隨著企業重新調整商業模式和戰略以應對各種新挑戰，風險也隨之增加。以下是需要注意的9個風險管理失誤。

　　由于發生新冠疫情、供應鏈中斷和新的環境要求，企業正在以前所未有的速度對其商業模式和戰略進行大規模變革。變革的步伐給企業帶來了新的商業風險，這使得企業必須密切關注他們的風險管理計劃。

　　風險管理失敗通常被描述為不幸事件、魯莽行為或錯誤判斷的結果。但更深入的分析表明，許多風險是由系統性問題造成的，這些問題本可以通過更積極主動和持續的企業風險管理(ERM)計劃來解決。這里有九種常見的風險管理失敗需要避免。

　　1.可憐的治理

　　花旗銀行在2020年8月錯誤地將9億美元貸款支付給化妝品公司露華濃(Revlon)的貸款人，這一負面消息成為頭條新聞。一名聯邦法官后來裁定，花旗銀行無權從10家拒絕歸還約5億美元貸款的銀行獲得退款，不過一家上訴法院推翻了這一裁決，花旗銀行最終拿回了所有的錢。

　　與所有金融服務機構一樣，花旗銀行也有相應的政策和技術，例如用于匯出大量資金的專用終端，以及在疫情期間將員工遷移到偏遠地區后修訂的多重控制措施。Gartner負責企業戰略和風險實踐的副總裁兼咨詢團隊經理克里斯?馬特洛克(ChrisMatlock)說，人們最初懷疑銀行控制措施的漏洞導致了這一代價高昂的錯誤。

　　但問題被追溯到最近安裝的一個軟件包，該軟件包有UI問題，而且沒有適當的控制，這導致了人為錯誤。馬特洛克補充說:“在這種情況下，人為因素可能會壓倒任何已經安裝的好技術?！?/p>

　　在錯誤支付兩個月后，花旗銀行被美國監管機構罰款4億美元，原因是政府稱其“長期未能建立有效的風險管理和數據治理計劃以及內部控制”。該命令還要求該銀行徹底改革其做法和控制。

　　組織需要在他們的風險管理工作中防范這些失敗。

　　2.有毒的工作文化

　　弗雷斯特研究公司的分析師Alla Valent表示，幾十年來，硅谷一直是技術創新的中心，但現在已經成為有毒的“兄弟文化”的堡壘。她還列舉了其他形式的有毒工作文化，因為公司未能降低可能疏遠員工和客戶的風險，往往會導致負面的商業后果。

　　例如，瓦倫特表示，Facebook對2018年曝光的劍橋分析公司)數據使用丑聞反應冷淡，嚴重損害了其可信度和市場潛力。她補充說，富國銀行的高管們對銀行掠奪性放貸行為的警告信號視而不見，“是一項戰略決策”?！斑@本來是可以修復的，但修復文化從來都不容易?！边@是風險管理方面代價高昂的失敗:2022年，富國銀行同意向受影響的客戶支付20億美元，并支付17億美元的聯邦罰款。

　　3.過分強調效率vs.彈性

　　馬特洛克表示，效率和彈性位于業務范圍的兩端。當事情進展順利時，更高的效率會帶來更高的利潤。汽車行業通過建立跨越多個層級的數千家第三方供應商的供應鏈，實現了顯著的成本節約。但在大流行初期，缺乏彈性的供應鏈出現了大規模中斷。芯片短缺隨之而來，當芯片供應商利用由此產生的消費電子行業更高的利潤率時，汽車制造商的底線受到了影響。

　　相反，馬特洛克說，互動健身器材制造商Peloton將其整個供應鏈和制造流程從亞洲轉移到俄亥俄州，以滿足新冠肺炎封鎖期間對健身自行車的需求增加。供應鏈的這種彈性幫助該公司免受中斷、瓶頸和貿易戰的影響，盡管Peloton后來在封鎖結束后遇到了財務問題，導致裁員，首席執行官于2022年離職。

　　4.無意義的ESG聲明

　　直到最近，公司通常會發布環境、社會和治理影響聲明，這些聲明只是口頭上對其ESG計劃的承諾，而與可衡量的結果或有意義的結果無關。但特別是自聯合國于2021年發布關于氣候變化的“人類紅色代碼”以來，監管機構、客戶、員工和股東都在推動更有意義的ESG影響報告。

　　從2025年開始，歐盟將要求約5萬家公司每年報告與社會和環境問題相關的商業風險和機會，以及其業務運營的影響。美國證券監管機構也在考慮新的氣候風險披露規則。2021年，?？松梨?在爭奪三個董事會席位的代理權爭奪戰中失利，原因是激進投資者要求這家石油和天然氣公司承擔更大的ESG責任。

　　“人們低估了ESG的重要性，”馬特洛克說。“到目前為止，我們都知道環保意識和社會意識很重要。但現在突然間，我們似乎都必須認真對待這件事。如果我們做錯了，可能會在資本流動和機會方面受到懲罰。”

　　5.不計后果的冒險行為

　　2021年，在異常高溫的夏季，一場接近122度的野火在不到兩個小時的時間里摧毀了不列顛哥倫比亞省的利頓村，并引發了一場集體訴訟，聲稱火災是由附近運行的貨運列車發出的熱量或火花引發的。這起訴訟指控加拿大太平洋和加拿大國家鐵路公司的魯莽行為，因為他們應該知道條件不安全，無法運營火車，也未能保護該鎮。

　　“但事情往往沒那么簡單，”ServiceNow全球服務提供商Thirdera的安全和風險主管JoshTessaro說，“當你看到其中一篇看起來像是魯莽冒險的新聞文章時，幾乎總是由于缺乏風險數據、流程定義和治理?！?/p>

　　6.缺乏透明度

　　在疫情最嚴重的時候，全國的注意力集中在幾個州少報和誤報COVID-19死亡人數的問題上。紐約州的養老院丑聞表明，與COVID-19相關的老年人實際死亡人數系統性缺乏透明度，向公眾公布的低估數字與州檢察長的最終調查結果之間存在巨大差異。

　　組織內部隱瞞數據、孤立數據或缺乏數據可能會造成透明度問題，并導致無法估量的后果。Tessaro解釋說:“許多流程和系統在設計時沒有考慮到風險，而且往往在整個企業中脫節，由不同的領導者擁有。”“風險管理人員通常會滿足于他們擁有的容易獲得的數據，而忽略關鍵流程，因為數據很難獲得?！?/p>

　　一個透明的風險管理方法需要一個包括高級管理層和其他商業領袖在內的一致的全公司戰略。該戰略還應明確界定風險管理的作用;鼓勵風險意識;制定共同的風險語言;并涵蓋各部門的各種利益、目標和關鍵風險問題。建立風險概況和風險相關事件的集中記錄系統，收集、管理和報告關鍵風險數據，形成風險管理過程文件。

　　7.不成熟的ERM程序

　　大型并購進展順利，以及成功的ipo，都是商界的大新聞。在這些成功案例中，隱藏著許多不太為人所知的并購、IPO和產品發布失敗案例。

　　軟件供應商OneTrust的高級副總裁兼治理、風險和合規(GRC)工具總經理CliffordHuntington說:“許多失敗都可以歸因于組織不成熟的風險計劃?！逼髽I通常沒有認識到，作為ERM計劃的一部分，完整的風險評估是在準備交易以及從事各種其他業務活動時需要的，以識別潛在的和固有的風險。

　　8.供應鏈監管

　　大規模網絡事件的增加凸顯了評估合作伙伴供應鏈上下安全風險的必要性。咨詢公司AArete的董事總經理Mark O'Hara表示:“企業越來越關注供應商帶來的敏感數據泄露風險?！?/p>

　　O'Hara說，新的合同條款需要解決網絡保險要求、數據銷毀實踐和銷毀核查問題。但他承認，許多組織沒有定期審查現有協議，也沒有在業務部門之間持續溝通新的要求，從而導致合同協議不合規，并出現潛在的供應鏈風險管理問題。

　　9.滯后的安全控制

　　雖然企業一直在加速部署新技術和工作流程，以適應其日益多樣化的員工隊伍，但確保安全性、可用性、處理完整性、保密性和隱私性所需的控制以及這些特征的文檔卻沒有跟上步伐。

　　電子商務平臺提供商MikMak現任總裁兼首席運營官、曾在多家GRC和風險管理軟件供應商擔任高管的丹?齊廷表示:“我們迅速推動所有人盡可能地遠程工作，但對用戶訪問和物理安全的控制并沒有迅速改變。”

　　因此，許多組織都遇到了控制失敗和遵從性問題，從而導致風險暴露和安全破壞。例如，SOC2、薩班斯-奧克斯利法案和ISO/IEC27001合規標準和法規中規定的控制隨著工作流程日益變得遠程友好而發生變化。但一些公司仍在努力更新他們的文檔，以通過這些類型的安全審計。