在很多企业中，企业风险管理已经占据中心地位，随着这些企业努力应对经济不确定性带来的影响–先是新冠肺炎疫情引发，然后是乌克兰和加沙战争，以及技术变革的快速步伐和其他潜在商业风险。

具有前瞻性的公司高管认识到，在当今商业世界中，保持竞争力需要更强大的风险管理计划。例如，当前企业风险管理（ERM）中，企业必须应对的一个方面是不同组织之间的风险关联。

Forrester Research公司分析师Alla Valente解释说，企业与全球市场的合作伙伴、供应商和供应商日益相互联系，使他们面临的各种风险复杂化。

她说：“我们发现，当其中一个类别存在明显更多风险时，它可能会产生涟漪效应，影响其他类别。”某地自然灾害、战争、更高的利率或其他事态发展对商业的影响可能会波及全球整个供应链。与其他因素一起，这使得有效的风险管理成为持续商业成功的先决条件。

以下是12个风险管理趋势，这些趋势正在重塑ERM流程，并影响业务连续性规划和风险缓解工作。

1. 风险成熟度模型整合工作流程

Valente观察到，越来越多的企业正在考虑采用风险成熟度模型，以管理风险脆弱性日益增长的相互联系。这种方法反映了其他框架，例如软件开发中广泛使用的能力成熟度模型。采用风险成熟度模型需要解决风险管理流程和技术，以支持它们。

在流程方面，风险管理领导者必须组建一个风险利益相关者团队。该团队应结合必要的技术和业务专业知识，以做出快速和智能的基于风险的决策，建立ERM政策和程序，并实施适当的控制。风险经理还需要建立跨不同实体整合ERM工作流程的流程。

技术方面包括IT基础设施，用于集中有关风险管理和自动化风险政策执行的信息，并运用这些信息。

2. ERM技术堆栈扩展到GRC

企业风险管理不仅仅涉及财务问题，还扩展到网络安全、IT、第三方关系以及治理、风险和合规（GRC）程序。全面的GRC平台可以成为所有类型的风险管理活动的关键集成层。企业可以使用它来创建和管理政策，进行风险评估，了解其风险态势，识别监管合规性的差距，管理和应对事件，以及内部审计流程的自动化。

Valente说，首席信息官需要确认他们的风险管理技术堆栈是否适合每项任务，并主动使用，而不仅仅是被动使用。考虑将以下功能集成到一个更全面的技术堆栈中：

• 风险情报工具，用于分析地缘政治风险、自然灾害和其他事件。
• 第三方风险评估工具，用于跟踪其他企业的处罚、安全事件和财务状况。
• 网络安全系统，用于评估网络风险的潜在影响，例如安全漏洞、数据泄露和网络攻击。
• 社交媒体监控功能，以识别品牌声誉的突然变化。

3. ERM被视为竞争优势

现在，企业通常将风险管理视为增加竞争优势的一种方式，而不仅仅是规避风险，这一趋势在新冠肺炎出现后变得尤为明显。

Valente指出：“尽管很多公司在疫情期间遭受了经济损失，但我们也看到很多公司转向了以前不存在的新机会。”

Valente的研究团队描述了专注于将风险降至最低的传统首席风险官与Forrester所说的转型CRO之间的差异。后者将风险管理视为一种竞争差异化因素，可以防止风险干扰业务战略以及限制收入流。

Valente解释说，采取变革性风险方法的公司可以快速动员其团队和商业领袖，以抓住市场的新差距。例如，据Valente称，当宜家的商店流量在最初的疫情封锁期间急剧下降时，这家家具零售商迅速实施了一个新的非接触式取货系统，让客户安全地取货。

4. 更广泛地使用风险偏好声明

风险偏好声明最早出现在金融业，以改善与员工、投资者和监管机构的沟通。扩大贷款投放规模具有一定风险，如果太多客户拖欠，银行需要制定一个计划来触发果断行动。例如，银行可能会为抵押贷款违约或欺诈性交易建立安全基线，这仍然允许他们盈利。

Gartner风险和企业战略实践副总裁兼分析师团队经理Chris Matlock观察到，风险偏好声明现在在其他行业也很受欢迎，可更明确地指导日常风险管理决策。不过，这里有一个注意事项。

Matlock警告说：“这很难做到，但这样做的企业可获得非常高的回报。”

他解释说，在创建有效的风险偏好声明方面，企业面临很多挑战。有些高管认为，这可能会限制他们寻求新商机的能力，而另一些高管则担心措辞拙劣的声明可能会被误解为纵容不可接受的做法。

5. 主题专家加快风险评估和应对

将所有风险信息汇集在一起很重要，但专家也需要利用这些信息。Matlock说，企业越来越多地使用他们的GRC平台，为关键项目创建主题专家的知情网络。当多个部门出现问题时，例如涉及IT、法律和人力资源的安全事件，这些领域的适当专家小组可以快速评估风险并采取必要的行动。

新项目开始时的风险评估现在也很重要。制定最佳计划并创建一个支持及时应对风险的流程会产生最佳结果。Matlock说：“在整个项目生命周期内管理风险和及时应对风险决定能否取得成功。”

6. 风险缓解和测量工具倍增

Deloitte 公司负责人Keri Calagna表示，积极衡量和缓解风险的工具正在变得更好，他是这家专业服务公司在美国战略风险和复原力方面的咨询负责人。改进包括内部和外部风险感知工具，这些工具有助于生成检测趋势和新出现风险所需的风险情报。

此外，Calagna报告说，企业正在转向更集成的工具，这些工具可以做到以下几点：

• 从整体视角，展现整个组织的风险。
• 捕捉关键风险指标，以显示风险趋势。
• 促进问责制，对减轻风险而采取的行动。
• 提供实时风险报告，以帮助做出管理决策。

Calagna说，情景规划和假设测试能力也在提高。企业还在使用模拟、战争游戏、桌面练习和其他互动研讨会来促进关于风险管理的更多跨职能思维，并帮助评估未来事件对公司业务计划和战略的可能影响。

7. GRC遇到ESG

另一个企业风险管理趋势是将商业风险与环境、社会和治理（ESG）议程关联。

软件供应商OneTrust的GRC产品总经理Cliff Huntington警告说：“当公司开始ESG风险规划时，他们应该确保他们正在采取的行动是重要且实际的。”Huntington表示，企业需要证明，他们不仅仅是在漂绿，而是作为其ESG战略和计划的一部分，正在取得可衡量的进展。

他说：“业务领导者正在意识到ESG风险是一种商业风险，并正在采取措施，结合他们的企业风险计划来减轻风险。”

8. 极端天气风险越来越高

随着飓风、野火和其他极端天气事件的影响和频率的增加，首席执行官和董事会被要求实施风险管理战略，以帮助减轻对员工和业务运营的后果。

根据美国国家海洋和大气管理局（NOAA）的数据，2023年，美国发生了创纪录的280亿美元天气和气候灾难，共造成951亿美元的损失。在2024年前10个月，NOAA确认了24个此类事件，总损失为616亿美元。由于气候变化会使与天气相关的危机数量增加成为常态，组织必须采取风险缓解措施来保护其资产，并避免业务中断。

9. 将风险管理与数字化转型整合

普华永道负责人兼美国网络、风险和监管咨询实践企业技术领导者Elizabeth McNichol表示，随着业务运营日益数字化，IT环境变得越来越复杂，企业越来越多地采用集成的GRC（IGRC）计划来简化其风险管理活动。

她说，由于分散、过度复杂的系统，很多公司不了解他们拥有的所有类型的数据，它是如何被整理，甚至它是否可能不符合法律。McNichol补充说，企业如何处理数据和遵守法规的规则应该清晰、直截了当、普遍，并以基于风险的方法为基础。

IT作为IGRC的驱动力和推动者发挥着至关重要的作用。首席信息官和其他IT领导者必须与业务经理合作，根据公司的风险偏好来识别、评估和减轻风险。综合治理模式可以通过协调整个企业的战略、人员、流程和技术目标来提供帮助。这些步骤至关重要，可确保风险管理部分成功整合到更广泛的数字化转型计划中。

10. 增强和情境化风险监控

技术研究公司Everest Group的副总裁兼云和基础设施实践主管Kumar Avijit看到，对为CIO、CISO和业务经理等各种角色和角色量身定制的风险管理监控工具的需求越来越大。这是因为各种高管和业务用户正在定义新的风险管理优先事项和任务。这些工具通过提供正确粒度水平的深入视图来增强传统风险分析。

对于不同角色，风险优先事项包括以下内容：

• CEO希望推动安全的业务转型。
• CFO希望降低业务风险和数据泄露的成本。
• CIO希望业务运营更具灵活性。
• CIO希望将安全作为IT战略的基本要素。
• CISO希望量化网络安全风险，以帮助决策。

11. AI增强风险管理举措

AI将在风险管理计划中发挥越来越大的作用。例如，企业正在部署AI工具，以支持欺诈检测、威胁情报和敏感数据分类等用例的风险管理和缓解工作。以下是这一趋势的其他常见表现：

• AI驱动的风险识别和预测。机器学习开始被用来比人类更准确、更快地识别风险。网络安全的动态风险管理流程尤其如此，其中启发式或基于规则的方法可能会过时，因为对手正在使用AI本身发动新的攻击。AI和机器学习工具还可以监控风险，并预测它们在未来可能会如何发展，使缓解策略变得更加积极主动。
• 聊天机器人的使用。他们可以回答来自员工、客户、业务合作伙伴和其他各方的风险管理问题，否则风险经理需要解决这些问题。聊天机器人还可以浏览内部知识库，以显示组织中以前遇到的风险相关场景和事件，从而节省时间，并防止在解决问题方面的冗余投资。
• 法律和模型风险管理中的AI。AI工具正在被用来确保法律合规，并减轻相关风险。它们还可用于模型风险管理和定量和定性模型的压力测试，以满足金融服务、保险和其他行业的监管要求。

12. AI引入新风险

另一方面，对AI的兴趣激增，部分原因是生成式AI（GenAI）技术的出现，造成了企业以前从未广泛考虑过的各种新风险。例子包括AI算法和模型中的偏见、GenAI工具经常产生的AI幻觉、与AI使用相关的道德问题以及AI应用程序结果缺乏可解释性。

企业可以采取以下措施来帮助管理这些风险和其他AI风险：

• AI风险管理框架。如果新的AI风险管理框架（例如NIST开发的框架）是有效的，这将消除企业开始管理AI风险的巨大障碍。
• 负责任的AI程序。一个有凝聚力的负责任的AI战略将是AI风险管理的重要组成部分。但有些公司可能会努力平衡对负责任的AI原则的理想主义承诺与支持和维持计划所需的资源水平。企业需要认真考虑如何实现这种平衡。
• AI治理政策。这涉及建立指导方针，使AI系统的治理与企业的价值观和目标保持一致。如果没有这种协调，由于内部摩擦，AI治理政策的实施可能会失败，导致部署有限，无法在整个组织中有效管理AI风险。
• 第三方AI风险的管理。企业还必须解决因使用外部开发的AI工具而产生的风险。企业应考虑将这些第三方AI风险纳入现有的风险管理策略中，这将决定企业能否取得成功。