Keating說，因為沒有懲罰措施跟著。

不要把太多精力花在“量化風險評估”上，Peter Berlich建議，他是瑞士Birchtree咨詢公司的首席執(zhí)行官。“大部分風險計算采用非常低的發(fā)生因子和較高的影響因子，這就使得統(tǒng)計結(jié)果存在巨大的不確定性。更重要的事是得到一個優(yōu)先級順序，以此來進行安全的投資”。

Berlich繼續(xù)說，一定要選擇合適的關(guān)鍵績效指標（KPI）。例如：“在事件數(shù)量上設(shè)定目標會導致一個明顯的后果。那就是沒有任何事件被報告出來，但這并不意味著沒有發(fā)生”。

Keating說，我們應該鼓勵I(lǐng)T工作人員把風險管理者和內(nèi)部審計人員當做潛在的朋友而不是敵人。與外部審計者不同，“他們收了錢來說你的壞話”，內(nèi)部審計者“不是必須報告討論的全部內(nèi)容”。此外，他還表示，他們是有一定影響力的。如果他們說有一個IT問題需要解決，而且需要投入額外的資金，董事會會關(guān)注和聽取的。

當然，獲得有效溝通是困難的。“IT主管通常不知道‘商業(yè)風險’這個行話，或者不知道怎樣與風險管理成員交流”，Keating指出，而許多風險管理者常常對技術(shù)感到恐懼。

但是，開放和信任的程度是成功企業(yè)風險管理策略關(guān)鍵的第一步。Keating說：“IT管理者應該樂于訪問風險管理辦公室，然后說，我們已經(jīng)識別出了這一風險，有保險措施覆蓋這一風險嗎？”。或者相反地：“我們只是做了這項投資，這真的是我們的強項，我們需要對我們的客戶和投資者宣傳。”