有效风险管理和利润率增长之间的关系

风险管理和利润率之间的关系不只是相关关系，确切地说，是因果关系。做好风险管理，可以实现更好的利润增长。

人人都知道IT部门是成本中心，但很多人不知道的是，认识和利用安全风险缓解和利润之间的联系可以创造利润率增长。

根据全球会计公司普华永道2015年4月的最新调查报告《风险调查：解码不确定性风险》显示，73%的受访高管认为风险在上升，只有12%的人算得上是成功的风险管理领导者。报告显示，在最近的三年时间里，这12%当中有41%的年利润增长率超过10%。由此可见，风险管理不只是降低风险，还可以放大净利润。

那么，风险和利润之间是什么样的关系呢?企业应该如何利用信息安全风险管理来提高利润率的增长呢?

风险管理和利润率增长的关系

信息安全风险会通过影响企业的声誉、股价以及有效运作能力来影响企业的利润率，优秀的风险管理者和管理方法可以对该影响进行反击，从而产生利润率的增长。

“有效的风险管理特别像是汽车的刹车。开得慢的时候用不着刹车，只有当你想在快速行驶中保持控制才用得着刹车。”例如银行就使用资本来保持控制。一些金融机构会预留资本以防范由于安全漏洞所带来的损失。

这些资本就是银行领域关于有效风险管理和利润增长之间的关系是直接因果关系的一个很好的例子。有了有效的风险管理，就可以腾出这些资本来用于业务;而缺少有效的风险管理，可用于业务的资本就会减少。

利用风险管理提高利润率增长

因为犯罪分子对公司的持续性渗透攻击，造成防护成本和事件响应成本的上升，网络风险如今已经成为运营风险的重要组成部分。而成本的上升就等于利润的下降。企业信息安全风险管理就意味着安全可操作化、减少损失和增加利润。

利用美国国家标准与技术研究院所(NIST)发布的最佳实践，或参照联邦金融机构检查委员会检查手册信息库，将风险管理用于利润增长，对风险进行隔离对于企业及垂直行业都有着特殊的意义。如果企业所在的行业中有一项公认的安全风险评估，那就要考虑使用它，或同时结合其他测试和评估。然后在利用风险管理来促进利润率增长的同时，要遵循以下这些指导意见。

首先，与灾难性网络入侵所产生的成本相比，安全风险管理所产生的成本是相当低的。

这一条是毋庸置疑的。因为人人都知道，现在每家公司都将最终难逃被网络犯罪分子渗透攻击的命运。攻击者们使用自动程序对互联网上的主机持续不断地进行着端口扫描以寻找漏洞，最终会发现企业系统中的漏洞并加以利用。企业必须同样将自动化安全作为风险管理的一部分，或者将安全规程简化到安全人员可以将一些任务安排给操作员进行完成。这就是安全可操作化，并且可以包括使用日志管理与安全信息和事件管理工具(SIEM)，让安全任务可以由专业人员进行操作。

有效的风险管理特别像是汽车的刹车。开得慢的时候用不着刹车，只有当你想在快速行驶中保持控制才用得着刹车。

从长远来看，企业需要采取足够的风险缓解技术并结合科技来应对那些对于企业来说比风险缓解技术成本更高的风险。数据泄露防护技术(DLP)就是技术解决方案一个很好的例子，与那些动辄造成数以百万计的隐私信息、个人身份信息、金融账户信息泄露的大规模数据泄露相比，还是要划算得多。

公司董事会必须决定何时风险的成本大于风险管理的成本，并通过相应的管理层进行网络安全部署。他们必须对收入和潜在利润率增长的减少了如指掌。

其次，风险的存在和变化就像不断蜕变成长的生物体。尤其是在企业采取行动之后风险所发生的变化。根据牛顿第三物理定律，企业每次采取行动，风险都会以相等且相反的反作用力做出响应。所以说风险是有着的动态特性的。

降低风险必须同样流畅、灵活和动态，以快速有效地响应信息风险事件。例如，要降低风险必须足够灵活，不管是什么样可能的漏洞，必须要先关闭漏洞，以确保不再发生更多的损失。

再次，风险像时间一样从不停留。随着网络风险事件的继续，由事件所造成的损失也在增加，而且许多网络犯罪倾向于将其攻击无限期延续下去，直到有人对其进行阻断。想要提高利润率的企业需要快速行动，尽快采取可靠的、有针对性的风险管理计划。

最后，要知道公司里有些风险都是人为造成的。他们才是真正的风险因素，并应该为风险负责。把他们找出来，然后看看采取什么措施可以减轻风险。公司要对这些人有所管控，并对他们不断进行考评。如果不能对他们进行有效管控，那就要加强管控力度。

可盈利的风险管理领导者

能够有效实施风险管理并将风险管理与业务节奏紧密结合的领导者，正是那些可创造更好利润率增长的人。这些领导者都有着某些特定的风险管理行为和特征。

他们尤其能对企业最初对信息安全风险所使用的简单汇总和分级的风险评估措施进行很好的扩展。进行风险评估后，这些领导者会将风险管理规程与规划流程的战略业务单元相结合。事实上，这些领导者应该由董事会发起，并且从管理层开始将安全责任贯彻到公司每个人身上。

这些领导者要对风险管理进行积极讨论，并结合运行中的每一项业务流程的预测，让风险管理变得异常透明和显而易见。

最后，风险永远不会消失，但从风险中遭受负面影响也并不是不可避免的通过将风险管理集成到业务生命周期并开发有效的策略，企业可以实现巨大的竞争优势。

作者：沉香玉

来源：51CTO