一些新兴趋势正在重塑风险管理格局,其中包括GRC(治理、 风险和法规遵从性)法规、成熟度框架、风险偏好声明、首席信息官角色和ERM(企业风险管理)的竞争优势。
随着企业努力应对新冠疫情带来的不利影响,企业风险管理已经成为关注重点。企业高管很快意识到,需要更强大的企业风险管理(ERM)计划才能在这个瞬息万变的时代保持竞争力。安全风险领导者将新冠疫情视为探索企业风险管理作为竞争优势的一个契机,以在情况发生变化时利用新的机会。
行业媒体对新风险的报道屡见不鲜。Forrester Research公司高级分析师Alla Valente表示:“不一定存在新风险,但这些风险之间的联系更为密切。”
企业与全球市场上的合作伙伴、供应商和供应商的生态系统的联系越来越紧密。Valente解释说:“我们发现,当其中一个类别的风险显著增加时,它可能会产生影响其他类别的连锁反应。”例如,当地自然灾害的影响可能会波及全球供应链。
以下8种安全和风险管理趋势正在重塑风险格局并影响业务连续性规划。
1.风险成熟度框架整合工作流程
Valente观察到,越来越多的企业正在考虑将风险成熟度框架作为管理风险环境中日益增长的漏洞的一种方式。这种方法反映了软件开发中广泛使用的能力成熟度模型等其他框架。提高风险管理成熟度需要解决流程和技术问题。
在流程方面,风险管理领导者必须组建一个风险利益相关者团队。该团队应结合必要的技术和业务专业知识,快速和明智地做出基于风险的决策,制定政策和程序,并实施适当的控制。风险管理者还需要确保为风险利益相关者制定流程、整合不同机构的工作流程。
在技术方面,需要制定包括IT基础设施、用于集中和场景化有关风险管理的信息以及自动执行的风险策略。
2.ERM技术栈扩展到GRC平台
企业风险管理已从简单的财务治理扩展到安全、IT、第三方关系和治理风险与合规(GRC)。一个全面的GRC平台可以是所有类型风险管理活动的关键集成层,用于创建和管理政策、进行风险评估、了解风险态势、确定合规性方面的差距、管理和应对事件以及自动化内部审计过程。
Valente建议,首席信息官需要确认他们的风险技术堆栈足以应对每项任务,经过深思熟虑并且积极使用。可以考虑将以下内容集成到更全面的风险技术堆栈中:
- 针对地缘政治风险、自然灾害和其他事件的情报分析;
- 跟踪制裁、安全事件和财务状况的第三方风险评估工具;
- 用于评估漏洞和网络攻击的潜在影响的安全系统;
- 社交媒体监控功能可跟踪企业声誉的突然变化。
3.ERM被视为竞争优势
许多企业将风险管理视为提高竞争优势的一种方式,尤其是在发生新冠疫情之后。Valente指出,“尽管许多企业在疫情期间遭受了经济损失,但我们也看到许多公司也找到了以前不存在的新机会。”
Valente的研究团队一直在探索传统型首席风险官与变革型首席风险官之间的差异,前者专注于最小化风险,后者将风险管理视为一种竞争优势——研究风险如何干扰业务战略并限制收入流。
Valente解释说:“采用变革性风险方法的企业可以迅速动员他们的团队和业务领导者,以填补市场上的新空白。”他以宜家公司为例,当这家零售家具商的商店客流量在疫情封锁期间骤降时,该公司迅速实施了一种新的非接触式提货系统,可以让顾客安全地提货。
4.更广泛地使用风险偏好声明
金融行业使用风险偏好声明,以改善与员工、投资者和监管机构的沟通。扩大贷款池可能面临一定的风险,但如果太多客户违约,银行需要制定一个计划来触发处理措施。因此,例如,银行可能会为抵押贷款违约或欺诈交易建立一个安全基准。
咨询机构Gartner公司战略和风险实践副总裁Chris Matlock表示,风险偏好声明开始在其他行业流行起来,并更明确地指导日常风险管理决策。他补充说,“这很难做到,但这样做的企业获得的回报很高。”
然而,企业在实施有效的风险偏好声明方面面临着许多挑战。一些高管认为,这可能会限制他们寻求新机会的能力,而另一些高管则担心,措辞不当的声明可能会被误解为纵容不可接受的做法。
5.主题专家团队加快风险评估和响应
将所有风险信息汇集在一起是很重要的,同时专家也需要理解这些信息。Matlock表示,企业越来越多地使用GRC平台为关键项目创建一个知识丰富的主题专家团队。当出现跨多个部门的问题时,例如涉及IT、法律和人力资源的安全事件,可以快速自动地通过这些领域的专家团队获得帮助,以评估风险并采取行动。
在新项目开始时进行风险评估是非常重要的。设计最佳计划并找到支持及时风险应对的系统将产生最佳结果。Matlock认为:“在项目的整个生命周期中,风险的维持和对风险的及时反应对成功的影响最大。”
6.风险缓解和衡量工具成倍增加
跨国专业服务商德勤公司的负责人Keri Calagna表示,用于积极衡量和减轻风险的工具正在变得越来越好。其改进包括内部和外部风险感知工具,这些工具有助于生成风险情报,以检测趋势和新出现的风险。
此外,Calagna表示,企业正在转向更为集成的工具,这些工具可实现以下功能:
- 呈现企业的风险的整体视图;
- 捕捉领先指标以显示风险的趋势;
- 促进对为减轻风险而采取的行动的问责制;
- 提供实时风险报告以帮助管理决策。
7.GRC与ESG相结合
企业也在改善风险与环境、社会和治理(ESG)工作之间的联系。Calagna表示,预计情景规划和假设测试能力会有所提高。企业还使用模拟和互动来促进更多跨职能的风险思考,以帮助评估对企业业务规划和战略的影响。
ServiceNow公司负责风险产品的全球销售助理副总裁Clifford Huntington警告说:“随着企业开始其ESG风险规划,他们应该确保所采取的行动是正确的。”
企业需要证明他们取得了可衡量的进展。Huntington说,“企业高管需要意识到ESG风险是一种商业风险,并正在采取措施结合他们的企业风险计划来减少风险。”
8.首席信息官对ERM的支持
Huntington表示,企业正在优先考虑弹性,而不仅仅是风险管理,以应对新冠疫情造成的不利影响。拥有与所有部门相关联的既定ERM战略的企业可以快速转型。
为了巩固企业内的风险和弹性计划,首席信息官需要弥合企业高管之间的分歧。Huntington建议说,“首席信息官是开启这些对话的完美经纪人,他们可以帮助同行解决这一基本问题,因为他们可以提供技术和服务。”
