌خواهی با ما تجارت کنی، باید این اطلاعات را به ما بدهی.»

برخی از شرکت‌ها هستند که ممکن است بگویند، «خوب، پس ما قصد نداریم با شما تجارت کنیم.» من فکر می کنم دولت، در این مورد، باید درک کند که آن‌ها از کجا این قدرت را دارند. آن‌ها از کجا می‌توانند از شیوه‌های خرید و برای کمک به شرکت‌ها استفاده کنند و اطمینان حاصل کنند که دولت اطلاعات مورد نیاز خود را دریافت می‌کند؟

و برای بخش‌هایی که ممکن است نفوذ در بازار کمتر باشد، توانایی کمتری در انجام این کار وجود دارد – آن‌ها باید از برخی از تکنیک‌های موجود در بازار استفاده کنند. آن‌ها فکر می‌کنند در معرض چه چیزی هستند و چه نوع خطری را متحمل می‌شوند؟

مبانی مدیریت ریسک: عملکردهای مهم و تصویر کلی

  • فرانسیس رز: باب، آیا چارچوب مدیریت ریسک در یک محیط زنجیره تأمین به همان روش کار می‌کند؟ آیا تکنیک‌ها در ارزیابی و اولویت‌بندی ریسک همانند سایر انواع مدیریت ریسک هستند، یا آیا چیزی منحصر به فرد در مفهوم زنجیره تأمین وجود دارد که کسی را مجبور می‌کند متفاوت به آن نگاه کند؟

باب کولاسکی: در نهایت، من فکر می‌کنم پاسخ بیشتر «این همان است» تا «بی نظیر» است. بدیهی است که عناصر تحقیق وجود دارد. چارچوب مدیریت ریسک که ما طرفدار آن هستیم، «درباره عملکردهای حیاتی که ارائه می‌دهید فکر کنید.» بنابراین، اگر شما دولت هستید، موارد مهم وزارت امنیت داخلی چیست؟

عملکردهای اساسی چیست؟ چه توابع اساسی هستند که می‌توانند به «آن توابع اساسی» کمک کنند؟ و چگونه حملات یا شکست‌های زنجیره تامین با خطر کمبود عملکرد ارتباط دارند؟ بسیاری از این قابلیت‌ها فقط ارائه عملکرد نیستند بلکه یکپارچگی پیرامون آن موارد هستند.

بنابراین ، وضعیت نهایی که من در تلاش برای کنترل خطر در برابر آن هستم ادامه دارد – از نظر عملکرد از نظر متخصصان اطلاعاتی ایمن است. این که آیا من در دولت هستم یا اینکه ادامه فعالیت‌های تجاری و زنجیره‌های تأمین من یک بردار حمله جدید را نشان می‌دهد – یک آسیب پذیری جدید برای این عملکرد، همین است. اولویت بندی بر اساس ریسک: احتمال از دست رفتن عملکرد از کجاست؟ از دست دادن امنیت بالاترین خواهد بود. برای کاهش این خطر گام بردارید.

  • فرانسیس رز: اد، آیا شما فکر می‌کنید این روشی است که مردم برای اولین بار با آن‌ها می‌نشینند در مورد آن فکر می‌کنند؟ آیا آن‌ها این‌گونه در حال بررسی ریسک زنجیره تأمین خود هستند و چگونه در فکر تلاش برای اولویت بندی آن هستند؟

اد باریبال: فکر می‌کنم مردم به آن‌جا می‌روند. بسیاری از اوقات، سازمان‌ها در ابتدا به هر رویداد اخیر فکر می‌کنند، اعم از حمله سایبری، سیل یا زمین لرزه. اما سپس آن‌ها عقب نشینی می‌کنند و می‌گویند: «اگر ما می‌خواهیم به عنوان یک تجارت یا یک آژانس مقاومت بیشتری داشته باشیم، تمام عناصری که باید بررسی کنیم چیست؟»

این روز به روز رایج‌تر می‌شود که مردم در مورد انواع اثرات بالقوه شروع به فکر می‌کنند. این طرز تفکر در مورد خطر زنجیره تأمین همچنین شروع به جلب توجه بیشتر می‌کند، همانطور که باب گفت، در مجموعه ما سال گذشته برخی از تحقیقات را منتشر کردیم که نشان می‌دهد یک شرکت متوسط ​​به دلیل اختلال در زنجیره تامین، انتظار می‌رود در دهه آینده حدود 45 درصد از درآمد یک ساله خود را از دست بدهد.

و اگر در صندلی مدیر عامل شرکت نشسته‌اید، این بسیار مهم است. اگر در این زمینه ساده لوح باشید، اساساً 5 درصد درآمد شما در دهه آینده است. ممکن است تحقق پیدا نکند. و پیامدهای دولت در مورد آن همان چیزی است که برای شرکت‌ها وجود دارد: آن‌ها می‌توانند انتظار داشته باشند که تولید به دلیل اختلال در زنجیره تامین هر سه و نیم سال یک تا دو ماه متوقف شود.

و بسته به نوع کالاهای موجود و میزان ذخیره شما، یک تا دو ماه برای توقف تولید می‌تواند زمان طولانی داشته باشد. بنابراین من فکر می‌کنم این یک صنعت است که مردم شروع به دیدن آن بسیار جامع‌تر می‌کنند. این ممکن است با این جمله شروع شود: «چه چیزی اخیراً به من ضربه زد؟» اما همانطور که مردم شروع به درک تأثیرات بالقوه‌ای که می‌توانند تجربه کنند می‌کنند، واقعاً شروع به بررسی گسترده‌تر آن می‌کنند.

  • فرانسیس رز: چطور کسی را به شرایطی سوق می‌دهید که در فکر این باشد که چه چیزی رخ داده است و در مقابل مسئله قرار گرفته است و همانطور که قبلاً گفتید به این فکر می‌کنند که چگونه می‌داند چه می‌دانید؟

اد باریبال: من فکر می‌کنم بهترین کاری که می‌توانید در صورت وقوع کاری انجام دهید این است که برگردید و یک ارزیابی اولیه از ریشه را انجام دهید. اما همچنین بپرسید: «این در مورد زمینه گسترده‌تری که اکنون در آن فعالیت می‌کنیم چه چیزی به ما می‌گوید؟» به صراحت فکر می‌کنم آنجا جایی است که بسیاری از رهبران درگیر شده‌اند.

اما من فکر می‌کنم دلیل این موضوع به سرعت تبدیل به یک موضوع داغ شده است این است که من فکر نمی‌کنم مردم درک کنند که در دهه گذشته زمینه‌هایی که ما به عنوان یک اقتصاد جهانی در آن فعالیت می‌کردیم چقدر تغییر کرده است. شما نوعی شاخص هشدار دهنده داشتید، اما سپس توافق نامه‌های تجاری شروع به تغییر کرد که به نظر مردم پایدار است. شما حوادث آب و هوایی داشتید که قبلاً اتفاق نیفتاده بودند. و همه این موارد شروع به جمع شدن کردند. می‌توانید یکی را بنویسید و دیگری را بنویسید: «و، من باور نمی‌کردم که این اتفاق افتاده باشد.»

اما در نهایت، شما مجبور می‌شوید بگویید: «خوب، شاید اینجا چیزی در جریان باشد.» من فکر می‌کنم آن‌چه برای سازمان‌ها مهم است این است که فقط به آن‌چه اتفاق افتاده نگاه نکنند بلکه قدم بردارند و بگویند «آیا زمینه‌ای که ما در آن کار می‌کنیم تغییر کرده است؟» و «آیا آن چیزی که اتفاق افتاده یک بار نیست بلکه بیشتر نشانه این است که ما در یک محیط متفاوت از گذشته کار می‌کنیم؟»

به جلو نگاه کنید: آسیب پذیری‌ها را ارزیابی کنید و برای تغییر تنظیم کنید

  • فرانسیس رز: ما در مورد اینکه امروز کجا هستیم و چگونه به آن‌جا رسیده‌ایم بسیار صحبت کرده‌ایم. باب، آینده چه خواهد شد؟ چگونه می‌توان مخاطراتی را پیش بینی کرد که ممکن است هنوز نمی‌دانیم خطرات هستند؟ به عنوان مثال، چگونه می‌توانیم در نوامبر 2019 یا ژانویه 2020 بنشینیم و خطرات ناشی از بیماری همه گیر را که ممکن است در برهه‌ای از زمان ممکن باشد یا نباشد، پیش بینی کنیم – اما ممکن است مجبور به مقابله با آن باشیم؟ چگونه می‌توان چیزی شبیه به آن را در ماتریس قرار داد تا بفهمد برای چه چیزی باید برنامه ریزی کنیم – باید درباره چه چیزی فکر کنیم؟

باب کولاسکی: مک کینزی در مورد اینکه آینده چگونه خواهد بود تفکر استراتژیک خوبی دارد. بنابراین سایر شرکت‌های مشاوره‌ای و افراد دیگر نیز این کار را انجام دهید. من به هدایت گرانی نگاه می‌کنم که ما در مرکز ملی مدیریت ریسک استفاده می‌کنیم: فیزیکی، سایبری، همگرا، دیجیتالی شدن همگرایی، جایی که ژئوپلیتیک هدایت می‌شود، فناوری‌های نوظهور، هوش مصنوعی، بیوتکنولوژی، محاسبات کوانتومی، روندهای اجتماعی و نیروهای بازار و حکومت؛ همه این‌ها خیلی زود در حال تغییر هستند.

بیایید آینده را پیش‌بینی نکنیم. بیایید آینده را در نظر بگیریم و به دنبال چیزهایی بگردیم که نشان دهند ما از این طریق یا راهی دیگر به سمت آینده می‌رویم – و با تغییر همه چیز برنامه‌هایی داشته باشیم. در بهترین سازمان‌ها، برای برنامه ریزی سرمایه گذاری لازم است. سرمایه گذاری در اندیشیدن لازم است. این کار نیاز به سرمایه گذاری در افزونگی و ظرفیت و مواردی دارد که کاملاً مربوط به کارایی و درآمد نیست. سپس برنامه ریزی و تمرین و تست استرس را در برابر سناریوها انجام دهید.

تنها چیزی که مسلم است این است که در 15 سال آینده همه چیز به طرز چشمگیری تغییر خواهد کرد. من دقیقاً نمی‌دانم که آن‌ها چگونه تغییر خواهند کرد، اما اگر با برخی از قابلیت‌های پشتیبان آماده تغییر نیستید، احتمالاً پشت سر می‌گذارید.

  • فرانسیس رز: و چالشی که من فکر می‌کنم، باب، این است که شما می‌توانید برای ده یا 15 مورد احتمالی برنامه ریزی کنید و نمی‌دانید چه زمانی شماره 16 همان چیزی است که شما واقعاً دریافت می‌کنید، درست است؟

باب کولاسکی: امیدوارم که در برنامه ریزی برای بسیاری از افراد، آن‌ها دارای ویژگی‌های کافی باشند که ممکن است مشخصات را اشتباه بگیرید اما توانایی‌هایی که برای مقابله با یک مشکل نیاز دارید یکسان است.

فرانسیس رز: و این همان مفهومی است که شما چند دقیقه پیش در مورد عناصر تغییر بالقوه توافق نامه‌های تجاری در شرایط آب و هوایی و غیره بیان کردید – مواردی که در گذشته شاهد بودیم. موفق‌ترین سازمان‌هایی که با آن‌ها کار کرده‌اید چه کاری انجام می‌دهند تا در مورد امکاناتی که ممکن است در آینده در آینده با آن روبرو شوند فکر کنند؟ چگونه می‌توانند با احتساب درک اینکه نمی‌توانند همه آن‌ها را بدست آورند، احتمالات بالقوه را استراتژیک می‌کنند؟

اد باریبال: این سوال خوبی است. بنابراین نحوه تفکر ما درباره یک خطر زنجیره تامین که در اخبار خود را نشان می‌دهد – این محصول یک شوک و یک آسیب پذیری است. و شوک‌ها مواردی مانند جاری شدن سیل، زمین لرزه‌های غیر منتظره یا حمله سایبری است.

شما احتمالاً نباید یک زمان صرف کنید تا پیش بینی کنید که دقیقاً چه اتفاقی می‌افتد، زیرا اگر می‌توانید، باید حرفه دیگری داشته باشید. معامله‌گر سهام باشید و درآمد زیادی کسب خواهید کرد. اما چیزی که شما واقعاً می‌توانید درک کنید آسیب پذیری است. من فکر می‌کنم بخشی از این فقط عقب نشینی و گفتن است: «کنفرانس ارزیابی یا آسیب پذیری چیست و امروز کجا هستند؟»

برای زمینه عملیاتی که در آن قرار داریم – اگر شما یک شرکت هستید، برای خطوط تولید خود؛ اگر شما یک سازمان دولتی هستید، برای مأموریتی که می‌خواهید به آن برسید – موارد مختلفی که واقعاً به آن‌ها نیاز داریم چیست؟ و در کجا آسیب پذیر هستیم؟ همانطور که باب می‌گفت، من فکر می‌کنم آن‌چه در حال حاضر بسیاری از شرکت‌ها شاهد آن هستند این است که هیئت مدیره و مدیران خود را در یک اتاق جمع کنند و برنامه ریزی سناریویی انجام دهند. نه فقط، «بیایید همه دو روز دور هم جمع شویم و درمورد آنچه ممکن است اتفاق بیفتد» بلکه انجام کارهای آماده سازی واقعی: انجام تجزیه و تحلیل زودهنگام، درک درستی از این آسیب پذیری‌ها و در واقع تنظیم سناریوهای ساختاریافته، «اگر این اتفاق می‌افتاد، ما چه می‌کردیم؟» هیئت مدیره ممکن است رقبا را بازی کند. ممکن است خودشان بازی کنند. و واقعاً ببینیم چه تصمیماتی می‌گیریم و چه اتفاقی می‌افتد.

این طور نیست که شما می‌خواهید آینده را پیش بینی کنید و بگویید: «این همان چیزی است که اتفاق خواهد افتاد. اما همان‌طور که باب می‌گفت، امیدوارم که این عمل به شما تمرین دهد، بنابراین وقتی اتفاقی می‌افتد، همه شما در مورد آن فکر کرده‌اید – در مورد اینکه چه نوع حرکاتی را انجام می‌دهید در یک سطح هستید. و تیم اجرایی را بیشتر آماده می‌کند. من فکر می‌کنم آژانس‌های دولتی نیز می‌توانند همین کار را انجام دهند.

  • فرانسیس رز: همانطور که شما این چشم انداز را توصیف می‌کردید، من به برخی از مجموعه‌های هیات مدیره در داخل آژانس‌های فدرال فکر می‌کردم. نمی‌دانم آیا آن‌ها چنین برنامه ریزی احتمالی را انجام می‌دهند؟ برای من به نظر می‌رسد یکی از بزرگترین مزایای آن‌چه شما در آنجا بیان کردید، اد، سطح تعامل است – آگاهی همه کسانی که دور میز هستند. شاید آن‌ها به این احتمال فکر نمی‌کردند که این چیزی باشد که – ممکن است در حال حاضر باشد» – سازمان آن‌ها باید با آن کنار بیاید. اما این سطح آگاهی را افزایش می‌دهد و گفتگو در مورد سایر موضوعات را مفیدتر و پربارتر می‌کند. فکر می‌کنید این یک مشاهده عادلانه است، اد؟

اد باریبال: کاملاً درست است. چیزی که من برای افرادی که این کار را می‌کنند یا در مورد آن فکر می‌کنند می‌گویم – و من می‌دانم که این وزارت امنیت داخلی است، بنابراین Cyber ​​Storm تمرین امنیت سایبری DHS و مواردی از این قبیل. این یک مفهوم خارجی در دولت نیست –  آماده سازی مهم است: آماده سازی با کیفیت بالا از نظر درک واقعی زمینه، واقعیت‌هایی که شما روی آن کار می‌کنید، چیزی که آزمایش استرس می‌کنید. در غیر این صورت، این فقط یک مکالمه سرگرم کننده می‌شود که می‌توانید داشته باشید. واقعاً باید چیزی باشد که بر اساس حقایق و اطلاعات باشد تا از آن به یک تمرین مفید استفاده شود.

آینده مدیریت ریسک

  • فرانسیس رز: باب، من قبلاً در گفتگو از شما پرسیدم که آیا تفاوتی بین مدیریت ریسک زنجیره تأمین و سایر انواع مدیریت ریسک وجود دارد؟ خط سیر مدیریت ریسک به عنوان یک عمل رو به جلو چیست؟ آیا انتظار دارید که تکنیک‌های مختلف، نگرانی‌های مختلف را ببینید؟ یا از نظر شما مدیریت ریسک نوعی تخصص یا عملی بالغ است که در مسیری که امروز طی می‌کند ادامه خواهد یافت؟

باب کولاسکی: یکی از مواردی که تغییر خواهد کرد و در حال تغییر است، تکثیر داده‌های موجود و ترجمه داده‌ها به مدل‌های خطر است. و بسیاری از مدیریت ریسک در مورد مسائل پیچیده، داده‌هایی بود که ضعیف هستند یا در اوایل عدم اطمینان بر آن‌ها حاکم است. من فکر می‌کنم اگر شما می‌توانید مدل‌های خطر را بسازید که از همه اطلاعات موجود در آن با سرعت بیشتری بهره ببرند، این امر درک واقعی‌تری از خطر را به شما می‌دهد.

مورد دیگری که فکر می‌کنم در معرض خطر اتفاق می‌افتد – و ما همیشه از این موضوع در فضای مجازی حمایت می‌کنیم – این است که مدیریت ریسک و مدیریت ریسک سایبری را بخشی از حاکمیت کلی شرکت بر ریسک خود قرار دهید. و به طور جدی درباره حاکمیت ریسک فکر کنید.

این به معنای برقراری ارتباط همه این داده‌ها به روشی است که یک هیئت مدیره یا یک مجموعه رهبران بتواند به روشی قابل ترجمه تصمیم بگیرد که این کار را انجام دهد. من در پنج تا ده سال گذشته شاهد پیشرفت چشمگیری در مدل‌های داده محور بوده‌ام که به نوعی از شیوه‌های حاکمیت ریسک منتقل شده‌اند. و این به این روش کمک خواهد کرد. مدیریت ریسک به معنای درست کردن همه چیز نیست، بلکه به معنای تفکر از طریق شرایط غیرمترقبه، سرمایه گذاری است. خوش بینی من است.

  • فرانسیس رز: تقریباً زمان ما تمام شده است. اد، یک سوال آخر برای شما از نظر شما آینده برای مشارکت دولتی و خصوصی در مدیریت ریسک چگونه است؟ باب درمورد اهمیت کار گروه خصوصی و خصوصی در کارگروهی که وی اداره می‌کند صحبت کرد. به نظر شما در یک سال، سه سال یا پنج سال آینده به طور گسترده‌تر چگونه است؟

اد باریبال: فکر می‌کنم بزرگترین چیز این است که مدیریت ریسک یک وسیله است. شما می‌خواهید خطرات را شناسایی کنید و سپس دریابید که چگونه آن‌ها را تا جایی که می‌توانید کاهش دهید. بسیاری از افراد در مورد منابع داخلی صحبت می‌کنند – احیای مجدد منابع داخلی به عنوان راهی برای انجام این کار.

ما هفته گذشته گزارشی درباره احیای تولید ایالات متحده منتشر کردیم. یکی از مهم‌ترین چیزهایی که به نظر من در آن گزارش جالب  بود این است که ما به صنعت مبتنی بر مقیاس – مواردی مانند خودرو، مواد شیمیایی، تولید – و بازده سرمایه گذاری که سرمایه‌گذاران آمریکایی یا سرمایه گذاران آمریکای شمالی در مقابل سرمایه گذاران آسیایی انتظار داشتند، نگاه کردیم.

سرمایه گذاران آمریکای شمالی انتظار داشتند حدود 12 تا 14 درصد بازده سرمایه گذاری خود در این صنایع، در مقابل حدود 7 درصد در آسیا، داشته باشد. که به طور طبیعی باعث می‌شود مدیران عامل و رهبران، خواسته‌ها را برآورده کنند، زنجیره تامین آن‌ها را فشرده کنند. این مشکلی نیست که بخش دولتی یا بخش خصوصی بخواهند خود به خود آن را حل کنند. آن‌ها مجبورند با هم آن را حل کنند. بنابراین، من فکر می‌کنم آینده و راه آینده در این مورد عالی خواهد بود وقتی همه ما با هم کار کنیم تا درک کنیم که خطرات چیست.

اما کار و همکاری واقعاً این است که بدانیم چگونه می‌توان برخی از این مسائل را حل کرد زیرا این کار به آسانی شکستن انگشت نیست و موانع ساختاری و بازار زیادی وجود دارد که باید از طریق آن‌ها حل شود. با هم – در بخش دولتی و خصوصی – برای رسیدن به آن‌جا.

  • فرانسیس رز: خیلی سریع، برخی از این موانع چیست؟ شما پیش بینی می‌کنید که چه چیزی باشند؟

اد باریبال: من فکر می‌کنم اولاً فقط زیر سوال بردن فرضیات اساسی خودمان است. شما به بسیاری از کشورها نگاه می‌کنید و من فکر می‌کنم مردم به طور معمول می‌گویند: «اوه، خوب، کار در آن‌جا بسیار ارزان‌تر است.» این دیگر درست نیست بسیاری از کشورها که قبلاً کشورهای کم هزینه‌ای بودند – اگر به هزینه‌های کارگر کاملاً تخصیص یافته شده آن‌ها نگاه کنید، آن‌ها تفاوتی با ایالات متحده ندارند.

بنابراین من فکر می‌کنم ما فقط باید برخی از مفروضات اساسی که ممکن است مردم داشته باشند را زیر سال ببریم و مطمئن شویم که اطلاعات و حقایقی که ما از آن‌ها بهره می‌بریم به روز هستند. جهان بسیار سریع در حال تغییر است، بنابراین این یک پایه و اساس برای سیاست‌گذاری مناسب و هرگونه تصمیم گیری مناسب است.

اما از آن‌جا، من فکر می‌کنم این در مورد این است که بفهمد چگونه از این مزیت استفاده می‌کنیم – کلمه «صنعت 4.0» است – اساساً تمام تکنیک‌های جدید و پیشرفته تولید، از فناوری افزودنی گرفته تا ابزارهای مدیریت زنجیره تأمین بسیار بهتر، در این همه گیری، مردم در حال یافتن این موضوع هستند که به شما امکان می‌دهد در مورد آن‌چه اتفاق می‌افتد دید بیشتری داشته باشید و هنگام وقوع واکنش بیشتری نشان دهید. سرمایه گذاری در این ابزارها می‌تواند به پیشرفت بهره وری کمک کند و واقعاً به ایالات متحده کمک می‌کند تا از دیدگاه تولید مکانی رقابتی‌تر برای انجام تجارت باشد. من فکر می‌کنم این درمورد چگونگی سرمایه گذاری ما در این فناوری به عنوان یک کشور است – چگونه برخی از توانایی‌های تولیدی خود را در اینجا، موانع و مواردی که می‌توانیم عبور دهیم دوباره برقرار می‌کنیم. ما فقط باید بین دولت و صنعت جمع شویم.

فرانسیس رز: اد باریبال از مک کینزی و باب کولاسکی از CISA در وزارت امنیت داخلی، بسیار ممنون برای گفتگو. من از وقت امروز شما قدردانی می‌کنم.

باب کولاسکی: متشکرم، فرانسیس.

اد باریبال: با تشکر، فرانسیس؛ ممنون باب

https://www.mckinsey.com

آیا این نوشته برایتان مفید بود؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *