對于CIO和CSO們來說，除了幫助企業確定信息化實施的規范、流程以及相關技術，另一項重大的挑戰在于對可能出現的風險做出準確的評估。不過，測定企業風險承受能力與企業內部管理政策息息相關，根據不同企業的實際需求，具體的執行辦法也要做出相應調整。

在風險評估的過程中，CIO和CSO們一定要想清楚下面的問題：

◆如何確定一個企業的安全和風險標準?

◆如何制定有效的風險對策?

◆應該由誰來為企業的風險承擔水平做出權威評定?

隨著這三個問題的解決，企業風險承受能力的測定也就迎刃而解。

如何測定企業的風險承受能力

每個企業和機構都有自已的風險管理方法，有的風險用明文規定來規避，有的則靠員工自覺遵守來保障，而有一部分則是介于安全和風險之間的，因為爭議所以很難明確規避。為了有效地界定安全和風險，CIO和CSO們首先需要明確本單位應該遵循哪種解決方案。

一個成熟的企業風險管理(簡稱ERM)方案一定包括嚴密的風險評估及管理流程和明確的風險應對政策，將安全隱患嚴格的分成不同的級別，將風險程度盡可能量化。即便如此，在企業中單純的ERM方案也不能將風險徹底消除。

換句話說，如果采用非正式風險管理方法，將會讓企業的安全管理陷入無據可查、無據可依的尷尬境地。高層管理者完全憑經驗來判斷企業的風險程度，決定風險應對策略會導致企業的安全管理流程無法統一，而因各異的審核標準引發更大的風險。

因此，為了將企業面臨的風險降到***，風險管理事在必行，如何去做?《IT安全必須引入風險管理的四大理由》或許能給您更多啟示。

企業風險評估的三個因素

即使是在ERM流程相當成熟的企業中，我們仍然很難有效推行風險管理機制。由于缺乏普遍通行的安全風險評估標準，企業和機構通常會利用以下三個因素作為衡量自身風險承受水平的依據：一、企業合規性檢查;二、企業信息化發展程度;三、企業自身在行業中的競爭力。

由于不同的企業有不同的安全價值觀，CEO甚至董事會必須在企業內部建立一套統一的風險評估模式，并通過執行過程中不斷的調整使其滿足企業自身的發展需求。

【貼士】什么是合規?

“合規”一詞最早源于銀行和證券等金融機構，從巴塞爾銀行監管委員會關于合規風險的界定來看，銀行的合規特指遵守法律、法規、監管規則或標準。現在也指企業經營行為應遵循法律法規、監管要求、市場規則、自律性組織制定的有關準則，以及適用于企業員工的內部行為守則。它們不僅包括那些具有法律約束力的文件，還應包括更廣義上的誠實廉正和公平交易的行為準則，包括避免或減少利益沖突等問題、隱私、數據保護等方面的規定。

誰來評估風險?又該如何評估風險?

任何風險承受模式都應該包括三大關鍵因素，而名列首位的就是建立企業風險評估團隊。

首先，評估團隊需要具備制定安全風險決策的能力，而且其成員至少要達到董事會成員或者CEO級別。在理想情況下，CIO或CSO應該充當企業的***道安全防線，CEO或董事會成員則緊隨其后。業務部門的管理者們應該只能在其管轄范圍內制定安全決策，CFO也只需負責財務工作，而CIO或CSO則應在業務部門內擁有安全事務掌控權。

其次，將企業依業務部門劃分為多個風險單元，先在單元內部進行自測。企業則從宏觀角度判斷風險是否源自某個單元，該風險是否會給整個企業或其它多個部門造成影響。

***，評估團隊記錄并上報爭議問題的處理結果，幫助各個業務部門了解風險應該由誰以何種方式加以解決。記錄內容應涵蓋風險分類結論以及企業內部的職能權限。

總結:

一把手的大力支持是風險評估機制取得成功的***步。重要的是，我們必須為每位參與者分配適當的權限，只有這樣他們才能獲得準確可靠的安全風險評估結論。

每一位成功的CIO和CSO都必須為自身所在的單位制定切實可行的風險評估標準借以提高風險承受能力，同時更應該依靠自己的知識儲備讓單位風險承受能力成為企業價值觀中不可或缺的一部分。

原文鏈接：http://www.csoonline.com/article/731833/three-simple-steps-to-determine-risk-tolerance-?page=1