今天，企业面临的风险都是互相关联的，所以，基于全公司进行风险评估和监控大有裨益。把风险管理流程和内部审计等活动联系起来，能保证有限的公司资源得到有效的利用。在这一点上，ERM（企业风险管理）项目能切实帮到忙。

　　最初起源于保险业的企业风险管理（ERM）已经发展成一项完全独立的管理职能，并且进入了最初被认为是毫不相关的业务领域。ERM进化成整体性的风险应对方法，这一变化承认了风险的相互关联性，同时也说明，基于整个组织进行风险评估和监控大有裨益。

　　近年来，在公司报告中提供更多有关ERM实施进展的信息已成为最佳实践。这些公司在报告中披露了风险管理是怎样融入企业的组织结构中去，与其内部审计等活动相联系的。它们披露的ERM内容包括：

　　·定义ERM是如何与国际最佳实践框架挂钩的。

　　·解释公司中首席风险官（CRO）的角色。

　　·解把ERM流程置于战略制定的大背景中，站在更高层次对之进行解释。

　　· 联系外部和内部风险，概述总体业务目标。

　　·提供每个风险种类的量化技巧信息以及与关键绩效领域和指标相关的详细情况。

　　·设置公司对战略目标的风险容量和风险容限。

　　作为ERM流程的倡导者，CRO在集合各种不同的风险管理流程，确保有限的公司资源得以有效利用的过程中，扮演了非常重要的角色（见副栏《CRO的关键职责》）。全美反虚假财务报告委员会发起组织(COSO)的企业风险管理整合框架对CRO的角色定义是：和其他管理者一起建立有效的风险管理制度，监控进展，并帮助其他管理者向上、向下及在全公司内报告相关风险信息。

　　一些尝试实施ERM的公司要么失败了，要么遭遇了挫折，预期利益无法实现。主要原因是其高层管理者和监督委员会（如审计委员会）不支持ERM项目。其他原因包括：

　　·缺乏ERM理论知识。

　　·没有根据企业实情量身定制ERM方法。

　　·没有建立合适的或完善的支持ERM项目的监督 结构，例如，当审计委员会不负责ERM职能时，企业需成立一个风险管理委员会。

　　·企业上层建筑不够完善，如缺乏道德文化和正式 的企业战略。

　　·没有足够的人力、物力来支持ERM流程的实施以及维护。

　　·在ERM项目实施一年以后，企业便无法保持继续前进的动力。

　　·ERM语言定义不明。

　　起步要简单

　　随着人们越来越关注公司治理的失败案例，且社会上对提高组织运营透明度的呼声越来越大，许多公司正在分配大量资源来启动ERM项目或者加快其进展。其中，一些公司犯了贪多嚼不烂的错误，结果工作失去了重心，也无法找到能迅速取得成功的突破口。

　　高层管理者应该确保ERM项目在初期时专攻优先级最大的风险。这意味着，首先要把ERM的基础打好。

　　此外，直线经理们必须积极参与到其中去。例如，内部审计员应该建议管理层，ERM计划是自上而下实施的，高管要指明与关键战略目标相关的最重要的事务是哪些。他们应建议管理层去熟悉ERM理论知识，理解ERM的作用，弄清楚ERM能怎样提升公司的竞争力。请专业咨询师来做这方面的培训将会非常有帮助。其次，管理层应组织专门的会议和辩论，确定优先级别最高的20个到40个风险。

　　尽管可以借助许多ERM软件产品，但俗语说得好，“如果样样都自动化，那么问题也会自动化。”为了避免自动化的误用，在软件上马前，公司应该有一套可行的、灵活的ERM方案。而且，管理团队也必须对这个方案完全信服。

　　只有在管理团队完全了解了ERM之后，才能考虑使用软件。另外，公司应该确保ERM软件有足够的灵活性，以兼容公司独特的ERM通用语言，同时还要确保其报告功能可以根据利益相关者的需求而进行定制。
　　制定路线图

　　在实施ERM之前，许多公司并没有考虑自己当前的状况以及希望取得的成果。高级管理团队应该要求公司治理官提供一个成熟度模型，来帮助评估ERM实施的状态及完善相关工作的路线图。另外，管理层也应该确保辅助ERM实施的顾问团有本行业的工作经验。同样，内部审计员也可以建议管理层用ERM成熟度模型来评价企业当前的ERM状态和对未来的期望。成熟度分数通常可以从各种执行团队的会议讨论或者一对一的面谈中得到。重要的是，审计和风险管理委员会要核实，公司所使用的成熟度模型容易为管理者所理解，并且是针对最佳ERM框架的关键组成部分的。成熟度模型通常覆盖如下领域：

　　·组织领导层对之的了解程度。

　　·管理模式（例如，官僚模式还是自由管理模式）。

　　·员工对变革的态度。

　　·风险和行动计划与企业目标的一致性。

　　·公司里的风险管理成熟度。

　　·人力资源方面存在的不足，以及所有员工的风险管理职责的明确程度。

　　·关于ERM的沟通和培训程度。

　　·对员工和委员会进行监控和监督管理的严格性。

　　一旦公司治理官总结出管理层对公司ERM方法现状的认识以及对其未来的期望，就可以对备案的ERM方法进行更新。

　　许多公司都认为自己需要尽量获得最高级的ERM成熟度，但这是不现实的。要提醒管理层，最高级的ERM成熟度要求企业投入大量的财力和人力。公司需要在效果和良好的公司治理措施之间找到平衡。

　　要抓住重点

　　在信息爆炸的时代，CEO需要确保战略会议或管理层峰会为最重要的事务保留了足够的讨论时间。许多时候，高管的会议议程充斥着大量的战术层面或操作层面的议题，却忽略了全景式的问题和需要战略讨论的其他重要问题。围绕10到20个优先级最高的风险来安排议程，就能保证最重要的战略议题得到关注。利用架构合理、维护良好的ERM软件，也能帮助确保操作层面的和其他非核心的事务不会出现在CEO的优先处理清单上。

　　把ERM流程的输出结果作为更有效地管理公司的方法，这对高级管理层来说非常关键。企业必须整理ERM流程的输出结果，以提高其准确性和完整性。

　　公司中ERM的职责正越来越清晰，在公司正式任命一位CRO的做法也越来越普遍。拥有一名CRO的重要好处之一，就是把风险管理扩展到能涵盖更大范围的风险问题。然而，公司不太可能找到一位从金融风险管理到诉讼或对不同市场的具体风险都精通的专家来担任CRO。一名成功的CRO必须是真正的多面手，是团队协作和沟通的积极倡导者。

　　CRO的角色也许令人兴奋，但同时也有其特有的挑战。在把公司引导走上ERM之路以前，CRO需要进行战略上的思考。而且，他们需要具备如下特性：

　　·高度敏锐的风险意识。

　　·了解公司的核心业务流程。

　　·高学历，受过一定的培训，能跟得上风险管理领域中的变化。

　　·人际交往能力，如与不同层级的管理和运作人员进行交往的能力。

　　·专业的引导技巧。

　　·金融、会计、保险方面的知识。

　　最终，CRO应该成为将公司中所有风险管理活动联系起来的纽带，并且能够将防御风险的重复工作降到最少。

　　企业高层应当把ERM看作是一种将公司内各种不同的风险管理方式合并到一起，让管理层能从整体的角度来观察风险的方法。不论是运作风险，还是市场或者信用风险，只有把所有这些风险域组合在一起，管理层才能找出公司当前最紧迫的事情是什么，需要什么类型的资源配置来解决潜在的挑战。

　　原文经CNET Networks, Inc.许可，摘自Internal Auditor 杂志2007年6月刊。CNET Networks, Inc.,登记2007年版权。江筱杉译。Sean dela Rosa是IQ Business Group (Pty) Ltd.负责ERM解决方案的经理。