還在為企業(yè)風(fēng)險(xiǎn)管理煩惱嗎？下面就向大家介紹一下可以反映出ERM商業(yè)價(jià)值的簡(jiǎn)單方法。

假設(shè)你的企業(yè)沒有一套正式的風(fēng)險(xiǎn)管理程序。如果你就職于大公司，或許ERM會(huì)令你望而生畏?！　?/P>

但如果你是在一個(gè)小公司，你又可能認(rèn)為自己缺乏足夠的資源來推動(dòng)這一程序。從COSO委員會(huì)的經(jīng)驗(yàn)來看，在進(jìn)行ERM部署的時(shí)候要牢記以下幾點(diǎn)：

◆你要?jiǎng)?chuàng)建的是一個(gè)進(jìn)程

◆這個(gè)進(jìn)程可應(yīng)用于策略設(shè)置

◆商業(yè)目標(biāo)是最終目的　　

COSO委員會(huì)認(rèn)為ERM的目標(biāo)是要提供合理的保證以確保實(shí)體目標(biāo)的實(shí)現(xiàn)。也就是說，是要保障企業(yè)的正常運(yùn)行。而這應(yīng)該是企業(yè)安全部門的目標(biāo)，而且CEO必須了解這一目標(biāo)。這也是為什么我們要在這里推薦COSO的ERM構(gòu)想的原因。它與你所從事的業(yè)務(wù)進(jìn)行溝通并幫助他們達(dá)成自己的目標(biāo)。

下面就是一些有助于大家計(jì)劃和提煉出可應(yīng)用于策略設(shè)置的進(jìn)程。雖然它只是一個(gè)開始，但卻可以立刻產(chǎn)生效應(yīng)。而它也可以匯聚更多支持。

此演練包含六個(gè)步驟。我們選擇內(nèi)部調(diào)查作為第一個(gè)要應(yīng)用這些步驟的商業(yè)活動(dòng)。這六個(gè)步驟以COSO的ERM七要素為基礎(chǔ)。

步驟一：創(chuàng)建一個(gè)包含了各部門代表的工作組，這些部門涉及內(nèi)部調(diào)查的各個(gè)方面。可能涉及人力資源、公司安全、信息安全、設(shè)備、財(cái)務(wù)和法律。

步驟二：開展頭腦風(fēng)暴和情景模擬，設(shè)想出在內(nèi)部調(diào)查中可能出現(xiàn)的風(fēng)險(xiǎn)。類似的事件還包括不同部門的信息泄露或者潛在的可疑入侵。

步驟三：依據(jù)可能性和影響為風(fēng)險(xiǎn)排序。在此，雖然這一步驟從公司和外部角度兩個(gè)方面來看都會(huì)促進(jìn)新數(shù)據(jù)的收集，但也不需要做到精準(zhǔn)。

步驟三：現(xiàn)在來看看控件和方案：列出已知控件?？绮块T尋找冗余。頭腦風(fēng)暴可以解決這些風(fēng)險(xiǎn)。在成本，難易程度和有效性的基礎(chǔ)上對(duì)新控件進(jìn)行排序，尤其是注意哪些可以跨事件減少可能性和影響的控件。運(yùn)氣好的話，公司或許會(huì)允許你購買新控件來減少已有控件的冗余。

步驟五：選擇合適的人，由他們負(fù)責(zé)執(zhí)行每個(gè)具有高優(yōu)先度的控件。

步驟六：創(chuàng)建一種衡量新控件效用的方法，還要找到一種能在工作團(tuán)隊(duì)中，工作團(tuán)隊(duì)以外都可以對(duì)衡量情況進(jìn)行了解的方法。執(zhí)行第六步的時(shí)候，不要過度正式。記住，客觀地運(yùn)行業(yè)務(wù)。使內(nèi)部調(diào)查在風(fēng)險(xiǎn)更低的前提下更為有效。

現(xiàn)在，可以在下面的領(lǐng)域中重復(fù)這六個(gè)步驟：

◆業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)

◆知識(shí)產(chǎn)權(quán)保護(hù)

◆品牌保護(hù)　　

顯然，以上每個(gè)領(lǐng)域可能需要的是不同的團(tuán)隊(duì)來完成。

第五和第六步的可交付使用除了為每個(gè)領(lǐng)域創(chuàng)造特有商業(yè)價(jià)值，還可以為部門間的協(xié)作提供基礎(chǔ)。安全人員應(yīng)該多與財(cái)務(wù)、營銷和其他團(tuán)隊(duì)溝通，因?yàn)檫@樣提高公司的競(jìng)爭(zhēng)力。

【編輯推薦】

1. 如何簡(jiǎn)化企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估工作
2. 如何制定安全風(fēng)險(xiǎn)管理計(jì)劃