技能，且独立于管理层。这使得他们能提供风险治理的整体战略和独立视角，并将风险管理的日常责任交给管理层或者特定的委员会，如风险管理委员会。2建立治理和运作模式：在明确的责任分配下，组织应该建立完整的运营模式和汇报体系。影响组织建立何种运营模式的因素有很多，例如企业的战略目标，规模、行业、区域分布、财务税务等方面的法律法规等等。管理层结合企业的使命、愿景和核心价值来计划、组织并执行企业战略。一般来说，管理层通过授权给特定委员会的形式来掌握、管理与战略相关的风险。对于大型组织来说，这样的委员会可能不止一个，这就需要不同的委员会之间明确权责的分配并共享对风险的理解。明确权责十分重要，这能激发人们在授权范围内的能动性。而随着组织的发展，运营模式和授权报告体系也需要做出相应调整。3定义期望的组织行为：董事会和管理层通过定义其期望的行为来将组织核心价值和对风险的态度具体化。建立一个所有员
f工都接受的企业文化对于企业抓住机遇、规避风险来说至关重要。表现在下图所示的风险光谱上，风险激进的组织更倾向于接受追求战略和业务目标时所需承担的不同类型和数量的风险。图4：风险光谱4展现对诚实和道德的承诺：组织制定基调，建立员工行为准则并对偏离准则的行为做出回应。即使组织明确展示了对诚实和道德的承诺，还是难免发生违背企业的价值观的行为。这种行为可能是好人犯了错误，好人一时意志软弱，或者坏人蓄意造成破坏。因此需要对行为进行详尽的评估并制定细节的应对措施。关键是将个体的行为和组织文化结合起来，这需要管理层在日常工作中不断解读、强调和践行企业文化。5加强问责：组织确保各个层级的个体在风险管理方面的职责明确，并确保其自身在提供准则和指导方面的职责明确。管理层向董事会负责，员工向管理层负责。个体是否负责受到奖励机制的很大影响，董事会和管理层应该在组织的各个层级建立奖励机制，这种建立可能是薪酬方面的，也可以是非物质的，比如授予更重要的工作。6吸引、发展并留住优秀的个体：致力于根据战略和业务目标构筑人力资本。组织需要建立在各个层级评价工作能力的机制。董事会评价管理层的能力，管理层评价各个业务单元或者职能部门的能力。管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才，评价和留住人才。风险、战略和目标设定ERM通过制定战略和业务目
f标的过程与主体的战略计划融合在一起。通过对商业环境r