现在风险管理比以往任何时候都更加重要，风险成熟度模型可为企业提供工具以管理风险。

企业、供应商和生产商之间的联系日益紧密。其中一方面临的风险可能会对整个全球供应链产生连锁反应。对于企业来说，拥有成熟的企业风险管理计划非常重要，以处理动态变化的风险。

什么是风险成熟度？

风险成熟度是衡量企业识别、评估、管理和监控风险的能力的指标。它反映企业风险管理实践的质量水平和整合程度。具有高风险成熟度的企业将有效地做出风险知情决策，并实现预期结果。

成熟的企业了解其风险偏好，并能有效地管理可接受的风险水平。他们可以从组织的各个部门收集有关风险的数据，并与所有利益相关者进行有效沟通，为领导层提供可操作的信息。

什么是风险成熟度模型，为什么要使用风险成熟度模型？

风险成熟度模型（RMM）是一种评估工具，用于评估企业实现其企业风险管理 （ERM） 计划目标的进度。对于风险和企业治理专业人员来说，在规划、实施和完善企业风险管理战略，以及在整个组织中更广泛地改善有关战略的沟通时，这些工具可以成为有用的资源。

RMM 通常基于既定标准，例如国际标准组织（ISO）31000 风险管理标准和 COSO。RMM 还反映其他已建立的成熟度模型，例如软件开发中的能力成熟度模型。

企业应使用 RMM 执行以下操作：

• 根据既定标准评估当前的风险管理能力。
• 确定需要改进风险管理计划的领域。
• 建立可重复的 ERM 政策和程序。
• 整合不同部门的 ERM 工作流程。
• 快速做出基于风险的明智决策。
• 实施全面的 ERM 技术堆栈，使公司能够集中风险信息并自动执行风险策略。
• 随着时间的推移持续跟踪 ERM 计划。

除了避免陷阱外，很多公司还将ERM和风险成熟度作为竞争优势。这里的陷阱即公司面临的风险，它可能是任何东西。各行各业的公司都面临着与天气相关的灾害的威胁。另一个更特定于IT的风险是网络犯罪。

他们可以使用它来与同行和行业最佳实践进行基准测试。首席风险官还可以利用风险作为创造更多盈利机会的一种方式。

风险成熟度水平

风险成熟度级别可能因模型而异，但通常有四到五个成熟度级别。

风险管理思想领袖David A. Hilson，又名风险医生，在1997年春季版《国际商业项目管理杂志》上的文章《迈向风险成熟度模型》中指定了四个独立的风险成熟度级别：

1. 天真。 天真的组织基本上没有意识到风险的概念，也没有处理不确定性的正式方法。管理过程是被动和重复的。几乎没有什么可以帮助管理层从过去中吸取教训或为未来做好准备。
2. 新手。 新手组织打算制定风险管理策略，但没有正式的流程。风险管理工作不协调。
3. 规范。 风险管理已完全整合到业务实践中，并在整个组织中一致地应用。员工都了解风险管理的好处，它植根于组织及其文化的各个层面。
4. 自然。在组织的各个部门采取积极主动的风险管理和风险意识文化。组织使用风险信息来改进流程并获得竞争优势。

Hilson的四个级别应用到组织的文化、业务流程、员工的经验水平和流程部署。构建这些类别的另一种方法是治理、流程、人员和技术。

RMM的另一个迭代具有五个成熟度级别，由风险管理软件提供商LogicManager的创始人Steven Minsky提出：

1. 特定级。 风险管理是非结构化的，没有记录的，很大程度上取决于个人的努力。
2. 起步级。 风险管理工作不一致，并且管理在孤岛中。自上而下的管理很少（如果有的话）。
3. 可重复级。 该组织有一个风险评估框架。领导层有风险意识，并且存在正式的风险管理流程，但尚未完全整合。治理和指导有记录。
4. 管理级。 风险管理活动已整合在整个企业中。风险管理工具用于帮助监测、衡量和报告。管理更多的是战术性，而不是战略性。企业可以做出可量化的风险决策。
5. 界定级。 风险管理是在更广泛的企业目标背景下实施。风险管理策略部署在在各个层面，并旨在持续改进。ERM战略为增长创造了新的机会，并降低现有风险。

在评估时这五个成熟度级别需要考虑以下属性：

1. 对基于 ERM 的方法的执行支持。
2. 企业风险管理流程管理。
3. 风险偏好管理。
4. 根本原因纪律。
5. 发现风险。
6. 绩效管理。
7. 业务弹性和可持续性。

无论具体的模型框架如何，随着企业风险的成熟程度，RMM 中的级别通常会从被动发展到主动。

如何评估你的风险成熟度水平

根据RMM中规定的标准审核公司的风险成熟度。针对每个属性，为组织分配适当的成熟度级别。该模型将向管理层展示组织的优势和需要改进的地方。

企业可以使用风险成熟度评估来改进自己的目标。企业还可以使用评估来对自己与竞争组织进行评级，并进行改进以获得竞争优势。

有些ERM软件提供商提供自己的 RMM，并指导客户组织进行风险管理成熟度评估。风险和保险管理协会（RIMS）还提供免费的在线评估工具。

如何根据风险成熟度评估采取行动

企业可以使用风险成熟度评估来获得竞争优势、改进内部流程、避免灾难并改进投资决策。

企业可以采取不同的措施来提高其风险成熟度，具体取决于其长期成熟度级别。

• 特定级企业需要专注于实施风险管理计划的开始。处于风险成熟度开始阶段的特定级组织应执行以下操作：
  • 创建风险管理办公室或专门部门。
  • 在高级别定义不同类别的风险。
  • 确定 ERM 实施框架。
  • 设计培训计划。
• 处于起步级的组织应努力将分散的ERM流程转变为标准化的可重复流程。他们应该执行以下操作：
  • 定义风险治理结构。
  • 为ERM流程分配角色。
  • 制定企业风险管理实施计划。
  • 建立风险分析和注册模板。
• 处于可重复阶段的组织应致力于在整个企业中正式化标准化的ERM流程，并获得高级领导层的支持。他们应该执行以下操作：
  • 正式制定培训计划。
  • 定义使 ERM 与内部流程保持一致的方法。
  • 正式定义公司的风险状况、偏好和容忍度。
  • 使与风险相关的信息在整个组织中可见和可访问。
• 管理级组织在战术上成功地应对风险，并且可以专注于使ERM更具前瞻性和战略性。他们应该执行以下操作：
  • 在整个企业中实施成熟的支持流程。
  • 制定关键风险指标，实现预测能力。
  • 使用风险报告工具协助决策。
• 领导级组织找到在 ERM 计划中创造价值的方法。他们应该执行以下操作：
  • 将风险与绩效衡量相关联。
  • 将风险作为一般预算标准。
  • 将风险整合到更广泛的数字化转型计划中。
  • 实施关键风险指标和预测功能。

RMM 和框架示例

RMM 帮助组织制定ERM计划，既符合风险管理框架，同时可为组织创造价值。一些风险管理框架包括以下内容：

• COSO ERM集成框架。 COSO定义了主要的 ERM 原则和概念，并提供一种通用语言以便人们谈论ERM。它还为 ERM 计划提供指导。COSO 将 ERM 定义为“文化、能力和实践，与战略设定和绩效相结合，以帮助企业在创造、保护和实现价值时管理风险。”
• ISO 31000。 ISO 31000提供了原则、流程和框架来指导企业进行风险管理。这些标准有助于识别机会和威胁，分配资源并实现目标。
• British Standard（BS）31100。 该标准提供了在BS ISO 31000中实施和维护概念的过程，例如识别、评估、响应、报告和审查风险。
• 信息风险因素分析框架（FAIR）。FAIR是一种模型，用于评估构成不同类型IT风险的因素，并将其量化为美元价值。在FAIR中，风险由未来损失的可能频率和可能幅度定义。
• 美国国家标准与技术研究院 （NIST） 风险管理框架。该框架提供七步流程，用于根据更广泛的NIST标准和指南集成网络安全、隐私和供应链风险管理流程 。该标准确保程序符合《联邦信息安全现代化法案》。
• 信息和相关技术的控制对象。 ISACA也称为信息系统审计和控制组织，他们赞助COBIT，COBIT是一个用于确保信息系统质量、控制和可靠性的治理框架。它最常用于保持对萨班斯-奥克斯利法案的遵守。该框架可用于避免与数据保留相关的风险。

RMM涵盖了风险管理框架中编纂的原则。RMM 的示例包括：

• RIMS 风险成熟度模型。 这是RIMS风险管理专业人员的最佳实践框架和免费在线评估工具。它帮助 ERM 专业人员和利益相关者衡量、规划和教育他人有关 ERM 计划的知识。它最后更新于 2022 年 4 月。
• OECD ERM。 经济合作与发展组织的企业风险管理成熟度模型为税务管理部门提供了自我评估和改进的框架。
• ROAR。 这是一个RiskOptics平台，提供 RMM 产品，该产品可自动执行风险评估的某些方面并管理组织的风险成熟度路径。
• Origami ERM 成熟度工具。 Origami是另一个平台，为处于风险成熟度各个阶段的组织提供支持。
• IIRM RMMM。The Investors in Risk Management的风险管理成熟度模型提供一个成熟度模型，在风险背景、文化、识别、评估、处理、报告、审查和风险管理系统等领域进行了八项单独评估。
• CMMI。能力成熟度模型集成（CMMI）是一种有助于改进和简化业务流程的模型。它可用于降低产品开发中的风险。