实际上，Southernco公司还把它们的企业风险管理策略用作市场工具，他们把他们的风险管理策略展示给投资者，监管方和大客户，以此来证明“我们是非常安全可靠的，我们有一个非常低的风险评估预测”，他说。

　　整个一年中，Southernco公司子公司和职能部门的所有管理者们都明确了他们领域中的风险，并且对能做量化的高级别风险做了量化分析。然后该信息被反馈到了企业风险管理组，该企业风险管理组包括来自IT部门，财务部门和各业务单元的高级管理层。Perkins说，该风险管理组“从根源上”对数据进行了分析并按优先级排序，最终得出了“一整套公司风险预测”，该风险预测结果被商业领导者，董事会用来作为监督和治理的依据。

　　Michael Keating是Navigant咨询公司业务连续性管理的一位总裁，按照他的说法，跨不同集团的关联性对于企业风险管理策略的成功至关重要。例如：在评估某一特定系统宕机造成的影响时，财务管理者会关注于损失掉的利润；审计人员关注于公开暴露的信息；业务管理者关注于损失的生产力。每一个风险级别各自分别被评估为中等，但是“把这些风险放到一起来，风险级别就更高了”，Keating指出。

　　企业风险管理措施条款

　　在制定企业风险管理策略时，业务领导者和IT领导者必须拿出一个三到五年的计划，计划中要列出“你想达成什么目标，在达成目标的过程中会遇到什么样的阻碍”，Keating说。接下来，你应该对那些“阻碍点”按照它们是否是技术风险，市场相关风险和财务风险进行分组。“在很多情况下，把这些项作为一组放到一类里面，你可以获得附带的好处”——节省资金，他补充到。

　　只确定问责制是不够的：你必须把它落实。“我有个客户，他规定了数据保留和业务连续性的制度，但人们都不理会这些制度”，Keating说，因为没有惩罚措施跟着。

　　不要把太多精力花在“量化风险评估”上，Peter Berlich建议，他是瑞士Birchtree咨询公司的首席执行官。“大部分风险计算采用非常低的发生因子和较高的影响因子，这就使得统计结果存在巨大的不确定性。更重要的事是得到一个优先级顺序，以此来进行安全的投资”。

　　Berlich继续说，一定要选择合适的关键绩效指标（KPI）。例如：“在事件数量上设定目标会导致一个明显的后果。那就是没有任何事件被报告出来，但这并不意味着没有发生”。

　　Keating说，我们应该鼓励IT工作人员把风险管理者和内部审计人员当做潜在的朋友而不是敌人。与外部审计者不同，“他们收了钱来说你的坏话”，内部审计者“不是必须报告讨论的全部内容”。此外，他还表示，他们是有一定影响力的。如果他们说有一个IT问题需要解决，而且需要投入额外的资金，董事会会关注和听取的。

　　当然，获得有效沟通是困难的。“IT主管通常不知道‘商业风险’这个行话，或者不知道怎样与风险管理成员交流”，Keating指出，而许多风险管理者常常对技术感到恐惧。

　　但是，开放和信任的程度是成功企业风险管理策略关键的第一步。Keating说：“IT管理者应该乐于访问风险管理办公室，然后说，我们已经识别出了这一风险，有保险措施覆盖这一风险吗？”。或者相反地：“我们只是做了这项投资，这真的是我们的强项，我们需要对我们的客户和投资者宣传。”