摘要：企业通常是从上自下来定义业务风险，然后再确定其优先次序。风险主要来自日常业务职能的执行，它们包括管理现金、采购风险、帐号安全、信用风险、法律风险、市场集中风险、监管风险、竞争风险、声誉风险和操作风险。

　　最成功的企业会利用多个部门和职能的技能来定义和管理与使用IT资源有关的业务风险。更多利益相关者的参与能够帮助企业优先考虑外部压力、业务风险，确定与使用信息和IT资源有关的核心企业风险，并使用报告系统来更好地监控、管理和平衡政策、风险、异常和控制的平衡。
　　
　　关于IT控制和操作流程，业务风险最低的企业通常部署了几个独特的做法。几乎有四分之三的企业会定期对敏感信息资产进行分类，并根据对关键信息的访问权来确定IT资产，几乎有三分之二会对敏感信息的存储位置进行存档，检测或预防敏感信息的泄漏，并使用信息安全控制来保护敏感信息。
　　
　　此外，企业间选择评估的风险和控制比率也十分不同。风险和控制的评估的间隔时间以及运行时间都与最终结果有直接的关系，业务风险最低的企业部署了最频繁的风险和控制评估，并且在评估（每周到每两个月）间的运行之间也很短，而频率是每季度或者间隔更长的企业则风险最高。
　　
　　收集信息以及生成关于信息风险和控制的报告的自动化水平也同样与实现更好的结果有着直接关系。简单地说，表现最差的企业部署着最少的自动化程序，而表现最好的企业则部署了最多的自动化程序来收集信息和生成关于操作、财务、声誉和品牌风险的报告。
　　
　　业务风险最低的企业将围绕IT控制和企业流程的信息收集进行自动化处理，并且对业务风险和信息以及IT资源的使用生成报告。ITPolicyComplianceGroup发现，表现最好的企业中，80%的企业都将信息收集流程和生成（与使用信息和IT资产有关的）业务风险报告进行了自动化。
　　
　　在业务风险最低的企业，不仅具有更高度自动化的流程，而且还有更频繁的报告，关于业务影响摘要、异常报告、重点报告和基于web的仪表板。
　　
　　这些关于业务风险的企业报告主要根据优先次序、涉及的IT资产类型以及各种IT控制，特别是关于IT资产配置检查失败来标记和确定信息和系统完整中存在的不一致性。
　　
　　责任编辑：Alice