還在為企業(yè)風(fēng)險管理煩惱嗎？下面就向大家介紹一下可以反映出ERM商業(yè)價值的簡單方法。

假設(shè)你的企業(yè)沒有一套正式的風(fēng)險管理程序。如果你就職于大公司，或許ERM會令你望而生畏?！　?/P>

但如果你是在一個小公司，你又可能認為自己缺乏足夠的資源來推動這一程序。從COSO委員會的經(jīng)驗來看，在進行ERM部署的時候要牢記以下幾點：

◆你要創(chuàng)建的是一個進程

◆這個進程可應(yīng)用于策略設(shè)置

◆商業(yè)目標(biāo)是最終目的　　

COSO委員會認為ERM的目標(biāo)是要提供合理的保證以確保實體目標(biāo)的實現(xiàn)。也就是說，是要保障企業(yè)的正常運行。而這應(yīng)該是企業(yè)安全部門的目標(biāo)，而且CEO必須了解這一目標(biāo)。這也是為什么我們要在這里推薦COSO的ERM構(gòu)想的原因。它與你所從事的業(yè)務(wù)進行溝通并幫助他們達成自己的目標(biāo)。

下面就是一些有助于大家計劃和提煉出可應(yīng)用于策略設(shè)置的進程。雖然它只是一個開始，但卻可以立刻產(chǎn)生效應(yīng)。而它也可以匯聚更多支持。

此演練包含六個步驟。我們選擇內(nèi)部調(diào)查作為第一個要應(yīng)用這些步驟的商業(yè)活動。這六個步驟以COSO的ERM七要素為基礎(chǔ)。

步驟一：創(chuàng)建一個包含了各部門代表的工作組，這些部門涉及內(nèi)部調(diào)查的各個方面?？赡苌婕叭肆Y源、公司安全、信息安全、設(shè)備、財務(wù)和法律。

步驟二：開展頭腦風(fēng)暴和情景模擬，設(shè)想出在內(nèi)部調(diào)查中可能出現(xiàn)的風(fēng)險。類似的事件還包括不同部門的信息泄露或者潛在的可疑入侵。

步驟三：依據(jù)可能性和影響為風(fēng)險排序。在此，雖然這一步驟從公司和外部角度兩個方面來看都會促進新數(shù)據(jù)的收集，但也不需要做到精準(zhǔn)。

步驟三：現(xiàn)在來看看控件和方案：列出已知控件?？绮块T尋找冗余。頭腦風(fēng)暴可以解決這些風(fēng)險。在成本，難易程度和有效性的基礎(chǔ)上對新控件進行排序，尤其是注意哪些可以跨事件減少可能性和影響的控件。運氣好的話，公司或許會允許你購買新控件來減少已有控件的冗余。

步驟五：選擇合適的人，由他們負責(zé)執(zhí)行每個具有高優(yōu)先度的控件。

步驟六：創(chuàng)建一種衡量新控件效用的方法，還要找到一種能在工作團隊中，工作團隊以外都可以對衡量情況進行了解的方法。執(zhí)行第六步的時候，不要過度正式。記住，客觀地運行業(yè)務(wù)。使內(nèi)部調(diào)查在風(fēng)險更低的前提下更為有效。

現(xiàn)在，可以在下面的領(lǐng)域中重復(fù)這六個步驟：

◆業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)

◆知識產(chǎn)權(quán)保護

◆品牌保護　　

顯然，以上每個領(lǐng)域可能需要的是不同的團隊來完成。

第五和第六步的可交付使用除了為每個領(lǐng)域創(chuàng)造特有商業(yè)價值，還可以為部門間的協(xié)作提供基礎(chǔ)。安全人員應(yīng)該多與財務(wù)、營銷和其他團隊溝通，因為這樣提高公司的競爭力。

【編輯推薦】

1. 如何簡化企業(yè)信息安全風(fēng)險評估工作
2. 如何制定安全風(fēng)險管理計劃