關鍵的新興風險

這是連續第三個季度，這類攻擊被列為首要新興風險。IT供應商的關鍵性以及動蕩的監管和法律環境是新出現的首要企業新興風險。

2024年第三季度，Gartner調查了286位高級風險與合規高管及經理，以研究和比較新興風險。新興風險是指那些其影響尚未被企業意識到，但具有重大影響潛力的風險，這些風險的演變具有高度不確定性，因為它們變化迅速、呈非線性，或兩者兼具。

Gartner風險與審計實踐研究部高級總監Zachary Ginsburg表示：“這兩個新的新興風險與IT和政治環境的復雜性有關，而當前事件已讓高管和董事會高度關注這些復雜性。雖然美國大選因候選人的監管、貿易和其他提案而備受矚目，但企業很難考慮到可能發生的眾多情景所帶來的實際風險影響，而最近美國最高法院關于聯邦機構制定和執行法規權力的裁決更是加劇了這種不確定性。”

“除了政治因素，其他全球事件(如7月的CrowdStrike中斷事件)也引發了人們對于企業是否過度依賴大型IT供應商的質疑。例如，如果服務集中于一家供應商，那么在該供應商發生中斷時，客戶可能會面臨更高的風險，或者可能會面臨因歐盟、美國或其他地區的新法規或法律裁決而導致的服務意外變化。由于像SaaS供應商這樣的第三方也依賴于其他供應商，因此企業可能無法充分意識到自身面臨的風險程度。”Ginsburg補充道。

在提及最多的前五大新興風險中，有兩個屬于技術類別，兩個反映了對監管和法律環境不確定性以及全球選舉結果的政治擔憂。組織人才結構錯位從第二季度的第四大風險降至第三季度的第五大風險。

組織面臨的政治、法律和監管風險日益增加

在當前的政治、法律和監管環境中，需要考慮的法律和監管不確定性潛在風險范圍更廣。除了通常的法律和監管影響外，與人才和就業法律、經濟政策及其貿易和供應鏈影響相關的額外風險也帶來了許多潛在結果。

對于依賴于一組特定結果的復雜且相互關聯的政治、法律和監管事件，非常適合通過情景規劃或類似練習來識別和映射基于事件的結果，從而更好地理解和規劃新興風險的影響。

Ginsburg表示：“政治和法律事件可能帶來復雜的風險影響，但那些依賴于一組特定結果(如選舉)的事件非常適合進行情景規劃。”

在預期政治、法律和監管事件時，首先要做的是識別與這些事件相關的風險，并確定哪些風險更依賴于即將發生的事件(如選舉)，哪些風險是更可能持續存在的系統性風險(如貿易路線中斷導致的物流問題)。

接下來，法律和風險負責人應識別和映射那些最有可能影響企業高風險領域和目標的風險，然后，負責人應確定預防性行動的價值，以評估為潛在中斷做好準備是否能降低風險發生的可能性或影響。

如果組織領導者能夠制定具體且成本效益高的行動方案，在風險事件持續期間有效應對風險，那么這些行動方案既有可能降低風險，也有可能獲得高層的支持。

最后，除了評估針對特定事件采取行動的需求外，風險管理負責人還應評估組織管理中斷的能力。需考慮的因素包括進行初步影響評估、合規影響監測以及外部和內部溝通的能力。

Ginsburg總結道：“通過超越特定風險事件，評估組織管理中斷的能力，企業風險負責人既可以減少組織面臨的已知風險，也可以增強對未知事件的抵御能力。”