企业风险管理对投资回报的贡献

Keating说，因为没有惩罚措施跟着。

不要把太多精力花在“量化风险评估”上，Peter Berlich建议，他是瑞士Birchtree咨询公司的首席执行官。“大部分风险计算采用非常低的发生因子和较高的影响因子，这就使得统计结果存在巨大的不确定性。更重要的事是得到一个优先级顺序，以此来进行安全的投资”。

Berlich继续说，一定要选择合适的关键绩效指标（KPI）。例如：“在事件数量上设定目标会导致一个明显的后果。那就是没有任何事件被报告出来，但这并不意味着没有发生”。

Keating说，我们应该鼓励IT工作人员把风险管理者和内部审计人员当做潜在的朋友而不是敌人。与外部审计者不同，“他们收了钱来说你的坏话”，内部审计者“不是必须报告讨论的全部内容”。此外，他还表示，他们是有一定影响力的。如果他们说有一个IT问题需要解决，而且需要投入额外的资金，董事会会关注和听取的。

当然，获得有效沟通是困难的。“IT主管通常不知道‘商业风险’这个行话，或者不知道怎样与风险管理成员交流”，Keating指出，而许多风险管理者常常对技术感到恐惧。

但是，开放和信任的程度是成功企业风险管理策略关键的第一步。Keating说：“IT管理者应该乐于访问风险管理办公室，然后说，我们已经识别出了这一风险，有保险措施覆盖这一风险吗？”。或者相反地：“我们只是做了这项投资，这真的是我们的强项，我们需要对我们的客户和投资者宣传。”