由于新冠疫情、供應(yīng)鏈中斷和環(huán)境要求的影響,企業(yè)正以前所未有的速度對其商業(yè)模式進行大規(guī)模變革。雖然風險本身只是企業(yè)開展業(yè)務(wù)的一項成本,但與降低這些風險相關(guān)的額外成本以及經(jīng)營不善所帶來的后果(如果有的話)相比已經(jīng)大幅增加。
風險管理失敗通常被描述為不幸事件、魯莽行為或錯誤判斷的結(jié)果。但是,更深入的分析通常會揭示系統(tǒng)性問題,而這些問題本可以通過更主動和更持續(xù)的企業(yè)風險管理計劃來解決。其中許多問題可能導致9種常見風險管理失敗中的任何一種。
1.治理不善
美國花旗銀行在2020年8月錯誤地向化妝品廠商露華濃公司的貸款方支付了9億美元的貸款,這成為一個頭條新聞。一位聯(lián)邦法官后來裁定,花旗銀行最終只收回不到一半的貸款。
與所有金融服務(wù)機構(gòu)一樣,花旗銀行也制定了相應(yīng)的政策,例如用于匯出大量資金的專用終端以及在新冠疫情期間其員工遷移到偏遠地區(qū)后重新調(diào)整的多項控制措施。調(diào)研機構(gòu)Gartner公司戰(zhàn)略和風險實踐咨詢副總裁Chris Matlock表示,最初懷疑是花旗銀行控制不力導致了這一代價高昂的錯誤。但問題源于最近安裝的一個軟件包,該軟件包存在用戶界面(UI)問題,沒有適當?shù)目丶е氯藶殄e誤。
Matlock補充說:“在這種情況下,人為錯誤是最主要原因。”花旗銀行最終被美國監(jiān)管機構(gòu)罰款4億美元,并促使其對內(nèi)部風險管理、數(shù)據(jù)治理和合規(guī)控制進行徹底改革。
2.有害的工作文化
Forrester Research公司高級分析師Alla Valente表示,硅谷幾十年來一直以技術(shù)創(chuàng)新中心而聞名,如今已演變成有害的“兄弟文化”的堡壘。她還列舉了其他形式的有害工作文化,例如企業(yè)未能降低可能疏遠員工和客戶的風險。
Valente認為,F(xiàn)acebook公司對劍橋分析公司的數(shù)據(jù)泄露丑聞的反應(yīng)冷淡,已經(jīng)大大削弱了其可信度和市場潛力。Valente說,富國銀行的高管對銀行對客戶的掠奪性銷售行為的警告信號視而不見,而這是一項戰(zhàn)略決定,它本來可以修復的,但修復文化絕非易事。
3.過分強調(diào)效率與彈性
Matlock表示,效率和彈性是兩個極端。當事情進展順利時,更高的效率可以帶來更高的利潤。汽車行業(yè)通過創(chuàng)建由數(shù)以千計的跨多個層次的第三方供應(yīng)商組成的供應(yīng)鏈,實現(xiàn)了顯著的成本節(jié)省。但是在疫情期間,缺乏彈性的供應(yīng)鏈出現(xiàn)了大規(guī)模中斷。隨之而來的是芯片短缺,當芯片供應(yīng)商利用消費電子行業(yè)由此產(chǎn)生的更高利潤率時,汽車制造商的收入受到了影響。
與其相反,互動健身平臺制造商Peloton公司將其整個供應(yīng)鏈和制造過程從亞洲轉(zhuǎn)移到俄亥俄州,以滿足疫情封鎖期間對其運動自行車的更高需求。其供應(yīng)鏈中的這種彈性有助于使該公司免受中斷、瓶頸和貿(mào)易戰(zhàn)的影響。
4.無足輕重的ESG聲明
直到最近,一些企業(yè)才發(fā)布影響聲明,這些聲明只是對其環(huán)境、可持續(xù)發(fā)展和治理(ESG)計劃進行口頭承諾,與可衡量的結(jié)果或有意義的結(jié)果無關(guān)。自從聯(lián)合國發(fā)布“人類的紅色代碼”以來,監(jiān)管機構(gòu)、客戶、員工甚至股東都在推動更有意義的影響報告。
美國和英國的證券監(jiān)管機構(gòu)正在考慮制定新的ESG影響披露規(guī)則。??松梨诠驹诙聲坏拇頇?quán)爭奪戰(zhàn)中失敗,因為激進主義者要求加強ESG問責制。Matlock說,“人們低估了ESG的重要性。直到現(xiàn)在,我們都知道環(huán)保意識和社會意識很重要。但現(xiàn)在突然之間,似乎我們都必須認真對待這一點。如果弄錯了,可能會在資本流動和機會方面受到懲罰。”
5.不計后果的冒險
在異常高溫夏季,一場野火在不到兩個小時內(nèi)摧毀了加拿大不列顛哥倫比亞省的利頓村,并引發(fā)了一場集體訴訟,聲稱其火災(zāi)是由附近運行的貨運列車過熱或產(chǎn)生的火花引發(fā)的。該訴訟指控加拿大太平洋鐵路公司和加拿大國家鐵路公司的魯莽行為,因為他們應(yīng)該知道運行火車的運營條件不安全,并且未能保護該鎮(zhèn)。
全球服務(wù)提供商Thirdera公司的業(yè)務(wù)經(jīng)理Josh Tessaro說,“但事情往往沒那么簡單。當人們看到像是魯莽冒險的新聞文章時,這些事件幾乎總是因為缺乏風險數(shù)據(jù)、流程定義和治理而導致的。”
6.缺乏透明度
一段時間以來,美國民眾的注意力都集中在幾個州對新冠疫情死亡人數(shù)的漏報和誤報上。特別是紐約的養(yǎng)老院丑聞表明,老年人中與疫情相關(guān)的實際死亡人數(shù)系統(tǒng)性缺乏透明度,以及向公眾公布的低調(diào)數(shù)字與州檢察長的最終調(diào)查結(jié)果之間存在巨大差異。
在企業(yè)內(nèi)部保留數(shù)據(jù)、缺少數(shù)據(jù)或孤立的數(shù)據(jù)可能會造成透明度問題,并導致不可言喻的后果。Tessaro解釋說:“許多流程和系統(tǒng)在設(shè)計時沒有考慮到風險,并且在整個企業(yè)中經(jīng)常相互關(guān)聯(lián),并由不同的領(lǐng)導者擁有。然后,風險管理人員往往滿足于他們擁有的易于訪問的數(shù)據(jù),而忽略了關(guān)鍵流程,因為數(shù)據(jù)很難獲取。”
透明的風險管理方法需要一致的戰(zhàn)略,其中包括高級管理人員、明確定義風險管理的作用、鼓勵風險意識、制定通用風險語言并涵蓋所有部門的各種利益、目標和關(guān)鍵風險問題。還應(yīng)建立風險概況和事件的集中記錄系統(tǒng),以收集、管理和報告關(guān)鍵風險數(shù)據(jù)。
7.不成熟的企業(yè)風險管理(ERM)計劃
根據(jù)金融市場數(shù)據(jù)和基礎(chǔ)設(shè)施提供商Refinitiv公司的數(shù)據(jù),低利率和股市飆升刺激了2021年上半年的全球并購數(shù)量創(chuàng)下歷史新高。在成功案例中隱藏著許多鮮為人知的并購、IPO和產(chǎn)品發(fā)布失敗的案例。
ServiceNow公司負責風險產(chǎn)品的全球銷售助理副總裁Clifford Huntington表示:“其中許多失敗可歸因于企業(yè)的風險計劃不成熟。”企業(yè)通常沒有認識到,在準備交易時,需要進行完整的風險評估作為企業(yè)風險管理(ERM)計劃的一部分來識別潛在和固有風險。
8.供應(yīng)鏈疏忽
大規(guī)模網(wǎng)絡(luò)事件的增加凸顯了評估合作伙伴供應(yīng)鏈上下游安全風險的必要性。咨詢機構(gòu)AArete公司總經(jīng)理Mark O'Hara說,“企業(yè)越來越關(guān)注供應(yīng)商的風險,因為它與敏感數(shù)據(jù)泄露有關(guān)。”
新的合同條款需要解決網(wǎng)絡(luò)保險要求、數(shù)據(jù)銷毀做法和銷毀驗證。但是,O'Hara承認,企業(yè)不會定期審查現(xiàn)有協(xié)議或在其業(yè)務(wù)部門中始終如一地傳達新要求,從而導致不合規(guī)的合同協(xié)議。
9.滯后的安全控制
雖然很多企業(yè)一直在加速部署工作流程和技術(shù)以適應(yīng)其新的混合工作模式,但確保安全性、可用性、處理完整性、機密性和隱私以及他們的文檔所需的控制并沒有跟上步伐。
治理、風險和合規(guī)軟件提供商Galvanize公司首席執(zhí)行官Dan Zitting說,“我們在可能的情況下迅速推動每個人進行遠程工作,但對用戶訪問和物理安全的控制并沒有迅速改變。”
因此,許多企業(yè)都面臨控制失敗和合規(guī)性問題,從而導致風險暴露和安全漏洞。例如,SOC2、Sarbanes-Oxley法案和ISO27001合規(guī)性標準和法規(guī)中指定的控制措施,隨著工作流程隨著疫情的緩解而發(fā)生變化。很多企業(yè)將會更新他們的文檔以通過這些類型的安全審計。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號