企业风险管理(ERM)
企业风险管理(ERM) 是什么?
企业风险管理(ERM)面向全企业的整合性方法,识别、治理和处置战略、财务、运营、合规和网络等各类风险,使之与业务目标一致。
ERM 强调以整体视角而非孤岛方式管理风险。成熟的项目由董事会和 CEO 发起,由首席风险官(或同等职位)负责,并将风险嵌入战略规划、资本配置与绩效管理。常见框架包括 COSO ERM(2017)、ISO 31000 和 NIST 风险管理框架,涉及治理、文化、风险偏好设定、风险识别、应对、监控与报告。受监管要求和数字事件系统性影响推动,网络风险越来越多地与财务、运营风险并列作为一类顶层风险。有效的 ERM 让风险承担与战略保持一致,并向高管、董事会、监管机构和评级机构提供一致的风险视图。
● 示例
- 01
对齐 COSO ERM 的项目,覆盖战略、财务、运营、合规与网络风险。
- 02
整合信用、运营与网络风险敞口的综合风险仪表板。
● 常见问题
企业风险管理(ERM) 是什么?
面向全企业的整合性方法,识别、治理和处置战略、财务、运营、合规和网络等各类风险,使之与业务目标一致。 它属于网络安全的 合规与框架 分类。
企业风险管理(ERM) 是什么意思?
面向全企业的整合性方法,识别、治理和处置战略、财务、运营、合规和网络等各类风险,使之与业务目标一致。
企业风险管理(ERM) 是如何工作的?
ERM 强调以整体视角而非孤岛方式管理风险。成熟的项目由董事会和 CEO 发起,由首席风险官(或同等职位)负责,并将风险嵌入战略规划、资本配置与绩效管理。常见框架包括 COSO ERM(2017)、ISO 31000 和 NIST 风险管理框架,涉及治理、文化、风险偏好设定、风险识别、应对、监控与报告。受监管要求和数字事件系统性影响推动,网络风险越来越多地与财务、运营风险并列作为一类顶层风险。有效的 ERM 让风险承担与战略保持一致,并向高管、董事会、监管机构和评级机构提供一致的风险视图。
如何防御 企业风险管理(ERM)?
针对 企业风险管理(ERM) 的防御通常结合技术控制与运营实践,详见上方完整定义。
企业风险管理(ERM) 还有哪些其他名称?
常见的别称包括: ERM。
● 相关术语
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 934
风险偏好
由董事会和高层确定的、组织为实现战略目标而愿意追求或承担的风险的总体数量与类型。
- compliance№ 937
风险登记册
记录已识别风险的描述、责任人、评分、处置和状态的动态清单,用于跟踪组织在不同时间的风险敞口。
- compliance№ 1144
第三方风险管理(TPRM)
对第三方进行识别、评估、签约、持续监控直至退出的端到端管理流程,使其带来的网络、运营与合规风险保持在偏好之内。
- compliance№ 402
FAIR(信息风险因子分析)
一项开放的国际标准,通过将风险分解为损失事件频率与损失量级等因子,在财务维度上量化信息风险与网络风险。
- compliance№ 733
NIST 风险管理框架
NIST 在 SP 800-37 中定义的七步流程,用于将安全、隐私和供应链风险管理整合到系统生命周期中。