埃里克·考珀斯怀特(Eric Cowperthwaite):点点滴滴

Providence Health and Services的CISO缩小了组织差距以创造远见(CSO Compass Awards 2012)

企业经常将风险和安全工作划分在多个业务部门之间,或者将其特定于某个特定的地点或活动类型:电子与物理分离,金融与分离。但是,将它们分开放置,就无法理解一种风险如何影响和加剧许多其他风险。这就是Providence Health and Services的CISO Eric Cowperthwaite最关心的问题。

2012年CSO指南针奖获奖者

今年的CSO罗盘奖获奖者指出了通往更具包容性和更精确的风险管理的道路

Cowperthwaite一直监督Providence创建企业范围风险管理的动力。他希望缩小差距,使问题被忽略,这很可能是因为没人在看整个情况。

[阅读有关Providence Health的方法的更多信息, 风险回报:企业风险管理的组织模型]

他说:“我们的目标是在危害组织之前就看到它。” Cowperthwaite希望防止发生雷曼兄弟破产后发生的事情,而公司不知道由此导致的风险有多大。

“一个人看不见所有东西。当人们在2008年看不到它时,我们将如何知道我们面临着哪些巨大的重大风险?”

Cowperthwaite与Providence的首席风险官以及审计,合规,隐私,保险和安全部门的负责人合作,制定并实施了一项 企业风险管理 服务组。

这个新组织的建立是根据业务的实际运作方式,而不是根据如何划分安全性的一些继承性想法。 他说:“这是一群对企业风险管理需求非常有信心的人的愿景。”

这并不是说他不理解对特定类型专业知识的需求。他说:“我们想分享我们的知识。” “我们知道,让技术人员向仅分析风险的人进行报告是没有意义的,就像让人们对技术人员进行风险报告的分析没有意义。”

将所有这些人聚集在一个组织机构的顶层,这意味着通过了解其潜在的财务影响,可以更轻松地查看拒绝服务攻击是否实际上是另一种更大威胁的一部分。该策略还使创建一个模型来定义和衡量Providence的固有,可管理和残余风险成为可能。

将安全和风险功能相结合,提高了他们的形象,并使整个组织更清楚什么是风险。反过来,这又使人们更好地了解了真正造成普罗维登斯(Providence)风险的原因,普罗维登斯是一家非营利组织,在五个州设有27家医院,214个医师诊所,高级服务等。

Cowperthwaite说:“我们确实在风险管理的人为方面开展了工作。” “我们不仅问最高的五位高管他们看到了什么风险,还问了最高的150位高管,'你面临什么风险?'”

医疗改革就是一个很好的例子。从历史上看,普罗维登斯(Providence)曾将其视为风险–不是因为它的好坏,而是因为它引起了变化。

他说:“通过与所有这些人交谈,我们发现风险不是医疗保健改革,而是我们需要因此而改变的事情。”

“了解这一点使我们将这些变更所带来的风险降至最低。”

版权© 2012 IDG通讯,Inc.