风险十年

在过去的十年中,风险管理已经从一个经常被忽视的后台学科发展成为保护每个组织未来的重要组成部分。当然,许多公司实际上还没有接受和培养风险专业人员的工资前景,但过去十年的事件使得核心概念不可能再被忽视。从Y2K,9/11和安然到卡特里娜,大流行威胁和华尔街崩溃,世界面临着来自四面八方的无情攻击。回顾最近的历史,只有一个合乎逻辑的结论:世界现在比以往任何时候都更需要风险管理。

过去十年是组织面临的风险前所未有的增长期。从严峻的国际恐怖主义现实到环境威胁的扩散,一系列迅速变化的挑战危及各个部门的企业。

结果是风险管理行业发生了翻天覆地的变化。在过去十年中,企业高管已经认识到需要实施新政策来应对这些新风险 – 这导致风险管理作为关键支持行业的出现以及风险管理人员的崛起对于执行决策至关重要。

1999年,风险管理人员通常被降级为后台办公室,与会计师和精算师一起工作。他们关注两个主要问题:金融风险管理和技术故障,许多当时预测会导致行业和政府陷入停滞,他们称之为Y2K漏洞。

快进到今天。风险管理已从财务和保险的模糊功能演变为组织弹性所必需的方法。风险管理在过去十年中的崛起极大地改变了组织对灾难规划和业务连续性等方面的思考方式。最初作为一个很少或根本没有能力影响组织行为的利基部门,已经转变为战略规划的关键来源,与最高管理层直接相关。

由于担心计算机编程故障和一些错位的零和零,所有这些变化都开始了。关于Y2K漏洞影响的预测是可怕的:如果没有对IT基础设施,更新和裁员进行大量投资,2000年1月1日,时钟,飞机可能会从天而降,电网可能会关闭,银行账户可能会擦除。

相反,更意想不到的事情发生了 – 没什么。除了小规模的本地化中断(例如,特拉华州赛道上的150台老虎机停止工作),2000年进入了呜咽状态,风险管理者最担心的事情从未实现过。

尽管如此,Y2K引发了组织对风险管理的看法的转变,并且对该领域的投资发生了重大变化。风险经理第一次关注单个事件如何影响整个运营。专注于仅仅关注金融风险的影响,内部投资流入IT风险管理。

Y2K的后遗症产生了两种截然不同的观点。第一个论点认为,积极投资IT风险管理和跨行业的合作努力避免了灾难。反对意见表明,整个传奇都是无关紧要的。在没有危机的情况下,很难说风险管理的投资是否有效。

2001年9月11日将不可逆转地改变辩论的条款,然而,永久地改变组织对威胁评估,准备和响应的看法。随着9/11悲剧的震撼逐渐消退,企业意识到他们基本上没有意识到员工的位置,无论是去办公室,客户站点还是全球。在大多数情况下,公司根本无法或不跟踪人员旅行。这使管理人员在危机时刻没有快速有效的方式与员工沟通。

风险管理公司通过各种创新解决方案加紧应对这一挑战。因此,行业内的持久关注出现了:可见性。公司开始要求在整个运营过程中更详细,更全面地了解所有运动部件。他们想知道他们的员工在哪里,旅行者的状况以及设施和供应链是否容易受到威胁,这些都是明显的和无法预料的。

9/11事件也将企业范围的风险管理问题放在首位。9/11袭击事件证明了外部事件可能对业务运营造成的破坏性影响 – 以及理解和规划潜在灾难性威胁的必要性,无论它们看起来多么遥远。

虽然9/11事件引发了对企业范围风险管理的深切需求,但随着十年的发展,环境威胁正在测试这些新想法并推动新兴风险管理行业走向成熟。

2003年,一种奇怪的新病毒,严重急性呼吸系统综合症,恐吓中国,加拿大和全球旅游业。在SARS流行之前,大多数公司都没有认真对待大流行病的威胁,更不用说可能对其运营造成严重影响的公司了。SARS强调了大流行规划的必要性,因为受影响的国家报告员工缺勤率为30%至50%,供应链冻结 – 这些因素对核心组织职能产生了长期影响。

风险十年

许多风险管理公司的大流行规划服务和许多公司的传染病准备计划都是SARS恐慌的直接结果,强调了实时监测大流行并调整政策以应对每个季节新挑战的必要性。我们可以看到今天这种变化的影响,因为大流行防范计划不断被重新编写以解释当前H1N1大流行的变化。

像9/11这样的事件以及对可能出现大流行的影响的担忧推动了一种新的风险管理和缓解思维方式。管理者越来越多地关注系统性风险并保持整体业务运营的完整性。重点从简单地预测威胁和准备公司任何一个部门的危机,转向业务连续性和业务弹性等概念。

2005年,另一场前所未有的灾难测试了这种新的弹性理念,并永远改变了在面对灾难性事件时保持业务连续性的假设。随着卡特里娜飓风的大规模破坏变得明显,企业预测和应对美国境内重大破坏的能力的自满情绪随着新奥尔良和墨西哥湾沿岸地区的大部分地区而被冲走。很快,很明显州,地方和联邦系统在处理这场危机方面无效。许多风险管理者得出了同样明确的结论:这可能发生在这里。

卡特里娜飓风给风险管理人员敲响了警钟,他们的缓解计划往往依赖地方,州和联邦当局作为回应。展望未来,风险管理人员和公司开始重新考虑这一战略,并在其组织计划中纳入业务连续性和弹性的责任。

卡特里娜强调需要提高运营可见度,员工跟踪,最重要的是增强沟通。在卡特里娜飓风期间和之后,业务连续性崩溃不仅是因为基础设施的物理损坏,还因为通信严重崩溃。员工分散,手机无法正常工作,管理人员很难找到人员,了解他们的状态并重新构建业务。

这种通信故障推动了应急计划的新思路,导致系统的发展,使运营能够在危机后更加平稳和迅速地反弹。也许工人可以登录预先建立的中央网站查找信息?也许公司可以编制联系信息数据库并通过短信发送更新?卡特里娜向风险管理人员和组织讲授了关于通信和实际业务冗余在业务连续性计划中的重要性的苛刻课程。

最近的发展再次引起了行业的重大变化,并将定义2010年及以后的情况。随着公司应对全球经济危机的后果,旧的风险管理问题再次出现。到2010年,风险管理将重新关注金融风险缓解,因为公司正在努力预测,准备,避免并从未来的经济灾难中变得更强大。

与此同时,风险管理领域内的人们也感受到财务压力。随着客户削减成本,风险管理公司和他们提供的预防性服务经常发现自己处于不利地位。在这十年中早些时候流入风险监测,预防和防灾计划的资金现在正被纳入支持组织内重要业务的核心职能部门。因此,风险管理领域的许多进展已经停滞或失去。

但是,正如过去10年告诉我们的那样,操作威胁变化很大,完全不可预测。许多分析师都认为,未来十年将面临更大的潜在威胁,例如加速全球对水和能源等资源的竞争。这种冲突可能会使公司更难以生产和分销其产品,从而削弱供应链。此外,熟练员工的接触可能会带来连续性挑战,因为人口老龄化被年轻的数学和科学训练不足的劳动力所取代(至少在发达国家),这将缩小有能力的工人群。

随着我们的经济变得更加全球化,它也变得更加分散和脆弱。大型跨国公司外包业务的实体反过来外包,而供应商和生产商网络变得越来越复杂。此链中的任何细分都可能对业务连续性和弹性带来重大挑战。

风险管理行业的趋势已经出现并逐渐消失,只是在新的情况下重新出现。尽管具体的变化已经在宏观层面上席卷了整个行业,但过去10年来,很少有公司吸收了来之不易的教训。为了继续在风险管理方面取得成果,组织必须重申系统性风险规划的价值,同时继续将风险管理者的角色作为管理层战略决策的一个组成部分。

如果我们对未来十年的风险没有比最近的风险更好的准备,我们只能责怪自己。