《企业风险管理实施指南》

通过安迪标志2020年10月21日(2021年9月16日更新)

我们汇编了实现企业风险管理的专家技巧和资源,包括关于如何克服常欧宝体育app官方888见实现挑战的最佳实践和建议。

在这一页,你会发现逐步实施ERM的过程实现ERM的有用工具免费ERM模板,克服实施挑战的专家建议年代。

什么是企业风险管理过程?

企业风险管理(ERM)是跨大型组织扩展的管理过程。目标是改进具有动态业务操作的组织的战略决策制定,这些业务操作使他们更容易受到各种威胁和负面后果的影响。

如何实施企业风险管理

实施ERM计划需要分阶段的方法,每个阶段都包含关键步骤和可交付成果。实现过程因组织规模、项目时间表、可用资源和风险优化目标而异。欧宝体育app官方888

ERM路线图:企业风险管理流程的五个步骤

ERM实现是集成旨在减轻或优化企业风险的业务策略的连续过程。本文使用五步路线图来帮助指导您的ERM实现:

  • 第一步:建立ERM策略的基础,以指导ERM实施过程的不同阶段。
  • 第二步:确定实施的范围,并将业务功能和所有权分配给重要的利益相关者和项目领导。
  • 第三步:根据特定标准识别和评估风险。
  • 步骤四:通过有针对性的风险响应来减轻或优化风险。
  • 第五步:监督和报告实施进度。
Mockup-ERM-Roadmap

第一步:建立ERM基础

ERM程序实施过程的第一步是确定使用哪种类型的ERM框架。您可以开发自己的内部ERM框架,或者选择一种标准化风险管理模型来对ERM程序进行基准测试。

ERM框架的目标是最小化复杂性。现有风险管理框架的例子包括特朗德韦委员会(COSO)的赞助组织委员会框架和国际标准化组织(ISO) 31000:2018框架。要了解有关这些框架的更多信息,包括如何获得风险管理认证,请参见“如何选择合适的风险管理认证。”

ERM框架示例

作者James Lam在他的书中概述了他的ERM框架,即连续ERM模型实施企业风险管理。作者将众所周知的管理框架的优点结合到基于迭代反馈循环的简化通信框架中。

该框架包括四个组成部分:治理结构和政策、风险评估和量化、风险管理以及报告和监测。使用这些组件,您可以解决以下问题:

  • 谁该对此负责?
  • 你应该如何做出风险管理决策?
  • 哪些决策可以优化风险或回报?
  • 你如何用反馈循环来衡量ERM项目的绩效?

第二步:确定利益相关者

下一步是建立特定风险管理目标的所有权、期望的业务结果,以及各个涉众应对ERM实现期间出现的问题作出反应的方式。

莱尔·斯图尔特(Lyle Stewart)是Infina有限责任公司,它为各行各业的客户提供IT安全、遵从性和风险管理服务,包括ERM实现审查。Stewart把这个步骤称为“范围确定阶段”。

范围界定阶段的例子

Stewart建议分两个阶段建立一个由来自相关业务单位和管理层的关键利益相关者组成的指导委员会:一个指导委员会负责实现,另一个指导委员会负责监督治理结构的持续运营和功能。实现委员会的成员有一个特定的关注点:管理适合项目范围的业务功能。重点是该实现阶段的ERM实现目标和可交付成果,而不是整个实现阶段。

斯图尔特在Infina使用的IT治理和风险管理框架是一个灵活的内部模型,受ISACA IT治理框架——信息技术控制目标(COBIT)的影响。要了解有关此ERM框架和其他有影响力的模型的更多信息,请参阅ERM框架和模型文章。

第三步:识别和评估风险

在ERM实施的评估阶段,您准备衡量和报告初始进展,并为后续操作阶段的风险管理后续评估奠定基础。

Lam将风险评估定义为“针对特定业务目标识别、评估和确定关键风险优先级的过程”。风险评估因风险类型、实施范围、风险复杂性和实施目标而有所不同。企业风险的类型包括战略风险、声誉风险、运营风险、法律风险、财务风险(信用、债务和利息风险)、市场风险、网络安全风险和IT合规风险。

风险评估的例子

Stewart将ERM实施的评估阶段分为两个概念。

斯图尔特说:“首先,为你的企业业务找出正确的风险评估流程。“接下来,在您将瞄准的风险基线集上为您的企业执行风险评估。”

在这个实现阶段,指导委员会通过比较当前的风险暴露和企业风险容忍度的期望阈值来创建评估标准,以确定优化的风险水平。

接下来,委员会生成描述风险事件的风险评估报告,并评估概率和业务影响。这些报告帮助用户将责任分配给实施后监督委员会,并为风险管理行动计划创建内容。要了解有关ERM评估和分析的更多信息,请参阅我们的企业风险评估和分析指南。

ERM实施工具

风险控制自我评估(RCSA)是一种普遍接受的风险评估方法,以COSO和ISO 3100等风险管理框架为模型。在RCSA方法中,有各种工具和策略可以帮助实施ERM的评估阶段,包括:

  • 实现仪表盘:协作指示板是一种重要的协作工具。仪表板集成了跨业务单元的数据,并为报告风险评估标准、沟通进度和监视ERM实现性能提供了单一来源。
  • 风险审计:风险审计报告对于制定自我评估标准至关重要。它包括识别对组织有害的风险,检查风险阈值,以及记录不同企业风险类型的根本原因。
  • 随机风险模型:随机风险建模是一种利用随机变量预测不同条件下各种风险结果发生概率的工具。随机风险模型提供的数据和预测的结果说明了不可预测性或随机性,而不是因果关系。这些模型在评估金融风险和优化投资方面很受欢迎。
  • 工作坊及访谈:风险评估研讨会包括采访ERM实施范围内的利益相关者,以识别、评估和优先考虑组织的最高风险。这些研讨会从接近风险和业务单位的主题专家那里确认业务目标,以及法规和政策需求。调查是现场采访的另一种方法。
  • 风险可视化:风险评估矩阵帮助您可视化风险发生的可能性和影响的严重性。风险热图使用ERM实现目标和风险评估标准来帮助您可视化组织中最紧迫的威胁。钟形曲线图是风险概况的集合,是建立风险概率和结果矢量以表示总体风险概况的简单工具。

风险登记册模板

此风险登记模板包括顶部的项目详细信息和带有分配跟踪号空间的风险列表。使用此模板提供风险所有权、影响和概率级别、计划的行动和响应状态的详细日志。此电子表格专为您设计,可根据需要轻松编辑和添加列和自定义。

下载风险登记册模板

Excel||PDF|内容

第四步:风险应对和缓解

风险应对包括审查风险评估报告,并根据风险管理机制的实施目标采取缓解战略,以减少或增加风险机会。您还可以创建风险行动计划来跟踪现有威胁并确定新的威胁。

此步骤的目的是确定在以前的实施阶段中确定的最大风险的优先级,并确定如何处理该风险。未能执行风险行动计划并将风险管理实践集成到日常业务操作中会损害ERM实施计划的价值,并使组织暴露于不可预见的威胁中。

风险缓解示例

Stewart认为,实施的缓解阶段是关于系统地解决您在前一个评估阶段确定的风险。

他这样描述这些问题:“我们已经确定了风险;我们如何应对风险?’”他说。“我们目前建立了哪些控制和程序来解决我们发现的风险?’”

如果你没有特定的ERM程序和控制措施来减轻已识别的风险,Stewart建议迅速缩小这一差距。否则,新的风险就会出现。对于已识别的威胁,没有适当的控制措施。

他说:“(缓解过程)的想法是将这些主要风险置于控制之下并加以管理。”

ERM实施行动计划模板

ERM实施行动计划模板

使用此行动计划模板来管理和沟通风险缓解响应以及针对特定风险的拟议行动的详细信息。这个简单的PDF模板旨在帮助您组织资源;欧宝体育app官方888指定所有权;建立控制;并记录、报告和监控活动。

下载ERM实施行动计划模板

Excel||PDF|内容

第五步:衡量和告知

衡量和报告风险管理行动和整体风险环境,以确定ERM计划的有效性。其结果可以帮助您了解有关管理内部和外部威胁以及企业环境变更的决策。

您从持续的反馈循环、集成的仪表板跟踪、执行的行动计划和研讨会中收到的信息通知了当前的风险管理过程,并可以帮助您建立未来的业务目标。

斯图尔特说:“衡量就是确定你的指标。“(这是)你用来作为基准的东西,(并)展示如何建立治理结构和我们的框架,以防止暴露于不必要的风险。”

他围绕沟通的重要性构建了ERM实施的这一阶段。

他说:“你必须对风险发生的地方有清醒的认识和了解,然后确保人们知道这些风险。”“最大的挑战是当你有一个没有人意识到的风险时。”

当组织不能一致地度量和共享功能风险管理工作的结果时,他们就有可能为最坏的风险情景创建不一致的预测。这个结果导致不准确的风险概率和严重性分析。

斯图尔特说:“你要让所有参与其中的人都知道你的风险是什么,你的缓解过程和程序是什么,以确保你在推动合规。”“人们可能没有意识到某种风险管理活动或功能的重要性。”

他将实施的通知阶段视为一个整体的ERM过程——一个从上到下和从下到上的反馈循环,在该实施阶段的范围内通知不同的利益相关者。

一个例子是向执行管理层报告企业的风险概况和操作风险。在另一个方向上,最高领导层在最接近技术和日常业务流程的个人中循环。目标是创建对与其业务功能相关的特定风险的认识,以便他们以最小化威胁和优化风险的方式进行操作。

常见的ERM实施挑战

企业风险管理实施计划有共同的障碍和障碍,阻止组织实现风险管理的好处。组织处理这些挑战的方式决定了风险管理的有效性——以及对业务目标的更大影响。

  • 文化冲击:成功实施ERM的最大挑战是管理文化变革。如果关键管理人员不习惯有效风险管理所需的监督、协调和执行类型,他们可能会阻碍实施进度。斯图尔特认为,与高层管理人员以外的基层人员共同开发ERM流程、程序和治理模型会有所帮助。这种创造性过程的前线所有权延续到有效的实施后ERM操作。
  • 可怜的执行:执行风险行动计划并向ERM指导委员会报告结果是成功实施的关键。Stewart在整个ERM实施过程中为客户提供指导,包括建议、最佳实践和如何避免常见陷阱的建议。
  • 公差不足:风险容忍度与组织对风险的偏好一致。你可以用a来建立容忍度风险偏好表,这是一份针对业务运营的基本风险管理策略的文件。如果不能使用与ERM实现目标一致的度量来量化风险容忍度,您就会阻止反馈,并进一步损害业务单位管理风险偏好的准备程度。
  • 缺乏意识:根据Stewart的经验,管理层的支持是成功实施ERM的关键。假设执行过程缺乏高层领导或执行董事会成员的意识和参与。在这种情况下,成功的ERM操作的可能性大大降低。
  • 足够的数据:没有数据来建立评估标准、执行风险行动计划和测量结果,成功的实施是不可能的。ERM仪表板和协作软件帮助团队成员发现、沟通和分析对识别和管理风险至关重要的数据。Stewart建议他的客户使用治理、风险和遵从性(GRC)软件解决方案来开发他们的ERM成熟度。该技术通过提供流程效率、数据管理和高级报告的框架来帮助项目的协调和可见性。

实现ERM的最佳实践

本节提供了从风险管理专家那里收集到的最佳实践,包括变更管理和反馈循环的重要性,以及如何在每个阶段度量ERM的实现进度。

要了解更多风险管理策略并找到ERM实施的模板,请阅读“免费风险管理计划模板。”

  1. 识别风险文化:根据Stewart与缺乏风险管理或监督的组织合作的经验,实现既定风险管理计划所需的文化转变可能具有挑战性。他认为,在评估客户的风险文化时,采用灵活的方法是最好的。

    斯图尔特说:“对一个客户有效的方法不一定对下一个客户有效。”“在我制定程序和政策之前,我需要评估当前的文化以及组织的运作方式。

    他继续说:“当你试图建立某种程度的监督、一致的流程和统一性时,你会受到个人的反对。”“我们需要就具体的运营模式达成协议,以确保治理框架能够坚持下去。”
  2. 鼓励反馈:在实现的每个阶段确定每个涉众的角色和职责,并定义一个鼓励持续反馈的公共风险语言。让每个业务部门的管理层、执行管理层和董事会成员参与进来——确定他们当前的风险偏好,以及对每个管理层和领导层来说什么是重要的(使用风险评估调查或访谈)。针对特定的业务目标,在每个业务单元建立持续的反馈循环,以优先考虑风险管理沟通。

    斯图尔特说:“我会为每一个管理级别设置两套不同的风险评估登记册。”“它们是相关的,只是风险评估概述的两种不同尺度。”

    Stewart根据角色范围和管理级别区分了反馈的类型。由于基层人员直接处理企业技术风险,执行或主管级别与较低管理级别之间的风险有所不同。

    斯图尔特说:“更高层次的管理层会考虑什么会损害企业业务,导致今年的收入目标无法实现,或者什么会使预算翻倍。”“如果安全漏洞意味着把所有时间都花在填补漏洞和抵御网络攻击上,而不是推动更多的增值,那么就应该弄清楚风险是什么,以及是什么导致了这些问题。”
  3. 衡量进展:斯图尔特认为,风险管理文化面临的最大挑战之一是缺乏意识,因为人们无法采取行动来降低风险,直到他们意识到暴露的领域。衡量和报告ERM计划的进展,以建立对存在的危害的认识和可见性。

    “这种度量的想法是,‘我们用来对自己进行基准测试的度量是什么,以证明如何建立治理结构和框架来防止暴露于不必要的风险?’”他解释道。

    建立基准度量和度量进度不仅仅是提供对ERM实现步骤的绩效审查。它帮助组织对出现的新风险做出反应,并预测新的机会领域,以改善风险暴露。

让您的团队通过Smartsheet成功管理风险

通过设计一个灵活的平台来满足你的团队的需求,并随着需求的变化而适应,从而使你的员工能够超越自己。

Smartsheet平台可以轻松地从任何地方计划、捕获、管理和报告工作,帮助您的团队更有效地完成更多工作。报告关键指标,并通过汇总报告、仪表板和自动工作流实时了解工作情况,以保持团队的联系和信息。

当团队对要完成的工作有了清晰的认识时,就不知道他们在同样的时间内能完成多少工作。今天就免费试用Smartsheet吧。

Smartsheet在网站上提供的任何文章、模板或信息仅供参考。虽然我们努力使信息保持最新和正确,但我们对网站或网站上包含的信息、文章、模板或相关图形的完整性、准确性、可靠性、适用性或可用性不作任何形式的明示或暗示的陈述或保证。因此,您对此类信息的任何依赖均须严格由您自行承担风险。

这些模板仅作为示例提供。这些模板绝不是法律或合规建议。这些模板的用户必须确定哪些信息是必要的,哪些信息是实现其目标所必需的。

了解为什么超过90%的财富100强公司信任Smartsheet来完成工作。

免费试用Smartsheet 获得一个免费的Smartsheet演示