组织跟踪风险是有充分理由的. 风险是衡量不确定性影响的一种方式, 以及由此带来的机会和潜在的陷阱. 当风险被测量时, 这是可以控制的, 积极管理风险的组织更容易取得成功, 今天和将来.
那么,为什么风险评估常常看起来只是另一种“打勾”的活动呢? 如果风险评估如此重要, 为什么组织中有这么多人(包括高层领导)在没有考虑他们自己的评估过程的情况下做出决定?
部分答案在于展示. 风险评估的结果往往以遵从性的方式显示, 在“足够好”的背景下,突出不足的地方,引起人们的注意.“这是故意的。, 因为可接受风险的定义确实是“足够好”,而不是理想的. 然而, 当从遵从性角度进行风险评估时, 它倾向于低估有机会的领域,而强调需要改进的领域. 相比之下,战略决策往往基于对增长价值的感知. 由此产生的不一致可能使风险评估看起来更像是审计, 一个旨在突出缺点的回溯性指标.
语言差异也在边缘化风险评估中发挥了作用. 许多组织在信息技术环境中评估脆弱性, IT倾向于使用不同于商业领袖青睐的语言和衡量标准. 即使IT已经从支持角色转变为支持业务的中心功能, 它的普通员工往往是“技术人员”,他们认为每一个漏洞都是可以修复的. 成本效益分析可能没有考虑到他们的参与程度.
风险实践者有时会通过他们在创建工作产品时所做的选择来降低他们自己的工作产品的价值. 高管们从货币的角度来看待运营——利润和亏损, 或者至少是偿付能力——并且可以很容易地使用以金钱为报告基础的指标. 相比之下,大多数风险评估是定性的或半定量的. 这些方法固有地比基于定量数据的评估更具主观性, 而且很难在组织的不同层次之间转换结果. 哪些对部门经理来说是“高风险”,而对首席执行官来说却不那么重要. 人们认识到这一点,并相应地限制他们的依赖. 评估最终是为了评估本身而进行的, 当组织本能地前进时,结果被写进风险记录(通常是由唯一知道在哪里找到风险记录的人写的), 没有评估过程的好处来指导决策.
事情并不一定是这样的. 而不是把风险评估当成是为了自身利益而做的事情, 风险实践者可以根据有用的结果来设计和实现他们的过程. 尽可能花时间收集定量数据. 哪些地方必须使用主观排名, 明确定义它们的阈值,以便任何受众都能理解它们的含义. 避免在半定量排名中使用公式, 因为应用数学的影响往往与这些排名的起源大相径庭. 将技术语言与标准业务词汇协调起来, 并使用商业语言来展示结果.
当您看到为您的组织制定战略决策的人员咨询您的风险评估结果以告知他们的选择时, 你会知道你做对了.
编者按: 有关此主题的更多见解,请下载ISACA的 进行资讯科技保安风险评估 白皮书.