所有的风险系统是围绕着不断改善这个想法建立的，包括合规遵从规划。

　　如果一切都顺利的话，企业建立和管理规划来确保他们完全地遵从策略、流程、规划、法律、法规等等。但是合规经理们意识到，尽管他们的出发点很好，事情有时也不会按计划进行。在成熟的组织内，对于发生了什么错误以及为什么发生的了解，为组织提供了完善他们计划的绝好机会。

　　为了从突发事件中吸取教训，公司必须能够开诚布公地讨论关键的问题，“为什么那件事会发生？”和“对于那件事情我们该做什么”。这个关于常规性流程失败的谈话足以让人感到尴尬，也许会损失一些金钱或是给一些顾客带来不便。当涉及到数据安全问题时，紧张程度往往呈指数级增长。

　　数据安全与其他大多数业务风险略有不同，安全和合规团队正努力管理以达到“零事件发生”（换句话说，数据泄漏是不可接受的结果并且绝对不能发生）。理智上我们知道那（数据泄漏）是可能的，但是当事情发生时人们往往想尽可能快地处理掉它并且继续前行。同样的规则也会适用于其他所有业务故障，但是如果合规规划参与者没有从他们的错误中吸取教训，这个规划永远不会变得更好。对于组织的风险管理和合规规划来说，没有比同一件事情发生两次更难堪的了。

　　坦率地说，许多组织对发生的故障保持缄默，以避免尴尬、职责或法律责任。那些明显成熟的组织（以及管理团队）意识到，如果没有从错误中学习到的数据和教训，那就不是真正意义上的管理风险、而只是管理事件。

　　构建合规遵从文化：实际学习中

　　一旦辨识出突发事件，合规遵从团队必须先回答四个关键的问题，从而回到一个稳定状态。

• 发生了什么事情？这要求公正地分析到底发生了什么问题。
• 这件事情意味着什么？接下来从财务、业务、名誉和监管暴露方面分析对组织的可能影响。在初期进行估计，然后随着更多的信息可用时进行调整。
• 这个事件还在发生么？是否数据仍然在泄漏？如果是这样的话，现在需要做什么来补救问题？
• 必须做什么来让一切回到正规？需要采取什么恢复步骤来解决客户数据泄漏，通知监管机构、管理媒体的询问等等？

　　这样，事情应该明朗了，这个过程基本上集中于事故响应和破坏控制，但是到目前为止这些措施并不能告诉我们为什么事件会发生、以及它如何体现了组织的风险概况。一旦事件处理完成，然后就可以开始真正有价值的工作了（很不幸的是，一些组织在这里戛然而止）。

　　构建合规遵从文化：再走一里路

　　一旦问题解决，随后的问题就是：

• 与故障有关的控制问题是：

　　1.控制缺失？完全不存在控制措施。
　　2.控制不充分？问题的风险或是结果被低估或是误解。
　　3.控制是多余的？预期的损失少于合适的控制成本。
　　4.控制执行失败？正确地设计了控制措施，但就是没有遵守。

• 是否有到位的机制来充分地识别事件并对其做出响应？
• 假定有关于事件的新信息、需要的效果和恢复尝试，这会如何影响组织理解它的风险和相关控制措施的？对风险概况的新认识是否影响特定的合规遵从要求？
• 接下来是价值百万美元的问题：我们有什么需要改变？

　　当分析完成、弄明白需要改变什么（如果有的话）后，行动起来！如果在经历了所有这些工作后没人接棒继续前行（无论是推理或体制上的障碍），没有比这更会扼杀人们对分析过程的重视了。

　　从长远来看，另一个关键的因素就是记录、记录、再记录。没有记录的话，组织永远无法彻底从这些分析中获得体制上的教训。任何不止一次地经历了故障的组织，需要仔细查看他们记录事件的能力，并真正从中学习。

　　最后，通过从这些详细的分析中排除责任因素，组织有望仔细地审视到位的控制，并且诚实地评估他们是否作好充足的准备继续前行。但是（这一点很重要），如果事实上是某个特定的人造成了问题，首先应该衡量这个人应该提高什么或是应该做什么，这就是组织如何来建立问责制度。

　　有些经理最初可能不太愿意和太多人进行这种类型的分析，这个想法是对的。涉及的主要负责人必须参与进来，以进行充分的分析、记录结果并做出恰当的运作改变。随着时间的推移，人们会发现这些练习对于风险和合规遵从规划是富有成效和巩固的。