2023年重塑風險管理格局的趨勢包括治理風險和合規性(GRC)平臺、成熟度框架、風險偏好聲明以及首席信息官在促進企業風險管理(ERM)方面的關鍵作用。

隨著企業努力應對新冠疫情的持續影響、經濟衰退的威脅和快速變革，企業風險管理已經成為焦點。

企業高管認識到，要在這個新時代保持競爭力，需要加強企業風險管理計劃。企業必須應對的當前風險格局的一個方面是風險之間的連通性。

研究機構Forrester Research公司高級分析師Alla Valente解釋說，企業與全球市場的合作伙伴、供應商和供應商的聯系越來越緊密。

Valente說：“我們發現，當其中一個類別的風險顯著增加時，可能會產生連鎖反應，將會影響其他類別的風險。”例如，當地自然災害、俄烏沖突或高利率的影響可能會波及整個全球供應鏈。

以下是重塑風險格局并影響業務連續性規劃的12個安全和風險管理趨勢。

1、風險成熟度框架整合工作流程

Valente觀察到，越來越多的企業正在考慮將風險成熟度框架作為管理風險環境中日益增長的漏洞相互聯系的一種方式。這種方法反映了其他框架，如在軟件開發中廣泛使用的能力成熟度模型。風險管理的成熟需要處理流程和技術。

在流程方面，風險管理領導者必須組建一個由風險利益相關者組成的團隊。這個團隊應該結合必要的技術和業務的專業知識，以做出快速和明智的基于風險的決策，建立政策和程序，并實施適當的控制。風險管理領導者還需要確保已建立的流程，以便在不同的機構之間整合工作流。

技術方面包括用于集中和背景化風險管理信息和自動化風險政策執行的IT基礎設施。

2、企業風險管理技術棧擴展為治理風險和合規性

企業風險管理超越了簡單的財務治理，已經擴展到安全、IT、第三方關系以及治理風險和合規性(GRC)。一個全面的治理風險和合規性(GRC)平臺可以成為所有類型風險管理活動的關鍵集成層，用于創建和管理政策、進行風險評估、了解風險態勢、識別合規性差距、管理和響應事件以及自動化內部審計流程。

Valente建議，首席信息官需要確認他們的風險技術堆棧適合每一項任務，并經過深思熟慮、積極主動地使用，而不僅僅是被動地使用。企業考慮將以下內容集成到更全面的風險技術堆棧中：

• 地緣政治風險、自然災害和其他事件的情報分析。
• 第三方風險評估工具，用于跟蹤制裁、安全事件和財務狀況。
• 安全系統，以評估漏洞、違規和網絡攻擊的潛在影響。
• 社交媒體監控能力，追蹤品牌聲譽的突然變化。

3、企業風險管理被視為競爭優勢

許多企業將風險管理視為增加競爭優勢的一種方式，而不是簡單地避免糟糕的情況，尤其是在新冠疫情爆發以來。

Valente指出：“盡管許多企業在新冠疫情期間遭受了經濟損失，但我們也看到許多企業轉向了以前不存在的新機遇。”

Valente帶來的研究團隊一直在探索傳統的首席風險官(CRO)和所謂的轉型型首席風險官(CRO)之間的區別，前者專注于最大限度地降低風險，后者則將風險管理視為一種競爭優勢——研究風險如何干擾業務戰略并限制收入流。

Valente解釋說：“對風險采取轉型方法的企業，可以迅速動員他們的團隊和團隊主管，抓住市場的新機遇。”Valente表示，例如，在最初的疫情封鎖期間，家具零售商宜家公司的門店客流量大幅下降，該公司迅速實施了一種新的非接觸式提貨系統，讓顧客可以安全地提貨。

4、更廣泛地使用風險偏好聲明

金融行業出現了風險偏好聲明，以改善與員工、投資者和監管機構的溝通。擴大貸款池需要承擔一定的風險，但如果違約的客戶太多，銀行就需要制定相應的計劃，以采取果斷的行動。因此，例如銀行可能會為抵押貸款違約或欺詐性交易建立一個安全基線，以使用他們可以盈利。

調研機構Gartner公司負責咨詢、企業戰略和風險實踐的副總裁Chris Matlock表示，風險偏好聲明開始在其他行業流行起來，以取代基本的“復選框”練習，取而代之的是一種更明確地指導日常風險管理決策的流程。這種風險管理趨勢伴隨著一個警告：“這很難做到。”Matlock補充說，“這樣做的企業的回報非常高。”

他解釋說，企業在實施有效的風險偏好聲明方面面臨許多挑戰。一些企業高管認為，這可能會限制他們尋找新機會的能力，而另一些高管則擔心，措辭糟糕的聲明可能會被誤解為縱容不可接受的做法。

5、主題專家小組加速風險評估和應對

把所有的風險信息匯集在一起很重要，但也需要專家來弄清楚這些信息。Matlock表示，企業越來越多地使用管理風險和合規性(GRC)平臺為關鍵項目創建主題專家的知情網絡。當出現跨越多個部門的問題時，例如涉及IT、法律和人力資源的安全事件，可以快速自動地包括這些領域的適當專家小組來評估風險并采取行動。

新項目開始時的風險評估是一項風險評估。制定最佳計劃并找到一個支持及時風險響應的系統將產生最佳結果。Matlock解釋道：“在項目生命周期中，風險的維持和對風險的及時響應對成功的影響最大。”

6、風險緩解和測量工具成倍增加

跨國專業服務網絡德勤公司的負責人Keri Calagna表示，積極衡量和減輕風險的工具正變得越來越好。改進包括內部和外部風險感知工具，這些工具有助于生成風險情報，以檢測趨勢和新出現的風險。

此外，德勤公司在調查報告中稱，企業正在轉向更加集成的工具，這些工具可以實現以下功能：

• 對企業的風險提出全面的觀點。
• 捕捉領先指標以顯示風險趨勢。
• 促進為降低風險而采取的行動的問責制。
• 提供實時風險報告，以幫助管理層做出決策。

7、GRC遇上ESG

企業風險管理的另一個趨勢是將企業風險與環境、社會和治理(ESG)議程聯系起來。Calagna表示，預計情景規劃和假設測試能力將有所提高。企業還利用模擬、桌面和其他互動研討會，促進更多跨職能的風險思考，以幫助評估不同情況對企業業務規劃和戰略的影響。

隱私管理軟件平臺提供商OneTrust的管理風險和合規惦總經理Clifford Huntington警告稱：“在企業開始ESG風險規劃時，他們應該確保所采取的行動是重大而真實的。”企業需要證明他們是在取得可衡量的進步。Huntington說：“企業領導者正在意識到ESG風險是一種商業風險，并正在采取措施，將其與企業風險計劃相結合，以減輕這種風險。”

8、首席信息官促成了企業高管采用企業風險管理(ERM)戰略

Huntington表示，企業正在優先考慮彈性，而不僅僅是風險管理，以應對新冠疫情和經濟不確定性造成的破壞。擁有成熟的企業風險管理(ERM)戰略并與所有部門緊密聯系的企業可以迅速轉向。

為了在企業內部鞏固風險和彈性計劃，首席信息官們需要彌合他們的首席執行官之間的分歧。Huntington建議說：“首席信息官是開啟這些對話的中間人，并幫助企業高管解決這一基本需求，因為他們負責為許多同事提供技術和服務。”

9、極端天氣風險管理越來越重要

隨著極端天氣等危機事件的影響和頻率不斷增加，首席執行官和董事會成員將被要求實施風險管理戰略，以減輕對員工和資產的影響。最新數據表明，2021年，全球與天氣有關的災害造成了約1450億美元的損失。

人工智能事件管理平臺OnSolve公司的首席執行官Mark Herrington說：“現在極端天氣已經成為常態，到2023年，首席執行官們將需要學習如何降低風險，以保護他們的資產、員工和收入。”

10、將風險管理與數字化轉型相結合

根據普華永道公司在2022年進行的數字信任洞察調查，75%的高管報告稱，他們所在的公司在技術、數據和運營環境方面過于復雜。普華永道美國公司網絡、風險和監管主管Elizabeth McNichol表示，其結果是企業越來越多地采用綜合治理、風險和合規(IGRC)計劃來簡化其風險管理活動。

她說：“由于分散的、過于復雜的系統，許多企業沒有意識到他們擁有的所有類型的數據是如何組織的，甚至不知道這些數據可能不符合法律。”企業如何處理數據和遵守法規的規則應該清晰、直接、通用，并基于風險。

IT作為綜合治理、風險和合規(IGRC)的驅動力和推動者發揮著關鍵作用。對于首席信息官和其他IT領導者來說，與其他管理團隊合作識別和評估影響，以根據企業的風險偏好減輕風險是很重要的。集成治理模型可以通過在端到端價值鏈上協調戰略、人員、流程和技術目標來提供幫助。這種企業風險管理(ERM)趨勢對于確保將風險組件集成到更廣泛的數字化轉型計劃中至關重要。

11、網絡風險量化

Everest集團IT服務團隊實踐主管Kumar Avijit發現，企業對風險量化服務的需求正在增加，尤其是來自企業董事會高管的需求。這些服務可以從定制網絡安全規則到通過詳盡的風險評估流程完成貨幣價值方面的風險量化。

12、增強的和情境化的風險監控

Avijit公司還發現，針對首席信息官、首席信息安全官和業務經理等各種角色量身定制的風險管理監控工具的需求也在增長。這是因為各種高管和業務用戶正在定義新的風險管理優先級和任務。這些工具通過提供適當粒度級別的視圖增強了傳統的風險管理分析。

不同角色的一些日益增長的風險優先事項的例子包括：

• 首席執行官希望推動安全的業務轉型。
• 首席財務官希望降低業務風險和違規成本。
• 首席運營官希望運營有彈性的業務運營。
• 首席信息官們希望將安全作為IT戰略的基本要素。