對于CIO和CSO們來說，除了幫助企業(yè)確定信息化實施的規(guī)范、流程以及相關(guān)技術(shù)，另一項重大的挑戰(zhàn)在于對可能出現(xiàn)的風險做出準確的評估。不過，測定企業(yè)風險承受能力與企業(yè)內(nèi)部管理政策息息相關(guān)，根據(jù)不同企業(yè)的實際需求，具體的執(zhí)行辦法也要做出相應(yīng)調(diào)整。

在風險評估的過程中，CIO和CSO們一定要想清楚下面的問題：

◆如何確定一個企業(yè)的安全和風險標準?

◆如何制定有效的風險對策?

◆應(yīng)該由誰來為企業(yè)的風險承擔水平做出權(quán)威評定?

隨著這三個問題的解決，企業(yè)風險承受能力的測定也就迎刃而解。

如何測定企業(yè)的風險承受能力

每個企業(yè)和機構(gòu)都有自已的風險管理方法，有的風險用明文規(guī)定來規(guī)避，有的則靠員工自覺遵守來保障，而有一部分則是介于安全和風險之間的，因為爭議所以很難明確規(guī)避。為了有效地界定安全和風險，CIO和CSO們首先需要明確本單位應(yīng)該遵循哪種解決方案。

一個成熟的企業(yè)風險管理(簡稱ERM)方案一定包括嚴密的風險評估及管理流程和明確的風險應(yīng)對政策，將安全隱患嚴格的分成不同的級別，將風險程度盡可能量化。即便如此，在企業(yè)中單純的ERM方案也不能將風險徹底消除。

換句話說，如果采用非正式風險管理方法，將會讓企業(yè)的安全管理陷入無據(jù)可查、無據(jù)可依的尷尬境地。高層管理者完全憑經(jīng)驗來判斷企業(yè)的風險程度，決定風險應(yīng)對策略會導(dǎo)致企業(yè)的安全管理流程無法統(tǒng)一，而因各異的審核標準引發(fā)更大的風險。

因此，為了將企業(yè)面臨的風險降到***，風險管理事在必行，如何去做?《IT安全必須引入風險管理的四大理由》或許能給您更多啟示。

企業(yè)風險評估的三個因素

即使是在ERM流程相當成熟的企業(yè)中，我們?nèi)匀缓茈y有效推行風險管理機制。由于缺乏普遍通行的安全風險評估標準，企業(yè)和機構(gòu)通常會利用以下三個因素作為衡量自身風險承受水平的依據(jù)：一、企業(yè)合規(guī)性檢查;二、企業(yè)信息化發(fā)展程度;三、企業(yè)自身在行業(yè)中的競爭力。

由于不同的企業(yè)有不同的安全價值觀，CEO甚至董事會必須在企業(yè)內(nèi)部建立一套統(tǒng)一的風險評估模式，并通過執(zhí)行過程中不斷的調(diào)整使其滿足企業(yè)自身的發(fā)展需求。

【貼士】什么是合規(guī)?

“合規(guī)”一詞最早源于銀行和證券等金融機構(gòu)，從巴塞爾銀行監(jiān)管委員會關(guān)于合規(guī)風險的界定來看，銀行的合規(guī)特指遵守法律、法規(guī)、監(jiān)管規(guī)則或標準。現(xiàn)在也指企業(yè)經(jīng)營行為應(yīng)遵循法律法規(guī)、監(jiān)管要求、市場規(guī)則、自律性組織制定的有關(guān)準則，以及適用于企業(yè)員工的內(nèi)部行為守則。它們不僅包括那些具有法律約束力的文件，還應(yīng)包括更廣義上的誠實廉正和公平交易的行為準則，包括避免或減少利益沖突等問題、隱私、數(shù)據(jù)保護等方面的規(guī)定。

誰來評估風險?又該如何評估風險?

任何風險承受模式都應(yīng)該包括三大關(guān)鍵因素，而名列首位的就是建立企業(yè)風險評估團隊。

首先，評估團隊需要具備制定安全風險決策的能力，而且其成員至少要達到董事會成員或者CEO級別。在理想情況下，CIO或CSO應(yīng)該充當企業(yè)的***道安全防線，CEO或董事會成員則緊隨其后。業(yè)務(wù)部門的管理者們應(yīng)該只能在其管轄范圍內(nèi)制定安全決策，CFO也只需負責財務(wù)工作，而CIO或CSO則應(yīng)在業(yè)務(wù)部門內(nèi)擁有安全事務(wù)掌控權(quán)。

其次，將企業(yè)依業(yè)務(wù)部門劃分為多個風險單元，先在單元內(nèi)部進行自測。企業(yè)則從宏觀角度判斷風險是否源自某個單元，該風險是否會給整個企業(yè)或其它多個部門造成影響。

***，評估團隊記錄并上報爭議問題的處理結(jié)果，幫助各個業(yè)務(wù)部門了解風險應(yīng)該由誰以何種方式加以解決。記錄內(nèi)容應(yīng)涵蓋風險分類結(jié)論以及企業(yè)內(nèi)部的職能權(quán)限。

總結(jié):

一把手的大力支持是風險評估機制取得成功的***步。重要的是，我們必須為每位參與者分配適當?shù)臋?quán)限，只有這樣他們才能獲得準確可靠的安全風險評估結(jié)論。

每一位成功的CIO和CSO都必須為自身所在的單位制定切實可行的風險評估標準借以提高風險承受能力，同時更應(yīng)該依靠自己的知識儲備讓單位風險承受能力成為企業(yè)價值觀中不可或缺的一部分。

原文鏈接：http://www.csoonline.com/article/731833/three-simple-steps-to-determine-risk-tolerance-?page=1