还在为企业风险管理烦恼吗？下面就向大家介绍一下可以反映出ERM商业价值的简单方法。

假设你的企业没有一套正式的风险管理程序。如果你就职于大公司，或许ERM会令你望而生畏。　　

但如果你是在一个小公司，你又可能认为自己缺乏足够的资源来推动这一程序。从COSO委员会的经验来看，在进行ERM部署的时候要牢记以下几点：

◆你要创建的是一个进程

◆这个进程可应用于策略设置

◆商业目标是最终目的　　

COSO委员会认为ERM的目标是要提供合理的保证以确保实体目标的实现。也就是说，是要保障企业的正常运行。而这应该是企业安全部门的目标，而且CEO必须了解这一目标。这也是为什么我们要在这里推荐COSO的ERM构想的原因。它与你所从事的业务进行沟通并帮助他们达成自己的目标。

下面就是一些有助于大家计划和提炼出可应用于策略设置的进程。虽然它只是一个开始，但却可以立刻产生效应。而它也可以汇聚更多支持。

此演练包含六个步骤。我们选择内部调查作为第一个要应用这些步骤的商业活动。这六个步骤以COSO的ERM七要素为基础。

步骤一：创建一个包含了各部门代表的工作组，这些部门涉及内部调查的各个方面。可能涉及人力资源、公司安全、信息安全、设备、财务和法律。

步骤二：开展头脑风暴和情景模拟，设想出在内部调查中可能出现的风险。类似的事件还包括不同部门的信息泄露或者潜在的可疑入侵。

步骤三：依据可能性和影响为风险排序。在此，虽然这一步骤从公司和外部角度两个方面来看都会促进新数据的收集，但也不需要做到精准。

步骤三：现在来看看控件和方案：列出已知控件。跨部门寻找冗余。头脑风暴可以解决这些风险。在成本，难易程度和有效性的基础上对新控件进行排序，尤其是注意哪些可以跨事件减少可能性和影响的控件。运气好的话，公司或许会允许你购买新控件来减少已有控件的冗余。

步骤五：选择合适的人，由他们负责执行每个具有高优先度的控件。

步骤六：创建一种衡量新控件效用的方法，还要找到一种能在工作团队中，工作团队以外都可以对衡量情况进行了解的方法。执行第六步的时候，不要过度正式。记住，客观地运行业务。使内部调查在风险更低的前提下更为有效。

现在，可以在下面的领域中重复这六个步骤：

◆业务持续性和灾难恢复

◆知识产权保护

◆品牌保护　　

显然，以上每个领域可能需要的是不同的团队来完成。

第五和第六步的可交付使用除了为每个领域创造特有商业价值，还可以为部门间的协作提供基础。安全人员应该多与财务、营销和其他团队沟通，因为这样提高公司的竞争力。

【编辑推荐】

1. 如何简化企业信息安全风险评估工作
2. 如何制定安全风险管理计划