什么是商业风险 ？

麦肯锡解释者 什么是商业风险？ 当一个组织面临可能导致利润下降甚至破产的情况时，它面临着商业风险 。 2023年8月 你知道关于死亡和税收。风险呢？是的，风险与其他两种必然性一样，是生活的一部分。在COVID-19期间，这一点变得更加明显，因为我们每个人都必须评估和重新评估我们的个人风险计算，因为每一波新的大流行-以及与大流行相关的破坏-席卷我们。在商业中也是如此：高管和组织对风险的舒适度和应对风险的方法不同。 业务风险来自哪里？首先，外部因素可能会对组织的最佳计划造成严重破坏。这些可能包括通货膨胀，供应链中断，地缘政治动荡，不可预测的不可抗力事件，例如全球大流行或气候灾难，竞争对手，声誉问题或 甚至是网络攻击。 但有时，电话来自内部。公司可能会因自己的高管决策或特权信息泄漏而受到威胁，但最大的破坏性可能是错失机会的风险。我们经常看到：当公司选择不采用破坏性创新时，它们就有输给更灵活的竞争对手的风险。 现代社会充斥着日益频繁的社会政治、经济和气候相关冲击。例如，仅在2019年，就有40次天气灾害造成的损失超过10亿美元。为了保持竞争力，组织应该开发动态的风险和弹性方法。这意味着预测新的威胁，感知现有威胁的变化，并制定全面的应对计划。没有神奇的公式可以保证安全度过危机。但在受到威胁的情况下，有时只有强大的风险管理计划才能保护组织免受关键业务流程的中断。有关如何评估和准备风险的必然性的更多信息，请继续阅读。 了解更多关于麦肯锡的风险和弹性实践。 什么是风险控制？ 风险控制是为了识别、管理和消除威胁而采取的措施。公司可以通过一系列风险管理战略和练习来创建这些控制。一旦识别和分析了风险，就可以设计风险控制来减少潜在的后果。消除风险-始终是首选解决方案-是风险控制的一种方法。预防和减少损失是其他风险控制，接受风险，但寻求将潜在损失最小化（保险是预防损失的一种方法）。风险控制的最终方法是重复(也称为冗余)。备份服务器或生成器是复制的常见示例，可确保在发生停电时不会丢失数据或生产力。 但是为了制定适当的风险控制，组织应该首先了解潜在的威胁。 稳健的风险管理战略的三个组成部分是什么？ 动态风险管理计划可以分为三个部分：检测潜在的新风险和现有风险控制中的弱点，确定组织的风险承担偏好，以及决定适当的风险管理方法。以下是有关每个步骤以及如何进行这些步骤的更多信息。 1.检测风险并控制弱点静态的风险方法不是一种选择，因为当一个不太可能的事件，如大流行发生时，一个组织可能会毫无准备。所以它值得 要始终积极主动。为了跟上不断变化的环境，公司应该针对与其业务相关的每个风险回答以下三个问题。 1.随着时间的推移，风险将如何发展？风险可以缓慢移动或快速移动。它们可以是周期性的或永久性的。公司应该分析已知风险可能如何发挥作用，并定期重新评估它们。 2.我们是否准备应对系统性风险？风险越来越具有长期的声誉或监管后果，对行业，经济， 或整个社会。风险管理战略应纳入所有风险，包括系统性风险。 3.未来潜伏着什么新的风险？组织应该开发新的方法来识别未来的风险。依赖对历史现实的审查和评估的传统方法已不再足够。 2.评估风险偏好 公司如何制定一种系统的方法来决定接受哪些风险和避免哪些风险？公司应该设定与自己的价值观、战略、能力和竞争环境以及整个社会相一致的风险偏好。为此，公司应该考虑三个问题。 1.我们应该承担多大的风险？公司应该根据不断变化的客户行为，数字能力，竞争格局和全球趋势，经常重新评估其风险状况。 2.我们应该完全避免任何风险吗？一些风险很明显:公司不应该容忍犯罪活动或性骚扰。其他风险则更加模糊。公司如何应对经济动荡和气候变化等风险取决于其特定的业务、行业和风险承受能力。 3.我们的风险偏好是否充分反映了我们控制的有效性 ？公司通常更愿意承担他们有强有力控制的风险。但是严重风险的威胁增加挑战了传统的风险控制有效性假设。例如，许多企业依靠自动化来提高速度并减少人工错误。但是增加了 数据泄露和隐私问题会增加大规模故障的风险。因此，组织应相应地发展其风险状况。 3.决定风险管理方法最后，当发现新的风险时，组织应该决定他们将如何应对。这个决策过程应该是灵活和快速的，积极地吸引来自整个组织的领导者，并诚实地评估在过去的场景中什么已经起作用和没有起作用。以下是组织应该能够回答的三个问题。 1.我们应该如何减轻我们正在承担的风险？最终，人们需要做出这些决定并评估他们的控制是如何工作的。但是自动化控制系统应该支持人类的努力。例如，由高级分析指导的控制可以帮助防范可量化的风险并最大限度地减少误报。 2.如果发生风险事件或控制崩溃，我们将如何应对？如果（或更有可能发生）威胁发生，公司应该能够在既定剧本的指导下迅速转向危机管理模式。正如我们在COVID-19大流行中看到的那样，具有精心演练的危机管理能力的公司会更好地应对危机。 3.我们如何建立真正的弹性？有弹性的公司不仅能更好地抵御威胁，而且会变得更强大。最具弹性的公司可以将危机带来的后果转化为竞争优势。真正的弹性源于技能和经验的多样性、创新、创造性解决问题的能力以及实现最佳绩效的基本心理安全。 变化是不变的。仅仅因为去年有了合理的风险控制计划并不意味着明年就会有。除了以上几点之外，一个好的风险管理策略不仅包括根据潜在的风险情景制定计划，还包括定期评估这些计划。 了解更多关于麦肯锡的风险和弹性实践。 组织可以采取哪五个行动来构建动态风险管理 ？ 过去，一些组织认为风险管理是一个枯燥、沉闷的话题 ，对于寻求创造竞争优势的高管来说是无趣的。但是，当风险特别严重或突然时，一个好的风险策略不仅仅是竞争力——它意味着生存。以下是领导者可以采取的五个行动来建立风险管理能力。 1.风险管理者应与企业领导者建立对话,了解企业人员如何看待风险,并分享可能的策略,以促进明智的风险与收益决策,以及可用于实施的能力。 2.建立敏捷风险管理实践。随着风险环境变得越来越不可预测，对敏捷风险管理的需求也在增长。在实践中，这意味着建立跨职能团队，授权他们就创新和管理风险做出快速决策。 3.利用数据和分析的力量。数字革命的工具可以帮助公司改善风险管理。来自传统和非传统来源的数据流可以扩大和加深公司对风险和算法的理解 可以增强错误检测并驱动更准确的预测。 4.培养未来的风险人才。有能力应对未来挑战的风险经理将需要模型风险管理、数据、分析和技术方面的新功能和扩展领域知识。这将有助于支持对不断变化的风险环境的真正理解，风险领导者可以利用这些知识有效地为组织提供咨询。 5.加强风险文化。风险文化包括决定组织与风险关系的心态和行为规范。一个好的 风险文化允许组织在威胁出现时迅速做出反应。 情景如何帮助企业领导者理解不确定性？ 如果做得好，情景规划会促使商业领袖将关于不确定性的抽象假设转化为对未来现实愿景的叙述。良好的情景规划可以帮助决策者以智力和感官以及理性和情感的方式体验新的现实。场景有四个主要功能，可以帮助组织度过不确定的时期。 1.情景扩展了你的思维。通过开发一系列可能的结果，每个结果都有一系列可能导致这些结果的事件，可以拓宽我们的思维。这有助于我们为未来可能存在的一系列可能性做好准备-并接受变化可能比我们预期更快的可能性。 2.换句话说，通过阐明过去的关键事件，情景构建可以指出未来很可能发生的结果。 3.方案可以防止群体思维。在一些大公司中，员工可能会因为担心自己会受到管理层的惩罚而感到不安全 ，因为他们担心自己会受到管理层的惩罚。方案可以通过为与高级领导层不同的意见提供“避风港”来帮助公司摆脱这一陷阱，这些意见可能与既定战略背道而驰。 4.情景允许人们挑战传统智慧。特别是在大公司中，经常对现状有强烈的偏见。情景是一种无威胁的方式来布局替代未来，在这种未来中，支撑当今战略的假设可能会受到挑战。 了解更多关于麦肯锡的战略和企业融资实践。 对金融机构风险的最新思考是什么？ 在2021年底，麦肯锡与30多名首席风险官（CRO）进行了基于调查的研究，询问了当前的银行环境，风险管理实践以及未来的优先事项。 根据CRO的说法，在当前环境下，银行尤其容易受到加速的市场动态，气候变化和网络犯罪的影响。接受调查的CRO中有67％的人认为大流行对员工和非财务风险领域产生了重大影响。大多数人认为这些影响将在三年内减弱 。 另一方面，随着时间的推移，气候变化预计将成为一个更大的问题。几乎所有受访者都将气候法规视为未来三年金融业最重要的五种力量之一。75％的人担心与气候相关的过渡风险：从基于碳的转变中产生的财务和其他风险 能源系统。 最后，网络犯罪被大多数高管评估为当前和未来的最大风险之一。 在此处了解有关银行CRO的风险优先级的更多信息 。 什么是网络风险？ 网络风险是业务风险的一种形式。更具体地说，它是数字领域中各种业务损失的可能性-财务，声誉，运营，生产力相关和监管相关。虽然网络风险源于数字领域的威胁，但它也可能在物理世界中造成损失，例如对运营设备的损坏。 网络风险与网络威胁不同。网络威胁是造成潜在网络风险的特殊危险。其中包括权限提升（利用系统中的漏洞以获得对资源的未经授权的访问），漏洞利用（使用检测到的漏洞来利用主机系统的攻击）或网络钓鱼。网络威胁的风险影响包括丢失数字资产的机密性、完整性和可用性。 以及欺诈、金融犯罪、数据丢失或系统可用性丢失。 过去，组织依靠基于成熟的网络安全方法来管理网络风险 。这些方法侧重于通过构建能力来实现特定级别的网络安全成熟度，例如建立安全运营中心或在整个组织中实施多因素身份验证。基于成熟度的方法在某些情况下仍然有用 ，例如对于全新的组织。但对于大多数机构来说，基于成熟度的方法可以变成一种。 难以管理的大型项目，要求对组织的所有方面进行监控和分析。现实情况是，由于某些应用程序比其他应用程序更脆弱，因此组织将更好地衡量和管理其最关键的漏洞。 了解更多关于麦肯锡的风险和弹性实践。 什么是基于风险的网络安全方法？ 基于风险的方法与基于成熟度的方法截然不同。首先，基于风险的方法将降低风险确定为主要目标。这意味着组织根据网络安全计划在降低风险方面的有效性来优先考虑投资。此外，基于风险的方法将降低风险的目标分解为精确的实施方案，并在组织上下清晰地保持一致。公司可以专注于为最严重的漏洞建立控制，而不是在任何地方建立控制。 这里有八个动作，包括 开发基于风险的网络安全方法的最佳实践： —将网络安全充分嵌入企业风险管理框架 —跨团队、流程和技术定义企业价值来源 —了解组织在企业范围内的漏洞-人员，流程和技术- 内部和第三方 —了解相关的“威胁行为者”、他们的能力和意图 —将“运行”活动和“更改”程序中的控件链接到它们解决的漏洞，并确定哪些新的努力 需要 —从企业风险管理框架中映射企业风险，考虑威胁参与者及其能力、他们寻求利用的企业漏洞以及组织网络安全运行活动和变更计划的安全控制 —针对企业风险偏好绘制风险图；报告网络努力如何降低企业风险 —根据风险偏好、关键网络风险指标和关键绩效指标监控风险和网络工作 领导者如何在风险管理方面进行正确的投资 ？ 忽略高后果、低可能性的风险对组织来说可能是灾难性的，但为一切做准备的成本太高。就COVID-19危机而言，这种规模的全球大流行的危险是可以预见的，如果出乎意料的话。尽管如此，绝大多数公司都没有做好准备：在美国数十亿美元的公司中，有50多家公司在2020年申请破产。 麦肯锡将对这些高后果，低可能性风险采取行动的决定描述为“大赌注”。这些风险的数量太大了，决策者无法在所有风险上下大赌注。缩小清单，公司的第一件事 可以做的是确定哪些风险可能损害业务，而不是可能破坏公司的风险。决策者应该优先考虑可能导致其组织生存危机的潜在威胁。 为了识别这些风险，麦肯锡建议使用二乘二的风险网格 ，将事件对整个公司的潜在影响与影响的确定性水平进行定