网络风险量化、ESG和运营韧性，是明年风险管理的重要阵地

过去18个月标志着一个转折点，企业关注在不断变化的市场条件下重新评估其治理，风险管理和合规（GRC）能力。

德勤的一项调查发现，亚太地区84%的金融服务公司计划加强现有的运营韧性计划，88%的公司表示他们正在或计划进行频繁的模拟分析。

MetricStream亚太区高级副总裁兼董事总经理Aravind Varadharajan表示：“根据最近的事件，2022年将迎来对风险管理和韧性的独特关注，这些因素由三个关键因素驱动：GRC的网络风险量化，环境，社会和治理（ESG），以及运营韧性。

据IDC称，亚太地区对安全相关产品和服务的投资预计将以13.3%的五年复合年增长率增长，到2024年将达到惊人的350亿美元。这是为了应对网络犯罪复杂性的上升，这种增长呈指数级增长。这些数字表明，许多企业在评估网络风险时仍然使用传统或过时的流程。

长期以来，首席风险官（CRO）和首席信息安全官（CISO）一直依赖于热图或高/中/低风险评分来衡量风险。展望未来，企业应全面整合GRC数字工具，以可量化的术语衡量影响。

到2022年，企业可能会放弃传统的风险评估衡量工具，采用先进的网络风险量化工具，通过分配美元价值来精确衡量企业的风险偏好。这些工具为企业提供了全面衡量、管理和查看风险的能力，从而获得有价值的见解，做出更具战略性的决策，以应对网络风险或其他威胁的潜在成本。有了这些知识，风险和安全专业人员就能够以可量化的术语向高管和董事会成员证明投资的合理性。

ESG对该地区各行各业的许多企业的重要性与日俱增。根据第11次安永/IIF年度全球银行风险管理调查，100%的亚太CRO认为气候变化是需要他们高度关注的最大风险，而全球这一比例为49%。相比之下，被广泛誉为环境，社会和治理（ESG）行动领导者的欧洲组织已经诉诸于筛出负面客户以规避与ESG风险相关的成本。

为了克服ESG风险的成本，企业必须纳入管理ESG风险的元素，这是治理，风险和合规（GRC）的新兴领域。到2022年，实施以ESG为依托的GRC战略将在企业中占据优先地位，以准确衡量和报告ESG评分。

根据Gartner的说法，运营韧性被定义为“扩大业务连续性的管理计划，将重点放在对内部和外部利益相关者的产品或服务交付中断的影响、关联风险偏好和容忍水平上。“在不断变化的环境中，经受住风暴考验的企业甚至在下一次危机之前就制定了计划。作为这一运动的先锋，该地区的权威机构已开始通过大量法规和指导方针来接受金融部门内的运营韧性要求。

最值得注意的是，新加坡金融管理局（Monetary Authority in Singapore）发表了一篇论文，强调了金融服务可能存在的风险，并提出了风险管理行动以及基准测试指南。香港金融管理局（金管局）已认识到企业对营运韧性的迫切需求，并制定了银行业的营运韧性原则。同样，证券及期货事务监察委员会（证监会）亦发布了营运韧性标准及框架措施，以补充有关为法团发放牌照及引入新规例的现有指引。

总而言之，采用有效的GRC策略来合理化来自企业不同来源的数据，确保领导者在2022年能够很好地管理、拥抱风险，并最终在风险中蓬勃发展。