您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

九种常见的风险管理失败以及如何避免

发表于:2021-10-27 作者:George Lawton 来源:企业网D1Net

随着企业以前所未有的速度重新规划和设计新冠疫情之后的商业模式,治理、透明度和文化问题也带来了一些风险。

由于新冠疫情、供应链中断和环境要求的影响,企业正以前所未有的速度对其商业模式进行大规模变革。虽然风险本身只是企业开展业务的一项成本,但与降低这些风险相关的额外成本以及经营不善所带来的后果(如果有的话)相比已经大幅增加。

风险管理失败通常被描述为不幸事件、鲁莽行为或错误判断的结果。但是,更深入的分析通常会揭示系统性问题,而这些问题本可以通过更主动和更持续的企业风险管理计划来解决。其中许多问题可能导致9种常见风险管理失败中的任何一种。

1.治理不善

美国花旗银行在2020年8月错误地向化妆品厂商露华浓公司的贷款方支付了9亿美元的贷款,这成为一个头条新闻。一位联邦法官后来裁定,花旗银行最终只收回不到一半的贷款。

与所有金融服务机构一样,花旗银行也制定了相应的政策,例如用于汇出大量资金的专用终端以及在新冠疫情期间其员工迁移到偏远地区后重新调整的多项控制措施。调研机构Gartner公司战略和风险实践咨询副总裁Chris Matlock表示,最初怀疑是花旗银行控制不力导致了这一代价高昂的错误。但问题源于最近安装的一个软件包,该软件包存在用户界面(UI)问题,没有适当的控件并导致人为错误。

Matlock补充说:“在这种情况下,人为错误是最主要原因。”花旗银行最终被美国监管机构罚款4亿美元,并促使其对内部风险管理、数据治理和合规控制进行彻底改革。

2.有害的工作文化

Forrester Research公司高级分析师Alla Valente表示,硅谷几十年来一直以技术创新中心而闻名,如今已演变成有害的“兄弟文化”的堡垒。她还列举了其他形式的有害工作文化,例如企业未能降低可能疏远员工和客户的风险。

Valente认为,Facebook公司对剑桥分析公司的数据泄露丑闻的反应冷淡,已经大大削弱了其可信度和市场潜力。Valente说,富国银行的高管对银行对客户的掠夺性销售行为的警告信号视而不见,而这是一项战略决定,它本来可以修复的,但修复文化绝非易事。

3.过分强调效率与弹性

Matlock表示,效率和弹性是两个极端。当事情进展顺利时,更高的效率可以带来更高的利润。汽车行业通过创建由数以千计的跨多个层次的第三方供应商组成的供应链,实现了显著的成本节省。但是在疫情期间,缺乏弹性的供应链出现了大规模中断。随之而来的是芯片短缺,当芯片供应商利用消费电子行业由此产生的更高利润率时,汽车制造商的收入受到了影响。

与其相反,互动健身平台制造商Peloton公司将其整个供应链和制造过程从亚洲转移到俄亥俄州,以满足疫情封锁期间对其运动自行车的更高需求。其供应链中的这种弹性有助于使该公司免受中断、瓶颈和贸易战的影响。

4.无足轻重的ESG声明

直到最近,一些企业才发布影响声明,这些声明只是对其环境、可持续发展和治理(ESG)计划进行口头承诺,与可衡量的结果或有意义的结果无关。自从联合国发布“人类的红色代码”以来,监管机构、客户、员工甚至股东都在推动更有意义的影响报告。

美国和英国的证券监管机构正在考虑制定新的ESG影响披露规则。埃克森美孚公司在董事会席位的代理权争夺战中失败,因为激进主义者要求加强ESG问责制。Matlock说,“人们低估了ESG的重要性。直到现在,我们都知道环保意识和社会意识很重要。但现在突然之间,似乎我们都必须认真对待这一点。如果弄错了,可能会在资本流动和机会方面受到惩罚。”

5.不计后果的冒险

在异常高温夏季,一场野火在不到两个小时内摧毁了加拿大不列颠哥伦比亚省的利顿村,并引发了一场集体诉讼,声称其火灾是由附近运行的货运列车过热或产生的火花引发的。该诉讼指控加拿大太平洋铁路公司和加拿大国家铁路公司的鲁莽行为,因为他们应该知道运行火车的运营条件不安全,并且未能保护该镇。

全球服务提供商Thirdera公司的业务经理Josh Tessaro说,“但事情往往没那么简单。当人们看到像是鲁莽冒险的新闻文章时,这些事件几乎总是因为缺乏风险数据、流程定义和治理而导致的。”

6.缺乏透明度

一段时间以来,美国民众的注意力都集中在几个州对新冠疫情死亡人数的漏报和误报上。特别是纽约的养老院丑闻表明,老年人中与疫情相关的实际死亡人数系统性缺乏透明度,以及向公众公布的低调数字与州检察长的最终调查结果之间存在巨大差异。

在企业内部保留数据、缺少数据或孤立的数据可能会造成透明度问题,并导致不可言喻的后果。Tessaro解释说:“许多流程和系统在设计时没有考虑到风险,并且在整个企业中经常相互关联,并由不同的领导者拥有。然后,风险管理人员往往满足于他们拥有的易于访问的数据,而忽略了关键流程,因为数据很难获取。”

透明的风险管理方法需要一致的战略,其中包括高级管理人员、明确定义风险管理的作用、鼓励风险意识、制定通用风险语言并涵盖所有部门的各种利益、目标和关键风险问题。还应建立风险概况和事件的集中记录系统,以收集、管理和报告关键风险数据。

7.不成熟的企业风险管理(ERM)计划

根据金融市场数据和基础设施提供商Refinitiv公司的数据,低利率和股市飙升刺激了2021年上半年的全球并购数量创下历史新高。在成功案例中隐藏着许多鲜为人知的并购、IPO和产品发布失败的案例。

ServiceNow公司负责风险产品的全球销售助理副总裁Clifford Huntington表示:“其中许多失败可归因于企业的风险计划不成熟。”企业通常没有认识到,在准备交易时,需要进行完整的风险评估作为企业风险管理(ERM)计划的一部分来识别潜在和固有风险。

8.供应链疏忽

大规模网络事件的增加凸显了评估合作伙伴供应链上下游安全风险的必要性。咨询机构AArete公司总经理Mark O'Hara说,“企业越来越关注供应商的风险,因为它与敏感数据泄露有关。”

新的合同条款需要解决网络保险要求、数据销毁做法和销毁验证。但是,O'Hara承认,企业不会定期审查现有协议或在其业务部门中始终如一地传达新要求,从而导致不合规的合同协议。

9.滞后的安全控制

虽然很多企业一直在加速部署工作流程和技术以适应其新的混合工作模式,但确保安全性、可用性、处理完整性、机密性和隐私以及他们的文档所需的控制并没有跟上步伐。

治理、风险和合规软件提供商Galvanize公司首席执行官Dan Zitting说,“我们在可能的情况下迅速推动每个人进行远程工作,但对用户访问和物理安全的控制并没有迅速改变。”

因此,许多企业都面临控制失败和合规性问题,从而导致风险暴露和安全漏洞。例如,SOC2、Sarbanes-Oxley法案和ISO27001合规性标准和法规中指定的控制措施,随着工作流程随着疫情的缓解而发生变化。很多企业将会更新他们的文档以通过这些类型的安全审计。