对于企业风险管理，我们发现了不下一打定义。这里我们不妨借用一下James Lam的定义。Lam是一名作者兼顾问，他自称是世界上第一位首席风险官（最先在GE Capital公司担任此职）。

　　他说，ERM是指“综合管理业务风险、财务风险、经营风险和风险转移，力求公司股东价值的最大化。”也就是说，企业风险管理思想通过统一分析公司内外的所有风险，制订行政级管理策略来处理这些风险，从而来提高公司的盈利能力。Lam或别人对企业风险管理所下的定义通常都包括以下这些基本原理：

　　1．从综合角度分析风险。IT、人力资源、财务及其他每个“独立部门”使用标准的语言、衡量尺度和工具。许多财务部门已经拥有风险管理流程，所以这类标准有可能来自该部门。同时，广告公司McCann Worldgroup的CIO Bill Sharon基本上借用了获得诺贝尔奖的几位心理学家开发的一套风险系统，该系统在Peter Bernstein所著的《与天为敌：人类战胜风险的神奇故事》（《Against the Gods：The Remarkable Story of Risk》）一书中有详细介绍。

　　2．从全公司角度分析风险。企业风险管理不是汇集每个独立部门面临的风险，而是汇集彼此及公司相对于每个独立部门的风险。Sherry Higgins在联邦调查局（FBI）工作，她领导了一个名为Trilogy的IT项目。最初的行动之一就是落实企业风险框架，她很快就认识到：离最初期限只有四个月时间，所以不现实。Higgins说：“项目面临的风险显而易见。不过我分析了FBI面临的风险。如果情报分析员无法及时获得这些系统，会是什么后果？如果你去国会发布这个消息，对整个FBI的筹资工作意味着什么？企业风险管理的目的就是处理涉及诸多独立部门以及它们之间的这些风险。”

　　3．从利润角度分析风险。风险总是从整个业务而不是某个独立部门所受到的潜在影响来表述的。Higgins决定需要为Trilogy聘请职业项目经理后，必须去说服FBI局长Robert Mueller。她没有着重探讨项目失败的可能性，而是解释如果不这样做FBI可能无法开展工作，最后她说服了他。

　　4．从风险办公室角度分析风险。在越来越多的公司，企业风险管理由行政级风险办公室给予便利，办公室负责提供CIO没有时间或者资金获得的技能和资源。许多风险专家认为，如果没有风险办公室，算不上真正在搞企业风险管理。CIO的角色与其他每个独立部门和领导一样：确认本部门风险，然后与其他部门的领导合作，确认诸多业务单位的风险。CIO只是风险办公室的配角，但作用不小。虽然风险官多半熟悉财务风险，但要靠你来确认与IT相关的经营风险。

　　5．从纵观角度分析风险。风险管理是一种持续行为，而不是一种定期过程。风险管理不是新鲜事，它源自一系列得到公认的相关策略。企业风险管理的近亲是70年代的质量管理运动，当时生产厂商纷纷采用质量标准，进而改进了产品质量。企业风险管理的鼻祖是获得诺贝尔奖的博弈论，这种数学方法可以优化复杂环境下的决策，其原理仍指导着如今的风险管理方法。

　　你可能已在项目方面进行了一些风险管理，但从某种角度上来说，企业风险管理毫无二致，惟一的不同是你的公司就是业项目。企业风险管理新就新在分析风险的视野更广，统一管理整个公司的风险这一理想目标使得它成为艰巨任务。

　　研究科学家George Westerman在麻省理工学院（MIT）研究企业风险管理与信息技术之间的关系。他说，企业风险管理的现状让他想起了90年代有人曾对电子商务有过这样一番评语：这好比青少年性爱。“谁都想尝试，谁都认为别人在尝试，其实真正在尝试的并不多，也没有人做得特别好。这个主题大得吓人，结果许多人决定不去尝试。其实迈出头一步非常重要。”