2025年企业风险管理的12大技术趋势

本文探讨了2025年企业风险管理的关键技术趋势,包括GRC平台整合、风险成熟度模型应用、AI工具在风险识别与预测中的作用,以及如何管理AI自身带来的新型风险。这些技术趋势正在重塑企业风险管理的流程和方法。

12大企业风险管理趋势在2025年

企业风险管理在组织中日益占据中心地位,因为它们要应对由地缘政治冲突、波动的贸易关税到技术变革快速步伐等问题驱动的业务不确定性。

前瞻性的企业高管认识到,在当今商业世界中,需要更强的风险管理计划来保持竞争力。例如,当前企业风险管理(ERM)格局中公司必须应对的一个方面是不同组织之间风险的互联性。

企业越来越多地与全球市场的合作伙伴、供应商和供应商相互关联,这使它们面临的各种风险复杂化,Forrester安全与风险团队的首席分析师Alla Valente解释道,她负责ERM领域。

“我们发现,当其中一个类别的风险显著增加时,它可能会产生连锁反应,影响其他类别,”她说。局部自然灾害、战争、更高利率或其他事态发展的业务影响可能会在全球整个供应链中蔓延。与其他因素一起,这使得有效的风险管理成为持续业务成功的先决条件。

但风险管理人员需要跟上很多内容。以下是12个正在重塑ERM流程并影响业务连续性规划和风险缓解工作的风险管理趋势。

1. 风险成熟度模型整合工作流

更多企业正在考虑使用风险成熟度模型来管理风险漏洞日益增长的互联性。这种方法镜像了其他框架,如软件开发中广泛使用的能力成熟度模型。采用风险成熟度模型需要解决可以支持它们的风险管理流程和技术。

在流程方面,风险管理领导者必须组建一个风险利益相关者团队。该团队应结合必要的技术和业务专业知识,以做出快速和智能的基于风险的决策,建立ERM政策和程序,并实施适当的控制。风险管理人员还需要建立流程,以整合跨不同实体的ERM工作流。

技术方面包括用于集中化和情境化风险管理信息以及自动化风险政策执行的IT基础设施。

2. ERM技术栈扩展到GRC

企业风险管理已扩展到金融问题之外,包括网络安全、IT、第三方关系以及治理、风险和合规(GRC)程序。一个全面的GRC平台可以是所有类型风险管理活动的关键集成层。组织可以使用它来创建和管理政策,进行风险评估,了解其风险状况,识别法规合规性差距,管理和响应事件,并自动化内部审计流程。

CIO需要确认他们的风险管理技术栈对每个任务都足够,并且是主动使用,而不仅仅是被动使用,Valente说。考虑将以下功能集成到更全面的技术栈中:

  • 风险情报工具,用于分析地缘政治风险、自然灾害和其他事件。
  • 第三方风险评估工具,用于跟踪其他组织的制裁、安全事件和财务健康。
  • 网络安全系统,用于评估网络风险的潜在影响,如安全漏洞、数据泄露和网络攻击。
  • 社交媒体监控能力,用于识别品牌声誉的突然变化。

3. ERM被视为竞争优势

组织现在通常将风险管理视为增加竞争优势的一种方式,而不仅仅是风险规避练习,这一趋势在COVID-19的封锁期间尤为突出。

“尽管许多公司在疫情期间遭受了经济损失,”Valente指出,“但我们也看到许多公司转向了以前不存在的新机会。”

Valente的研究团队描述了传统首席风险官(他们专注于最小化风险)与Forrester所谓的转型CRO之间的差异。后者将风险管理视为竞争优势,可以防止风险干扰业务战略和限制收入流。

“具有转型风险方法的公司可以快速动员其团队和业务领导者,抓住市场的新缺口,”Valente解释说。例如,转型CRO正在积极帮助他们的公司确定如何使用AI来惠及客户和员工,同时评估AI风险。

4. 风险偏好声明的更广泛使用

风险偏好声明出现在金融行业,以改善与员工、投资者和监管机构的沟通。扩展贷款池需要一些风险,但如果太多客户违约,银行需要一个程序来触发果断行动。例如,银行可能为抵押贷款违约或欺诈交易建立一个安全基线,仍然让它们能够盈利。

风险偏好声明现在也在其他行业流行起来,以取代初级的“打勾”练习,用一个更明确指导日常风险管理决策的过程,Gartner风险和企业战略副总裁和研究负责人Chris Matlock观察到。不过有一个警告。

“这很难做,”Matlock警告说,但“这样做的组织回报极高。”

他解释说,公司在创建有效的风险偏好声明时面临许多挑战。一些高管认为它可能限制他们追求新业务机会的能力,而其他人则担心措辞不当的声明可能被误解为纵容不可接受的做法。

5. 主题专家加速风险评估和响应

将所有风险信息汇集起来很重要,但也需要专家来理解它。企业越来越多地使用他们的GRC平台为关键项目创建一个知情的主题专家网络,Matlock说。当出现跨多个部门的问题时,如涉及IT、法律和HR的安全事件,这些领域的适当专家小组可以快速评估风险并采取必要行动。

在新项目开始时进行风险评估现在是基本要求。制定最佳计划并创建一个支持及时风险响应的过程会产生最佳结果。“正是在项目整个生命周期中维护风险和及时响应风险对成功影响最大,”Matlock说。

6. 风险缓解和测量工具多样化

积极测量和缓解风险的工具正在变得更好,Deloitte风险与财务咨询实践负责人Keri Calagna说。改进包括内部和外部风险感知工具,帮助生成检测趋势和新兴风险所需的风险情报。

此外,Calagna报告说,企业正在转向集成工具,这些工具执行以下操作:

  • 呈现跨组织的整体风险视图。
  • 捕获关键风险指标以显示风险趋势。
  • 促进对缓解风险所采取行动的责任。
  • 提供实时风险报告以辅助管理决策。

情景规划和假设测试能力也在上升,Calagna说。公司还使用模拟、战争游戏、桌面练习和其他互动研讨会来促进更多关于风险管理的跨功能思维,并帮助评估未来事件对公司业务计划和战略的可能影响。

7. GRC与ESG相遇

另一个企业风险管理趋势是连接业务风险与环境、社会和治理(ESG)议程之间的点。

“当公司开始他们的ESG风险规划时,他们应确保他们采取的行动是重要和真实的,”隐私管理和GRC软件供应商OneTrust全球销售和售前高级副总裁Cliff Huntington警告说。根据Huntington,组织需要证明他们不仅仅是绿色洗涤,而是作为其ESG战略和计划的一部分取得可衡量的进展。

“业务领导者,”他说,“正在意识到ESG风险是业务风险,并正在采取措施与企业风险倡议一起缓解它。”

8. 极端天气风险重要性增加

随着飓风、野火和其他极端天气事件的影响和频率增加,CEO和董事会正在被要求实施风险管理策略,以帮助缓解对员工和业务运营的后果。

根据国家海洋和大气管理局的数据,2024年,美国经历了27次天气和气候灾害,损失超过10亿美元,总损失达1827亿美元。随着气候变化帮助使高数量的天气相关危机成为常态,组织必须实施风险缓解措施以保护其资产并避免业务中断。

9. 将风险管理与数字化转型整合

随着业务运营数字化和IT环境变得越来越复杂,企业越来越多地采用集成GRC或IGRC计划来统一和简化其风险管理活动,PwC合伙人兼美国网络、风险和监管咨询实践企业技术领导者Elizabeth McNichol说。

“由于分散、过于复杂的系统,许多公司不知道他们拥有的所有类型的数据,如何组织,甚至是否可能不符合法律,”她说。组织如何处理数据和遵守法规的规则应清晰、直接、普遍,并基于风险方法,McNichol补充说。

IT作为IGRC的驱动者和使能者扮演关键角色。CIO和其他IT领导者必须与业务经理合作,根据公司的风险偏好识别、评估和缓解风险。集成治理模型可以通过协调跨企业的战略、人员、流程和技术目标来帮助。这些步骤对于确保风险管理组件成功集成到更广泛的数字化转型计划中至关重要。

10. 增强和情境化的风险监控

技术研究公司Everest Group副总裁兼云和基础设施实践负责人Kumar Avijit看到,为各种角色和人物(如CIO、CISO和业务经理)量身定制的风险管理监控工具需求增加。这是因为各种高管和业务用户正在定义新的风险管理优先事项和授权。这些工具通过提供适当粒度级别的钻取视图来增强传统风险分析。

不同角色日益增长的风险优先事项的一些例子包括:

  • CEO希望推动安全的业务转型。
  • CFO希望降低业务风险和数据泄露成本。
  • COO希望运行有弹性的业务运营。
  • CIO希望使安全成为IT战略的基础元素。
  • CISO希望量化网络安全风险以辅助决策。

11. AI增强风险管理倡议

AI在风险管理倡议中扮演越来越重要的角色。例如,AI工具正在被部署以支持风险管理和缓解工作,用于用例如欺诈检测、威胁情报和敏感数据分类。以下是这一趋势的一些其他常见表现:

  • AI驱动的风险识别和预测。机器学习开始被用于比人类更准确和更快地识别风险。在动态网络安全风险管理过程中尤其如此,其中启发式或基于规则的方法可能变得过时,因为对手自己使用AI来发起新颖攻击。AI和机器学习工具还可以监控风险并预测它们未来可能如何发展,使缓解策略变得更加主动。
  • 使用聊天机器人。这些机器人可以回答员工、客户、业务合作伙伴和其他方的风险管理问题,否则需要由风险管理人员处理。聊天机器人还可以导航内部知识库,以浮现组织以前遇到的风险相关情景和事件,从而节省时间并防止在解决问题上进行冗余投资。
  • AI在法律和模型风险管理中。AI工具正被用于确保法律合规性和缓解相关风险。它们还可用于模型风险管理和定量与定性模型的压力测试,以满足金融服务、保险和其他行业的监管要求。

12. AI引入需要管理的新风险

另一方面,对AI兴趣的激增——部分由生成AI(GenAI)技术的出现驱动——创造了各种企业以前不必广泛考虑的新风险。例子包括AI算法和模型中的偏见,GenAI工具经常产生的AI幻觉,与AI使用相关的伦理问题,以及AI应用结果缺乏可解释性。

组织可以采取以下措施来帮助管理这些和其他AI风险:

  • AI风险管理框架。如果新的AI风险管理框架(如NIST开发的框架)有效,那将消除组织开始管理AI风险的一个大障碍。
  • 负责任AI计划。一个 cohesive 负责任AI战略将是AI风险管理的重要组成部分。但一些公司可能难以平衡对负责任AI原则的理想主义承诺与支持和维持计划所需的资源水平。组织将需要认真思考如何实现这种平衡。
  • AI治理政策。这涉及建立指南,使AI系统的治理与组织的价值观和目标保持一致。没有这种对齐,AI治理政策的实施可能因内部摩擦而失败,导致有限采用和无法有效管理跨组织的AI风险。
  • 第三方AI风险管理。组织还必须解决由使用外部开发的AI工具产生的风险。将这些第三方AI风险纳入现有风险管理策略将区分成功方法与不成功方法的公司。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次