随着企业努力应对COVID-19疫情带来的挥之不去的影响、经济衰退的威胁和快速变化，企业风险管理已成为企业工作重点。

高管们认识到，在这个新时代，需要更强大的ERM计划来保持竞争力。对于当前风险格局，企业必须应对的一个方面是连带风险。

Forrester Research高级分析师Alla Valente解释说，企业与全球市场的合作伙伴、供应商的联系越来越紧密。

Valente 称：“我们发现，当其中一个类别的风险明显增加时，它可能会产生连锁反应，影响其他类别的风险。”例如，当地自然灾害、乌克兰持续战争或高利率的影响可能会影响整个全球供应链。

以下12个安全和风险管理趋势正在重塑风险格局并影响业务连续性规划。

1. 风险成熟度框架整合工作流程

Valente观察到，越来越多的企业正在考虑将风险成熟度框架作为一种方式，以管理风险环境中漏洞之间日益增长的相互关联性。这种方法反映了其他框架，例如软件开发中广泛使用的能力成熟度模型。风险管理成熟度需要解决流程和技术问题。

在流程方面，风险管理领导者必须组建一个风险利益相关者团队。该团队应结合必要的技术和业务专业知识，以做出快速和明智的基于风险的决策，建立政策和程序，并实施适当的控制。风险经理还需要确保建立流程，以跨不同机构整合工作流程。

技术方面包括IT基础架构，用于整合和情景化有关风险管理的信息以及自动化风险策略实施。

2. ERM技术堆栈扩展到GRC

企业风险管理已经从简单的财务治理扩展到安全、IT、第三方关系以及治理风险和合规性 （GRC）。全面的GRC平台可以成为所有类型的风险管理活动的关键集成层，以创建和管理策略，进行风险评估，了解风险状况，识别法规合规性方面的差距，管理和响应事件以及自动化内部审计流程。

Valente建议，首席信息官需要确认他们的风险技术堆栈足以完成每项任务，并且使用时要深思熟虑、主动，而不仅仅是被动使用。考虑将以下内容集成到更全面的风险技术堆栈中：

• 地缘政治风险、自然灾害和其他事件的情报分析；
• 第三方风险评估工具，用于跟踪制裁、安全事件和财务状况；
• 安全系统，用于评估漏洞、泄漏事故和网络攻击潜在影响；
• 社交媒体监控功能，可跟踪品牌声誉的突然变化。

3. 企业风险管理被视为竞争优势

很多公司将风险管理视为提高竞争优势的一种方式，而不是简单地避免糟糕的情况–尤其是在COVID-19疫情的冲击下。

Valente 称：“尽管很多公司在疫情期间遭受了经济损失，但我们也看到很多公司转向以前不存在的新机会。”

Valente的研究团队一直在探索传统的首席风险官（CRO）与所谓的转型CRO之间的差异，前者专注于最小化风险，后者将风险管理视为竞争优势，即研究风险如何干扰业务战略并限制收入流。

Valente 解释称：“对于风险，采用转型方法的公司可以迅速动员他们的团队和业务领导者抓住市场上的新缺口。”例如，根据Valente的说法，当宜家的商店客流量在最初的疫情封锁期间急剧下降时，这家零售家具公司迅速实施了一种新的非接触式取货系统，使客户能够安全地取货。

4. 更广泛地使用风险偏好声明

金融行业出现风险偏好声明，以改善与员工、投资者和监管机构的沟通。扩大贷款池需要承担一些风险，但如果太多客户违约，银行需要一个计划来触发果断行动。因此，例如，银行可能会为抵押贷款违约或欺诈易建立安全基线，使其仍能盈利。

Gartner公司战略和风险实践咨询副总裁Chris Matlock观察到，风险偏好声明开始在其他行业中流行起来，通过流程更明确地指导日常风险管理决策，取代基本的“勾选框”练习。这种风险管理趋势伴随着一个警告：“这很难做到，”Matlock警告说，并补充说“这样做的企业回报非常高。”

他解释说，在部署有效的风险偏好声明时，企业面临很多挑战。一些高管认为，这可能会限制他们寻求新机会的能力，而另一些高管则担心，措辞不佳的声明可能会被误解为纵容不可接受的做法。

5. 主题专家小组加快风险评估和响应

整合所有风险信息很重要，但也需要专家来理解这些信息。Matlock说，企业越来越多地使用GRC平台为关键项目创建主题专家网络。当出现跨多个部门的问题时，例如涉及 IT、法律和人力资源的安全事件，可以快速、自动地涵盖这些领域的专家小组，以评估风险并采取行动。

新项目开始时必须进行风险评估。制定最佳计划并找到系统可支持及时风险响应会产生最佳结果。Matlock 称：“在项目的整个生命周期中，抵御风险和及时应对风险对成功的影响最大。”

6. 风险缓解和测量工具成倍增加

测量和降低风险的工具正在变得越来越好，跨国专业服务网络Deloitte负责人Keri Calagna表示。这些改进包括内部和外部风险感知工具，这些工具有助于生成检测趋势和新兴风险的风险情报。

此外，Calagna报告说，企业正在转向以下集成度更高的工具，这些工具可以实现：

• 全面了解整个企业的风险;
• 捕获领先指标以显示风险趋势;
• 促进问责制，为降低风险而采取的行动;和
• 提供实时风险报告，以帮助做出管理决策。

7. GRC遇见ESG

另一个企业风险管理趋势是关联企业风险与环境、社会和治理 （ESG） 议程。Calagna说，预计情景规划和假设测试能力将提高。企业还会使用模拟、战争游戏、桌面和其他互动研讨会来促进更多跨职能的风险思考，以帮助评估不同未来对企业业务规划和战略的影响。

隐私管理软件平台提供商OneTrust的GRC总经理Clifford Huntington警告说：“当公司开始他们的ESG风险规划时，他们应该确保他们正在采取的行动是重要和真实的。”企业需要证明他们不是在以环保作为幌子，而是在取得可衡量的进展。Huntington说：“商业领袖正在意识到ESG风险是一种商业风险，并正在采取措施结合他们的企业风险举措来减轻它。”

8. CIO作为经纪人让C级管理层支持ERM

Huntington说，企业正在优先考虑弹性，而不仅仅是风险管理，以应对COVID-19大流行和经济不确定性造成的中断。拥有既定ERM战略，并与所有部门紧密关联的公司可以快速转型。

为了巩固企业内部的风险和弹性计划，首席信息官需要弥合其最高管理层之间的鸿沟。Huntington 建议道：“首席信息官是开启这些对话的完美经纪人，并帮助他们的同行解决这一基本需求，因为他们负责为很多同行提供技术和服务。”

9. 极端天气风险的影响日益增加

随着极端天气等危机事件的影响和频率增加，首席执行官和董事会将被要求实施风险管理策略，以减轻其对员工和资产的影响。根据现有的最新数据，2021年，与天气有关的灾害造成的损失估计为1450亿美元。

人工智能事件管理平台OnSolve的首席执行官Mark Herrington说：“随着极端天气现在成为常态，到2023年，首席执行官将需要学习风险缓解，以保护他们的资产、员工和基线。”

10. 将风险管理与数字化转型相结合

根据普华永道 2022 年Digital Trust Insights调查显示，75% 的高管表示他们的组织过于复杂，尤其是在技术、数据和运营环境中。普华永道美国网络、风险和监管负责人Elizabeth McNichol表示，其结果是，企业越来越多地采用综合治理、风险和合规（IGRC）计划来简化其风险管理活动。

她说：“由于分散、过于复杂的系统，很多公司不知道他们拥有什么数据、数据是如何组织，甚至可能不符合法律要求。”对于企业如何处理数据和遵守法规的规则应清晰、直接、通用，并以基于风险的方法为基础。

作为 IGRC 的推动者和促成者，IT发挥着关键作用。对于首席信息官和其他 IT 领导者来说，与其他管理团队合作识别和评估影响，以便根据公司的风险偏好降低风险非常重要。集成治理模型可以通过协调端到端价值链中的战略、人员、流程和技术目标来提供帮助。这种ERM趋势至关重要，以确保将风险组件集成到更广泛的数字化转型计划中。

11. 网络风险量化

Everest Group 的IT服务团队实践总监Kumar Avijit看到企业对风险量化服务的需求不断增加，特别是董事会高管的需求。这些服务的范围可以从定制网络安全规则，到通过详尽的风险评估过程完成货币价值的风险量化。

12. 加强和情境化的风险监控

Avijit还看到对风险管理监控工具的需求增加，这些工具为CIO、首席信息安全官和业务经理等各种角色量身定制。这是因为各种高管和业务用户正在定义新的风险管理优先级和任务。这些工具通过向下钻取视图增强传统的风险管理分析，提供适当的粒度级别。

针对不同角色的风险优先级示例包括：

• CEO 希望推动安全的业务转型。
• 首席财务官希望降低业务风险和违规成本。
• 首席运营官希望运行弹性业务运营。
• 首席信息官希望将安全性作为 IT 战略的基本要素。