【商业风险】什么是商业风险？

当一个组织面临可能导致利润下降甚至破产的情况时，它将面临商业风险。

你知道死亡和税收。风险怎么办？是的，风险和其他两种不可避免的因素一样，也是生活的一部分。在新冠肺炎期间，这一点变得更加明显，因为随着每一波新的大流行病和与大流行病相关的混乱席卷我们，我们每个人都必须评估和重新评估我们的个人风险计算。在商业领域也是如此：高管和组织对风险的舒适度不同，应对风险的方法也不同。

商业风险从何而来？首先，外部因素可能会对组织的最佳计划造成严重破坏。这些可能包括通货膨胀、供应链中断、地缘政治动荡、全球疫情或气候灾难等不可预测的不可抗力事件、竞争对手、声誉问题，甚至网络攻击。

但有时，电话是从房子里打来的。公司可能会因高管的决定或特权信息的泄露而受到威胁，但最具破坏性的可能是错失机会的风险。我们经常看到这样的情况：当公司选择不采用颠覆性创新时，他们就有可能输给更灵活的竞争对手。

现代社会充斥着越来越频繁的社会政治、经济和气候相关冲击。例如，仅在2019年，就发生了40起天气灾害，每次造成的损失超过10亿美元。为了保持竞争力，各组织应制定动态的风险和应变方法。这意味着预测新的威胁，感知现有威胁的变化，并制定全面的应对计划。没有什么神奇的公式可以保证安全度过危机。但在面临威胁的情况下，有时只有强有力的风险管理计划才能保护组织免受关键业务流程中断的影响。有关如何评估和准备风险不可避免性的更多信息，请继续阅读。

了解更多关于麦肯锡风险与韧性实践的信息。

什么是风险控制？

风险控制是为识别、管理和消除威胁而采取的措施。公司可以通过一系列风险管理策略和实践来创建这些控制。一旦识别和分析了风险，就可以设计风险控制措施来减少潜在后果。消除风险——总是最好的解决方案——是风险控制的一种方法。预防和减少损失是接受风险但寻求将潜在损失降至最低的其他风险控制措施（保险是预防损失的一种方法）。风险控制的最后一种方法是重复（也称为冗余）。备份服务器或生成器是复制的常见示例，可确保在停电时不会丢失数据或生产力。

但是，为了制定适当的风险控制措施，组织应该首先了解潜在的威胁。

稳健的风险管理战略的三个组成部分是什么？

动态风险管理计划可分为三个部分：检测潜在的新风险和现有风险控制中的弱点，确定组织的风险承担意愿，以及决定适当的风险管理方法。以下是关于每一步以及如何执行这些步骤的更多信息。

1.发现风险，控制弱点

静态的风险处理方法不是一种选择，因为当一个不太可能的事件（如大流行）发生时，一个组织可能会措手不及。因此，积极主动是值得的。为了跟上不断变化的环境，公司应针对与其业务相关的每种风险回答以下三个问题。

1. 随着时间的推移，风险会如何发展？风险可以是缓慢的，也可以是快速的。它们可以是周期性的，也可以是永久性的。公司应该分析已知风险的可能表现，并定期对其进行重新评估。
2. 我们是否准备好应对系统性风险？风险越来越多地对声誉或监管产生长期影响，对行业、经济或整个社会产生广泛影响。风险管理战略应包括所有风险，包括系统性风险。
3. 未来潜伏着哪些新的风险？各组织应开发识别未来风险的新方法。依靠对历史现实进行审查和评估的传统方法已经不够了。

2.评估风险偏好

公司如何制定一种系统的方式来决定接受哪些风险和避免哪些风险？公司应该设定符合其自身价值观、战略、能力和竞争环境的风险偏好，以及整个社会的价值观、策略、能力和竞争力。为此，公司应该考虑以下三个问题。

1. 我们应该承担多大的风险？公司应根据不断变化的客户行为、数字能力、竞争格局和全球趋势，经常重新评估其风险状况。
2. 有什么风险我们应该完全避免吗？一些风险是显而易见的：公司不应该容忍犯罪活动或性骚扰。其他人则更为模糊。公司如何应对经济动荡和气候变化等风险取决于其特定的业务、行业和风险承受能力。
3. 我们的风险偏好是否充分反映了我们控制措施的有效性？公司通常更愿意承担他们有强有力控制的风险。但严重风险威胁的增加挑战了传统的风险控制有效性假设。例如，许多企业都依赖自动化来提高速度和减少手动错误。但数据泄露和隐私问题的增加可能会增加大规模故障的风险。因此，各组织应相应地发展其风险状况。

3.决定风险管理方法

最后，当发现新的风险时，组织应该决定如何应对。这个决策过程应该灵活快速，积极参与整个组织的领导者，并诚实地评估在过去的情况下哪些有效，哪些无效。以下是组织应该能够回答的三个问题。

1. 我们应该如何减轻我们所承担的风险？最终，人们需要做出这些决定，并评估他们的控制是如何运作的。但自动化控制系统应该支持人类的努力。例如，由高级分析指导的控制可以帮助防范可量化的风险，并最大限度地减少误报。
2. 如果发生风险事件或控制崩溃，我们将如何应对？如果（或更有可能的是，当）威胁发生时，公司应该能够在既定的行动手册的指导下迅速切换到危机管理模式。正如我们在新冠肺炎大流行中所看到的那样，拥有训练有素的危机管理能力的公司能够更好地抵御冲击。
3. 我们如何才能建立真正的韧性？有韧性的公司不仅能更好地抵御威胁，而且会变得更强大。最有韧性的公司可以将危机的影响转化为竞争优势。真正的韧性源于技能和经验的多样性、创新、创造性的问题解决，以及实现最高表现的基本心理安全。

变化是不变的。仅仅因为去年的风险控制计划有意义并不意味着明年就会有意义。除上述几点外，良好的风险管理策略不仅包括根据潜在风险情景制定计划，还包括定期评估这些计划。

了解更多关于麦肯锡风险与韧性实践的信息。

组织可以采取哪些五项行动来建立动态风险管理？

过去，一些组织认为风险管理是一个枯燥乏味的话题，对寻求创造竞争优势的高管来说毫无兴趣。但当风险特别严重或突然时，一个好的风险策略不仅仅关乎竞争力，它还意味着生存。以下是领导者可以采取的五项行动，以建立风险管理能力。

1. 重新设定风险管理的愿望。这需要明确目标，明确风险水平和偏好。风险经理应与业务领导者建立对话，了解整个业务部门的人们如何看待风险，并分享可能的策略，以培养明智的风险与回报决策，以及可供实施的能力。
2. 建立敏捷的风险管理实践。随着风险环境变得越来越不可预测，对敏捷风险管理的需求也在增长。在实践中，这意味着建立跨职能团队，使其能够就创新和管理风险做出快速决策。
3. 利用数据和分析的力量。数字革命的工具可以帮助公司改进风险管理。来自传统和非传统来源的数据流可以拓宽和加深公司对风险的理解，算法可以增强错误检测并推动更准确的预测。
4. 为未来培养风险人才。具备应对未来挑战能力的风险经理需要在模型风险管理、数据、分析和技术方面具备新的能力和扩展的领域知识。这将有助于真正理解不断变化的风险格局，风险领导者可以利用这一点为其组织提供有效的建议。
5. 强化风险文化。风险文化包括决定组织与风险关系的心态和行为规范。良好的风险文化使组织能够在出现威胁时迅速做出反应。

场景如何帮助商业领袖理解不确定性？

如果做得好，情景规划会促使商业领袖将关于不确定性的抽象假设转化为关于未来现实愿景的叙述。良好的情景规划可以帮助决策者以理智和感性以及理性和情感的方式体验新的现实。场景有四个主要功能，可以帮助组织度过不确定的时期。

1. 场景拓展了你的思维。通过开发一系列可能的结果，每个结果都有一系列可能导致这些结果的事件作为支持，我们有可能拓宽思路。这有助于我们为未来可能存在的各种可能性做好准备，并接受变化可能比我们预期的更快到来的可能性。
2. 场景揭示了不可避免或可能的未来。广泛的情景构建工作也可以指向强大的变革驱动因素，这有助于预测潜在的结果。换句话说，通过阐明过去的关键事件，情景构建可以指向未来很可能发生的结果。
3. 场景可以防止群体思维。在一些大公司，员工可能会觉得提供相反的观点不安全，因为他们担心会受到管理层的惩罚。场景可以为不同于高级领导层的意见提供“避风港”，并可能与既定战略背道而驰，从而帮助公司摆脱这一陷阱。
4. 场景允许人们挑战传统智慧。尤其是在大公司，人们经常对现状抱有强烈的偏见。情景是制定替代未来的一种不具威胁性的方式，在这种方式中，支撑当今战略的假设可能会受到挑战。

金融机构对风险的最新想法是什么？

2021年末，麦肯锡对30多名首席风险官进行了基于调查的研究，询问了当前的银行环境、风险管理实践和未来的优先事项。

CRO表示，在当前环境下，银行尤其容易受到市场动态加速、气候变化和网络犯罪的影响。67%的受访CRO表示，疫情对员工和非金融风险领域产生了重大影响。大多数人认为，这些影响将在三年后减弱。

另一方面，随着时间的推移，气候变化预计将成为一个更大的问题。几乎所有受访者都认为，气候监管是未来三年金融业五大最重要的力量之一。75%的人担心与气候相关的转型风险：从基于碳的能源系统转型所产生的金融和其他风险。

最后，网络犯罪被大多数高管评估为当前和未来的最大风险之一。

点击此处了解更多关于银行CRO风险优先级的信息。

什么是网络风险？

网络风险是一种商业风险。更具体地说，这是数字领域各种业务损失的可能性——财务、声誉、运营、生产力相关和监管相关。虽然网络风险源于数字领域的威胁，但它也可能造成物理世界的损失，例如操作设备的损坏。

网络风险与网络威胁不同。网络威胁是造成潜在网络风险的特殊危险。其中包括权限提升（利用系统中的漏洞以获得未经授权的资源访问权限）、漏洞利用（利用检测到的漏洞攻击主机系统的攻击）或网络钓鱼。网络威胁的风险影响包括数字资产的机密性、完整性和可用性的丧失，以及欺诈、金融犯罪、数据丢失或系统可用性的损失。

过去，组织一直依靠基于成熟度的网络安全方法来管理网络风险。这些方法侧重于通过构建能力来实现特定级别的网络安全成熟度，例如建立安全运营中心或在整个组织中实施多因素身份验证。基于成熟度的方法在某些情况下仍然有帮助，例如对于全新的组织。但对于大多数机构来说，基于成熟度的方法可能会变成一个难以管理的大型项目，要求对组织的各个方面进行监控和分析。现实情况是，由于一些应用程序比其他应用程序更容易受到攻击，因此组织最好只测量和管理其最关键的漏洞。

了解更多关于麦肯锡风险与韧性实践的信息。

什么是基于风险的网络安全方法？

基于风险的方法不同于基于成熟度的方法。首先，基于风险的方法将降低风险确定为首要目标。这意味着一个组织根据网络安全计划在降低风险方面的有效性来优先考虑投资。此外，基于风险的方法将风险降低目标分解为精确的实施计划，并在组织上下进行明确的协调。公司可以专注于为最严重的漏洞建立控制，而不是在任何地方建立控制。

以下是八项行动，构成了制定基于风险的网络安全方法的最佳实践：

1. 将网络安全完全嵌入企业风险管理框架
2. 定义跨团队、流程和技术的企业价值来源
3. 了解组织内部和第三方在人员、流程和技术方面的企业范围内的漏洞
4. 了解相关的“威胁行为者”、他们的能力和意图
5. 将“运行”活动和“更改”程序中的控制与它们所解决的漏洞联系起来，并确定需要采取哪些新措施
6. 从企业风险管理框架中映射企业风险，说明威胁参与者及其能力、他们试图利用的企业漏洞，以及组织网络安全运行活动和变革计划的安全控制
7. 根据企业风险偏好绘制风险图；关于网络工作如何降低企业风险的报告
8. 根据风险偏好、关键网络风险指标和关键绩效指标监控风险和网络工作

领导者如何在风险管理方面做出正确的投资？

忽视高后果、低可能性的风险对一个组织来说可能是灾难性的——但为一切做好准备的成本太高了。在新冠肺炎危机的情况下，这种规模的全球大流行的危险是可以预见的，即使是意想不到的。尽管如此，绝大多数公司都没有做好准备：在美国价值数十亿美元的公司中，有50多家在2020年申请破产。

麦肯锡将应对这些后果高、可能性低的风险的决定描述为“大赌注”。这些风险的数量太大，决策者无法在所有风险上下大赌注。为了缩小范围，公司能做的第一件事就是确定哪些风险会损害业务，哪些风险会摧毁公司。决策者应该优先考虑可能给组织带来生存危机的潜在威胁。

为了识别这些风险，麦肯锡建议使用二乘二的风险网格，将事件对整个公司的潜在影响与影响的确定性水平相比较。这样，风险就可以相互衡量，而不是以绝对的规模来衡量。

组织有时会在生存危机中幸存下来。但不可忽视的是，危机和错失的机会会导致组织失败。通过衡量高影响、低可能性风险对核心业务的影响，领导者可以识别并减轻可能危及公司的风险。此外，投资保护他们的价值主张可以提高组织的整体弹性。

了解更多关于麦肯锡风险与韧性实践的信息。

引用的文章：

• “Seizing the momentum to build resilience for a future of sustainable inclusive growth,” February 23, 2023, Børge Brende and Bob Sternfels
• “Data and analytics innovations to address emerging challenges in credit portfolio management,” December 23, 2022, Abhishek Anand, Arvind Govindarajan, Luis Nario and Kirtiman Pathak
• “Risk and resilience priorities, as told by chief risk officers,” December 8, 2022, Marc Chiapolino, Filippo Mazzetto, Thomas Poppensieker, Cécile Prinsen, and Dan Williams
• “What matters most? Six priorities for CEOs in turbulent times,” November 17, 2022, Homayoun Hatami and Liz Hilton Segel
• “Model risk management 2.0 evolves to address continued uncertainty of risk-related events,” March 9, 2022, Pankaj Kumar, Marie-Paule Laurent, Christophe Rougeaux, and Maribel Tejada
• “The disaster you could have stopped: Preparing for extraordinary risks,” December 15, 2020, Fritz Nauck, Ophelia Usher, and Leigh Weiss
• “Meeting the future: Dynamic risk management for uncertain times,” November 17, 2020, Ritesh Jain, Fritz Nauck, Thomas Poppensieker, and Olivia White
• “Risk, resilience, and rebalancing in global value chains,” August 6, 2020, Susan Lund, James Manyika, Jonathan Woetzel, Edward Barriball, Mekala Krishnan, Knut Alicke, Michael Birshan, Katy George, Sven Smit, Daniel Swan, and Kyle Hutzler
• “The risk-based approach to cybersecurity,” October 8, 2019, Jim Boehm, Nick Curcio, Peter Merrath, Lucy Shenton, and Tobias Stähle
• “Value and resilience through better risk management,” October 1, 2018, Daniela Gius, Jean-Christophe Mieszala, Ernestos Panayiotou, and Thomas Poppensieker