Gartner公司在其报告“为企业和IT风险管理者设计的风险体系”中，建议企业和IT管理者抛弃“狭隘的，分散的（‘竖井’式）方法进行风险评估和管理总体风险框架，这有利于引导整个企业并确保各级工作人员清楚地理解他们自己与风险有关的责任。

　　当然，说起来容易做起来难。

　　正如SearchCompliance.com公司在“坚持遵从风险管理使警钟敲响”中论述的，许多企业的业务领导人和IT领导人现在意识到了必须采取一种整体性的，自上而下的风险管理方法。然而，大部分ERM（Enterprise risk management，企业风险管理）部署仍处于空谈或者纸面阶段，没有实际行动。在本文中，我们将会从实际出发深入研究ERM的本质，讨论面临的挑战和潜在的回报率，提供有实际作用的一些最佳实践。

　　Southernco公司是一个很好的例子，我们可以从它谈起。该公司实行企业风险管理已有大约五年时间了。作为一家大型的,由投资者控股的电力公司，“维护低风险预测与该公司整体策略是密不可分的”，这既为客户服务，又使监管机构和投资者满意。这是Todd Perkins说的。他是该公司的企业风险管理总裁。

　　Southernco公司在四个国家的经营区经常受到像卡特里娜这样的严重飓风袭击，这一点使他们需要付出更多。“我们的风暴恢复流程已经实施了几十年，这方面非常先进”，Perkins表示，“我们的企业风险管理程序确实是由于把这一风险管理的制度带到公司其他地区带来的成果。”

　　在被要求描述什么样的“风暴复原”方法被应用到了Southernco公司企业风险管理策略时，Perkins回答道：“主要是关于在正确的位置实施正确的结构，确保责任明确节点，每一个人都知道谁拥有风险。”

　　尽管Perkins不能提供投资回报率的准确数字，但他证实在风险变得严重之前，提前准确识别和定位运营风险在企业风险管理中起着非常重要的作用。例如：在飓风卡特里娜肆虐期间，Southernco公司能有效地减轻系统被破坏的影响，是因为他们“对哪些系统需要先还原，和我们的商业优先级是什么样的都非常清楚”，他解释到。

　　此外，Perkins还表示，“经历了企业风险管理过程，使我们明确了高级管理层应该关注的更广泛的战略问题和财务问题”。