实施企业风险管理

通常在组织的不同部分采用不同的流程来管理不同类型风险的评估。为了做到有效,企业风险管理(ERM)职能部门需要了解对组织的所有领域产生影响的不同风险级别,还需要了解用于降低风险的技术。在本文中,我们讨论如何使用战略和项目应用程序来实施企业风险管理。

本文基于确定战略目标和风险中所阐述的示例。

实施企业风险管理意味着什么?

实施企业风险管理是一个持续不断发展的过程,可确保组织了解可改变预期结果的当前风险和新出现的风险,并能够主动应对风险。

实施企业风险管理涉及三个关键流程:

  • 评估风险涉及制定一组可以在营运部门、实体或业务单位中使用的通用评估标准,及确定组织面临多少风险
  • 划分风险优先顺序涉及将风险水平与预先确定的目标风险水平和容忍阈值进行比较
  • 应对风险包括检查响应选项、执行成本效益分析、制定响应策略和制定风险响应计划

我在哪里实施企业风险管理?

在 Diligent,我们使用战略和项目应用程序来评估风险,确定风险的优先顺序,并且应对风险。我们的企业风险管理计划使我们能够在我们的价值观、愿景和评估方面保持一致,加快我们的市场推广能力的提升和产品创新,并确保我们始终为客户提供最佳体验。

全盘视角

  • 风险研讨会可用于协作评估组织内的固有风险,并将结果应用于您的组织风险概况。
  • 完成固有风险评估后,您可以使用可配置的风险热图可视化风险,并通过关联目标(包含在框架项目应用程序中)和战略风险来定义风险处理

一旦您完成了内在的风险评估和初步风险处理评估,您就可以评估残留风险及更好地了解组织中最为关注的领域。

步骤

准备好进行了解了吗?

让我们在情境中仔细了解上述功能。

1. 评估风险

评估风险是企业风险管理的一个过程,涉及确定组织面临多少风险。许多组织最开始采用定性评估风险,随着时间的推移开发定量能力,以符合其决策要求。

制定风险评估标准

第一步是制定可在营运部门、实体或业务单位使用的一套通用的评估标准。这使您可以执行各种风险评分,按多个因素评估风险,指定用于特定行业风险框架的风险评估模型。

示例

场景

您是一名风险专业人员,需要在逻辑上评估整个组织的风险。由于您的组织是企业风险管理的新手,所以您想从可能性和影响方面评估风险开始。通过配置风险的评分方式,您可以对组织风险框架进行建模,并将框架应用于所有已识别的风险。

流程

帮助主题 配置风险评分设置

您导航至战略应用程序设置中的评分部分,并制定以下风险评分标准:

  • 可能性(3 分制评分机制: 1 - 低、2 - 中和 3 - 高
  • 影响(3 分制评分机制: 1 - 低、2 - 中和 3 - 高

您还将各风险评分因素的权重指定为 100%,以体现影响和可能性的同等重要性。

结果

可以使用 3 分制评分机制按可能性和影响来评估组织的所有风险。

评估固有风险

固有风险是对未经处理的风险进行评估而得出的计算结果,或在没有实施控制或其他缓解因素的情况下,组织面临的原始风险。评估固有风险涉及将风险与战略图中定义的战略目标相关联,基于多个风险评分因素跨所有营运部门对风险进行评估一旦指定分数,战略应用程序就会自动计算固有风险。

提示

为避免手动进行战略风险评分,您可以使用评估推动器自动执行不同的风险评估。您可以将在结果应用程序中创建的度量链接到战略应用程序中的风险评估,以便通知评估,并根据预定义的度量范围自动填充固有风险评分。当风险评估发生变化时,可以通知主要利益相关者。

示例

场景

既然您已经建立了组织的风险评估标准,那么您就可以开始评估固有风险,固有风险是指在未实施控制或其他缓解因素的情况下存在的风险。为开始这一流程,您想要评估乳胶配方风险,主要围绕最高机密配方可能会意外落入竞争对手手中的可能性。如果发生这种情况,您的组织 Vandelay Industries 基本会出局。

流程

帮助主题 评估固有风险

首先,您打开 Latex 配方风险评估,并将风险与风险危及的相关战略目标联系起来。然后,您根据可能性和影响评估所有相关部门的风险。

  • 战略目标创新驱动战略,国际扩张,品牌认知度提高 25%(市场营销),营业额双位数增长(销售),维持品类领先地位,净推荐值 > 35%
  • 部门研发部、营运部、销售部、市场营销部、财务部/法务部、人力资源部

结果

您已完成乳胶配方风险的固有风险评估:

开展风险研讨会

风险研讨会提供了一个在线协作论坛,用于收集更多输入,并与高级管理层和业务部门领导合作评估风险。进入组织的外部顾问可以使用风险研讨会功能来方便地管理和整合来自各利益相关者的输入。每个参与者都可以对风险进行评分,得分将自动平均并聚合为单次风险评估并汇总到单一风险概况视图中。

提示

您可以做一些关键的事情来成功地协调召开风险研讨会:

  • 提供风险评分标准的明确定义确保所有参与者都可以使用定义,为其提供一致的方法来对风险进行评分。完成此任务的最简单方式是在风险评分因素和单个分数中提供有意义的描述。您可以在配置您的风险评分设置的过程中完成此任务。风险研讨会参与者随后可以在进行风险评分的过程中访问这些定义。
  • 选择适当的参与者从不同部门选择了解业务且深入了解具体的业务运作的人员。
  • 限制参与人数最佳做法是召集 10-25 名参与者;如果您需要召集大量参与者,则从结果应用程序发送调查是一种更有效的方法。

示例

场景

您希望邀请不同的利益相关者在风险评估流程中进行协作,但遗憾的是,您无法同时将主要利益相关者聚在一起。所有已识别的战略层面的风险由董事会或高管人员负责,但这些人员不了解企业各个部分的运作情况。您需要一种收集企业中的不同人员的输入并在单个、集中位置方便地管理其输入的方法。

流程

帮助主题 主持风险研讨会

首先,您创建了一个风险研讨会,并添加了研讨会参加者在在线协作论坛进行评估的风险。然后,您添加了相关参与者,并将风险研讨会发送给每个参与者。在参与者完成风险评分后,评分自动平均并聚合为一次风险评估,您决定将聚合风险评估应用于组织的风险概况中。

结果

现已完成对组织中所有已识别风险的固有风险评估:

2. 划分风险优先顺序

风险优先级划分是通过将风险水平与预定目标风险水平和容忍度阈值进行比较来确定风险管理优先级的过程。不仅在财务影响和可能性方面可以审核风险,还可以健康和安全影响、声誉影响、脆弱性、始现速度等主观标准为审核依据。

按状态组织风险

您可以通过将每个风险分配到状态并在风险缓解工作流程中定义其当前状态来组织风险。每个状态都被显示在风险概况中的单独的列中。您可以根据风险评估和组织的风险容忍度和风险偏好,将风险从一个状态转移到另一个状态。

示例

场景

现在您已在整个组织中评估了每个已识别的风险,您希望根据组织的风险缓解工作流程组织风险并为其分配不同的状况或状态。

流程

帮助主题 将风险分配为某个状态

您根据对您组织的风险和风险容忍度的评估,将风险从一个状态转移到另一个状态。对于特定风险,您指定接受或转移风险的持续时间。通过指定时间范围,您可以在日后轻松地重新评估特定风险。

结果

您的风险概况设置如下:

可视化风险

对风险进行可视化有助于全面了解和表达达影响组织的风险。风险热图通常用于表达风险的潜在可能性和影响,以便为组织的健康发展制定战略决策。战略热图也可用于可视化组织中的风险聚集,有助于为决策提供信息,决定在哪里提供资源来减轻优先级风险。

示例

场景

您需要划分风险的优先顺序,但您发现比较整个组织的所有风险颇具挑战性。您认识到,可视化风险不仅可以帮助您呈现风险评估结果,还可以让您决定组织中最为关注的领域,以便您可以相应地部署适当的资源。

流程

帮助主题 了解风险热图

您打开默认风险热图,以确定哪些风险应被视为首要重点。风险热图的右上象限表示更为关注的领域,右下象限表示较低的关注区域:

结果

根据风险热图,您可以快速确定组织中最为关注的风险。

3. 应对风险

在划分风险的优先顺序之后,是时候定义风险应对计划和评估残留风险了。企业风险管理(ERM)职能部门必须涵盖最接近风险的一线操作人员——可通过将项目应用程序中的运营风险和控制数据与战略应用程序中的战略风险联系来实现这点。这种自上而下和自下而上相结合的方式为完全覆盖年度评估中发现的所有风险提供了机会,并通过利用组织中适当人员的专业知识来嵌入问责制。

定义风险处理

风险处理是组织所采取的用来缓解风险的措施。这些措施可能包括计划、程序、策略或控制目标,您可以在项目应用程序中创建它们并将其关联到战略应用程序中的战略风险。链接有助于确保全面覆盖年度风险评估过程中发现的所有运营风险,并使您能够确定组织在缓解风险方面的表现。

提示

有时,初步风险处理评估可能表明您投入太多资源来减轻风险(风险处理% >= 100%)。在这种情况下,风险评估显示减少特定风险处理量的潜在机会,并缩减与风险处理相关的资源。

示例

场景

作为风险优先级划分的结果,您已确定组织主要关注的风险是乳胶配方风险。鉴于固有风险热度为 70.3%,您知道需要进行统筹以确保风险得到适当缓解。您开始与保障团队密切合作,定义风险处理,以减少乳胶配方被盗的可能性和影响。

流程

帮助主题 定义风险处理

保障团队在项目应用程序中创建了一个乳胶设施安全审查项目,并定义了以下目标:

确保在外部正确维护物理安全性

在战略应用程序中,您打开乳胶配方风险,导航至处理选项卡,并将项目应用程序中最新创建的目标链接至乳胶配方风险。

结果

在战略应用程序中的战略风险和项目应用程序中的关联目标之间定义关系,可让您跟踪保障和测试结果,并评估残留风险。

评估残留风险

在评估固有风险并确定风险如何得到处理之后,您可以进行初步风险处理评估,评估风险处理降低风险的程度。这可以让您识别企业面临的风险超出组织风险偏好的区域。评估残留风险涉及指定风险处理百分比,以确定风险处理降低固有风险的程度。风险处理百分比是基于所实施的风险处理工作在控制措施进行测试以提供保障之前的预期效果。

提示

您可以指定 0-100% 之间的百分比。总计处理 %加起来可以超过 100%。但是,如果聚合风险处理量超过 100%,可能表示您的组织可以考虑修改风险的处理并降低与处理风险相关的成本。

示例

场景

现在您已定义乳胶配方风险与物理安全目标之间的关系,您需要进行初步风险处理评估,评估风险处理降低风险的程度。评估可以让您识别企业面临的风险超出组织风险偏好的区域。

流程

帮助主题 评估残留风险

首先,您指定风险处理百分比,以确定处理措施降低固有乳胶配方风险的程度。在测试控制以提供保障之前,您根据所实施的风险处理工作的预期效果来指定风险处理百分比。

结果

当您输入每个百分比时,与运营部门相关联的所有风险处理的处理 %会自动更新。残留风险评分残留风险热度值自动更新。根据残留风险评估的结果,您可以选择接受或规避风险。

界定和评估流程级风险和控制

根据战略风险评估的结果,保障团队可以开始规划和界定微观级或流程级的风险和控制,并将其工作文件和通信集中在项目应用程序中。利用构成最后报告框架的背景、目标和范围,计划每个工作集,并根据需要附加计划文件。保障团队可以根据您的组织选择遵循的风险框架,使用数字指标量化风险,评估控制的有效性并注意任何问题,提供量化的数据,展示您的组织关键控制措施如何有效地缓解预期的风险,并将资源分配到风险最高的区域。

提示

您可以整合来自项目应用程序中的控制测试的证据,将交易数据聚合到战略应用程序中的战略风险,使用数据支持您提供给高级管理层和董事会的建议。

示例

场景

作为处理乳胶配方风险的一部分,您需要确保风险处理有效,即您需要保证乳胶配方风险得到妥善处理,且您没有在不能缓解风险的无效程序上浪费资源。

流程

帮助主题 执行程序和测试控制

为了确定风险处理的有效性,保障团队测试在确保在外部正确维护物理安全性目标下列出的每个程序。

  • 3-01 窗户应使用能够防止强行闯入的材料建造,或者用此类材料进行覆盖。不包含这些材料的 Windows 应受到入侵检测系统的保护。IDS 会提醒在 15 分钟内回应的响应服务。
  • 3-02 在周末,只有设施的主要入口(丹佛的南 1(Dv1))和洛杉矶的南 2(LA1))允许门禁卡访问。
  • 3-03 在非工作时间必须始终保留视觉监控。
  • 3-04 应有足够的照明,来检测未经授权的活动。

保障团队应将每个程序的权重定为 25%,这意味着程序缓解的风险百分比为 25%。

结果

保障团队捕获每个程序评估,并在执行程序 3-02 后识别问题:

后续步骤

了解如何报告和监控风险

通过结合使用战略、项目和结果应用程序,您可以跟踪与战略风险相关联的保障和测试结果,集成数据以帮助监控风险,并生成各种报告与相关利益相关者共享。

更多详情请参阅报告和监测风险

注册学校课程

通过学习 STRAT 100 课程内容,继续深入了解本文介绍的概念。

Academy 是 Diligent 的在线培训资源中心。对于所有拥有 Diligent One 订阅的用户,Academy 课程均无须额外付费。有关详细信息,请参阅 Academy