企業風險管理（ERM）：它是什麼以及它的工作原理

企業風險管理（ERM）是一種從整個公司或組織的角度從戰略上研究風險管理的方法。這是一種自上而下的策略，旨在識別，評估和準備潛在的損失，危險，危害和其他危害潛力，這可能會干擾組織的運營和目標和/或導致損失。

了解企業風險管理（ERM）

企業風險管理採用整體方法，並呼籲管理級別的決策，這對於個人業務部門或細分市場不一定是有意義的。因此，範圍內的監視優先於每個業務部門負責其自身風險管理的負責人。

它通常還涉及使所有利益相關者的風險行動計劃作為年度報告的一部分。像航空，建築，公共衛生，國際發展，能源，金融和保險一樣多樣化的行業都轉移到利用ERM。

因此，ERM可以努力最大程度地降低整個公司的風險，並確定範圍內獨特的機遇。在不同的業務部門之間進行溝通和協調是ERM成功的關鍵，因為來自高層管理人員的風險決策似乎與當地的本地評估不符。利用ERM的公司通常將擁有一個專門的企業風險管理團隊，該團隊負責監督公司的運作。

儘管ERM最佳實踐和標準仍在不斷發展，但它們是通過Coso正式化的，Coso是一個為公司和ERM專業人員維護和更新此類指導的行業集團。

風險管理的整體方法

現代企業面臨各種風險和潛在危險。過去，公司傳統上通過管理自己的業務來處理每個部門的風險暴露。企業風險管理呼籲公司確定他們面臨的所有風險。它還使管理層決定要積極管理哪些風險。與在公司中孤立的風險相比，一家公司在使用ERM時會看到更大的情況。

ERM將每個業務部門視為公司內部的“投資組合”，並試圖了解單個業務部門的風險如何相互作用和重疊。它還能夠確定未見的潛在風險因素任何單位。

多年來，公司一直在管理風險。傳統的風險管理依靠每個業務部門評估和處理自身風險，然後在以後的日期匯給首席執行官。最近，公司已經開始認識到需要更全面的方法。

一個首席風險官（CRO）例如，從ERM的角度來看，是公司執行職位。 CRO負責識別，分析和減輕影響整個公司的內部和外部風險。

CRO還致力於確保公司遵守政府法規，例如Sarbanes-Oxley（Sox）並審查可能受傷的因素投資或公司的業務部門。 CRO的授權將與其他高級管理人員一起指定與董事會和其他利益相關者一起指定。

企業風險管理的組成部分

COSO Enterprise風險管理框架確定了五個核心組件，這些核心組件定義了公司應如何實現其ERM實踐。

治理和文化

治理設定了公司的基調，增強了ERM的重要性並確立了監督責任。文化涉及公司的道德價值觀，所需的行為和對風險的理解。治理和文化原則正在行使董事會風險監督；建立操作結構；定義所需的公司文化;表現出對核心價值觀的承諾；並致力於建立與戰略和業務目標保持一致的人力資本（吸引，發展和保留有能力的個人）。

策略和客觀設定

ERM建立並使公司的風險胃口與其戰略保持一致，而公司的業務目標將該戰略付諸實踐，並作為確定，評估和應對風險的基礎。隨著公司確定其目的，它必須設定支持其使命和目標的目標。然後，這些目標必須與其風險食慾一致。公司的戰略計劃可以與自己想完成的工作保持一致，例如僱用額外的監管人員在不熟悉的擴張區域。它還可以評估替代策略。

表現

風險可能會影響公司的戰略和業務目標的實現，因此，ERM指導表明它們被確定和評估。由於與風險食慾有關，因此優先考慮它們的優先級。例如，高風險事件可能會對操作構成風險（例如，迫使辦公室暫時關閉的自然災害）或戰略性（例如，例如，政府監管禁止公司的主要產品線）。然後，公司確定並選擇風險響應，並對假定風險的數量進行投資組合的視圖。結果報告給主要利益相關者。

審查和修訂

公司可以通過審查風險和績效來考慮ERM組件隨著時間的流逝的功能。確定和評估的實質性更改，如果需要進行，則進行了評估；確定必要的修訂；並追求了ERM的改進。

信息，溝通和報告

ERM要求公司不斷從內部和外部來源獲得併共享必要的信息。信息技術（IT）系統應該能夠捕獲對管理有用的數據，以更好地了解公司的風險概況和風險管理。這意味著不給予部門的例外表現優於其他人。應該不斷監控公司的所有方面。通過擴展，其中一些數據應該是分析如果與減輕風險有關，並與員工通信。通過與員工進行溝通，對公司資產的流程和保護更有可能更大。

如何實施企業風險管理實踐

ERM實踐將根據公司的規模，風險偏好和業務目標而有所不同。以下是大多數公司可以用來實施ERM策略的最佳實踐。

• 定義風險哲學。在實施任何實踐之前，公司必須確定其對風險的感覺以及其圍繞風險的策略的感覺。這應該涉及管理層和對公司整個風險狀況的分析之間的戰略討論。
• 創建行動計劃。憑藉公司的風險理念，是時候制定行動計劃了。這定義了公司必須採取的步驟來保護其資產和計劃，以保護組織的未來風險評估已經執行。
• 發揮創意。在考慮風險時，ERM需要廣泛考慮公司可能面臨的問題。儘管很牽強，但考慮到事件發生時，考慮它可能面臨的許多挑戰（或決定不回應）符合公司的最大利益。
• 交流優先事項。公司可能會確定幾種高重要性風險對於減輕公司的延續至關重要。這些優先事項應被傳達並廣泛理解為在任何情況下不應產生的風險。另外，如果要發生事件，公司可能希望傳達計劃。
• 分配職責。設計行動計劃後，應確定特定的員工以執行計劃的特定部分。這可能包括如果員工離開公司，將任務委派給特定職位。這不僅允許所有行動項目進行處理，而且還將使成員對其風險地區負責。
• 保持靈活性。隨著公司和風險的發展，公司必須設計ERM實踐才能適應。下一個公司面臨的風險可能會有所不同；該公司必須能夠實現其當前計劃，同時仍計劃新的未來風險。
• 利用技術。 ERM數字平台可能會託管，總結和跟踪公司的許多風險。技術還可以用於實施內部控製或收集有關績效如何跟踪ERM實踐的數據。
• 不斷監視。一旦實施了ERM實踐，公司就必須確保遵守這些實踐。這意味著跟踪進度朝著目標，確保減輕某些風險，並且員工正在按預期執行任務。
• 使用指標。作為監視ERM實踐的一部分，公司應開發一系列指標量化是否達到目標。這些指標通常被稱為智能目標，使公司對是否達到目標負責。

企業風險管理的優勢和缺點

優勢

ERM圍繞公司文化設定了整個組織的期望。這包括更公開地溝通公司面臨的風險以及如何減輕它們。這導致了較小的意外風險，並就如何應對某些事件做出反應。

此外，這可能會導致員工滿意度了解保護公司資源的計劃，以及更大的客戶服務知道如何應對某些風險，知道如何應對客戶。

ERM實踐通常由交付給高層管理層的標準化風險報告合成。該報告簡潔地總結了公司面臨的風險，所採取的行動以及決策所需的信息。結果，一家公司的時間可能會更有效，尤其是考慮到已交付給高層管理層的東西。

ERM也可能對公司機智產生積極影響。 ERM可能會消除冗餘過程，確保有效使用員工，減少盜竊或增加盈利能力通過更好地了解要進入的市場。

缺點

當公司建立其ERM實踐時，它可能會考慮其過去曾承受過的熟悉風險。因此，ERM在確定組織不知道的未來風險方面受到限制，可能會產生更有害的影響。通過這種方式，有些人可能認為ERM是反應性的，因為公司只能根據其先前的經驗來預測風險。

ERM還非常依賴管理估計和投入。這幾乎是不可能準確預測的。例如，如果公司預測Covid-19大流行的發生的可能性很小，公司是否能夠準確計算業務關閉的財政影響或消費者支出的變化？ ERM緩解成本也可能很難評估。

ERM實踐是耗時的，因此要求公司的資源成功。儘管該公司將從保護其資產中受益，但必須損害其員工的時間，並可能使資本投資實施ERM策略。此外，公司可能會發現很難量化ERM的成功，因為必須簡單地預測未發生的財務風險。

企業風險管理地址是什麼類型的風險？

ERM可以幫助制定幾乎任何類型的業務風險的計劃。業務風險威脅公司生存的能力，這些風險可能會進一步歸類為下面討論的不同風險。通常，ERM最常解決以下類型的風險：

• 合規風險由於違反外部法律或要求而威脅公司。合規風險的一個例子是，公司無法根據適用的會計規則（例如普遍接受的會計原則（GAAP））製作及時的財務報表。
• 法律風險威脅公司應面臨合同，糾紛或監管問題的訴訟或處罰。法律風險的一個例子是與主要客戶的計費糾紛。
• 戰略風險威脅公司的長期計劃。例如，未來的新市場參與者可能會取代該公司作為善良的最低成本提供商。
• 操作風險威脅公司運營所需的日常活動。操作風險的一個例子是自然災害，損害了存儲庫存的公司倉庫。
• 安全風險如果盜用物理或數字資產，威脅公司的資產。安全風險的一個示例是無法控製網絡服務器上存儲的敏感客戶信息的控件。
• 財務風險威脅公司的債務或財務狀況。財務風險的一個例子是通過持有外幣損失翻譯損失。

ERM系統的理想實體

ERM特別適合在復雜和多樣化的環境中運作的大型公司。這些公司經常在不同的業務部門，地區和職能上面臨許多風險。 ERM幫助大型公司係統地識別，評估和管理運營和戰略水平的風險。

ERM也可以在某些行業中特別有用。例如，ERM非常適合銀行，保險公司和投資公司等金融機構。這些公司在高度監管和波動的市場中運營。這些機構面臨著上面討論的許多風險。通過將ERM納入其運營中，金融機構可以加強風險管理實踐，優化資本分配並增強對經濟低迷的韌性。

最後，值得將跨國公司和全球企業視為理想實體。這些公司從ERM中受益，因為它們在多個國家和司法管轄區進行了廣泛的運營。這些公司遇到與地緣政治不穩定，貨幣波動相關的各種風險，供應鏈在不同地區的破壞和法規遵守。通過實施ERM框架，全球企業可以更好地跟踪和維持這些風險，尤其是如果其實體在某些領域，部門或業務部門的風險更高時。

Erm vs. Erp

ERM主要關注識別，評估，管理和緩解整個組織的風險。另一方面，企業資源計劃（ERP）工具專注於整合和優化核心業務流程。 ERP系統的主要目的是簡化跨金融，製造，銷售和營銷（等）的運營。 ERM解決了組織內各個職能和部門的風險。 ERP系統通常在其範圍上更具體。他們傾向於專注於更精細的操作效率，而不是更大的綜合風險。

實施ERM工具需要在風險經理，合規人員，高管和董事會成員等主要利益相關者之間進行協作。這些利益相關者共同努力建立風險管理框架。 ERP實施可能更旨在在IT團隊，部門負責人和最終用戶。除了在操作中發揮重要作用外，ERP系統的主要組成部分是數據之間潛在的實時，相互聯繫的播放。因此，與ERM工具相反，ERP系統對它們的技術需求可能更高。

最後，ERM中的風險管理策略旨在支持長期可持續性，保護組織資產並最大程度地減少潛在的破壞。 ERP系統通過提高生產率，降低成本並提供對業務運營機會的實時見解，與組織的戰略目標保持一致。從某種意義上說，ERM和ERP系統可能會相互抵消。例如，ERP系統可能會表示增長和效率的機會，以在特定的新市場中擴展； ERM可能表明新市場太大的風險要考慮。

ERM與CRM

客戶關係管理（CRM）系統以管理與客戶和潛在客戶的互動為中心。它利用技術和流程來組織，自動化和同步銷售，營銷，客戶服務和支持活動。 CRM的主要目的是改善與顧客，簡化業務流程，並通過有效理解和滿足客戶需求來提高盈利能力。

像ERM一樣，CRM系統合併數據。但是，數據的性質是完全不同的。儘管ERMS跟踪和監視風險，但CRMS最關心客戶數據，交互和見解，使公司能夠增強客戶的參與度和滿意度。 CRM實施對銷售團隊至關重要，行銷依靠客戶數據來推動銷售增長並提高整體業務績效的部門，客戶服務代表和高管。另外，ERMS對於風險，保險，運營或財務等運營團隊更有用。

ERM專注於組織各個方面的全面風險管理。儘管它也可以結合外部市場力量，但這往往是內向的。或者，CRM的外向更大。雖然它將考慮公司內的當前流程和資源，但CRM存在以監視公司以外的情況，並說公司的最重要資源（即其客戶）。

ERM的示例

ExxonMobil（XOM）是在石油和天然氣行業運營的大型跨國公司中如何實施ERM的一個強大例子。 Exxonmobil的ERM是一種結構化方法，涵蓋了組織的各個級別，旨在識別，評估，管理和減輕可能影響其業務運營和整體績效的風險。有關Exxonmobil的ERM策略的信息在公司的網站上。

埃克森美孚（Exxonmobil）的框架整合了五個核心要素：組織和匯總風險，嚴格的風險識別實踐，優先級序列方法，風險管理的系統和流程以及全面的風險治理。這種多層方法包括風險所有者，功能專家和獨立驗證者的定義角色和責任。目的是，每種風險都必須積極管理並與公司要求和流程保持一致。

在啟動新發展之前，該公司採用高級數據和計算機建模來評估與建築和運營相關的潛在環境，社會經濟和健康風險。通過公開會議與社區互動並與監管機構合作確保透明的溝通和遵守監管標準，這兩者都可以在將來最大程度地降低風險。

由綜合ERM引導的嚴格過程還使ExxonMobil能夠實施量身定制的措施，以防止，最小化或減輕環境影響。這些不同類型的風險可能從變化的天氣模式到海平面上升，地震活動或地質條件。 Exxonmobil的環境評估及其ERM是針對離岸和陸上設施進行的，以有效地部署保護性措施並維護運營安全。

底線

作為一家公司製造，出售和向客戶提供商品，它面臨來自眾多來源的無數風險。為了更好地計劃這些風險，公司正在轉向企業風險管理（ERM），這是一種範圍內的，自上而下的方法來評估風險和設計計劃。 ERM的最終目標是保護公司的資產和運營，同時如果發生某些不幸事件，則制定策略。