持续贯彻

　　风险管理委员会的职责重点在于3方面：风险管理的治理、风险管理的评估，以及对于运营和危机风险的管理。随着委员会成员之间富有建设性的、具有创意的对话逐步推进，新的动议必然会陆续出台。而所有这些动议几乎都可以被归纳到上述一个或多个方面中去。

　　这3个方面的初始规划应该同时进行，并在几个月之内付诸实施，同时规定一个最终期限。随后，还要密切监控实施的进程。

　　● 风险管理的管理。在制订委员会的使命宣言之前，企业必须建立一个较正式的监管机构，对责任和对话机制做出明确规定，不仅要界定每个成员的职责，还要激励他们共同施行，务必在规定期限内完成任务。

　　管理的重点应在于：敦促委员会采取实际行动，将责任落实到每个成员身上，并制订切实可行的政策，为目标的达成提供直接支持。但同时，委员会也应本着协同一致的原则，确保所有行动都获得全体成员的一致赞同，避免工作过于繁重或过于琐碎。因此，关键是既要采取积极恰当的行动，又要避免毫无成效的繁文缛节。管理机构应该定期做出调整，以确保有效支持委员会履行其使命。因此，这项工作应该由CXO级的高层经理人在互相合作的框架下进行监管。

　　● 风险管理的评估。这是一项持久而且多变的工作。每个关键部门的负责人都应该就他们关心的风险和安全问题列出清单，并描述这些问题对他们产生的影响。将这些清单汇总后，委员会要进行讨论、分析并制订所有部门共同关注的问题。

　　随后，我们应该对各部门高度关注的一些问题所造成的影响进行缜密的分析。最好能对企业的风险、威胁和弱点进行量化，也就是说，设法衡量出企业在这些问题上所消耗或浪费的时间、人力和物力。很快大家就都会明白，这并非简单的数据收集活动，而是另一种形式的分析，它能使我们更为深刻地理解与企业休戚相关的各项业务。

　　● 运营和危机风险管理。现有的运营部门应该担负起贯彻委员会政策的责任。这就是为什么在制订政策和评估风险的过程中，要让相关运营部门的主管参与进来的原因。不过，如果委员会在颁布政策时并未给予详细的指导，或者在行动上未能给予应有的支持，这种做法也是不公平的，而且最终也会证明是不明智的。在危机管理的前沿阵地，如果能够根据威胁、弱点和风险的变化情况，阶段性地对行动计划进行重新评估和协调，那么一些有害事件产生的负面影响就将大为减小。

　　委员会的危机管理计划应该有利于整个企业的发展，并充分反应出已经和正在出现的风险。

　　回顾历史教训，我们应该清醒地认识到，一份过时的风险管理计划无疑是毫无用处的。

　　对风险做出的定义只是一种理论上的理解。当风险体现在各类实际问题上时，这些问题可能是组织已经遇到过的，但也很可能是他们不太可能碰上的，这也就是为什么许多大型组织对风险管理漠不关心的原因之一。

切合实际

　　因此，我们有必要以高度切合实际的方式，将风险管理委员会的政策贯彻到日常运营中去。也就是说，我们应该以贴近实际工作的语言来传达委员会的方针，并针对潜在的问题采取及时的行动，这不仅是为了缓解风险，也是为了改善和提高当前行动的效果。

　　以我的经验看来，对于那些从某个部门的风险或安全分析中吸取的经验，你可以举一反三地推广到其他重要的业务部门中去。在这一过程中，你往往能意外地领悟到一些重要的规律，并且在你亲身经历潜在的挫折之前就吸取到必要的教训。

　　作者简介：

　　Howard A. Schmidt是R&H安全咨询公司（R&H Security Consulting LLC）的CEO，最近担任了美国电脑紧急应对团队（U.S. Computer Emergency Readiness Team，简称“US-CERT”）的CISO。这个机构是美国国土安全部（Homeland Security Department）下属国家网络安全办公室（National Cyber Security Division）的一个分支机构。