企业风险管理101:程序、框架和专家建议

企业风险管理(ERM)是一个不断发展的领域，但仍然专注于识别和减少公司面临的风险。这些风险可能特定于某个行业(例如，医疗保健领域的HIPAA合规)，也可能是21世纪几乎所有组织都面临的风险，例如网络威胁。

企业风险管理框架是一种工具，可以帮助公司识别、列出组织特定部分的潜在风险，并对其进行排序。有关更多信息和示例，请参见下面。

企业为什么需要风险管理?为了在财务和其他方面取得成功，企业需要意识到可能影响安全、声誉、利润、运营等方面的潜在风险。忽视风险和降低风险的方法的企业可能会面临灾难性的后果。

自商业开始以来，企业就面临着风险。盗窃、自然灾害和许多其他外部因素对早期的企业构成了威胁，并在今天继续构成风险。然而，到了20世纪，企业组织面临的风险变得更加复杂，其结果也可能更加可怕。

根据格里迪金森在他的系列中金融时报》在他的书中企业风险管理:DND企业内DRDC的前进之路在美国，我们所知道的企业风险管理始于二战后，当时专业人士确定了某些风险，如自然灾害，保险公司将处理和承保。

1963年，罗伯特·i·梅尔和鲍勃·赫奇斯写道企业风险管理．这本书阐明了这样一个观点:企业不仅应该确保他们所面临的风险，而且应该在整个企业范围内识别和管理风险，从最高管理层向下可见。

迪金森写道，20世纪70年代金融风险上升(这是衍生品和对冲基金日益流行的结果)，大公司意识到他们应该同时管理保险风险和金融风险。此外，随着行业的发展——以及全新的行业的创建——商业领袖开始遇到合规和监管问题，这带来了普遍的和特定行业的风险。所有这些风险都可能影响公司的声誉、业绩和盈利能力。现代企业风险管理的概念由此诞生。

今天的商业环境是复杂和不断变化的。许多公司在世界各地经营，可能适用不同的法律法规。随着越来越多的公司通过互联网开展业务，网络安全几乎已经成为每个组织的威胁。以下是个别行业可能面临的一些风险:

• 金融:几乎每一种风险都会影响到公司的底线。对自然灾害、内部盗窃和声誉问题的应对不力不仅会影响到这些特定的业务，还可能影响到整个公司的财务健康。
• 利率:利率的波动会影响各行各业，包括银行和贷款、股票市场、房地产和其他行业。
• 法律问题:如果公司未能遵守法律的文字或精神，无论是地方、国家或甚至国际法规，它们都可能面临法律处罚。他们也可能因为被认为的疏忽、歧视等而面临民事诉讼。
• 黑客和网络攻击:任何在网上开展业务的公司都可能面临数据、财务账户等安全方面的巨大风险。参见下面的详细信息。
• 盗窃:公司应对的最大风险之一是来自供应商、供应商和员工的盗窃。从快餐店下班后带汉堡回家，到贪污数百万美元，不一而足。
• 不确定的金融市场:全球和国家金融市场的不稳定对任何企业都是一种风险。一个公司的股票可能会突然下跌，而不是由于公司本身的过错。
• 自然灾害:像地震和飓风这样的灾难可以摧毁一些地区，影响供应商交付和订单履行，有时影响时间很长。
• 政府和监管:在一些行业，特别是金融和医疗保健行业，法规遵从性是业务关键的风险因素。法规遵从性和法规在不断发展，因此企业有责任了解并遵守所有相关法规。
• 事故:例如，货物运输发生事故，就可能使一家公司处于危险之中。如果法律体系认定公司负有责任，涉及员工的事故也可能如此。
• 全球和政治不稳定:地缘政治舞台的不确定性影响着国际贸易和参与国际贸易的公司。

企业风险管理系统通常有五个目标，所有这些目标对解决方案的成功都很重要。任何不包括所有这些的计划都可能是不彻底和有效的。这五个目标包括:

• 识别、监视并减轻风险
• 尽可能积极主动地预防风险
• 为补救潜在的逆境提供明确的步骤
• 建立透明度和问责制，以增加股东的信心和信心
• 符合特定行业的法规遵从性和监管规则

雷环球是英属哥伦比亚公司的高级副总裁和风险控制服务负责人国际中心，一家风险管理咨询公司。他会在这个清单上加上第六个目标:不断重新评估第一个目标。

“对企业来说，不断努力识别新的潜在风险非常重要。任何行业都可能出现新的风险，因此不断评估形势至关重要- Ray Monteith，加拿大不列颠哥伦比亚省HUB国际公司高级副总裁兼风险控制服务负责人

有些行业面临的风险比其他行业更大，尤其是金融业。投资银行、资金管理、抵押贷款行业和其他类型的金融服务面临着一些潜在的有害风险。其中包括:

• 投资风险:没有哪项投资是完全没有风险的，如果投资没有回报，金融机构、共同基金等都可能面临严重损失。
• 安全:金融机构不仅要保护自己的资金和利润，还要保护投资者和客户的利益。客户需要知道他们的存款和交易是安全的和受保护的。
• 业务连续性的中断:当企业合并、关闭或中断经营时，金融部门的业务可能会直接或间接受到影响。

此外，由于该行业所面临的风险2004年的巴塞尔协议国际法规要求金融服务公司使用风险管理软件。该规定还要求银行拥有足够的现金储备，以支付发生任何问题的成本，包括欺诈和it相关事件。

此外，初级综合金融交易系统，如Misys，海中女神,骨螺，都建立了风险管理和合规机制。Misys是一家总部位于伦敦的金融集团。总部位于旧金山的Calypso为世界各地的贸易公司提供解决方案。Murex总部位于巴黎，为金融部门提供软件IT产品和解决方案。ob欧宝娱乐app手机下载由于这些公司的客户的性质，他们都必须符合监管规定，与他们做生意的公司也必须如此。

在过去几年里，涉及IT和互联网的企业风险呈指数级增长。基本上有两种类型的IT风险问题。第一个问题与科技和IT行业有关，犯罪者可以渗透到公司的专有软件或电子邮件服务器。第二种情况几乎涉及所有公司，因为几乎所有企业都有大量的互联网存在，并使用电子邮件进行交易和沟通。

每个组织都容易受到网络风险的影响，尤其是在黑客和恶意软件变得越来越复杂的情况下。受到损害的公司的产品、声誉、客户服务、发展、员工和其他方面都可能受到损害。ob欧宝娱乐app手机下载遭遇黑客攻击或数据泄露的公司需要尽可能迅速和透明地采取行动，联系客户，宣布他们计划如何补救情况。

此外，最高级别的管理人员需要了解其组织面临的所有网络威胁。IT部门无法单凭一己之力对抗这些复杂的攻击者。网络威胁的强大和无处不在的性质突出了建立企业级企业风险管理系统的必要性。

每个公司，无论什么行业，都应该通过根据描述、类别、层次结构、所有权和可见性定义IT风险、资产、过程和控制之间的紧密关系来培养和维护它们。公司应该授权IT部门评估、量化、监控和管理IT风险。应该有问题管理和补救政策，包括调查协议和根本原因分析。最后，应该对IT和其他业务领导者进行风险监控和度量，以便他们能够快速识别风险并在需要时采取行动。

位于印第安纳波利斯的DIGIOP公司总裁迈克·康普顿说，零售业，尤其是快餐店面临的主要风险因素是员工的偷窃行为。

”根据美国商会(U.S. Chamber of Commerce)的数据，美国公司每年因员工盗窃损失400亿美元，零售商是受打击最严重的企业之一。我们的目标是帮助这种情况成为过去。——Mike Compton, DIGIOP的CEO

“损失可能来自员工拿了现金，然后取消促销，或者自己去拿商品和食物等。因为这些业务的人员流动率很高，雇主和公司往往无法赶上，或者只是把这种损失视为‘经营成本’。”康普顿指出。

他继续说道:“我们试图帮助我们的客户更具战略性，并在发生亏损时阻止亏损。”这包括他的公司的解决方案，它将视频监控与会计集成在一个仪表盘中。

正如前面提到的，几乎每个行业都面临着自己类型的风险。精明的ceo和其他商业领袖会留意潜在的风险，并监督正确的行业风险管理解决方案的实施。以下是零售以外行业面临的一些风险:

• 保险:保险公司面临着不断变化的风险，要衡量人口、地理等不断变化的变化。
• 保健和健康保险:医疗保健提供者受到包括HIPAA在内的严格协议的约束，并且可能面临医生如何诊断或治疗患者的风险。现在，健康保险公司除了遵守保险行业的规定外，还必须遵守美国《平价医疗法案》。
• 制造:制造企业在其供应链中，在他们的行动或不行动中面临风险供应商在他们的工厂(安全问题)，以及其他领域。
• 交通:影响运输公司的因素有很多，包括汽油价格、供求关系、潜在的供应链和制造风险。
• 娱乐:即使是娱乐行业也不是没有风险，因为有人会偷取艺术家的作品，或者未经许可就对其进行取样。此外，公司可能会错误地评估艺术家的版税等。
• 非营利组织:非政府组织、教育机构和非营利组织在与周围社区的互动、遵守法规和审计方面也面临风险。

行业在法规遵从性和治理问题上面临独特的风险。随着政府实施更多的法规来帮助消费者，公司必须迅速适应合规法规数量和类型的增加。这些可以包括以下内容:

• 政府规定:市、州和联邦政府都有自己的规定，公司必须遵守这些规定。例如，制造和运输公司通常必须根据当地、州和联邦法律限制其碳排放。不合规使这些公司面临经营和声誉方面的重大风险。
• 国际法规:在全球开展业务的行业还面临着其他类型的风险和挑战。一些交易受国际协议的约束，而另一些则受公司业务所在国的要求和规定的约束。这些限制可能包括语言和文化问题，不遵守可能会给公司带来巨大的风险。
• HIPAA:1996年的《健康保险携带与责任法》适用于与个人有关的所有健康信息的安全。受保护的健康信息的泄露给医疗保健公司以及个人提供者带来了巨大的风险。合规协议必须严格遵守。如果他们没有，政府可以惩罚整个机构。
• 金融监管:在2007-09年的经济衰退之后，国会颁布了许多旨在防止类似金融危机再次发生的法律。其中包括管理次级抵押贷款和其他风险操作的法规。

其他行业属于自己的相关行业协会，其中包括自愿遵守任何相关法规。美国电影协会(Motion Picture Association of America)就是一个例子，它对面向广大观众发行的好莱坞电影进行评级。

一份全面的ERM政策声明提供了一个组织的ERM计划的高层概述，并指导其成员进行有效的风险管理。该声明通常由董事会批准，并包含组织的ERM计划的主要原则。

蒙蒂思强调:“透明度和整个公司的支持是至关重要的。”他说:“制定风险策略非常重要，而不仅仅是一项政策。”“这将帮助组织了解所有风险的位置，以及如何分配监控和解决这些风险的所有权。”

蒙蒂思的公司帮助客户将风险转移到保险政策之外。对于那些仍然存在的风险，“我们帮助客户评估如何管理它们，并使它们与公司的整体使命和愿景保持一致。了解公司最高层的风险偏好也很重要。”

ERM政策广泛而详细，涵盖了已知的关键风险指标(KRIs)。这些问题可能包括未能达到销售预期、劳动力可用性、美元的坚挺或疲软等。“在当前环境下，ERM政策有效的关键是，”蒙蒂思解释说，“它必须是一个持续的对话。公司应该处于持续执行、监控、解决和重新调整的状态。”在这个过程中，KRI路线图可以是一个强有力的指南。

蒙蒂思补充说:“制定战略性风险管理政策还有助于公司超前思考和灵活应对。”“我们听到有人说，‘但这种事以前从来没有发生过。我们为什么要为此做好准备?’我们会说，‘因为总会有可能发生改变的事件。’”那些在风险管理政策中培养了这种敏捷性和质疑精神的公司，可能是应对可能面临的意外风险的最佳武器。

ERM框架不同于策略。策略是第一位的，框架是为支持它而构建的。该策略陈述了组织中降低风险的首要目标。该框架可以根据需要细化，以便整个公司的人员能够获得所需的所有指导，以降低风险。

“公司也应该越来越多评估自己的风险文化伦敦Willis Towers Watson人力资本与福利主管Alasdair Wood建议道。简而言之，这涉及到公司定义员工可以承担的风险是什么，甚至是必要的，什么是不可接受的。这可以归结为授权员工以知情的方式承担正确的风险。不多不少，”伍德总结道。

ERM框架是一个有用的工具，可以帮助团队可视化风险和所有权，以及监视和处理这些风险的责任。要了解更多关于不同框架的信息，包括如何创建自定义ERM框架，请参阅“企业风险管理框架指南”(本文链接)。

企业风险管理成熟度模型由两个轴组成，轴是根据投资衡量的预期业务结果和一个时间轴。理想情况下，一个致力于企业风险管理的战略组织将看到它的进展随着时间的推移而上升并向正确的方向发展。随着公司的成熟，其风险管理的战略实施也应如此。

数据来源:IDC Financial Insights

非营利组织风险管理协会(简称RIMS)是另一个有用的资源。该组织提供一个免费的在线工具建立你自己的风险期限模型。你可以将其应用于任何行业的任何企业。要了解更多关于RIMS风险成熟度模型的信息，请参见“企业风险管理框架指南”。

与企业合作的专家们看到了一个快速变化的领域，即新的潜在风险。蒙蒂思表示:“那些灵活并不断重新审视风险政策和计划的公司，是最有可能在发生意外时迅速做出良好反应的公司。”

不过，目前的风险在可预见的未来可能仍将是风险。其中包括员工盗窃和人为失误。

康普顿说:“能够监控员工在收银台或整个商店的行为，对零售商和其他进行交易、销售商品和服务的人来说是一个巨大的机会。”在与员工盗窃相关的4000万美元损失中，哪怕只减少一点点，也可以为公司节省大量资金。

蒙蒂思认为，如果企业出现灾难性的失败，很明显人为错误是一个因素。他强调:“雷曼兄弟(Lehman Brothers)的破产导致了金融危机，它显然错误地识别了企业风险，并鲁莽地管理了企业风险。”

管理不善风险的另一个悲惨例子是2013年，一列载有燃油的火车在Lac-Mégantic的Québec镇脱轨。“火车上没人。没有刹车，如此反复，导致了灾难性的生命损失，”蒙蒂思说。13人死亡，多人受伤。在随后的调查中，当局列举了18个不同的因素作为坠机的原因。据美国有线电视新闻网其中包括运输石油的铁路“安全文化薄弱”，法律要求行业制定安全计划，但很少执行，以及一列几乎全部由不合格的油罐车组成的列车。

“在组织的目标和操作层面的风险管理之间存在明显的脱节，”蒙蒂思说。

在处理威胁时，一些公司在降低风险方面做得很好。1982年，泰诺曾面临危机，当时一个不明身份的人在芝加哥地区的几瓶泰诺药瓶中掺了氰化钾，造成至少七人死亡．该公司立即将所有产品从零售货架上撤下，只有在盖下制作了现在无处不在的封条后才重ob欧宝娱乐app手机下载新进货。家得宝(Home Depot)和塔吉特(Target)在得知信用卡数据被黑客窃取后，立即向客户和媒体进行了联系。

大多数大型企业使用风险管理软件或系统来帮助识别、监视和沟通与给定资产集相关的风险。通常，解决方案从整个业务中收集数据，以指出可能存在的风险，然后在仪表板上显示结果。这些系统还将这些事件(包括安全漏洞)通知企业(或具体地说，特定风险问题的所有者)。

在这个以互联网速度做生意的时代，使用风险管理软件的好处是巨大的。给组织带来的好处包括:

• 增加股东价值:有效地降低风险会带来更好的品牌和声誉，从而推高股价。
• 优化风险/回报结果:你越快发现并解决风险，整个公司的结果就越好。
• 更大的透明度:经理和其他人获得了处理项目的最佳风险/回报结果的能力。
• 优先级:公司可以根据需要更密切地监视和管理高风险的计划。
• 减少合规成本:集成了法规遵循和监管流程的内部解决方案可以降低成本。
• 加强操作:当公司根据风险成熟度模型识别、处理和预防风险时，操作变得越来越高效和精简。

有大量的教育资源、组织和活动可以为企业提供帮助和建议。欧宝体育app官方888它们包括:

• 轮圈和钢圈年会
• 加拿大大企业联合会:ERM
• RMA年度风险管理会议
• 的智能表风险管理认证指南
• 的北卡罗莱纳州立大学企业风险管理研究项目
• 的加州大学总统风险峰会办公室
• 全国协会学院和大学商务官员的2013企业风险管理报告
• 的Protiviti常见问题企业风险管理指南

你也可以阅读我们的如何选择适合自己的风险管理认证文章来了解可用的证书类型和有一个可以获得的机会。

通过设计一个灵活的平台来满足团队的需求，并根据这些需求的变化进行调整，使你的员工能够超越这些需求。

Smartsheet平台可以方便地在任何地方计划、捕获、管理和报告工作，帮助您的团队更有效地完成更多工作。报告关键指标，并在工作发生时通过滚动报告、仪表板和自动工作流来获得实时可视性，以保持团队的联系和消息灵通。

当团队清楚要完成的工作时，没有人知道在同样的时间内他们能多完成多少。今天就可以免费试用Smartsheet。

Smartsheet在网站上提供的任何文章、模板或信息仅供参考。虽然我们努力保持信息的最新和正确，但我们不就网站或网站上包含的信息、文章、模板或相关图形的完整性、准确性、可靠性、适用性或可用性作出任何形式的明示或暗示的陈述或保证。因此，您对此类信息的任何依赖都将严格由您自己承担风险。