自动化带来更好的结果

　　收集信息以及生成关于信息风险和控制的报告的自动化水平也同样与实现更好的结果有着直接关系。简单地说，表现最差的企业部署着最少的自动化程序，而表现最好的企业则部署了最多的自动化程序来收集信息和生成关于操作、财务、声誉和品牌风险的报告。

　　业务风险最低的企业将围绕IT控制和企业流程的信息收集进行自动化处理，并且对业务风险和信息以及IT资源的使用生成报告。IT Policy Compliance Group发现，表现最好的企业中，80%的企业都将信息收集流程和生成(与使用信息和IT资产有关的)业务风险报告进行了自动化。

　　相比之下，丢失数据或者被盗数据最多的企业通常都是业务停机时间最长和最难维持审计结果的企业，通常他们只有11%到12%的信息收集和生成报告流程是自动化的。

　　利用有效的报告来显示风险情况

　　在业务风险最低的企业，不仅具有更高度自动化的流程，而且还有更频繁的报告，关于业务影响摘要、异常报告、重点报告和基于web的仪表板。

　　这些关于业务风险的企业报告主要根据优先次序、涉及的IT资产类型以及各种IT控制，特别是关于IT资产配置检查失败来标记和确定信息和系统完整中存在的不一致性。

　　他们还包括管理总结报告中的IT有效性指标，来显示IT服务水平的可用性、IT资产和信息的完整性、财务系统和信息的完整性、客户数据的完整性、敏感企业数据的完整性，以及审计和信息安全控制的完整性。

　　IT Policy Compliance Group的研究还显示，定期报告IT界互联网安全威胁变化以及对业务部门和职能部门的影响的企业能够获得更高的安全性。他们使用这些信息来预测业务风险和控制间的平衡，从而来管理风险和确定早期警告来将信息丢失、盗窃和业务停机时间到合理的和可管理的水平。

　　知道信息的去向能够更好地协助首席执行官、首席信息官、首席财务官、部门经理、业务部门经理、首席信息安全官、IT运营经理和涉及管理信息使用的业务风险的有关人员来进行决策，这与报告同意重要，能够为企业不同的决策者提供清晰明确的信息。Web数据表是管理业务风险最受欢迎的格式，因为它们能够提供这样的优势，例如根据颜色来分类风险等。

　　开始回答问题

　　没有快速准确判断企业信息风险的能力，很多企业会在事故发生后发现，风险状况以及信息安全方案和控制能够减轻风险。

　　很显然，能够在一天内回答“信息风险状况如何”的问题的8%的企业处理的方式完全不同，并且也得到了回报。这些企业有最高的业务服务水平，最低的(与使用信息和IT资产有关的)操作和财务风险，最低的数据丢失或盗窃率，最少的业务停机时间，因为IT很少出现故障，并且只需要花最少的开支来维持监管审计。

　　试图阻止员工和业务伙伴使用新型强大的客户设备是无望的，相反地，企业需要将重点放在确定风险上面，简历风险优先次序、自动化流程来收集信息和生成可用的报告，并且是能够向其他高级管理员说明问题的报告。