第一步：發現必要性

      一些CIO們發現了采用ERM的方式是不可避免的：如果企業不從整體上來把握風險的話，大家面臨的只有死路一條。例如，IT 系統已經成為美國海軍作戰方式的核心。美國海軍部門的CIO Dave Wennergren 正在為海軍艦隊開發一個全軍的內部網絡，在今年完成之后，該網絡將給陸基部隊和海洋上的艦隊提供一個公共的、標準的平臺，通過這個標準的平臺，他們可以進行戰斗情報的實時共享和交換。Wennergren 指出，如果系統失靈的話，艦隊官兵和飛行戰斗人員將得不到他們要攻擊目標的信息。9.11事件中，美國的五角大樓也受到了攻擊，而海軍指揮中心受到的攻擊則讓軍事設施從當地的通訊設施中暴露在風險之下，這也從一個側面強調了Wennergren 的ERM是關鍵的觀點。

      當然有些時候，特別是企業的CEO 或者是公司董事會要求你去實施ERM的戰略的時候，你就不需要花費什么額外的工作來讓你自己相信ERM的價值了。一直到90年代中期，J.P. 摩根的懂事們才做出了向新的商業風險投資的決定，這還是通過董事會的辯論獲得足夠的說服力才同意的。不過遺憾的是，新的戰略給這家老牌的投資銀行帶來了一些不愉快的經歷，因為那些投資都沒有達到預期的目標。Bill Sharon 曾經擔任過該投行的技術風險首席管，現在是J.P. 摩根的顧問和執行懂事，據他回憶，當初決定在新興的國家開辦辦事處的決定，并沒有考慮運營的風險和范圍，包括對銀行現有的IT系統和通訊設施帶來的沖擊，正是這些忽略最后才導致了那些不愉快的經歷。

      當時，J.P. 摩根的董事長要求執行經理們開發出更好的決策過程來選擇投資。Sharon 和房地產部門的主管一起合作，率先開始設計新的流程來滿足董事長的要求——包括IT設施要滿足任意新的業務的需求。當設計完成后，他意識到他事實上開發了一個從整體上分析企業風險的流程，從那以后他就開始完全接受了ERM的思想。

      Sharon 開始詢問公司所有部門的人，新的業務選擇流程會給他們帶來什么樣的影響。然后他開發出一個需要滿足的條件清單，只有清單上列出的條件得到滿足后，相關的員工才可以把新產品或者新的辦事處的地點拿到執行委員會上去討論，包括哪些IT設施或者相關的支持設施的投資。當這個項目被批準實施以后，新的項目的發起人就要去搜集每條業務線或者相關部門的信息，以保證他的項目能夠滿足Sharon 清單上的要求。例如，當有人提出要在墨西哥城開設一個辦事處，該項目的發起人就要報告項目實施后需要多少臺電腦，需要什么樣并且如何獲得網絡連接，以及電力供應的可靠性。雖然所有的這些事情并不是例行的公事，但是它們通常都對新的風險投資的成功具有關鍵的作用。

      Sharon 解釋道：“我發現在IT系統中或者在任意的業務中，CIO的責任都是沒有邊界的，你不可能做完你的工作就回家。而且，在IT系統中，其實是沒有一個人真正知道經營戰略是什么的。那就是我對ERM的體會，它讓所有的人都處于同一個平面。”

第二個步驟：定義ERM的語言信息

      CIO們成為企業ERM項目的主管之后，需要做的第一件事情就是必須給出明確的定義為什么ERM對于我們的企業是必不可少的，這是ERM項目中最重要的一步之一，這可以讓更多的人更好的去理解ERM的意義，同時這也是非常難的一步。因為，ERM項目是橫跨整個企業的，你必須要了解企業各個不同業務線的復雜的運作及其相互之間的關系。同時，CIO們還需要考慮你可能忽視或者壓根就沒有考慮到的事件和結果，尤其是企業的文化是把考慮風險當作一種悲觀者的看法的時候。

      Barclays （英國巴克萊銀行）的商業道德戰略負責人David Weymouth（他曾經是該銀行的CIO）認為，CIO們必須找到一種描述風險的方式，如果你不能找到合適的描述風險的方法，你將會發現自己無所適從。

      要找到有效的描述風險的方式，CIO們可能需要去設計一種新的與行政同事和一般的員工交流的方式。在NASA，Santiago 開發出了一個企業全局系統的模型來維護IT系統的安全，并用此取代NASA 傳統的每個部門中心各自負責自己的IT系統安全的做法。通過建立起共同的平臺，Santiago 發現，幾乎所有的空間項目和系統都要橫跨NASA的多個中心，在一個地方發生的事情不僅僅卻決于它本身的狀況，同時還受到其他地方發生的事情和狀況的影響。

      Santiago 建立信息中心的依據是：信息必須能夠及時傳遞到需要他們的人那里去。因此，它必須受到保護避免威脅。他不喜歡談論鞏固各個部門的系統的安全，他關心的是他所謂的“信息容器”，談論的是所有的NASA 雇員從“信息容器”中獲取的內容。他制定出“信息容器”中的信息管理者，信息的使用者，并且評估出信息不能到達需要它的人的手中和信息在任意一個方面被修改后所帶來的風險。通過該方式，他可以區分出數據受到的不同的風險的大小，并且可以做出緩和風險的最優策略。

      巴克萊銀行的Weymouth 認為一個定義良好的ERM信息應該包括那些可以改變持懷疑論者的態度的事實。他建立了一個監控系統來收集巴克萊銀行運營系統的數據，這些數據包括銀行攔截的欺騙付款或阻攔的取消服務企圖的次數。通過獲得IT部門努力降低的事故的頻率——那些事故會導致銀行業務的中斷，而對于Weymouth 來說，這些事故就意味著風險，通過上述的方式他可以計算出可以節省的具體數目的費用。同時，他還有足夠的理由來證明為什么巴克萊銀行還應該持續地對IT系統進行投資，以便來有效的防范和緩和風險。

第三個步驟：保持靈活性

      其實并沒有人真正明白風險到底是怎么一回事，而且每個人看待風險的視角都是不一樣的。換句話說，CIO們必須很有耐心，同時還要給公司的員工一定的時間讓他們來理解你所說的每一句話。靈活性在這里是最關鍵的，因此，CIO們需要采用不同的話語來讓不同的員工去面對你所遇到的風險。

      George Westerman 是美國麻省理工學院斯隆管理學院的研究專家，他正在研究ERM與IT系統的關系，為了更好的說明其觀點，他列舉了一個關于他四歲女兒的故事。小女孩喜歡攀登爬梯的體育活動，一天，當她攀登到半路的時候，她忽然說：“爸爸，快看我！”。

      “我的本性讓我沖動的答道，非常棒，努力登上梯頂吧。我希望她能夠避免父母過渡保護她的風險，” Westerman 解釋說，“但是，她母親卻給出相反的建議，要她馬上下來，希望我們的女兒能夠避免掉下來受到傷害的風險。我們兩個對于風險的看法是不一樣的，雖然我們兩個首先都是為我們的女兒的福利著想。在我們看來這件事情的結果是：一個最好的反應是我們站在她旁邊，然后讓她爬到她自己想到達的高度，如果她跌倒了的話，我們就呆在她的身邊。” Westerman 認為傳遞的信息是，在他女兒的安全有適當的保障的前提下，他女兒可以承受更大的風險。

      但是，有時候你向別人傳遞你的ERM信息的時候，你最好不要向對方提起一點點的風險。當Sharon 還是廣告商肯國際集團（McCann WorldGroup ）的CIO的時候，他就經常避免談論風險的話題。在參與集團全球的代理帳戶部門的時候，他就知道那些會計經理們是不會理解他所說的風險管理的。該部門的業務涉及全球100多個市場，在跟蹤記錄其電子郵件和傳真方面面臨著不小的困難，因為這些資料都涉及集團所有的業務范圍。這些通訊資料頻繁地發生丟失的現象，或者需要很長的時間才能下載下來，大大增加了該部門不能迅速對客戶的需求做出反應的風險。