编者按：目前，企业对风险管理的理解和管理方式上还存在很多问题，他们必须采取协作战略来管理风险。

　　在许多组织中，对风险管理进行界定就好像是在做一次罗夏墨迹测验（编者按：Rorschach Test，这是一种古老的心理测验方法，根据被测试者对10幅墨迹图的描述来判断其性格的心理测试）。在定义和描述这一概念时，经理人往往对他们所关注的问题更为敏感，而他们就此问题所阐述的观点也充分反应出他们各自的专业特征、经历和关注焦点。

　　比如，财务人员关注的往往是资产负债表，业务经理更关心运营和工作流程的情况，律师们则将目光锁定在可能引发风险的合约和执行情况上，而留给首席信息官（CIO）们的职责就是：实时了解和把握对企业运营来说至关重要的信息资产，并找出其中是否存在致命的缺陷和不足。

　　简而言之，无论是在公共还是私营领域，许多主要企业内部都普遍存在这么一个问题：各部门在对风险的理解和管理方式上还存在很多漏洞，而且对风险的理解也过于狭隘。我相信，这种弊端迟早将招致重大风险。这一现象背后的原因很多，其中最重要的一个原因是：威胁企业利益的风险从本质上说跨越了多个业务部门和支持性部门。

　　比如，过去企业通常的做法是，CIO与安全经理一起，共同制订安全措施来缓和电脑病毒的侵害，并分头处理内部系统的权限控制和外部黑客的入侵。而现在，企业所面临的则是综合性的攻击方式——起先它只是以病毒的形式呈现，随后便利用网络社会工程技术策略，通过网络钓鱼的伎俩蒙蔽相关人员，从而盗取企业的关键资产。

　　这种新的风险所带来的后果也是多方面的。其中一个结果就是：由于价值链上各环节相互合作的趋势日益增强，因而，那些以往只能破坏一家企业的攻击行为，现在却可能激发连带效应，不但导致业务运作的中断，而且还会使受攻击的企业连同其在供应链上的关键合作伙伴一起，都遭受灾难性的经济损失。对于此类威胁，我们无法用纯粹的技术方案来解决。人们必须训练出高度的警惕性，拒绝向任何的未授权方提供敏感信息。在业务流程的发展过程中，企业必须尽可能提高对各种技术和社会学入侵手段的防范能力。由此可见，业务经理的参与对风险管理来说也是至关重要的。

　　另外要注意的是，在签订业务合同时，企业应该让重要的交易伙伴明确，他们不应该从事那些可能导致整个业务网络暴露于不必要的风险之下的活动。这就要求公司法律人员及时提供重要的信息。同时，在实施所有这些措施时，又一定要避免给企业实现关键目标的进程设立障碍。换句话说，有战略眼光的高层主管在给风险管理开“药方”时，不能使 “药方”本身的危害比他们所防范的风险还要大。