2023年的12大企业风险管理趋势

2023年重塑风险管理格局的趋势包括治理风险和合规性(GRC)平台、成熟度框架、风险偏好声明以及首席信息官在促进企业风险管理(ERM)方面的关键作用。

随着企业努力应对新冠疫情的持续影响、经济衰退的威胁和快速变革，企业风险管理已经成为焦点。

企业高管认识到，要在这个新时代保持竞争力，需要加强企业风险管理计划。企业必须应对的当前风险格局的一个方面是风险之间的连通性。

研究机构Forrester Research公司高级分析师Alla Valente解释说，企业与全球市场的合作伙伴、供应商和供应商的联系越来越紧密。

Valente说：“我们发现，当其中一个类别的风险显著增加时，可能会产生连锁反应，将会影响其他类别的风险。”例如，当地自然灾害、俄乌冲突或高利率的影响可能会波及整个全球供应链。

以下是重塑风险格局并影响业务连续性规划的12个安全和风险管理趋势。

1.风险成熟度框架整合工作流程

Valente观察到，越来越多的企业正在考虑将风险成熟度框架作为管理风险环境中日益增长的漏洞相互联系的一种方式。这种方法反映了其他框架，如在软件开发中广泛使用的能力成熟度模型。风险管理的成熟需要处理流程和技术。

在流程方面，风险管理领导者必须组建一个由风险利益相关者组成的团队。这个团队应该结合必要的技术和业务的专业知识，以做出快速和明智的基于风险的决策，建立政策和程序，并实施适当的控制。风险管理领导者还需要确保已建立的流程，以便在不同的机构之间整合工作

技术方面包括用于集中和背景化风险管理信息和自动化风险政策执行的IT基础设施。

2.企业风险管理技术栈扩展为治理风险和合规性

企业风险管理超越了简单的财务治理，已经扩展到安全、IT、第三方关系以及治理风险和合规性(GRC)。一个全面的治理风险和合规性(GRC)平台可以成为所有类型风险管理活动的关键集成层，用于创建和管理政策、进行风险评估、了解风险态势、识别合规性差距、管理和响应事件以及自动化内部审计流程。

Valente建议，首席信息官需要确认他们的风险技术堆栈适合每一项任务，并经过深思熟虑、积极主动地使用，而不仅仅是被动地使用。企业考虑将以下内容集成到更全面的风险技术堆栈中：

•地缘政治风险、自然灾害和其他事件的情报分析。

•第三方风险评估工具，用于跟踪制裁、安全事件和财务状况。

•安全系统，以评估漏洞、违规和网络攻击的潜在影响。

•社交媒体监控能力，追踪品牌声誉的突然变化。

3.企业风险管理被视为竞争优势

许多企业将风险管理视为增加竞争优势的一种方式，而不是简单地避免糟糕的情况，尤其是在新冠疫情爆发以来。

Valente指出：“尽管许多企业在新冠疫情期间遭受了经济损失，但我们也看到许多企业转向了以前不存在的新机遇。”

Valente带来的研究团队一直在探索传统的首席风险官(CRO)和所谓的转型型首席风险官(CRO)之间的区别，前者专注于最大限度地降低风险，后者则将风险管理视为一种竞争优势——研究风险如何干扰业务战略并限制收入流。

Valente解释说：“对风险采取转型方法的企业，可以迅速动员他们的团队和团队主管，抓住市场的新机遇。”Valente表示，例如，在最初的疫情封锁期间，家具零售商宜家公司的门店客流量大幅下降，该公司迅速实施了一种新的非接触式提货系统，让顾客可以安全地提货。

4.更广泛地使用风险偏好声明

金融行业出现了风险偏好声明，以改善与员工、投资者和监管机构的沟通。扩大贷款池需要承担一定的风险，但如果违约的客户太多，银行就需要制定相应的计划，以采取果断的行动。因此，例如银行可能会为抵押贷款违约或欺诈性交易建立一个安全基线，以使用他们可以盈利。

调研机构Gartner公司负责咨询、企业战略和风险实践的副总裁Chris Matlock表示，风险偏好声明开始在其他行业流行起来，以取代基本的“复选框”练习，取而代之的是一种更明确地指导日常风险管理决策的流程。这种风险管理趋势伴随着一个警告：“这很难做到。”Matlock补充说，“这样做的企业的回报非常高。”

他解释说，企业在实施有效的风险偏好声明方面面临许多挑战。一些企业高管认为，这可能会限制他们寻找新机会的能力，而另一些高管则担心，措辞糟糕的声明可能会被误解为纵容不可接受的做法。

5.主题专家小组加速风险评估和应对

把所有的风险信息汇集在一起很重要，但也需要专家来弄清楚这些信息。Matlock表示，企业越来越多地使用管理风险和合规性(GRC)平台为关键项目创建主题专家的知情网络。当出现跨越多个部门的问题时，例如涉及IT、法律和人力资源的安全事件，可以快速自动地包括这些领域的适当专家小组来评估风险并采取行动。

新项目开始时的风险评估是一项风险评估。制定最佳计划并找到一个支持及时风险响应的系统将产生最佳结果。Matlock解释道：“在项目生命周期中，风险的维持和对风险的及时响应对成功的影响最大。”

6.风险缓解和测量工具成倍增加

跨国专业服务网络德勤公司的负责人Keri Calagna表示，积极衡量和减轻风险的工具正变得越来越好。改进包括内部和外部风险感知工具，这些工具有助于生成风险情报，以检测趋势和新出现的风险。

此外，德勤公司在调查报告中称，企业正在转向更加集成的工具，这些工具可以实现以下功能：

•对企业的风险提出全面的观点。

•捕捉领先指标以显示风险趋势。

•促进为降低风险而采取的行动的问责制。

•提供实时风险报告，以帮助管理层做出决策。

7. GRC遇上ESG

企业风险管理的另一个趋势是将企业风险与环境、社会和治理(ESG)议程联系起来。Calagna表示，预计情景规划和假设测试能力将有所提高。企业还利用模拟、桌面和其他互动研讨会，促进更多跨职能的风险思考，以帮助评估不同情况对企业业务规划和战略的影响。

隐私管理软件平台提供商OneTrust的管理风险和合规惦总经理Clifford Huntington警告称：“在企业开始ESG风险规划时，他们应该确保所采取的行动是重大而真实的。”企业需要证明他们是在取得可衡量的进步。Huntington说：“企业领导者正在意识到ESG风险是一种商业风险，并正在采取措施，将其与企业风险计划相结合，以减轻这种风险。”

8.首席信息官促成了企业高管采用企业风险管理(ERM)战略

Huntington表示，企业正在优先考虑弹性，而不仅仅是风险管理，以应对新冠疫情和经济不确定性造成的破坏。拥有成熟的企业风险管理(ERM)战略并与所有部门紧密联系的企业可以迅速转向。

为了在企业内部巩固风险和弹性计划，首席信息官们需要弥合他们的首席执行官之间的分歧。Huntington建议说：“首席信息官是开启这些对话的中间人，并帮助企业高管解决这一基本需求，因为他们负责为许多同事提供技术和服务。”

9.极端天气风险管理越来越重要

随着极端天气等危机事件的影响和频率不断增加，首席执行官和董事会成员将被要求实施风险管理战略，以减轻对员工和资产的影响。最新数据表明，2021年，全球与天气有关的灾害造成了约1450亿美元的损失。

人工智能事件管理平台OnSolve公司的首席执行官Mark Herrington说：“现在极端天气已经成为常态，到2023年，首席执行官们将需要学习如何降低风险，以保护他们的资产、员工和收入。”

10.将风险管理与数字化转型相结合

根据普华永道公司在2022年进行的数字信任洞察调查，75%的高管报告称，他们所在的公司在技术、数据和运营环境方面过于复杂。普华永道美国公司网络、风险和监管主管Elizabeth McNichol表示，其结果是企业越来越多地采用综合治理、风险和合规(IGRC)计划来简化其风险管理活动。

她说：“由于分散的、过于复杂的系统，许多企业没有意识到他们拥有的所有类型的数据是如何组织的，甚至不知道这些数据可能不符合法律。”企业如何处理数据和遵守法规的规则应该清晰、直接、通用，并基于风险。

IT作为综合治理、风险和合规(IGRC)的驱动力和推动者发挥着关键作用。对于首席信息官和其他IT领导者来说，与其他管理团队合作识别和评估影响，以根据企业的风险偏好减轻风险是很重要的。集成治理模型可以通过在端到端价值链上协调战略、人员、流程和技术目标来提供帮助。这种企业风险管理(ERM)趋势对于确保将风险组件集成到更广泛的数字化转型计划中至关重要。

11.网络风险量化

Everest集团IT服务团队实践主管Kumar Avijit发现，企业对风险量化服务的需求正在增加，尤其是来自企业董事会高管的需求。这些服务可以从定制网络安全规则到通过详尽的风险评估流程完成货币价值方面的风险量化。

12.增强的和情境化的风险监控

Avijit公司还发现，针对首席信息官、首席信息安全官和业务经理等各种角色量身定制的风险管理监控工具的需求也在增长。这是因为各种高管和业务用户正在定义新的风险管理优先级和任务。这些工具通过提供适当粒度级别的视图增强了传统的风险管理分析。

不同角色的一些日益增长的风险优先事项的例子包括：

•首席执行官希望推动安全的业务转型。

•首席财务官希望降低业务风险和违规成本。

•首席运营官希望运营有弹性的业务运营。

•首席信息官们希望将安全作为IT战略的基本要素。