实施COSO-ERM包括哪几个主要步骤 ？

企业风险管理的实施因其组织的规模、复杂性、行业特性、管理文化、风格和其他特性等因素的不同，会有许多的方法和选择，概括而言，ITGov所倡导的风险管理实施步骤如下：

（1）项目启动

核心小组成立——了解项目背景，为项目实施制定一个可量化的业务目标，组建一个适当的项目组织，它包括业务部门代表和关键职能部门代表，并组织全员进行风险管理培训。同时，获得高层领导的支持以促进项目的成功；

制定实施计划——设定主要的计划阶段，包括职责分工、资源配置、项目里程碑、进度安排等。这个计划充当与小组领导沟通和协调的手段。

（2）风险评估

初始信息收集——组织应广泛、持续不断地收集与本企业风险和风险管理相关的内外部初始信息，包括历史数据和未来数据；

 风险识别——通过分析初始信息及与企业高层领导和主要业务单位举办研讨会、问卷调查、集体讨论等方法，识别业务单元、重要经营活动、业务流程及整个组织面临的各项风险；

风险分析——对识别出的风险及特征进行明确的定义描述，分析并阐明风险发生的可能性的高低和风险发生的条件；

 风险评价——评估风险对企业目标的影响程度、风险价值等，并对其进行排序，制定风险概述(风险评估矩阵)和风险地图，最终形成一份风险评估报告。

（3）规划与设计

设计企业风险管理策略——在进行风险评估后，围绕企业发展战略，确定风险偏好、风险承受度、风险管理的有效性标准，制定相关策略以最有效地管理或处理这些风险。处理的方法包括通过实施内部控制、政策及程序来对风险作有限度接受，或是设法降低、消除、避免或转移风险；

制定风险管理解决方案——在成本效益分析的基础上制定最具成本效益的风险管理解决方案，方案一般包括风险解决的具体目标，所涉及的管理及业务流程，所需资源，具体的应对措施及工具等；

建立企业风险管理框架——建立企业风险管理框架，主要包括建立风险管理委员会及风险管理的组织架构，并设定其职责和作用。

（4）实施与运行

试点实施——将风险管理解决方案在有代表性的试点(单位或流程)进行应用，找出可完善的地方，对原方案进行调整；

全面推广——在整个企业中实施风险管理解决方案，将风险管理的理念进行全员培训，并融入企业文化和日常运营中，实现企业全面风险管理。

（5）监控与优化

监控与优化：作为持续管理流程的一部分，管理层应随着内外部环境的变化，定期审查风险管理的有效性，以寻找机会进行改善，不断加强其风险管理能力。