什么是风险管理？重要性、优势与实施指南

风险管理是识别、评估和控制组织资本、收益与运营所面临威胁的过程。这些风险源于多种来源，包括财务不确定性、法律责任、技术问题、战略管理失误、事故和自然灾害。本综合指南解释了风险管理为何比以往任何时候都更加重要，并引导读者如何建立风险管理计划，通过超链接文章提供额外的关键信息。

风险管理的定义与重要性

风险管理是识别、评估和控制组织资本、运营和财务绩效所面临威胁的过程。这些风险源于各种来源，包括经济波动、财务不确定性、法律责任、技术问题、管理错误、工作场所事故和自然灾害。

成功的风险管理计划帮助组织考虑其面临的全部风险范围。风险管理还检查不同类型业务风险之间的关系以及它们对组织战略目标的级联影响。

由于其强调在整个组织中理解和管理风险，这种整体方法被称为企业风险管理（ERM）。除了关注内部和外部风险威胁外，ERM还强调管理积极风险的重要性。这些是可能增加业务价值的机会，或者相反，如果不采取行动，可能会损害组织，正如被亚马逊、Netflix和其他数字原生巨头颠覆的公司所证明的那样。

事实上，任何风险管理计划的目标不是消除所有风险，而是做出明智的风险决策。“我们管理风险不是为了没有风险。我们管理风险是为了知道哪些风险值得承担，哪些风险将帮助我们实现目标，”Forrester Research首席分析师Alla Valente说，她专门研究ERM、治理、风险与合规（GRC）以及其他风险相关主题。

本风险管理指南提供了推动这一动态领域的关键概念、要求、工具和趋势的全面概述。它还为风险和业务领导者提供了关于风险管理过程以及如何实施ERM计划的指导。在整个指南中，超链接连接到其他文章，提供更深入的信息。

风险管理的重要性

风险管理对业务成功至关重要——可以说比以往任何时候都更加重要。现代组织面临的风险由于全球化的快速步伐而变得更加复杂。新的风险不断出现，通常与现在普遍使用的技术有关。风险专家将气候变化称为“威胁倍增器”。许多组织仍在努力应对COVID-19大流行带来的一些风险，包括持续需要管理远程或混合工作环境，以及如何使供应链不易受到干扰。

因此，风险管理计划应与组织战略交织在一起。为了将它们联系起来，风险管理领导者必须首先定义组织的风险偏好——即为实现其业务目标而愿意接受的风险量。一些风险将符合风险偏好，并被接受，无需进一步行动。其他风险将被减轻以减少潜在的负面影响，与另一方共享或转移，或完全避免。

在许多公司中，业务高管和董事会已经认识到需要更有效的风险管理，并正在重新审视他们的计划。组织正在重新评估其风险暴露和风险偏好，检查风险过程，并重新考虑谁应该参与风险管理。以前采取被动风险管理方法的公司——防范过去的风险，仅在新风险造成损害后改变做法——正在寻求更主动的ERM方法的竞争优势。通过风险管理倡议支持业务可持续性、弹性和敏捷性的兴趣日益增强。公司还在探索AI技术和复杂的GRC平台如何改善风险管理。

金融服务与其他行业的风险管理

许多专家指出，在受到严格监管且具有基于风险的业务模式的公司中，管理风险是一个正式职能。例如，银行和保险公司长期拥有大型风险部门，通常由首席风险官（CRO）领导，这一头衔在金融行业之外仍然相对不常见。此外，金融服务公司面临的风险往往根植于数字。因此，它们可以使用已知技术和成熟方法进行量化和有效分析。风险情景建模和情景分析可以以一定的精度进行。

对于其他行业，风险往往更具定性。这增加了对 deliberate、彻底和一致的风险管理方法的需求，Gartner实践副总裁Matt Shinkman说，他领导该咨询公司的风险管理和审计实践。“企业风险管理计划旨在帮助这些公司在管理风险方面尽可能聪明。”

风险管理过程

最著名的风险管理资源之一是由国际标准化组织（ISO）开发的ISO 31000标准。ISO 31000:2018是该标准的当前版本，概述了任何类型实体都可以使用的风险管理过程，包括以下核心步骤：

1. 识别组织面临的风险。
2. 分析每个风险的可能性和可能影响。
3. 基于业务目标评估和优先排序风险。
4. 处理或响应风险条件。
5. 监控风险控制的结果并根据需要调整。

这些步骤听起来很简单，但为领导倡议而设立的风险管理委员会不应低估完成过程所需的工作。首先，需要扎实理解组织的运作方式。为了获得这一点，ISO 31000过程还包括一个前期步骤，以建立风险管理努力的范围、业务背景和一套风险标准。目标是了解每个识别的风险与组织愿意接受的最大风险之间的关系，以及应采取哪些风险管理行动来保存和增强组织价值。制定内部沟通计划是另一个关键的基础步骤。

记录业务影响并创建风险注册表

根据定义，只有具有潜在业务影响的事物才是风险，咨询公司Palydin LCC总裁Greg Witte说，他是NIST开发的关于网络安全、隐私、劳动力和其他风险的框架的架构师。

在识别风险情景时，许多风险管理委员会发现结合自上而下和自下而上的方法很有用，Witte说。在自上而下的练习中，领导层识别组织的关键任务过程，并与内部和外部利益相关者合作确定可能阻碍它们的条件。自下而上的视角从威胁源开始——网络攻击、经济衰退、地震等——并考虑它们对关键资产的潜在影响。

组织通常将其发现记录在风险注册表中，这有助于在风险管理过程的后续步骤中跟踪风险。风险注册表包括关于不同风险影响组织的可能性及其潜在业务影响的信息。它们还记录风险响应计划、风险所有者和利益相关者，以及管理风险的成本。可下载的风险注册表模板可以在上面链接的文章中找到。

风险管理标准和框架

随着过去二十年政府和行业合规规则的扩展，对企业风险管理实践的监管和董事会级审查也增加了。这使得风险分析、内部审计、风险评估和其他风险管理功能成为业务战略的主要组成部分。组织如何将这一切整合在一起？

由标准机构和其他实体开发的风险管理框架可以提供帮助。以下是其中一些的样本，从两个最广泛认可的框架的简要描述开始：ISO 31000和由Treadway委员会赞助组织委员会（更广为人知的是COSO）提供的COSO ERM框架：

• COSO ERM框架：于2004年推出，2017年更新，以解决ERM日益复杂的问题，并强调将风险考虑嵌入业务战略以及将风险管理与运营绩效联系起来的重要性。它是一组互补的COSO框架的一部分，还包括一个内部控制框架（首次发布于1992年）和一个新的公司治理框架（目前处于草案形式）。风险管理框架定义了关键的ERM概念和原则，建议了通用的ERM语言，并提供了管理风险的明确方向。由咨询公司PwC与COSO的五个成员组织和外部顾问的输入开发，更新后的框架是一套20条原则，组织成风险管理计划的五个相互关联的组成部分：

  • 治理和文化
  • 战略和目标设定
  • 绩效
  • 审查和修订
  • 信息、沟通和报告

• ISO 31000：于2009年发布，2018年修订，ISO标准包括ERM原则列表、帮助组织将风险管理机制应用于运营的框架，以及上述识别、评估和减轻风险的详细过程。由ISO的风险管理技术委员会与ISO国家成员机构的输入开发，ISO 31000:2018是一个比其前身更短、更简洁的文件，并包括更多关于ERM的战略指导。较新版本还强调了高级管理层在风险计划中的重要作用以及风险管理实践在整个组织中的整合。

一些国家标准机构和团体也发布了特定国家版本的ISO 31000。例如，美国国家标准协会提供了一个由美国安全专业人士协会监督的版本。同样，英国标准机构提供了一个英国版本以及BS 31100，一个风险管理实践代码，提供了实现ISO 31000:2018中描述的概念的过程——包括识别、评估和响应风险等功能，然后报告和审查风险管理活动。

其他专门关注IT和网络安全风险的框架也可用。它们包括NIST的风险管理框架，详细介绍了将信息安全