Keating說，因為沒有懲罰措施跟著。

不要把太多精力花在“量化風險評估”上，Peter Berlich建議，他是瑞士Birchtree咨詢公司的首席執行官。“大部分風險計算采用非常低的發生因子和較高的影響因子，這就使得統計結果存在巨大的不確定性。更重要的事是得到一個優先級順序，以此來進行安全的投資”。

Berlich繼續說，一定要選擇合適的關鍵績效指標（KPI）。例如：“在事件數量上設定目標會導致一個明顯的后果。那就是沒有任何事件被報告出來，但這并不意味著沒有發生”。

Keating說，我們應該鼓勵IT工作人員把風險管理者和內部審計人員當做潛在的朋友而不是敵人。與外部審計者不同，“他們收了錢來說你的壞話”，內部審計者“不是必須報告討論的全部內容”。此外，他還表示，他們是有一定影響力的。如果他們說有一個IT問題需要解決，而且需要投入額外的資金，董事會會關注和聽取的。

當然，獲得有效溝通是困難的。“IT主管通常不知道‘商業風險’這個行話，或者不知道怎樣與風險管理成員交流”，Keating指出，而許多風險管理者常常對技術感到恐懼。

但是，開放和信任的程度是成功企業風險管理策略關鍵的第一步。Keating說：“IT管理者應該樂于訪問風險管理辦公室，然后說，我們已經識別出了這一風險，有保險措施覆蓋這一風險嗎？”。或者相反地：“我們只是做了這項投資，這真的是我們的強項，我們需要對我們的客戶和投資者宣傳。”