企业风险管理行为条例

　　在制定ERM策略的时候，业务和IT的负责人需要有一个三到五年的规划，Keatins说需要列出“想要达到的目的以及达到目的需要做什么”。下一步，你应该根据他们是否是与技术、市场还是金融风险相关，对那些“干扰点”进行分组。“在很多情况下，你可以获得相关的收益”，并节省资金，他补充说，可以在一个组中解决一个类别中的所有项目实现。

　　明确责任还不够：你必须要实施。Keating说：“我曾经遇到过这样的客户，他制定了数据维护和业务连续性策略，但是大家都忽略了”，因为没有相应的惩罚措施。

　　Birchtree Consulting的CEO Peter Berlich说：“不要太注重“量化风险评估。大部分的风险预测的发生率很低，而影响狠打，这就导致巨大统计的不确定性。形成一个优先顺序非常重要，使用这个优先顺序，九可以确定安全投入。”

　　Berlich还说，要确保选择了正确的关键性能指示物。例如，“设定事故数量的目标就会得到明显的结果，显示没有事故报告，而不是没有发生。”

　　IT员工应该被鼓励把风险经理和内部审计员作为潜在的支持者，而不是敌人。Keating说，和外部的审计员（付钱给他们让他们说你企业的威胁）不同，而内部的审计员“不需要把讨论到的一切都报告。”他还进一步说，他们很有影响力。如果他们说有一个IT问题需要解决，而且需要额外的资金，董事会就会听从。

　　当然，这种有意义的对话非常难。Keating指出“IT高管通常不知道（业务风险的）行话，也不知道如何与风险管理人员谈话。”而很多风险经理都被技术吓怕了。

　　但是这种层面的开放和信任是成功ERP策略的关键的第一步，不只是在配置中，也在使用和有效的风险减轻的时候。Keating说：“IT高管应该很乐意给风险管理办公室打电话说‘我们已经确定了这种风险，又没有这种风险的保险产品？’”或者相反，“‘我们已经做了这项投入了，而且这是我们的强项，我们需要向我们的客户和投资人推广它。’”