企业风险管理（ERM）：它是什么以及它的工作原理

企业风险管理（ERM）是一种从整个公司或组织的角度从战略上研究风险管理的方法。这是一种自上而下的策略，旨在识别，评估和准备潜在的损失，危险，危害和其他危害潜力，这可能会干扰组织的运营和目标和/或导致损失。

了解企业风险管理（ERM）

企业风险管理采用整体方法，并呼吁管理级别的决策，这对于个人业务部门或细分市场不一定是有意义的。因此，范围内的监视优先于每个业务部门负责其自身风险管理的负责人。

它通常还涉及使所有利益相关者的风险行动计划作为年度报告的一部分。像航空，建筑，公共卫生，国际发展，能源，金融和保险一样多样化的行业都转移到利用ERM。

因此，ERM可以努力最大程度地降低整个公司的风险，并确定范围内独特的机遇。在不同的业务部门之间进行沟通和协调是ERM成功的关键，因为来自高层管理人员的风险决策似乎与当地的本地评估不符。利用ERM的公司通常将拥有一个专门的企业风险管理团队，该团队负责监督公司的运作。

尽管ERM最佳实践和标准仍在不断发展，但它们是通过Coso正式化的，Coso是一个为公司和ERM专业人员维护和更新此类指导的行业集团。

风险管理的整体方法

现代企业面临各种风险和潜在危险。过去，公司传统上通过管理自己的业务来处理每个部门的风险暴露。企业风险管理呼吁公司确定他们面临的所有风险。它还使管理层决定要积极管理哪些风险。与在公司中孤立的风险相比，一家公司在使用ERM时会看到更大的情况。

ERM将每个业务部门视为公司内部的“投资组合”，并试图了解单个业务部门的风险如何相互作用和重叠。它还能够确定未见的潜在风险因素任何单位。

多年来，公司一直在管理风险。传统的风险管理依靠每个业务部门评估和处理自身风险，然后在以后的日期汇给首席执行官。最近，公司已经开始认识到需要更全面的方法。

一个首席风险官（CRO）例如，从ERM的角度来看，是公司执行职位。 CRO负责识别，分析和减轻影响整个公司的内部和外部风险。

CRO还致力于确保公司遵守政府法规，例如Sarbanes-Oxley（Sox）并审查可能受伤的因素投资或公司的业务部门。 CRO的授权将与其他高级管理人员一起指定与董事会和其他利益相关者一起指定。

企业风险管理的组成部分

COSO Enterprise风险管理框架确定了五个核心组件，这些核心组件定义了公司应如何实现其ERM实践。

治理和文化

治理设定了公司的基调，增强了ERM的重要性并确立了监督责任。文化涉及公司的道德价值观，所需的行为和对风险的理解。治理和文化原则正在行使董事会风险监督；建立操作结构；定义所需的公司文化;表现出对核心价值观的承诺；并致力于建立与战略和业务目标保持一致的人力资本（吸引，发展和保留有能力的个人）。

策略和客观设定

ERM建立并使公司的风险胃口与其战略保持一致，而公司的业务目标将该战略付诸实践，并作为确定，评估和应对风险的基础。随着公司确定其目的，它必须设定支持其使命和目标的目标。然后，这些目标必须与其风险食欲一致。公司的战略计划可以与自己想完成的工作保持一致，例如雇用额外的监管人员在不熟悉的扩张区域。它还可以评估替代策略。

表现

风险可能会影响公司的战略和业务目标的实现，因此，ERM指导表明它们被确定和评估。由于与风险食欲有关，因此优先考虑它们的优先级。例如，高风险事件可能会对操作构成风险（例如，迫使办公室暂时关闭的自然灾害）或战略性（例如，例如，政府监管禁止公司的主要产品线）。然后，公司确定并选择风险响应，并对假定风险的数量进行投资组合的视图。结果报告给主要利益相关者。

审查和修订

公司可以通过审查风险和绩效来考虑ERM组件随着时间的流逝的功能。确定和评估的实质性更改，如果需要进行，则进行了评估；确定必要的修订；并追求了ERM的改进。

信息，沟通和报告

ERM要求公司不断从内部和外部来源获得并共享必要的信息。信息技术（IT）系统应该能够捕获对管理有用的数据，以更好地了解公司的风险概况和风险管理。这意味着不给予部门的例外表现优于其他人。应该不断监控公司的所有方面。通过扩展，其中一些数据应该是分析如果与减轻风险有关，并与员工通信。通过与员工进行沟通，对公司资产的流程和保护更有可能更大。

如何实施企业风险管理实践

ERM实践将根据公司的规模，风险偏好和业务目标而有所不同。以下是大多数公司可以用来实施ERM策略的最佳实践。

• 定义风险哲学。在实施任何实践之前，公司必须确定其对风险的感觉以及其围绕风险的策略的感觉。这应该涉及管理层和对公司整个风险状况的分析之间的战略讨论。
• 创建行动计划。凭借公司的风险理念，是时候制定行动计划了。这定义了公司必须采取的步骤来保护其资产和计划，以保护组织的未来风险评估已经执行。
• 发挥创意。在考虑风险时，ERM需要广泛考虑公司可能面临的问题。尽管很牵强，但考虑到事件发生时，考虑它可能面临的许多挑战（或决定不回应）符合公司的最大利益。
• 交流优先事项。公司可能会确定几种高重要性风险对于减轻公司的延续至关重要。这些优先事项应被传达并广泛理解为在任何情况下不应产生的风险。另外，如果要发生事件，公司可能希望传达计划。
• 分配职责。设计行动计划后，应确定特定的员工以执行计划的特定部分。这可能包括如果员工离开公司，将任务委派给特定职位。这不仅允许所有行动项目进行处理，而且还将使成员对其风险地区负责。
• 保持灵活性。随着公司和风险的发展，公司必须设计ERM实践才能适应。下一个公司面临的风险可能会有所不同；该公司必须能够实现其当前计划，同时仍计划新的未来风险。
• 利用技术。 ERM数字平台可能会托管，总结和跟踪公司的许多风险。技术还可以用于实施内部控制或收集有关绩效如何跟踪ERM实践的数据。
• 不断监视。一旦实施了ERM实践，公司就必须确保遵守这些实践。这意味着跟踪进度朝着目标，确保减轻某些风险，并且员工正在按预期执行任务。
• 使用指标。作为监视ERM实践的一部分，公司应开发一系列指标量化是否达到目标。这些指标通常被称为智能目标，使公司对是否达到目标负责。

企业风险管理的优势和缺点

优势

ERM围绕公司文化设定了整个组织的期望。这包括更公开地沟通公司面临的风险以及如何减轻它们。这导致了较小的意外风险，并就如何应对某些事件做出反应。

此外，这可能会导致员工满意度了解保护公司资源的计划，以及更大的客户服务知道如何应对某些风险，知道如何应对客户。

ERM实践通常由交付给高层管理层的标准化风险报告合成。该报告简洁地总结了公司面临的风险，所采取的行动以及决策所需的信息。结果，一家公司的时间可能会更有效，尤其是考虑到已交付给高层管理层的东西。

ERM也可能对公司机智产生积极影响。 ERM可能会消除冗余过程，确保有效使用员工，减少盗窃或增加盈利能力通过更好地了解要进入的市场。

缺点

当公司建立其ERM实践时，它可能会考虑其过去曾承受过的熟悉风险。因此，ERM在确定组织不知道的未来风险方面受到限制，可能会产生更有害的影响。通过这种方式，有些人可能认为ERM是反应性的，因为公司只能根据其先前的经验来预测风险。

ERM还非常依赖管理估计和投入。这几乎是不可能准确预测的。例如，如果公司预测Covid-19大流行的发生的可能性很小，公司是否能够准确计算业务关闭的财政影响或消费者支出的变化？ ERM缓解成本也可能很难评估。

ERM实践是耗时的，因此要求公司的资源成功。尽管该公司将从保护其资产中受益，但必须损害其员工的时间，并可能使资本投资实施ERM策略。此外，公司可能会发现很难量化ERM的成功，因为必须简单地预测未发生的财务风险。

企业风险管理地址是什么类型的风险？

ERM可以帮助制定几乎任何类型的业务风险的计划。业务风险威胁公司生存的能力，这些风险可能会进一步归类为下面讨论的不同风险。通常，ERM最常解决以下类型的风险：

• 合规风险由于违反外部法律或要求而威胁公司。合规风险的一个例子是，公司无法根据适用的会计规则（例如普遍接受的会计原则（GAAP））制作及时的财务报表。
• 法律风险威胁公司应面临合同，纠纷或监管问题的诉讼或处罚。法律风险的一个例子是与主要客户的计费纠纷。
• 战略风险威胁公司的长期计划。例如，未来的新市场参与者可能会取代该公司作为善良的最低成本提供商。
• 操作风险威胁公司运营所需的日常活动。操作风险的一个例子是自然灾害，损害了存储库存的公司仓库。
• 安全风险如果盗用物理或数字资产，威胁公司的资产。安全风险的一个示例是无法控制网络服务器上存储的敏感客户信息的控件。
• 财务风险威胁公司的债务或财务状况。财务风险的一个例子是通过持有外币损失翻译损失。

ERM系统的理想实体

ERM特别适合在复杂和多样化的环境中运作的大型公司。这些公司经常在不同的业务部门，地区和职能上面临许多风险。 ERM帮助大型公司系统地识别，评估和管理运营和战略水平的风险。

ERM也可以在某些行业中特别有用。例如，ERM非常适合银行，保险公司和投资公司等金融机构。这些公司在高度监管和波动的市场中运营。这些机构面临着上面讨论的许多风险。通过将ERM纳入其运营中，金融机构可以加强风险管理实践，优化资本分配并增强对经济低迷的韧性。

最后，值得将跨国公司和全球企业视为理想实体。这些公司从ERM中受益，因为它们在多个国家和司法管辖区进行了广泛的运营。这些公司遇到与地缘政治不稳定，货币波动相关的各种风险，供应链在不同地区的破坏和法规遵守。通过实施ERM框架，全球企业可以更好地跟踪和维持这些风险，尤其是如果其实体在某些领域，部门或业务部门的风险更高时。

Erm vs. Erp

ERM主要关注识别，评估，管理和缓解整个组织的风险。另一方面，企业资源计划（ERP）工具专注于整合和优化核心业务流程。 ERP系统的主要目的是简化跨金融，制造，销售和营销（等）的运营。 ERM解决了组织内各个职能和部门的风险。 ERP系统通常在其范围上更具体。他们倾向于专注于更精细的操作效率，而不是更大的综合风险。

实施ERM工具需要在风险经理，合规人员，高管和董事会成员等主要利益相关者之间进行协作。这些利益相关者共同努力建立风险管理框架。 ERP实施可能更旨在在IT团队，部门负责人和最终用户。除了在操作中发挥重要作用外，ERP系统的主要组成部分是数据之间潜在的实时，相互联系的播放。因此，与ERM工具相反，ERP系统对它们的技术需求可能更高。

最后，ERM中的风险管理策略旨在支持长期可持续性，保护组织资产并最大程度地减少潜在的破坏。 ERP系统通过提高生产率，降低成本并提供对业务运营机会的实时见解，与组织的战略目标保持一致。从某种意义上说，ERM和ERP系统可能会相互抵消。例如，ERP系统可能会表示增长和效率的机会，以在特定的新市场中扩展； ERM可能表明新市场太大的风险要考虑。

ERM与CRM

客户关系管理（CRM）系统以管理与客户和潜在客户的互动为中心。它利用技术和流程来组织，自动化和同步销售，营销，客户服务和支持活动。 CRM的主要目的是改善与顾客，简化业务流程，并通过有效理解和满足客户需求来提高盈利能力。

像ERM一样，CRM系统合并数据。但是，数据的性质是完全不同的。尽管ERMS跟踪和监视风险，但CRMS最关心客户数据，交互和见解，使公司能够增强客户的参与度和满意度。 CRM实施对销售团队至关重要，营销依靠客户数据来推动销售增长并提高整体业务绩效的部门，客户服务代表和高管。另外，ERMS对于风险，保险，运营或财务等运营团队更有用。

ERM专注于组织各个方面的全面风险管理。尽管它也可以结合外部市场力量，但这往往是内向的。或者，CRM的外向更大。虽然它将考虑公司内的当前流程和资源，但CRM存在以监视公司以外的情况，并说公司的最重要资源（即其客户）。

ERM的示例

ExxonMobil（XOM）是在石油和天然气行业运营的大型跨国公司中如何实施ERM的一个强大例子。 Exxonmobil的ERM是一种结构化方法，涵盖了组织的各个级别，旨在识别，评估，管理和减轻可能影响其业务运营和整体绩效的风险。有关Exxonmobil的ERM策略的信息在公司的网站上。

埃克森美孚（Exxonmobil）的框架整合了五个核心要素：组织和汇总风险，严格的风险识别实践，优先级序列方法，风险管理的系统和流程以及全面的风险治理。这种多层方法包括风险所有者，功能专家和独立验证者的定义角色和责任。目的是，每种风险都必须积极管理并与公司要求和流程保持一致。

在启动新发展之前，该公司采用高级数据和计算机建模来评估与建筑和运营相关的潜在环境，社会经济和健康风险。通过公开会议与社区互动并与监管机构合作确保透明的沟通和遵守监管标准，这两者都可以在将来最大程度地降低风险。

由综合ERM引导的严格过程还使ExxonMobil能够实施量身定制的措施，以防止，最小化或减轻环境影响。这些不同类型的风险可能从变化的天气模式到海平面上升，地震活动或地质条件。 Exxonmobil的环境评估及其ERM是针对离岸和陆上设施进行的，以有效地部署保护性措施并维护运营安全。

底线

作为一家公司制造，出售和向客户提供商品，它面临来自众多来源的无数风险。为了更好地计划这些风险，公司正在转向企业风险管理（ERM），这是一种范围内的，自上而下的方法来评估风险和设计计划。 ERM的最终目标是保护公司的资产和运营，同时如果发生某些不幸事件，则制定策略。