由于发生新冠疫情、供应链中断和新的环境要求,企业正在以前所未有的速度对其商业模式和战略进行大规模变革。变革的步伐给企业带来了新的商业风险,这使得企业必须密切关注他们的风险管理计划。
风险管理失败通常被描述为不幸事件、鲁莽行为或错误判断的结果。但更深入的分析表明,许多风险是由系统性问题造成的,这些问题本可以通过更积极主动和持续的企业风险管理(ERM)计划来解决。这里有九种常见的风险管理失败需要避免。
1.可怜的治理
花旗银行在2020年8月错误地将9亿美元贷款支付给化妆品公司露华浓(Revlon)的贷款人,这一负面消息成为头条新闻。一名联邦法官后来裁定,花旗银行无权从10家拒绝归还约5亿美元贷款的银行获得退款,不过一家上诉法院推翻了这一裁决,花旗银行最终拿回了所有的钱。
与所有金融服务机构一样,花旗银行也有相应的政策和技术,例如用于汇出大量资金的专用终端,以及在疫情期间将员工迁移到偏远地区后修订的多重控制措施。Gartner负责企业战略和风险实践的副总裁兼咨询团队经理克里斯•马特洛克(ChrisMatlock)说,人们最初怀疑银行控制措施的漏洞导致了这一代价高昂的错误。
但问题被追溯到最近安装的一个软件包,该软件包有UI问题,而且没有适当的控制,这导致了人为错误。马特洛克补充说:“在这种情况下,人为因素可能会压倒任何已经安装的好技术。”
在错误支付两个月后,花旗银行被美国监管机构罚款4亿美元,原因是政府称其“长期未能建立有效的风险管理和数据治理计划以及内部控制”。该命令还要求该银行彻底改革其做法和控制。
组织需要在他们的风险管理工作中防范这些失败。
2.有毒的工作文化
弗雷斯特研究公司的分析师Alla Valent表示,几十年来,硅谷一直是技术创新的中心,但现在已经成为有毒的“兄弟文化”的堡垒。她还列举了其他形式的有毒工作文化,因为公司未能降低可能疏远员工和客户的风险,往往会导致负面的商业后果。
例如,瓦伦特表示,Facebook对2018年曝光的剑桥分析公司)数据使用丑闻反应冷淡,严重损害了其可信度和市场潜力。她补充说,富国银行的高管们对银行掠夺性放贷行为的警告信号视而不见,“是一项战略决策”。“这本来是可以修复的,但修复文化从来都不容易。”这是风险管理方面代价高昂的失败:2022年,富国银行同意向受影响的客户支付20亿美元,并支付17亿美元的联邦罚款。
3.过分强调效率vs.弹性
马特洛克表示,效率和弹性位于业务范围的两端。当事情进展顺利时,更高的效率会带来更高的利润。汽车行业通过建立跨越多个层级的数千家第三方供应商的供应链,实现了显著的成本节约。但在大流行初期,缺乏弹性的供应链出现了大规模中断。芯片短缺随之而来,当芯片供应商利用由此产生的消费电子行业更高的利润率时,汽车制造商的底线受到了影响。
相反,马特洛克说,互动健身器材制造商Peloton将其整个供应链和制造流程从亚洲转移到俄亥俄州,以满足新冠肺炎封锁期间对健身自行车的需求增加。供应链的这种弹性帮助该公司免受中断、瓶颈和贸易战的影响,尽管Peloton后来在封锁结束后遇到了财务问题,导致裁员,首席执行官于2022年离职。
4.无意义的ESG声明
直到最近,公司通常会发布环境、社会和治理影响声明,这些声明只是口头上对其ESG计划的承诺,而与可衡量的结果或有意义的结果无关。但特别是自联合国于2021年发布关于气候变化的“人类红色代码”以来,监管机构、客户、员工和股东都在推动更有意义的ESG影响报告。
从2025年开始,欧盟将要求约5万家公司每年报告与社会和环境问题相关的商业风险和机会,以及其业务运营的影响。美国证券监管机构也在考虑新的气候风险披露规则。2021年,埃克森美孚)在争夺三个董事会席位的代理权争夺战中失利,原因是激进投资者要求这家石油和天然气公司承担更大的ESG责任。
“人们低估了ESG的重要性,”马特洛克说。“到目前为止,我们都知道环保意识和社会意识很重要。但现在突然间,我们似乎都必须认真对待这件事。如果我们做错了,可能会在资本流动和机会方面受到惩罚。”
5.不计后果的冒险行为
2021年,在异常高温的夏季,一场接近122度的野火在不到两个小时的时间里摧毁了不列颠哥伦比亚省的利顿村,并引发了一场集体诉讼,声称火灾是由附近运行的货运列车发出的热量或火花引发的。这起诉讼指控加拿大太平洋和加拿大国家铁路公司的鲁莽行为,因为他们应该知道条件不安全,无法运营火车,也未能保护该镇。
“但事情往往没那么简单,”ServiceNow全球服务提供商Thirdera的安全和风险主管JoshTessaro说,“当你看到其中一篇看起来像是鲁莽冒险的新闻文章时,几乎总是由于缺乏风险数据、流程定义和治理。”
6.缺乏透明度
在疫情最严重的时候,全国的注意力集中在几个州少报和误报COVID-19死亡人数的问题上。纽约州的养老院丑闻表明,与COVID-19相关的老年人实际死亡人数系统性缺乏透明度,向公众公布的低估数字与州检察长的最终调查结果之间存在巨大差异。
组织内部隐瞒数据、孤立数据或缺乏数据可能会造成透明度问题,并导致无法估量的后果。Tessaro解释说:“许多流程和系统在设计时没有考虑到风险,而且往往在整个企业中脱节,由不同的领导者拥有。”“风险管理人员通常会满足于他们拥有的容易获得的数据,而忽略关键流程,因为数据很难获得。”
一个透明的风险管理方法需要一个包括高级管理层和其他商业领袖在内的一致的全公司战略。该战略还应明确界定风险管理的作用;鼓励风险意识;制定共同的风险语言;并涵盖各部门的各种利益、目标和关键风险问题。建立风险概况和风险相关事件的集中记录系统,收集、管理和报告关键风险数据,形成风险管理过程文件。
7.不成熟的ERM程序
大型并购进展顺利,以及成功的ipo,都是商界的大新闻。在这些成功案例中,隐藏着许多不太为人所知的并购、IPO和产品发布失败案例。
软件供应商OneTrust的高级副总裁兼治理、风险和合规(GRC)工具总经理CliffordHuntington说:“许多失败都可以归因于组织不成熟的风险计划。”企业通常没有认识到,作为ERM计划的一部分,完整的风险评估是在准备交易以及从事各种其他业务活动时需要的,以识别潜在的和固有的风险。
8.供应链监管
大规模网络事件的增加凸显了评估合作伙伴供应链上下安全风险的必要性。咨询公司AArete的董事总经理Mark O'Hara表示:“企业越来越关注供应商带来的敏感数据泄露风险。”
O'Hara说,新的合同条款需要解决网络保险要求、数据销毁实践和销毁核查问题。但他承认,许多组织没有定期审查现有协议,也没有在业务部门之间持续沟通新的要求,从而导致合同协议不合规,并出现潜在的供应链风险管理问题。
9.滞后的安全控制
虽然企业一直在加速部署新技术和工作流程,以适应其日益多样化的员工队伍,但确保安全性、可用性、处理完整性、保密性和隐私性所需的控制以及这些特征的文档却没有跟上步伐。
电子商务平台提供商MikMak现任总裁兼首席运营官、曾在多家GRC和风险管理软件供应商担任高管的丹•齐廷表示:“我们迅速推动所有人尽可能地远程工作,但对用户访问和物理安全的控制并没有迅速改变。”
因此,许多组织都遇到了控制失败和遵从性问题,从而导致风险暴露和安全破坏。例如,SOC2、萨班斯-奥克斯利法案和ISO/IEC27001合规标准和法规中规定的控制随着工作流程日益变得远程友好而发生变化。但一些公司仍在努力更新他们的文档,以通过这些类型的安全审计。