假设你的组织没有正式的企业风险管理方案.如果你是一个大公司,ERM可能因为筒仓,惯性等而令人生畏。
如果你在一家小公司工作,你可能会认为自己缺乏实现目标的资源。
我认为ERM是值得去做的,如果你只是简单地“以目标开始”,就不必那么复杂,就像Stephen Covey在《高度成功的安全领导者的7个习惯》中说的那样。如果他写了这样的书,他会说的。
我的想法的基础是COSO的ERM框架(链接到PDF格式的执行摘要)。当你开始ERM工作时,请记住以下内容,这些摘自COSO的工作:
你想要创建
*一个过程
*可以应用于战略制定
为了实现商业目标。
COSO表示,ERM的目标是“为实体目标的实现提供合理的保证”。换句话说:目标是使业务能够运作。这应该是您的安全部门的目标,而且(关键的是)您的首席执行官必须知道这就是您的目标。这就是为什么我喜欢COSO的ERM公式。它向企业传达了你正在努力帮助他们实现目标的信息。
因此,这里有一个练习,可以帮助你开始设计和完善一个可以应用于战略制定的过程。它不需要任何组织结构图技巧。这只是一个开始,但它可以是一个立即产生回报的开始。这将有助于为今后更正式的努力获得支持。
这个过程包括六个步骤。让我们选择内部调查作为我们将应用这些步骤的第一个业务活动。这六个步骤是基于COSO ERM的七个组成部分,并针对这个初学者的练习进行了修改。
步骤1。创建一个工作组,包括在内部调查中扮演任何角色的每个部门的代表。这可能包括人力资源、公司安全、信息安全、设施、财务和法律。
步骤2.集体风暴(即红色团队)活动和情景,可以在内部调查中为公司创造风险。这些事件可能包括各个部门或潜在的暴力嫌疑人的信息泄漏。
将风险按可能性和影响进行排序。这里不需要绝对的精度,尽管这一步可以提供动力收集新指标,既可以在您的业务内,也可以在外部世界进行基准测试。
步骤4。现在是控件和解决方案:列出现有控件。寻找部门间的冗余。群策群力,想出新的办法来解决这些风险。根据成本、难度和有效性对新控制进行排序——特别要注意那些能够降低可能性并影响多种类型事件的控制。如果幸运的话,您可能能够通过减少现有控件的冗余来购买新的控件。
步骤5.选择负责实施(或冠军)每个高优先级控制的相应点人员。
步骤6。建立一种方法来衡量每个新控件的效果,并建立一种方法来在您的工作团队内外交流这种衡量。不要把第六步做得太正式。记住:实现业务目标。保持简单。显示进展。让内部调查更有效,风险更低。
现在,在这些额外的领域,用一个新的团队重复这个六步过程:
*和品牌保护.
显然,这些区域中的每一个可能需要不同略微的团队成员。
除了你在每个领域创造的具体业务价值——第五步和第六步的可交付成果——你还将为更多的部门间沟通和协调打下基础。保安人员将在财务、营销和其他部门有更多更好的联系。正如我们之前提到的,这些联系可以构成为贵公司提供竞争优势.
雄心勃勃的目标?
是的,但第一步不必太大。希望这个六步练习能给你一个起点。
这个故事“企业风险管理:从六个步骤开始”最初是由方案 .