我的组织是否有改进企业风险管理的空间? (是的，战略性思考)

Your organization’s Enterprise 风险 Management (ERM) activities are mature; your Board and Executive team are in alignment on expectations of ERM integration; your ERM program is unified with your strategic objectives and tied to performance.

治理和监督目标与绩效保持一致, 对结果的持续监测被有效地沟通，以进一步推动组织决策.

你的风险偏好与你的策略一致, 并经常被重新审视，以推动持续的目标设定.

您可以使用详细的度量和关键风险指示器的最新度量来监视风险, 利用各种技术并与第三方进行交互.

新出现的风险会立即被识别出来，并落实到日常决策中, 我们就讲到这里.

If any of these statements ring true; congratulations, 你的组织可能有一个非常成熟和主动的ERM计划. 你甚至可能已经制定了2017年6月特雷德韦委员会(COSO)赞助组织委员会的组成部分企业风险管理与战略和绩效整合出版物(1). Or, 也许您的利益相关者将“风险”视为每年一次的一小时会议过程, 然后提交给审计委员会的ppt.

如果你的组织已经参与ERM很多年了, 有可能这个程序已经静止了. 最初的兴奋, 多年来，利益相关者对你的ERM计划的接受可能已经转变为自满. 现在可能是检查ERM是否提供价值的时候了, 或者它已经变成了一种打勾式的练习.
在审查现有的ERM程序时, 寻找能够提供更高价值的领域, 检查“风险”在战略和目标设定过程中的位置是一个很好的起点.

如果你的组织和其他许多组织一样, 您的ERM计划可能经常感觉它是与您的绩效和策略分离的孤岛. 董事会和执行团队将战略与风险隔离开来并不罕见, 或者更糟, 他们认为ERM是完全独立于业务目标设定的内部控制活动.

在COSO ERM中确定-与战略和绩效相结合, 许多组织历来利用ERM来识别, 评估, 管理战略风险. 然而, 通常，组织面临的主要风险是战略不支持其使命, 愿景, 以及战略的含义.

新的COSO框架指出了ERM一致性的重要性, 策略, 目标设定. 在这个框架中，他们概述了一个五原则(组件)框架.

1. 管治及文化: 治理设定了组织的基调, 加强…的重要性, 并建立监督责任, 企业风险管理. 文化涉及道德价值观、期望的行为和对实体风险的理解.

2. 战略和目标设定: 企业风险管理, 策略, 和目标设定在战略规划过程中一起工作. A risk appetite is established and aligned with 策略; business objectives put 策略 into practice while serving as a basis for identifying, 评估, 对风险做出反应.

3. 性能: 需要识别和评估可能影响战略和业务目标实现的风险. 在风险偏好的背景下，风险按严重程度排序. 然后，组织选择风险响应，并对它所承担的风险量进行组合视图. 该过程的结果报告给主要风险利益相关者.

4. 检讨及修订:通过审查实体绩效, 组织可以考虑企业风险管理组件随着时间的推移以及根据重大变化的运行情况, 以及需要哪些修改.

5. 信息、沟通和报告企业风险管理需要一个不断获取和分享必要信息的过程, 从内部和外部来源, 它向上流动, 下来, 在整个组织中.

通过关注5个组成部分, 并结合整个实体的相关元素, 您的组织将进一步将战略和目标设定视为依赖于ERM, 这就是证据的价值.
Implementation may take many forms; for example, 许多组织将调整他们的使命, 战略行动, 和各部门的ERM风险目标. 一旦联系, 他们将监测缓解活动, 这种性能监控是策略设置的自然接触点.
应当努力将监测风险的观点从侦查和反应转变为预测和主动. 为了在现有战略和目标设定过程中引入更广泛的风险焦点，需要有价值的风险信息. 这意味着在持续的基础上利用数据和涉众知识，以提供最新的信息，从而做出更好的决策. 将增强的风险信息纳入战略过程将有助于管理层从风险角度理解决策的含义.

重要的是, 不管你的ERM程序现在在哪里, 加强风险和战略制定的协调将导致更多的知识共享，并最终做出更明智的决策.