完成企業風險管理的六步驟
還在為企業風險管理煩惱嗎?下面就向大家介紹一下可以反映出ERM商業價值的簡單方法。
假設你的企業沒有一套正式的風險管理程序。如果你就職于大公司,或許ERM會令你望而生畏。
但如果你是在一個小公司,你又可能認為自己缺乏足夠的資源來推動這一程序。從COSO委員會的經驗來看,在進行ERM部署的時候要牢記以下幾點:
◆你要創建的是一個進程
◆這個進程可應用于策略設置
◆商業目標是最終目的
COSO委員會認為ERM的目標是要提供合理的保證以確保實體目標的實現。也就是說,是要保障企業的正常運行。而這應該是企業安全部門的目標,而且CEO必須了解這一目標。這也是為什么我們要在這里推薦COSO的ERM構想的原因。它與你所從事的業務進行溝通并幫助他們達成自己的目標。
下面就是一些有助于大家計劃和提煉出可應用于策略設置的進程。雖然它只是一個開始,但卻可以立刻產生效應。而它也可以匯聚更多支持。
此演練包含六個步驟。我們選擇內部調查作為第一個要應用這些步驟的商業活動。這六個步驟以COSO的ERM七要素為基礎。
步驟一:創建一個包含了各部門代表的工作組,這些部門涉及內部調查的各個方面。可能涉及人力資源、公司安全、信息安全、設備、財務和法律。
步驟二:開展頭腦風暴和情景模擬,設想出在內部調查中可能出現的風險。類似的事件還包括不同部門的信息泄露或者潛在的可疑入侵。
步驟三:依據可能性和影響為風險排序。在此,雖然這一步驟從公司和外部角度兩個方面來看都會促進新數據的收集,但也不需要做到精準。
步驟三:現在來看看控件和方案:列出已知控件。跨部門尋找冗余。頭腦風暴可以解決這些風險。在成本,難易程度和有效性的基礎上對新控件進行排序,尤其是注意哪些可以跨事件減少可能性和影響的控件。運氣好的話,公司或許會允許你購買新控件來減少已有控件的冗余。
步驟五:選擇合適的人,由他們負責執行每個具有高優先度的控件。
步驟六:創建一種衡量新控件效用的方法,還要找到一種能在工作團隊中,工作團隊以外都可以對衡量情況進行了解的方法。執行第六步的時候,不要過度正式。記住,客觀地運行業務。使內部調查在風險更低的前提下更為有效。
現在,可以在下面的領域中重復這六個步驟:
◆業務持續性和災難恢復
◆知識產權保護
◆品牌保護
顯然,以上每個領域可能需要的是不同的團隊來完成。
第五和第六步的可交付使用除了為每個領域創造特有商業價值,還可以為部門間的協作提供基礎。安全人員應該多與財務、營銷和其他團隊溝通,因為這樣提高公司的競爭力。
【編輯推薦】
