如何跟踪2025年的风险：指南、示例与最佳实践

使用ISO 31000作为指导标准在战略规划中管理风险的实用视角。

塑造2025/2026年风险管理格局的关键趋势

我们正在积极跟踪战略规划中的新兴趋势，特别是它们对风险管理的影响。

以下是我们预计在2025/2026年风险管理中的变化：

• 更多的法规明确包括了对风险管理实践的要求。利益相关者的概念在风险管理中变得更加普遍。
• GRC趋势正在上升，风险报告向主动风险管理的显著转变。例如，我们看到传统的风险登记册被更实用的以目标为中心的风险文件所补充。
• AI治理被广泛采用以降低与新兴生成式AI相关的风险。
• 显著的数据泄露事件（如CrowdStrike中断）引发了对第三方供应商验证的兴趣增加。
• 经济和政治不稳定的持续趋势促使组织扩展其风险模型，特别是在供应链领域。
• 极端天气事件扩大了对灾难恢复的兴趣，超出了核心IT领域。

风险是专业社区中一个热门话题。我们在美国和欧洲看到越来越多的风险和GRC会议。我们将通过计划的会议演讲分享我们在风险管理方面的实际经验。

介绍：定义风险超越概率和影响

在风险管理领域的指导标准是ISO 31000。观察标准对风险定义的演变是非常有趣的：

• 以前ISO对风险的定义：“损失的可能性或概率。”
• ISO 31000:2018的定义：“不确定性对目标的影响。”

发生了什么变化？

• 旧定义提到“损失”；新的定义使用了术语“影响。”这种转变意味着可能的正面和负面影响，并且强调了像客户感知这样的无形因素的重要性。
• 旧定义使用“机会”和“概率”来描述事件发生的可能性。在现代定义中，我们遇到了“不确定性的影响”，这也解释为不完整知识的影响。这种方法在定义风险时提供了更大的灵活性，超越了“可能性 x 影响”模型。
• 新定义中增加的术语“目标”强调了风险是在一个特定背景下定义的，以防止与整体战略的潜在不一致。

让我们探讨使用ISO标准的指导原则在战略规划中实施风险管理的实际应用。

1. 风险评估：系统性和利益相关者意识

通过系统分析驱动因素及其早期信号指标，结合组织战略和利益相关者利益，绘制可能的风险。

ISO标准的一般指导方针强调，风险评估应是系统的，并考虑不同利益相关者的观点。

在实践中这意味着什么？

风险评估：系统化

“系统化”风险评估的概念在各个行业中有所不同。基本上，它涉及遵循确定的流程和标准，例如：

• 风险评估的规律性
• 风险的量化
• 分配负责人员

以下，我们将讨论如何在操作层面上实施这一点。

风险评估：利益相关者的视角

与其他商业领域类似（例如，可持续性报告指令），ISO标准侧重于利益相关者的定义，并要求在管理风险时考虑利益相关者的观点。

在实践中，这意味着组织需要：

• 进行利益相关者分析，以定义相关的利益方。
• 在制定目标背景下的风险模型时，考虑利益相关者的利益。

这一标准要求与我们通过战略实施系统所支持的方法很好地契合。

BSC Designer的用户将在其账户中找到利益相关者分析模板。

• 可以通过设置 > 组织 > 战略来定义利益相关者列表。
• 列表中的利益相关者将被包含在“所有者”列表中，并可被分配到目标、风险或风险缓解计划中。

在目标背景下进行风险识别

风险评估的下一步是命名具体风险。新的ISO标准要求在目标背景下定义风险。该标准的目标是改善风险与业务背景之间的协调。

著名的GRC分析师Michael Rasmussen 分享了他关于价值创造风险管理与合规风险管理的观点：

• “[一个好的风险管理工具] 从业务目标开始，并在这些目标的背景下映射和管理风险（真正的ISO 31000）。”

在战略规划中，不要单独拥有一个风险记分卡，而是将风险整合到战略记分卡中。

在进行基于价值的战略分解时，我们将利益相关者的战略抱负分解为更具体的目标和子目标。在此阶段，我们量化目标并定义风险，以更好地理解我们所处理的业务背景。

我们用于扫描业务环境的大多数工具（参见图表中的战略分析部分）自然会有助于风险的识别。

要在BSC Designer中定义风险：

• 选择一个现有目标或创建一个新目标。
• 从添加按钮菜单中选择添加风险。
• 在描述字段中填写相关因素，并使用文档部分上传任何支持文件。

要输入风险分析结果：

1. 选择可能性指标。
2. 在固有字段中输入初始风险评估。
3. 在可接受字段中输入可接受的风险。
4. 在剩余字段中输入当前风险评估。

对影响指标重复这些步骤。

定义早期信号指标

风险的根本原因在ISO中被称为“知识不完整”的影响。

我们如何在驱动力的背景下增强我们的风险模型？

除了概率指标外，还要定义早期信号指标。例如，这些可以是经济危机或战争的早期预警指标。通过将一般驱动力转化为更具体的因素，我们增加了找到可靠早期预警指标的机会。

在战略规划中，我们将这些与成功因素一致的预测/领先指标与衡量结果的指标（滞后指标）区分开来。

在BSC Designer中创建一个预测早期信号指标：

• 创建一个新指标。
• 切换到上下文选项卡。
• 将指标类型更改为“领先”。

Changing type of indicator to Leading. 来源： Risk Management Example。

该指标在计算其上级目标的绩效时不会被考虑，但我们可以跟踪它并将其用于量化风险发现或风险缓解的举措。

2. 风险分析：可能性、影响、脆弱性

通过量化可能性、影响和脆弱性等属性，使风险更加具体。

风险分析是一项广泛的实践，专注于理解风险及其对组织的潜在影响。以下是在战略规划背景下进行风险分析的建议。

定义可能性/概率指标

可能性指标可以这样定义：

• 定性地，例如，在[低, 中, 高]的范围内，或
• 定量地，例如，在[0到100%]的范围内。

定量尺度适用于风险事件有足够的经验数据来估计其在某个时间段内的可能性的情况。

用于测量风险可能性的定量尺度。 来源： 风险管理示例。

BSC Designer的用户可以定义定性测量单位（一个自定义尺度[“罕见, 不太可能, 可能, 很可能, 确定”]），软件可以将其转换为具体的值。

用于评估风险概率的定性尺度。 来源： 风险管理示例。

风险影响指标

类似于可能性指标，我们可以将风险指标定量定义在0到100%的范围内。

另一种选择是使用美元尺度来表示风险影响指标。

使用美元尺度测量的影响指标。 来源： 风险管理示例。

类似于可能性指标，我们可以为影响定义一个自定义的定量尺度：

风险影响指标的定性尺度。 来源： 风险管理示例。

脆弱性指标

风险的可能性估计及其可能影响并未考虑组织对这种风险的敏感性。 在讨论早期信号指标时，我们量化了可以预测某些驱动力发展的商业环境方面。在脆弱性方面，我们进行类似的分析，但重点放在组织及其基础设施上。 例如，我们可以通过战争游戏或攻击模拟评估现有的网络安全漏洞。更具体的例子可以在网络安全文章中找到。 “脆弱性”可以根据CVSS在0到10的范围内使用“最小化”优化函数进行量化。

将风险与内部控制的有效性对齐

评估风险的可能性或影响的一种方法是评估内部控制的有效性。

通过滞后指标验证控制的有效性。如果这些指标处于绿色区域，我们可以预期较低的风险评估。

跟踪时间因素

驱动因素的不断变化以及风险预防措施导致风险评估的变化。

跟踪风险随时间的演变，并记录相关想法以用于学习和改进周期。

在 BSC Designer 中自动化此过程：

• 为风险指标建立更新间隔。

• 使用内部日历和数值字段用最新数据更新指标。
• 使用评论按钮为更新添加相关备注。

3. 风险处置：决定如何应对风险

实施风险缓解计划，并通过行动方案和风险缓解指标的状态跟踪实施的成功。

根据可接受风险的既定阈值，并根据风险分析的结果，决策者制定风险应对战略，可能的选项包括：

• 消除不相关的风险
• 在现有风险模型中进行监控
• 引入风险处置计划
• 质疑风险分析
• 质疑含义（目标或利益相关者的野心）

在 BSC Designer 中：

• 使用风险缓解行动方案来记录风险处置计划。
• 将进度指标与风险缓解行动方案对齐。
• 使用风险的状态字段根据接受的风险管理工作流程指示其当前状态。

Track status of risk mitigation initiative. 来源： Risk Management Example。

• 通过行动方案对话框添加其他项目（新风险、行动方案、理由、假设、预期结果）
• 添加风险处置的相关数据，如预算、时间表、进度指标、责任人
• 上传相关的支持文档

4. 风险监测：重新审视风险敞口

通过关键风险指标和仪表板跟踪风险敞口随时间的演变。

我们用来定义风险的指标已配置为某个更新间隔。分配给风险指标的负责人将收到有关即将更新间隔和错过更新的通知。

也可以在仪表板上可视化未及时更新的指标。

所有更新的详细信息（更新人员、更新时间、先前值是否更改）可以通过指标的审计日志进行可视化。

在治理记分卡的层面上，定期风险分析可以通过专用指标进行量化：

• 将“进行系统的风险评估”添加到治理记分卡中。
• 配置指标为季度或年度更新。
• 将负责定期风险分析的人员/团队分配为该指标的负责人，以便收到有关即将更新的电子邮件提醒。
• 将该指标与低层次的相应指标对齐，这些指标量化在特定领域完成的风险评估。

仪表板

除了使用定期更新的指标进行监控外，考虑添加一个包含相关图表的仪表板：

• 包含风险列表、其状态、处理进展、负责人的图表
• 专门针对最关键风险的图表
• 风险指数及其随时间变化的图表。

A dashboard with risk diagrams. 来源： 风险管理示例。

加权风险指数

报告风险事件的一种流行方法是使用加权风险指数。一个简单的指数可能如下：

• 低影响事件（权重 = 5%）
• 中影响事件（权重 = 15%）
• 高影响事件（权重 = 30%）
• 关键事件（权重 = 50%）

使用该指数有助于防止通过掩盖高价值事件与低价值补救措施来操纵指标。

An example of weighted risk index. 来源： Risk Management Example。

在BSC Designer中：

• 使用添加按钮创建指标的层次结构。
• 在性能选项卡上使用权重属性为指标分配相关权重。

大规模风险管理：风险登记册与目标导向风险定义

当扩大风险相关实践时，组织通常结合这两种风险管理方法来平衡风险的可见性和对齐：

• 使用风险登记册记分卡来管理一般风险，以及
• 关注目标导向的风险定义以更具体的风险。

An example of a risk register in a functional scorecard automated by BSC Designer. 来源： Risk Register。

全面风险分析——Bowtie方法

以上内容中，我们专注于具体风险的定量分析。但如果我们需要对特定风险事件的不确定性进行更详细的理解——一个涉及多个威胁和后果的事件，并跨越多个维度，该怎么办？

在这种情况下，Bowtie风险分析方法为特定风险事件提供了清晰且结构化的视图，不仅描绘了事件本身，还包括其预防和缓解控制措施。

幻灯片

课程：'使用BSC Designer进行风险管理' 是 BSC Designer 持续学习计划的一部分，提供在线和现场工作坊。了解更多...。

结论：将风险整合到战略规划中

我们不再讨论风险管理、合规和治理的独立学科。快速变化的商业环境迫使组织寻找一个综合的GRC框架。

如我们的战略实施系统中所述，实际实施包括：

• 将复杂问题分解为特定领域，由专门的战略和职能记分卡管理。
• 制定具有适当风险定义、指标和措施的目标。
• 将记分卡聚焦于合规、网络安全或供应链等感兴趣的领域。

使用 Risk Management Example 模板

BSC Designer 帮助组织实施其复杂的策略：

1. 注册平台上的免费计划。
2. 使用 Risk Management Example 模板作为起点。您可以在 新建 > 新建平衡记分卡 > 更多模板 中找到它。
3. 遵循我们的战略实施系统，将利益相关者和战略目标对齐为一个全面的策略。

立即开始，看看 BSC Designer 如何简化您的战略实施！