《企业风险管理实施指南》

ERM实现是集成旨在减轻或优化企业风险的业务策略的连续过程。本文使用五步路线图来帮助指导您的ERM实现:

• 第一步:建立ERM策略的基础，以指导ERM实施过程的不同阶段。
• 第二步:确定实施的范围，并将业务功能和所有权分配给重要的利益相关者和项目领导。
• 第三步:根据特定标准识别和评估风险。
• 步骤四:通过有针对性的风险响应来减轻或优化风险。
• 第五步:监督和报告实施进度。

ERM程序实施过程的第一步是确定使用哪种类型的ERM框架。您可以开发自己的内部ERM框架，或者选择一种标准化风险管理模型来对ERM程序进行基准测试。

ERM框架的目标是最小化复杂性。现有风险管理框架的例子包括特朗德韦委员会(COSO)的赞助组织委员会框架和国际标准化组织(ISO) 31000:2018框架。要了解有关这些框架的更多信息，包括如何获得风险管理认证，请参见“如何选择合适的风险管理认证。”

ERM框架示例

作者James Lam在他的书中概述了他的ERM框架，即连续ERM模型实施企业风险管理。作者将众所周知的管理框架的优点结合到基于迭代反馈循环的简化通信框架中。

该框架包括四个组成部分:治理结构和政策、风险评估和量化、风险管理以及报告和监测。使用这些组件，您可以解决以下问题:

• 谁该对此负责?
• 你应该如何做出风险管理决策?
• 哪些决策可以优化风险或回报?
• 你如何用反馈循环来衡量ERM项目的绩效?

下一步是建立特定风险管理目标的所有权、期望的业务结果，以及各个涉众应对ERM实现期间出现的问题作出反应的方式。

莱尔·斯图尔特(Lyle Stewart)是Infina有限责任公司，它为各行各业的客户提供IT安全、遵从性和风险管理服务，包括ERM实现审查。Stewart把这个步骤称为“范围确定阶段”。

范围界定阶段的例子

Stewart建议分两个阶段建立一个由来自相关业务单位和管理层的关键利益相关者组成的指导委员会:一个指导委员会负责实现，另一个指导委员会负责监督治理结构的持续运营和功能。实现委员会的成员有一个特定的关注点:管理适合项目范围的业务功能。重点是该实现阶段的ERM实现目标和可交付成果，而不是整个实现阶段。

斯图尔特在Infina使用的IT治理和风险管理框架是一个灵活的内部模型，受ISACA IT治理框架——信息技术控制目标(COBIT)的影响。要了解有关此ERM框架和其他有影响力的模型的更多信息，请参阅ERM框架和模型文章。

在ERM实施的评估阶段，您准备衡量和报告初始进展，并为后续操作阶段的风险管理后续评估奠定基础。

Lam将风险评估定义为“针对特定业务目标识别、评估和确定关键风险优先级的过程”。风险评估因风险类型、实施范围、风险复杂性和实施目标而有所不同。企业风险的类型包括战略风险、声誉风险、运营风险、法律风险、财务风险(信用、债务和利息风险)、市场风险、网络安全风险和IT合规风险。

风险评估的例子

Stewart将ERM实施的评估阶段分为两个概念。

斯图尔特说:“首先，为你的企业业务找出正确的风险评估流程。“接下来，在您将瞄准的风险基线集上为您的企业执行风险评估。”

在这个实现阶段，指导委员会通过比较当前的风险暴露和企业风险容忍度的期望阈值来创建评估标准，以确定优化的风险水平。

接下来，委员会生成描述风险事件的风险评估报告，并评估概率和业务影响。这些报告帮助用户将责任分配给实施后监督委员会，并为风险管理行动计划创建内容。要了解有关ERM评估和分析的更多信息，请参阅我们的企业风险评估和分析指南。

ERM实施工具

风险控制自我评估(RCSA)是一种普遍接受的风险评估方法，以COSO和ISO 3100等风险管理框架为模型。在RCSA方法中，有各种工具和策略可以帮助实施ERM的评估阶段，包括:

• 实现仪表盘:协作指示板是一种重要的协作工具。仪表板集成了跨业务单元的数据，并为报告风险评估标准、沟通进度和监视ERM实现性能提供了单一来源。
• 风险审计:风险审计报告对于制定自我评估标准至关重要。它包括识别对组织有害的风险，检查风险阈值，以及记录不同企业风险类型的根本原因。
• 随机风险模型:随机风险建模是一种利用随机变量预测不同条件下各种风险结果发生概率的工具。随机风险模型提供的数据和预测的结果说明了不可预测性或随机性，而不是因果关系。这些模型在评估金融风险和优化投资方面很受欢迎。
• 工作坊及访谈:风险评估研讨会包括采访ERM实施范围内的利益相关者，以识别、评估和优先考虑组织的最高风险。这些研讨会从接近风险和业务单位的主题专家那里确认业务目标，以及法规和政策需求。调查是现场采访的另一种方法。
• 风险可视化:风险评估矩阵帮助您可视化风险发生的可能性和影响的严重性。风险热图使用ERM实现目标和风险评估标准来帮助您可视化组织中最紧迫的威胁。钟形曲线图是风险概况的集合，是建立风险概率和结果矢量以表示总体风险概况的简单工具。

此风险登记模板包括顶部的项目详细信息和带有分配跟踪号空间的风险列表。使用此模板提供风险所有权、影响和概率级别、计划的行动和响应状态的详细日志。此电子表格专为您设计，可根据需要轻松编辑和添加列和自定义。

下载风险登记册模板

Excel|词|PDF|内容

风险应对包括审查风险评估报告，并根据风险管理机制的实施目标采取缓解战略，以减少或增加风险机会。您还可以创建风险行动计划来跟踪现有威胁并确定新的威胁。

此步骤的目的是确定在以前的实施阶段中确定的最大风险的优先级，并确定如何处理该风险。未能执行风险行动计划并将风险管理实践集成到日常业务操作中会损害ERM实施计划的价值，并使组织暴露于不可预见的威胁中。

风险缓解示例

Stewart认为，实施的缓解阶段是关于系统地解决您在前一个评估阶段确定的风险。

他这样描述这些问题:“我们已经确定了风险;我们如何应对风险?’”他说。“我们目前建立了哪些控制和程序来解决我们发现的风险?’”

如果你没有特定的ERM程序和控制措施来减轻已识别的风险，Stewart建议迅速缩小这一差距。否则，新的风险就会出现。对于已识别的威胁，没有适当的控制措施。

他说:“(缓解过程)的想法是将这些主要风险置于控制之下并加以管理。”

使用此行动计划模板来管理和沟通风险缓解响应以及针对特定风险的拟议行动的详细信息。这个简单的PDF模板旨在帮助您组织资源;欧宝体育app官方888指定所有权;建立控制;并记录、报告和监控活动。

下载ERM实施行动计划模板

Excel|词|PDF|内容

衡量和报告风险管理行动和整体风险环境，以确定ERM计划的有效性。其结果可以帮助您了解有关管理内部和外部威胁以及企业环境变更的决策。

您从持续的反馈循环、集成的仪表板跟踪、执行的行动计划和研讨会中收到的信息通知了当前的风险管理过程，并可以帮助您建立未来的业务目标。

斯图尔特说:“衡量就是确定你的指标。“(这是)你用来作为基准的东西，(并)展示如何建立治理结构和我们的框架，以防止暴露于不必要的风险。”

他围绕沟通的重要性构建了ERM实施的这一阶段。

他说:“你必须对风险发生的地方有清醒的认识和了解，然后确保人们知道这些风险。”“最大的挑战是当你有一个没有人意识到的风险时。”

当组织不能一致地度量和共享功能风险管理工作的结果时，他们就有可能为最坏的风险情景创建不一致的预测。这个结果导致不准确的风险概率和严重性分析。

斯图尔特说:“你要让所有参与其中的人都知道你的风险是什么，你的缓解过程和程序是什么，以确保你在推动合规。”“人们可能没有意识到某种风险管理活动或功能的重要性。”

他将实施的通知阶段视为一个整体的ERM过程——一个从上到下和从下到上的反馈循环，在该实施阶段的范围内通知不同的利益相关者。

一个例子是向执行管理层报告企业的风险概况和操作风险。在另一个方向上，最高领导层在最接近技术和日常业务流程的个人中循环。目标是创建对与其业务功能相关的特定风险的认识，以便他们以最小化威胁和优化风险的方式进行操作。