对于CIO和CSO们来说,除了帮助企业确定信息化实施的规范、流程以及相关技术,另一项重大的挑战在于对可能出现的风险做出准确的评估。不过,测定企业风险承受能力与企业内部管理政策息息相关,根据不同企业的实际需求,具体的执行办法也要做出相应调整。
在风险评估的过程中,CIO和CSO们一定要想清楚下面的问题:
◆如何确定一个企业的安全和风险标准?
◆如何制定有效的风险对策?
◆应该由谁来为企业的风险承担水平做出权威评定?
随着这三个问题的解决,企业风险承受能力的测定也就迎刃而解。
如何测定企业的风险承受能力
每个企业和机构都有自已的风险管理方法,有的风险用明文规定来规避,有的则靠员工自觉遵守来保障,而有一部分则是介于安全和风险之间的,因为争议所以很难明确规避。为了有效地界定安全和风险,CIO和CSO们首先需要明确本单位应该遵循哪种解决方案。
一个成熟的企业风险管理(简称ERM)方案一定包括严密的风险评估及管理流程和明确的风险应对政策,将安全隐患严格的分成不同的级别,将风险程度尽可能量化。即便如此,在企业中单纯的ERM方案也不能将风险彻底消除。
换句话说,如果采用非正式风险管理方法,将会让企业的安全管理陷入无据可查、无据可依的尴尬境地。高层管理者完全凭经验来判断企业的风险程度,决定风险应对策略会导致企业的安全管理流程无法统一,而因各异的审核标准引发更大的风险。
因此,为了将企业面临的风险降到***,风险管理事在必行,如何去做?《IT安全必须引入风险管理的四大理由》或许能给您更多启示。
企业风险评估的三个因素
即使是在ERM流程相当成熟的企业中,我们仍然很难有效推行风险管理机制。由于缺乏普遍通行的安全风险评估标准,企业和机构通常会利用以下三个因素作为衡量自身风险承受水平的依据:一、企业合规性检查;二、企业信息化发展程度;三、企业自身在行业中的竞争力。
由于不同的企业有不同的安全价值观,CEO甚至董事会必须在企业内部建立一套统一的风险评估模式,并通过执行过程中不断的调整使其满足企业自身的发展需求。
【贴士】什么是合规?
“合规”一词最早源于银行和证券等金融机构,从巴塞尔银行监管委员会关于合规风险的界定来看,银行的合规特指遵守法律、法规、监管规则或标准。现在也指企业经营行为应遵循法律法规、监管要求、市场规则、自律性组织制定的有关准则,以及适用于企业员工的内部行为守则。它们不仅包括那些具有法律约束力的文件,还应包括更广义上的诚实廉正和公平交易的行为准则,包括避免或减少利益冲突等问题、隐私、数据保护等方面的规定。
谁来评估风险?又该如何评估风险?
任何风险承受模式都应该包括三大关键因素,而名列首位的就是建立企业风险评估团队。
首先,评估团队需要具备制定安全风险决策的能力,而且其成员至少要达到董事会成员或者CEO级别。在理想情况下,CIO或CSO应该充当企业的***道安全防线,CEO或董事会成员则紧随其后。业务部门的管理者们应该只能在其管辖范围内制定安全决策,CFO也只需负责财务工作,而CIO或CSO则应在业务部门内拥有安全事务掌控权。
其次,将企业依业务部门划分为多个风险单元,先在单元内部进行自测。企业则从宏观角度判断风险是否源自某个单元,该风险是否会给整个企业或其它多个部门造成影响。
***,评估团队记录并上报争议问题的处理结果,帮助各个业务部门了解风险应该由谁以何种方式加以解决。记录内容应涵盖风险分类结论以及企业内部的职能权限。
总结:
一把手的大力支持是风险评估机制取得成功的***步。重要的是,我们必须为每位参与者分配适当的权限,只有这样他们才能获得准确可靠的安全风险评估结论。
每一位成功的CIO和CSO都必须为自身所在的单位制定切实可行的风险评估标准借以提高风险承受能力,同时更应该依靠自己的知识储备让单位风险承受能力成为企业价值观中不可或缺的一部分。
原文链接:http://www.csoonline.com/article/731833/three-simple-steps-to-determine-risk-tolerance-?page=1
