隨著企業(yè)重新調(diào)整商業(yè)模式和戰(zhàn)略以應(yīng)對各種新挑戰(zhàn)，風險也隨之增加。以下是需要注意的9個風險管理失誤。

　　由于發(fā)生新冠疫情、供應(yīng)鏈中斷和新的環(huán)境要求，企業(yè)正在以前所未有的速度對其商業(yè)模式和戰(zhàn)略進行大規(guī)模變革。變革的步伐給企業(yè)帶來了新的商業(yè)風險，這使得企業(yè)必須密切關(guān)注他們的風險管理計劃。

　　風險管理失敗通常被描述為不幸事件、魯莽行為或錯誤判斷的結(jié)果。但更深入的分析表明，許多風險是由系統(tǒng)性問題造成的，這些問題本可以通過更積極主動和持續(xù)的企業(yè)風險管理(ERM)計劃來解決。這里有九種常見的風險管理失敗需要避免。

　　1.可憐的治理

　　花旗銀行在2020年8月錯誤地將9億美元貸款支付給化妝品公司露華濃(Revlon)的貸款人，這一負面消息成為頭條新聞。一名聯(lián)邦法官后來裁定，花旗銀行無權(quán)從10家拒絕歸還約5億美元貸款的銀行獲得退款，不過一家上訴法院推翻了這一裁決，花旗銀行最終拿回了所有的錢。

　　與所有金融服務(wù)機構(gòu)一樣，花旗銀行也有相應(yīng)的政策和技術(shù)，例如用于匯出大量資金的專用終端，以及在疫情期間將員工遷移到偏遠地區(qū)后修訂的多重控制措施。Gartner負責企業(yè)戰(zhàn)略和風險實踐的副總裁兼咨詢團隊經(jīng)理克里斯?馬特洛克(ChrisMatlock)說，人們最初懷疑銀行控制措施的漏洞導(dǎo)致了這一代價高昂的錯誤。

　　但問題被追溯到最近安裝的一個軟件包，該軟件包有UI問題，而且沒有適當?shù)目刂?，這導(dǎo)致了人為錯誤。馬特洛克補充說:“在這種情況下，人為因素可能會壓倒任何已經(jīng)安裝的好技術(shù)?！?/p>

　　在錯誤支付兩個月后，花旗銀行被美國監(jiān)管機構(gòu)罰款4億美元，原因是政府稱其“長期未能建立有效的風險管理和數(shù)據(jù)治理計劃以及內(nèi)部控制”。該命令還要求該銀行徹底改革其做法和控制。

　　組織需要在他們的風險管理工作中防范這些失敗。

　　2.有毒的工作文化

　　弗雷斯特研究公司的分析師Alla Valent表示，幾十年來，硅谷一直是技術(shù)創(chuàng)新的中心，但現(xiàn)在已經(jīng)成為有毒的“兄弟文化”的堡壘。她還列舉了其他形式的有毒工作文化，因為公司未能降低可能疏遠員工和客戶的風險，往往會導(dǎo)致負面的商業(yè)后果。

　　例如，瓦倫特表示，F(xiàn)acebook對2018年曝光的劍橋分析公司)數(shù)據(jù)使用丑聞反應(yīng)冷淡，嚴重損害了其可信度和市場潛力。她補充說，富國銀行的高管們對銀行掠奪性放貸行為的警告信號視而不見，“是一項戰(zhàn)略決策”?！斑@本來是可以修復(fù)的，但修復(fù)文化從來都不容易?！边@是風險管理方面代價高昂的失敗:2022年，富國銀行同意向受影響的客戶支付20億美元，并支付17億美元的聯(lián)邦罰款。

　　3.過分強調(diào)效率vs.彈性

　　馬特洛克表示，效率和彈性位于業(yè)務(wù)范圍的兩端。當事情進展順利時，更高的效率會帶來更高的利潤。汽車行業(yè)通過建立跨越多個層級的數(shù)千家第三方供應(yīng)商的供應(yīng)鏈，實現(xiàn)了顯著的成本節(jié)約。但在大流行初期，缺乏彈性的供應(yīng)鏈出現(xiàn)了大規(guī)模中斷。芯片短缺隨之而來，當芯片供應(yīng)商利用由此產(chǎn)生的消費電子行業(yè)更高的利潤率時，汽車制造商的底線受到了影響。

　　相反，馬特洛克說，互動健身器材制造商Peloton將其整個供應(yīng)鏈和制造流程從亞洲轉(zhuǎn)移到俄亥俄州，以滿足新冠肺炎封鎖期間對健身自行車的需求增加。供應(yīng)鏈的這種彈性幫助該公司免受中斷、瓶頸和貿(mào)易戰(zhàn)的影響，盡管Peloton后來在封鎖結(jié)束后遇到了財務(wù)問題，導(dǎo)致裁員，首席執(zhí)行官于2022年離職。

　　4.無意義的ESG聲明

　　直到最近，公司通常會發(fā)布環(huán)境、社會和治理影響聲明，這些聲明只是口頭上對其ESG計劃的承諾，而與可衡量的結(jié)果或有意義的結(jié)果無關(guān)。但特別是自聯(lián)合國于2021年發(fā)布關(guān)于氣候變化的“人類紅色代碼”以來，監(jiān)管機構(gòu)、客戶、員工和股東都在推動更有意義的ESG影響報告。

　　從2025年開始，歐盟將要求約5萬家公司每年報告與社會和環(huán)境問題相關(guān)的商業(yè)風險和機會，以及其業(yè)務(wù)運營的影響。美國證券監(jiān)管機構(gòu)也在考慮新的氣候風險披露規(guī)則。2021年，?？松梨?在爭奪三個董事會席位的代理權(quán)爭奪戰(zhàn)中失利，原因是激進投資者要求這家石油和天然氣公司承擔更大的ESG責任。

　　“人們低估了ESG的重要性，”馬特洛克說?！暗侥壳盀橹梗覀兌贾拉h(huán)保意識和社會意識很重要。但現(xiàn)在突然間，我們似乎都必須認真對待這件事。如果我們做錯了，可能會在資本流動和機會方面受到懲罰。”

　　5.不計后果的冒險行為

　　2021年，在異常高溫的夏季，一場接近122度的野火在不到兩個小時的時間里摧毀了不列顛哥倫比亞省的利頓村，并引發(fā)了一場集體訴訟，聲稱火災(zāi)是由附近運行的貨運列車發(fā)出的熱量或火花引發(fā)的。這起訴訟指控加拿大太平洋和加拿大國家鐵路公司的魯莽行為，因為他們應(yīng)該知道條件不安全，無法運營火車，也未能保護該鎮(zhèn)。

　　“但事情往往沒那么簡單，”ServiceNow全球服務(wù)提供商Thirdera的安全和風險主管JoshTessaro說，“當你看到其中一篇看起來像是魯莽冒險的新聞文章時，幾乎總是由于缺乏風險數(shù)據(jù)、流程定義和治理?！?/p>

　　6.缺乏透明度

　　在疫情最嚴重的時候，全國的注意力集中在幾個州少報和誤報COVID-19死亡人數(shù)的問題上。紐約州的養(yǎng)老院丑聞表明，與COVID-19相關(guān)的老年人實際死亡人數(shù)系統(tǒng)性缺乏透明度，向公眾公布的低估數(shù)字與州檢察長的最終調(diào)查結(jié)果之間存在巨大差異。

　　組織內(nèi)部隱瞞數(shù)據(jù)、孤立數(shù)據(jù)或缺乏數(shù)據(jù)可能會造成透明度問題，并導(dǎo)致無法估量的后果。Tessaro解釋說:“許多流程和系統(tǒng)在設(shè)計時沒有考慮到風險，而且往往在整個企業(yè)中脫節(jié)，由不同的領(lǐng)導(dǎo)者擁有?！薄帮L險管理人員通常會滿足于他們擁有的容易獲得的數(shù)據(jù)，而忽略關(guān)鍵流程，因為數(shù)據(jù)很難獲得?！?/p>

　　一個透明的風險管理方法需要一個包括高級管理層和其他商業(yè)領(lǐng)袖在內(nèi)的一致的全公司戰(zhàn)略。該戰(zhàn)略還應(yīng)明確界定風險管理的作用;鼓勵風險意識;制定共同的風險語言;并涵蓋各部門的各種利益、目標和關(guān)鍵風險問題。建立風險概況和風險相關(guān)事件的集中記錄系統(tǒng)，收集、管理和報告關(guān)鍵風險數(shù)據(jù)，形成風險管理過程文件。

　　7.不成熟的ERM程序

　　大型并購進展順利，以及成功的ipo，都是商界的大新聞。在這些成功案例中，隱藏著許多不太為人所知的并購、IPO和產(chǎn)品發(fā)布失敗案例。

　　軟件供應(yīng)商OneTrust的高級副總裁兼治理、風險和合規(guī)(GRC)工具總經(jīng)理CliffordHuntington說:“許多失敗都可以歸因于組織不成熟的風險計劃。”企業(yè)通常沒有認識到，作為ERM計劃的一部分，完整的風險評估是在準備交易以及從事各種其他業(yè)務(wù)活動時需要的，以識別潛在的和固有的風險。

　　8.供應(yīng)鏈監(jiān)管

　　大規(guī)模網(wǎng)絡(luò)事件的增加凸顯了評估合作伙伴供應(yīng)鏈上下安全風險的必要性。咨詢公司AArete的董事總經(jīng)理Mark O'Hara表示:“企業(yè)越來越關(guān)注供應(yīng)商帶來的敏感數(shù)據(jù)泄露風險。”

　　O'Hara說，新的合同條款需要解決網(wǎng)絡(luò)保險要求、數(shù)據(jù)銷毀實踐和銷毀核查問題。但他承認，許多組織沒有定期審查現(xiàn)有協(xié)議，也沒有在業(yè)務(wù)部門之間持續(xù)溝通新的要求，從而導(dǎo)致合同協(xié)議不合規(guī)，并出現(xiàn)潛在的供應(yīng)鏈風險管理問題。

　　9.滯后的安全控制

　　雖然企業(yè)一直在加速部署新技術(shù)和工作流程，以適應(yīng)其日益多樣化的員工隊伍，但確保安全性、可用性、處理完整性、保密性和隱私性所需的控制以及這些特征的文檔卻沒有跟上步伐。

　　電子商務(wù)平臺提供商MikMak現(xiàn)任總裁兼首席運營官、曾在多家GRC和風險管理軟件供應(yīng)商擔任高管的丹?齊廷表示:“我們迅速推動所有人盡可能地遠程工作，但對用戶訪問和物理安全的控制并沒有迅速改變?！?/p>

　　因此，許多組織都遇到了控制失敗和遵從性問題，從而導(dǎo)致風險暴露和安全破壞。例如，SOC2、薩班斯-奧克斯利法案和ISO/IEC27001合規(guī)標準和法規(guī)中規(guī)定的控制隨著工作流程日益變得遠程友好而發(fā)生變化。但一些公司仍在努力更新他們的文檔，以通過這些類型的安全審計。