在报告《企业和IT风险经理的风险层次结构》中，Gartner建议企业和IT经理放弃“狭隘的‘仓筒结构’式的风险管理方式和首要风险架构的管理来解决整个企业的问题，并确保所有层次的员工都清楚地理解与他们相关的奉献责任。”

　　当然，说起来容易做起来难。

　　很多企业的业务和IT负责人现在都认识到了进行整体的自上而下的风险管理的重要性。尽管如此，大部分企业的风险管理（ERM）配置仍然在纸面上的阶段。在本文中，TechTarget的专家将介绍实际问题：深入探究ERM的本质，讨论问题和可能的汇报，并提供了可行的最佳实践（请见第二部分）。

　　我们从美国的Southern Company（Southernco）说起，它的ERM实践经验有五年了。作为一家大型的投资人所有的电力公共单位，公司风险管理主管Todd Perkins说：“维持很低的风险水平是企业策略中不可获缺的部分”，对于服务客户和满足法规和投资人的需要都是一样的。

　　提高期的现实是Southernco的四个州范围内的操作经常会受到大型飓风的袭击。Perkins说：“我们的风暴恢复流程已经存在十几年了，而且工作的很好。我们的ERM项目就是要努力吧这种规则推广的公司的其它区域。”

　　当被要求介绍Southernco的ERM策略中的风暴恢复规则的时候，Perkins回答说：“它主要是关于合适的架构的，需要确保职位描述的明确定义，而且每个人都理解他们的风险。”

　　然Perkins不能提供ROI的数据，但他声称企业风险管理在风险变得严重乾就很好地验证和解决方面发挥了重要的作用。例如在卡特利娜暴风其间，Southernco可以大大地减轻系统当机的影响，因为它“清楚地知道哪些系统……需要首先恢复，以及业务的重要是什么。”他说。

　　还有，Perkins还指出：“完成ERM流程可以让我们确定高举管理层应该关注的更广泛的策略和经济问题。”

　　还把ERM策略最为一种市场工具，把它展现给投资者、法律法规和大型客户，他说，可以证明“我们可以保证安全，而且风险很低。”

　　在一年中，Southernco所有隶属的经理们都会尽量确定他们负责的区域的风险数量。这些信息会提供给ERM团队，这个团队的成员包括来自IT部门、金融部门和各种业务区域的高级管理人员。ERM团队会分析这些数据，并“在总公司的层面上”分出重要性，Perkins说，最终制定“全公司的风险水平，提供给业务负责人和董事会用于监察和治理的目的。”

　　Navigant Consulting的业务连续性管理实践总监Michael Keating认为，不同部门之间的相互联系是ERM策略成功的关键。例如，当评估某个系统当机的影响的时候，财务经理就会关注损失的收入；审计人员关注公关曝光；业务经理关注损失的生产力。Keatingzhichu  在每个风险被单独地评估为中等的时候，“把所有的风险都结合在一起，风险就非常高了。”