風險管理系統(tǒng)成熟度模型框架

風險管理成熟度模型框架（編譯稿）風險管理成熟度模型成熟度模型被很好地開發(fā)和接受，卡耐基-梅隆大學(xué)的軟件工程研究院（SEI）開發(fā)了一個軟件組織能力成熟度模型（CMM）和一個系統(tǒng)工程組織能力成熟度模型（CMMI）。這些模型定義了增加能力和成熟度的五個等級，分別是起步（第一級）、可重復(fù)（第二級）、界定（第三級）、管理（第四級）和優(yōu)化（第五級）。每一級被清晰地定義和描述，使得組織能夠在可接收范圍內(nèi)自我評估。認識到自身的CMM等級，組織能夠清晰地設(shè)定改進目標，瞄準下一能力和成熟度等級。盡管SEICMMI很好地建立，但其應(yīng)用受限于總體的擴散能力。充分應(yīng)用CMMI模型（包括一個風險管理成熟度模型）需要巨量的資源和整個系統(tǒng)工程流程的一體化。本報告概述的RMMM特別地關(guān)注風險管理，并提供一個比正式的CMMI評估更容易實現(xiàn)的不太正式的方法，一個一般性的專注風險的成熟度模型。試圖為希望執(zhí)彳亍正式的風險流程或者改進其現(xiàn)有方法的組織提供幫助。它應(yīng)該適用于任何彳亍業(yè)、政府或商業(yè)部門的各種項目和組織。RMMM被設(shè)計為一種診斷工具而不是一個用于執(zhí)彳亍的常規(guī)模型。如果組織期望使用成熟度模型，作者建議或者使用EIA/IS-731.1或者使用CMMI-SE/SW于管理系統(tǒng)。RMMM包括估計成熟度的四個等級，與其他模型等級比較如下表所示：表一：成熟度模型等級比較等級RMMMCMMI-SE/SWEIA/IS-731.10AdHoc特定級Incomplete不完全的Initial起步1Initial起步級Performed運彳亍Performed運彳亍2Repeatable可重復(fù)級Managed管理Managed管理3Repeatable可重復(fù)級Defined界定Defined界定4Managed管理Managedquantitatively量化管理Measured計量5Managed管理Optimizing優(yōu)化Optimizing優(yōu)化RMMM提供了一個框架，允許組織以成熟度的四個標準等級為基準開展風險管理，并概述了過渡到下一等級的必要的活動。在此描述的風險管理成熟度模型（RMMM）為那些希望發(fā)展或改善他們的風險管理方法、并為增進其風險成熟度開發(fā)彳亍動計劃的組織提供了清晰的指引。概要描述了四個RMMM等級，隨后是對當前等級的診斷的指引，而且還討論了發(fā)展到下一成熟度等級的戰(zhàn)略。風險管理成熟度模型框架組織風險管理流程的成熟度可被分組，從完全無正式流程到風險管理充分整合組織的所有方面。為了表達這一點，本報告中描述的風險管理成熟度模型RMMM）提供了四個標準等級的風險成熟度（如圖一）。與所有模型一樣，預(yù)期某些組織可能不完全適合這一分類，但是，RMMM等級充分界定了適用于大部分組織的差異。一般認為，超過四個等級的分類在不對模型給出任何更加精確條件的情況下，將會增加歧義。RMMM等級描述如下：第一級：特定級（英雄崇拜）在特定級，組織不清楚風險管理的需要，而且沒有建構(gòu)方法來應(yīng)對不確定性，導(dǎo)致每一項目或運營出現(xiàn)一系列危機。如果存在風險管理，管理和工程過程也是重復(fù)的和反應(yīng)性的，也很少或者從不試圖從過去的項目中學(xué)習，或為未來的不確定性做出準備。從不試圖定義項目風險，或者開發(fā)減輕風險或應(yīng)變計劃。處理問題的正常方法是在問題發(fā)生之后應(yīng)對而無前瞻性的思考。在危機之時，典型的應(yīng)對方案是放棄計劃并從好的方面著想。項目成功依賴于有一個優(yōu)異的管理者和一個成熟和有效率的團隊。有時候，在項目期間，有能力而且強勢的管理者能夠識別并根據(jù)減輕風險的原則彳亍事；但當他們離開時，他們的影響也隨之而去。甚至，一個強有力的工程過程不能克服風險管理實踐的缺失所帶來的不穩(wěn)定性。盡管這一應(yīng)對危機管理的混沌過程，第一級組織常常開發(fā)有效的產(chǎn)品，即使他們通常超過他們的原始預(yù)算和計劃，甚至不包含所要求的全部原始功能。第一級組織的成功依賴于組織中的人們的個人能力和英雄主義，除非新的項目被分酉己給同一個人，否則成功不可能再現(xiàn)。因此，在第一級，能力是個人特征而非組織特點。注意到，在這一成熟度模型中，最困難的一步是從第一級進入第二級。因為所有的管理程序和活動必須重新組合，也可能是由于缺乏對需要變革的理解。一個特定級的組織可能缺乏對存在問題的任何感覺或認識。在成熟度的更高級別，組織和項目管理對不確定性更加清晰，而且能夠采取任何必要的減輕或者臨時彳亍動。這一清晰度使得管理能夠在某些事情走入歧途之前采取彳亍動，或者在某些事情走入歧途時有合適的應(yīng)對計劃。成熟度級別的差異也可描述為精確地識別和前瞻性地應(yīng)對不確定性的能力。當組織提升成熟度級別水平時，風險識別變得更加準確，而且必須的減輕/臨時彳亍動變得更加清楚。第二級：起步（試用）在起步級，組織試驗應(yīng)用風險管理，通常通過在特定的項目中少量被任命個人實施。在這一級別，組織是非正式的或者適當?shù)貥?gòu)建風險管理過程。在某些級別，盡管組織意識到管理項目風險的潛在收益，卻沒有有效地執(zhí)彳亍組織范圍的可執(zhí)彳亍流程。某些項目，包括任命人員，從過去的錯誤中吸取經(jīng)驗教訓(xùn)，然而，不存在可執(zhí)行的方法以提供學(xué)會所有組織項目的課程。風險管理在這一點上可被描述為組織共同經(jīng)驗的結(jié)晶的開端。組織意識到能夠從過去的錯誤中吸取經(jīng)驗教訓(xùn)，但知識仍然不是成型的，也沒有任何結(jié)構(gòu)以保證其一以貫之地應(yīng)用于組織的全過程。第三級：可重復(fù)（計劃工作，按計劃工作）在可替代級，組織在常規(guī)業(yè)務(wù)流程中執(zhí)彳亍風險管理，而且全部在大多數(shù)項目中執(zhí)彳亍風險管理。一般性的風險政策和流程已經(jīng)是成型和范圍廣泛的，而且組織的各個層級都清楚其益處，盡管他們不可能始終如一地在所有的案例中實現(xiàn)。計劃和管理新項目是基于同類項目的經(jīng)驗。風險管理能力由于在項目上的基本的風險管理訓(xùn)練而增強。通過已經(jīng)被定義、文件化、實踐、培訓(xùn)、測量、強制實施和改進的流程，項目執(zhí)彳亍風險管理。所有的項目有一個指定的風險經(jīng)理。對于小項目，項目經(jīng)理和風險經(jīng)理的角色可能由同一個人擔任，但對于較大的項目風險經(jīng)理與項目經(jīng)理是完全分開的。在第三級的項目做出基于對以前的項目和對當前項目已識別的風險的評價結(jié)果的可行的項目承諾。項目風險經(jīng)理跟蹤成本、日程安排、功能性和質(zhì)量，以及被識別的滿足承諾過程中的出現(xiàn)問題。項目風險經(jīng)理與其客戶和分包商（如果有）一起建立一個有效的顧客-供應(yīng)商關(guān)系。在第三級組織中，風險管理流程在不同的項目之間可能會有區(qū)別。對實現(xiàn)第三級的組織的要求是存在組織層面的政策，以指導(dǎo)項目建立適當?shù)墓芾砹鞒獭＞哂械谌夛L險管理能力的組織可被概括為訓(xùn)練有素的，因為項目的計劃和跟蹤是穩(wěn)定的，而且早期的成功經(jīng)驗可被重復(fù)。項目的風險管理流程受項目管理系統(tǒng)、基于前期項目的績效的可行計劃的控制。第四級：管理（衡量工作，使衡量產(chǎn)生效果）在管理級別，組織已經(jīng)建立了風險意識（而不是風險規(guī)避）文化，要求對組織各個方面風險進行管理的前置方法。風險信息不斷被發(fā)現(xiàn)、積極用于改進組織流程以及增加項目和運營成功的可能性。標準的風險管理流程用書面文件表述并用于整個組織。在第三級確定的流程被應(yīng)用（在合適時候被修改）以幫助組織的項目和運營管理者以及技術(shù)團隊更有效地履行職務(wù)。組織內(nèi)的一組員工被任命承擔風險管理職責，這一正式任命提供了一個在項目溝通渠道或運營管理結(jié)構(gòu)之夕卜的組織管理的非正式溝通渠道。一個組織范圍的培訓(xùn)計劃被執(zhí)行以確保團隊和管理者具有履行它們指定的角色所需的知識和技能。項目適應(yīng)組織的標準風險管理流程和工具，已開發(fā)利用它們自己定義的說明項目的獨有的個性的流程，這些流程是用于履行項目活動。一個定義的風險管理流程包括一系列連貫的、整合的、清晰可辨的風險辨識、評估、處理和監(jiān)控工具和流程。一個清晰的流程可被描述為包括確定的準則、輸入、履行工作的標準和程序、核查機制、輸出以及執(zhí)行準則。因為風險管理過程被很好地定義，管理部門能較好地觀察項目或有運營的風險及其潛在影響。第四級組織的風險管理流程能力可總結(jié)為標準和持續(xù)，因為活動是穩(wěn)定的、可重復(fù)的。在建立的產(chǎn)品線內(nèi)，成本、日程表、功能性和質(zhì)量風險是清晰的、受控的，而且風險降低狀況可追蹤。這一流程能力是基于對一個確定的風險管理流程中的活動、職責以及責任的一般性的、組織范圍的理解。開發(fā)最佳風險管理實踐的變革是貫穿于組織之中的識別和轉(zhuǎn)移。在第四級組織中的風險管理團隊不斷地分析過去項目的結(jié)果以測定準確的風險識別與實際的影響和原因。他們傳播來自于組織的經(jīng)驗和教訓(xùn)。確定組織成熟度等級每一風險管理成熟度模型（RMMM）等級的簡要描述可表明，組織可根據(jù)風險流程的相對成熟度確定其位置。但是，對于風險管理流程成熟度的目標和持續(xù)評估，還需要更加詳細的判斷工具。表二介紹了特定組織在每一RMMM等級的基本特性，它通過文化、流程、經(jīng)歷和實際應(yīng)用等四個方面來說明。這一突破使得組織能夠以清晰的標準自我比較，這一標準被許多專業(yè)的風險管理組織所接受，并用以評估其現(xiàn)彳亍的發(fā)現(xiàn)成熟度等級。我們承認，某些組織可能橫跨相繼的RMMM等級之間的邊界，但等級之間的間隔就是如此，在更多的案例中應(yīng)該有清楚的區(qū)分，而且已經(jīng)證明更多的組織被確定在單一等級是可彳亍的。成熟度等級表中提及的特性范圍在確定組織的成熟度等級類別時被執(zhí)彳亍。明確的特性的執(zhí)彳亍范圍被評估：l對執(zhí)彳亍作出承諾（政策與領(lǐng)導(dǎo)力）l執(zhí)彳亍的能力（資源與培訓(xùn)）l執(zhí)彳亍活動（計劃與程序）l衡量與分析（評估與狀態(tài)）l執(zhí)彳亍結(jié)果的評價（監(jiān)督與質(zhì)量保證）表二：風險管理成熟度等級第一級：特定級（AdHoc）第二級：起步級（Initial）第三級：可重復(fù)級（Repeatable）第四級：管理級（Managed）定義未認識到不確定性（風險）管理的需求；未構(gòu)建處理不確定性的方法；重復(fù)和反應(yīng)性的管理流程；很少甚至從不試圖從過去的項目中吸取知識，或試著通過少數(shù)的個體來實施風險管理；沒有在適當指出構(gòu)建方法體系；意識到管理風險的潛在收益，但未有效地實彳亍。不確定性管理成為所有組織流程的一部分；風險管理在大部分或所有項目中實彳??；規(guī)范化一般風險流程；了解所有組織等級的益處，盡管不一定穩(wěn)定地實現(xiàn)。具有在組織各個方面的風險管理的前置方法的風險意識文化；積極運用風險信息改進組織流程并獲得競爭優(yōu)勢。

者為未來的項目做準備。文化沒有風險意識；沒有高層翁管理人員參與；抵制/不愿意變革；甚至在項目失敗的形勢下仍然趨于繼續(xù)現(xiàn)有流程；獵殺信使。風險流程可能被認為是具有或有收益的額外費用；高層管理者鼓勵但不要求運用風險管理；風險管理僅僅用在經(jīng)過選擇的項目上。公認的風險管理政策；認識到并期望風險管理的利益；高層管理者要求風險報告；為風險管理提供專用的資源；“壞消息”風險信息被接受。自上而下的致力于風險管理，包括領(lǐng)導(dǎo)層；高層管理人員在決策過程中采用風險信息；鼓勵和獎賞前置的風險管理；組織哲學(xué)接受人會犯錯誤的觀點。流程沒有正式的流程；沒有風險管理計劃或成型的流程存在；從不或者偶爾嘗試使用風險管理準則；僅僅在顧客要求時嘗試應(yīng)用風險管理流程。沒有一般性的正式流程，盡管可能使用某些具體的正式方法；流程的效果嚴重依賴于項目風險小組的技能和外部支持的有效性；全部風險管理員工都在項目之中。一般性流程應(yīng)用在大多數(shù)項目中；正式的流程成為質(zhì)量體系的一部分；所有層面都主動己己置和管理風險預(yù)算；對夕卜部支持有有限的需要；風險度量被匯集；關(guān)鍵供應(yīng)商參與風險管理流程；從非正式溝通渠道到組織管理?；陲L險的組織流程；風險管理文化貫穿整個組織；定期的流程評估與精煉；例彳亍的風險度量被用于改善的持續(xù)反饋；關(guān)鍵的供應(yīng)商和客戶參與到風險管理流程；從直接的正式溝通渠道到組織管理。經(jīng)驗不了解風險原理或語言；不了解或沒有實現(xiàn)風險程序的經(jīng)驗。僅限于可能有很少甚至沒有正式培訓(xùn)的個人。內(nèi)部的專門知識要點，在基本的風險管理技能方面的正式培訓(xùn)；開發(fā)和運用具體的流程和工具。所有員工運用基本的風險技能的風險意識和能力；從經(jīng)驗中吸取經(jīng)驗是流程的組成部分；定期培訓(xùn)員工以增強技能。應(yīng)用沒有建構(gòu)的應(yīng)用；沒有專門酉己置的資源；沒有在使用中的風險管理工具；沒有執(zhí)彳亍風險分析。不穩(wěn)定地資源應(yīng)用；僅僅使用定性風險分析。常規(guī)、持續(xù)應(yīng)用到所有項目；專門己己置的項目資源；整套的工具和方法；同時使用定性和定量風險分析方法。風險思想適用于所有活動；基于風險的報告和決策；藝術(shù)級的工具和方法；定性和定量風險分析方法重點用于有效的、可靠的歷史數(shù)據(jù)資源；專門己己制的組織資源。4.成熟度級別之間的進步一級到二級：特定級到起步一級成熟度的組織在其開始執(zhí)彳亍有效的風險管理時面臨大量的問題：l最初，對于正式的風險管理流程、程序和技術(shù)沒有清晰的了解，甚至不知道風險管理的語言和術(shù)語。l不清楚從正式的風險管理中能夠獲得收益的概念，而且執(zhí)彳亍這一流程的成本通常不被考慮。l在執(zhí)彳亍風險管理的過程衡中，或者當試圖考慮組織規(guī)劃和業(yè)務(wù)流程的風險管理能力時，沒有內(nèi)部的專家和經(jīng)驗。l至少，某些組織的項目和業(yè)務(wù)流程在任一給定的時間內(nèi)處于危機之中，導(dǎo)致缺乏時間、能力或者資源來致力于建立和遵循一個新的流程。l組織的較高級別管理不可能被推進風險管理的任何人，無論內(nèi)部還是外部，接受，由于他們不了解顧客，并缺乏任何記錄或者判斷預(yù)期收益的衡量標準。l它們也可能認為組織的流程和項目常常受到不確定性的影響的結(jié)果可能被看作不足或技能缺乏的學(xué)費。l組織文化可能不對質(zhì)量承擔責任而且可能缺乏職業(yè)行為的觀念。為了從特定級到初級，需要進行如下活動：l清晰地定義風險管理執(zhí)行的目標，以使風險管理過程能夠適當?shù)卦O(shè)計與確定范圍。l從經(jīng)過確認的、在協(xié)助組織執(zhí)行風險管理提供幫助方面有良好記錄的外部專家處獲得建議和指導(dǎo)。這些外部專家經(jīng)過仔細的挑選，而且組織應(yīng)該關(guān)注被鼓勵采用一般性而不與其特定要求相匹酉己的解決方案。l定義一個特定的人力團隊，以具有初步的工具、仔細選擇和建立工作組雛形。l確保對小組充分的培訓(xùn)和支持，包括所有必要的風險技巧和技能，以保證他們能夠擔當智能顧客。l開始風險意識的簡要介紹以推廣風險管理愿景及其來自于對一線員工的自身管理的整合項目組織的潛在利益。這些風險意識簡介應(yīng)當包括項目顧客和執(zhí)行這一活動時可能遇到的分包商管理。l確保公司的支持，包括資深管理發(fā)起人的任命，以推動執(zhí)行過程。l任命經(jīng)仔細選擇的風險管理的領(lǐng)導(dǎo)者以最大化盡早成功的機會。l宣傳和表彰成功事跡，尋求發(fā)展風險過程中的動力，并激勵其他項目和個人在他們的領(lǐng)域內(nèi)致力于風險管理，當他們清晰地看到收益時。l制定識別風險管理的有效執(zhí)行突然不能實現(xiàn)的長期計劃。權(quán)衡執(zhí)行項目的得失，并確保開始之前必要資源的承諾。l從一開始就建立對過程關(guān)鍵點的有效控制，以使得改進能夠在關(guān)鍵時點被監(jiān)控和評價，將監(jiān)控和評價結(jié)果匯集并進行適當?shù)亩攘?。l考慮繪制具有關(guān)鍵輸入和輸出的模板的風險流程圖。l識別和應(yīng)用諸如風險信息數(shù)據(jù)庫等適當?shù)捻椖匡L險管理工具。二級到三級：起步到可重復(fù)二級成熟度的組織有許多個人（也許僅有一人）能有效地計劃和應(yīng)用風險管理流程和技巧。在該級，風險管理被看作一種在必要之處進彳亍的額外的活動。因此，無論任何被各種項目采用的風險流程不可能被持續(xù)和廣泛地使用。任何風險管理流程的應(yīng)用都被限定在少數(shù)主要或重大項目。這就提出了許多達到第三級成熟度、正常化貫穿于整個組織的風險管理流程的應(yīng)用需要克服的障礙。這里，應(yīng)該注意到，某些組織選擇留在二級成熟度水平，僅僅由經(jīng)選擇的項目上的內(nèi)部團隊擔任風險管理職責。這種方式也不存在任何錯誤。如果收益相對于成本和付出的努力是值得，過渡到第三級成熟度水平才進彳亍。第二級成熟度的組織試圖進步到第三級時所面臨的一些問題如下：l缺乏組織范圍的正式風險流程導(dǎo)致他們的應(yīng)用和結(jié)果中的矛盾。l對少數(shù)內(nèi)部職員的技能的依賴可能限制風險流程的整體效果，以及應(yīng)用風險管理的現(xiàn)有項目和第一次嘗試執(zhí)彳亍這一流程的項目之間的負面影響。l對執(zhí)彳亍風險管理缺乏支持可能導(dǎo)致理想破滅和低士氣。l單個熱衷者對風險管理的有限推動可能逐漸消弱風險流程的可信度。l風險流程的不完全或不穩(wěn)定的應(yīng)用不太可能產(chǎn)生充分說明管理風險得收益的有用的度量。因此，不存在可審計的風險管理能夠?qū)崿F(xiàn)的歷史記錄，導(dǎo)致缺乏可靠性和更加正式地采用風險管理的意愿。l風險評估工具和風險信息數(shù)據(jù)庫的極少使用。l缺乏基準流程以核對相對于彳亍業(yè)標準的流程能力。這些問題可以用一些方法來說明以使得組織能夠進步到第三級成熟度。上述從第一級副第二級的過渡的彳亍動是不合適的，除此之外，應(yīng)該考慮下列方法：l加強和鞏固對嘗試執(zhí)彳亍風險管理流程的個人和團隊的公司支持。來自資深管理人員的明確的贊賞對于給予必須的可信度是必要的。l提供正式的風險培訓(xùn)以發(fā)展內(nèi)部專家和流程知識。l在必須增強和支持現(xiàn)有的內(nèi)部技能時，使用外部專家。外部專家的使用在拓展現(xiàn)有的風險管理流程在組織的新領(lǐng)域的應(yīng)用是有用的。新領(lǐng)域的大部分可能超出了你的內(nèi)部員工的知識范圍。外部顧問也可用來應(yīng)用風險管理流程到新的、困難的領(lǐng)域。l給風險管理流程分酉己足夠的資源，如任命或補充足夠的員工、提供風險管理培訓(xùn)的預(yù)算、風險評估工具和風險管理活動所要求的其他資源。l選擇關(guān)鍵項目以證明在組織業(yè)務(wù)的全部領(lǐng)域?qū)嵤╋L險管理的收益。l持續(xù)宣傳和表彰成功事跡，當收益變得清晰時，激勵風險管理在其他領(lǐng)域的更廣泛的應(yīng)用。l為內(nèi)部員工提供機會參加持續(xù)的風險管理培訓(xùn)課程、會議、研討班及專題討論會等。l規(guī)范化選擇的風險管理流程，清晰地定義風險管理的范圍和目標，以及達成一致的程序和適當選擇的工具。l開發(fā)和傳播組織關(guān)于風險管理運用的政策。l堅決要求項目經(jīng)理把風險管理作為其項目和業(yè)務(wù)流程的日常管理的一部分，包括風險報告作為管理評估的重要組成部分。l開始匯集基于組織內(nèi)部風險管理實際經(jīng)驗的風險流程的度量；包括一般風險的辨識、有效應(yīng)對、風險成本的降低等，生成詳細的清單以便于風險識別和評估流程。三級到四級：可重復(fù)到曾理第三級成熟度對于大多數(shù)組織大概已經(jīng)足夠了，這里，風險流程對于組織來說是完整的，而且一貫地、常規(guī)地應(yīng)用到大部分或全部項目之中。然而，設(shè)計這一模型的專業(yè)組織的一致意見是風險管理成熟度模型（RMMM）需要定義一個超越第三級的級別。在這一級別，識別、評估和管理不確定性成為第二特性，并成為組織的所有活動和業(yè)務(wù)流程的一部分。在第四級，組織能夠系統(tǒng)地運用風險流程來解釋具有潛在的正面影響的不確定性（也就是機會或者風險的有利一面）。在許多方面，第三級到第四級的改變預(yù)期幾乎與第一級到第二級的過渡一樣困難，因為第三級成熟度的組織可能很容易地認為已經(jīng)充分地執(zhí)彳亍了風險管理而且不需要進一步改變。如果組織希望實現(xiàn)第四級，可能會遇到下列問題：l動力的損失，可能導(dǎo)致要求的應(yīng)用標準的不執(zhí)彳亍，以及必然產(chǎn)生的風險管理支持的質(zhì)量的損失。這將降低風險管理流程的可靠性，并使之看起來像已經(jīng)過時的臨時管理措施。l組織可能為更新風險管理流程以考慮業(yè)務(wù)過程中所需要的變革，或者市場領(lǐng)域的其他發(fā)展。這可能導(dǎo)致風險流程成為過時的并且于組織的業(yè)務(wù)越來越不相干。l對風險管理流程持續(xù)投資的缺乏可能導(dǎo)致降低關(guān)聯(lián)或能力，像工具已經(jīng)過時、技能被替代、員工的技能沒有維護等。l內(nèi)部專家的開發(fā)可能導(dǎo)致風險管理被看作有一種由專家執(zhí)彳亍的專業(yè)訓(xùn)練，在組織和項目中的其他人的承諾和所有權(quán)隨之減少。下列活動有助于進化到第四級成熟度（非特定）：l確保有效的從經(jīng)驗中學(xué)習，開始有規(guī)律的風險管理流程評估和流程的價值工程，以保證其維持充分的有效性。l修訂和強化必要的風險管理流程，包括新工具、新方法以及員工培訓(xùn)等的投資。l調(diào)研超越已經(jīng)涵蓋應(yīng)用領(lǐng)域的風險管理流程的新應(yīng)用。探尋修改和應(yīng)用風險管理到組織的每—個活動。l運用每一個可能發(fā)展風險管理文化的措施，激勵所有的員工思考風險、了解不確定性并運用風險技術(shù)來評估和管理潛在死亡威脅和機會。在組織文化中構(gòu)建風險思維。了解關(guān)于風險的態(tài)度的可能范圍。l保證風險成為所有決策的常規(guī)準則。l識別和計量風險疲勞的發(fā)生率。風險疲勞包括員工對流程的興趣的喪失，或者動力的潛在喪失。定期更新流程、表彰成功事跡、宣傳改進度量以及獎勵有效的風險管理。l執(zhí)彳亍風險管理培訓(xùn)以保證技能維持普遍水平。l考慮使用外部專家以拓寬風險管理在組織的