Considere três eventos nos últimos três anos: a pandemia covid-19, a invasão da Ucrânia pela Rússia e a repentina disponibilidade de língua simples Inteligência artificial generativa (Genai). Então aguardamos o crescente impacto de Mudança climática e a possibilidade de secas, inundações e incêndios mais graves. Agora pense na capacidade de gerenciamento de riscos da sua empresa. É organizado e possui as capacidades necessárias para o mundo de hoje - e amanhã?
A resposta para muito poucas empresas será sim. O risco sempre superou o gerenciamento de riscos, mas a escala, a complexidade e a interconectividade do risco hoje apresentam às empresas novos desafios. (Consulte “Negócios arriscados”.)
Business de risco
Regulators have become more vigilant. The 190 non-financial companies included in four global market indices were fined more than $200 billion between 2009 and 2022. Over the same period, North American and European banks were fined more than $400 billion.
Human-related risks continue to evolve in new ways. The current shortage of talent, especially analytical and new technology capabilities, is an immediate challenge. In some of advanced banks today 40% of all open job roles are AI related.
Then there’s climate change, which represents an entirely new driver of risk with unknown ramifications. A recent analysis we performed for an infrastructure company revealed that flooding and other natural disasters could reduce EBITDA by up to 8% in the next five years.
Compounding all of the above are the speed at which threats develop and their interconnectedness. Information spreads rapidly via social and business networks and the impact can materialize in a flash. It took only a few days for solvency concerns to bring down the 16th largest bank in the US. The reverberations were felt almost immediately by other banks in the US and Europe.
Empresas em todo o mundo precisam de um novo modelo para abordar o risco e integrar a avaliação de riscos na tomada de decisões em todos os níveis. Veja como construí -lo.
Uma nova visão para gerenciamento de riscos
This new and comprehensive approach to Gerenciamento de riscos Começa com uma função de risco que está ancorada na suíte C e envolvida diretamente na tomada de decisão estratégica. Também requer funções comerciais maduras que misturam o gerenciamento de riscos na tomada de decisão do dia-a-dia. A função de risco deve estar firmemente conectada aos negócios e às funções financeiras e incluir a avaliação de riscos financeiros e não financeiros (como cadeia de suprimentos e outros riscos relacionados ao processo). As capacidades técnicas e analíticas da função de risco devem ser usadas para tomada de decisão em todos os níveis, tornando as operações e processos mais resilientes. Essa abordagem de gerenciamento de riscos é construída em três pilares. (Consulte a exposição.)
The goal is for risk management to operate as a control function that prevents individual risks from reaching threatening levels while actively supporting the right risk-reward decisions. This risk management approach is built on three pillars. (See the exhibit.)
Crescimento da empresa. Para apoiar a agenda de crescimento de uma empresa, as funções de risco e negócios precisam trabalhar juntas para obter suporte de decisão oportuno e preciso. A função de risco pode fornecer os dados necessários e as informações relevantes para a decisão para que as análises tenham impacto, como análises de cenário. Isso requer novos modelos de colaboração entre risco e negócios que integram os dois mais de perto, mantendo a independência necessária da função de risco. A análise no nível do cliente ou da transação permite as melhores decisões de negócios de retorno de risco. As abordagens ágeis, com sua maquiagem entre equipes multifuncionais e rotação regular de pessoas, são duas maneiras de facilitar uma melhor compreensão e colaboração entre risco e negócios.
Vários bancos estão implantando modelos de análise avançada para fornecer informações prospectivas sobre a carteira de empréstimos e análises de retorno de risco para oportunidades comerciais. Esses bancos usam dados de transação no nível do cliente para atualizar financeiros antigos ou indisponíveis, projetar fluxos de caixa futuros em tempo real e avaliar as interconexões de clientes com seus clientes e fornecedores para identificar os riscos da cadeia de suprimentos. Essa análise em tempo real ajuda a tornar as trocas corretas de risco de receita no nível da transação, gerando um valor significativamente maior a partir do portfólio. Os bancos usam os mesmos dados do cliente e análises relacionadas (como projeções de fluxo de caixa do cliente) para necessidades comerciais (como empréstimos) e avaliação de risco (acessibilidade para o cliente), por exemplo.
To support a company’s growth agenda, risk and business functions need to work together for timely and accurate decision support.
As empresas de energia podem se beneficiar da tomada de decisão estratégica, informada pelo monitoramento contínuo de métricas externas, à medida que realizam transições em larga escala para fontes renováveis e novas tecnologias. Para um participante global de energia, isso envolveu o desenvolvimento de um apetite de risco detalhado e bem definido e uma governança clara, com entendimento comum dos papéis e responsabilidades dos atores relevantes, permitindo a escalada oportuna em caso de mudança de sinais ou alertas sobre o ambiente externo. A nova função de risco fornece uma infraestrutura analítica de métricas para monitorar a evolução de vários cenários e apoiar uma abordagem dinâmica para o gerenciamento de portfólio. Usando análises baseadas em risco, a empresa pode lidar com mais eficácia com incertezas no contexto e alocar recursos de maneira ideal. A gerência também pode gerenciar o risco de ativos presos e avaliar as opções com base na viabilidade econômica dos modelos de negócios no portfólio.
Steering the Company. To further interconnect risk management and enterprise planning and help build a more resilient organization, the risk function can support the Função de finanças Ao entender as compensações entre risco e retorno no planejamento do balanço. As empresas precisam estar preparadas para vários cenários de estresse. As finanças e o gerenciamento de riscos podem unir forças e usar esses modelos, que geralmente incluem alternativas ao exercício de planejamento financeiro da linha de base, para otimizar a implantação de recursos financeiros, incluindo capital, liquidez e financiamento. O P&L planejado segue. Para ser eficaz, no entanto, essa colaboração requer plataformas de dados integradas, processos estruturados e fortes equipes entre as duas funções. As empresas podem implementar uma estrutura concreta que lhes permita rastrear, avaliar e monitorar potenciais eventos adversos internos e externos que podem impedir a conquista de objetivos estratégicos definidos, como entrar em um novo mercado ou aumentar as receitas. Esse tipo de iniciativa de direção de risco é particularmente valiosa quando a organização implantou um plano estratégico ambicioso, embarcou em um amplo programa de transformação ou tomou uma decisão de investimento em mudança de jogo. Envolve uma avaliação baseada no cenário da probabilidade e provável impacto financeiro de eventos adversos em potencial, com base na observação histórica, tendências atuais do mercado e julgamento especializado.
In banking, the risk function traditionally has built and maintained a set of models for regulatory purposes. Finance and risk management can join forces and use these models, which often include alternatives to the baseline financial planning exercise, to optimize the deployment of financial resources, including capital, liquidity, and funding. The planned P&L follows. To be effective, however, this collaboration requires integrated data platforms, structured processes, and strong teaming between the two functions.
In other industries, the use of multiple scenarios to inform the planning process is equally applicable and will become more important over time. Companies can put in place a concrete framework that enables them to screen, assess, and monitor potential internal and external adverse events that can impede the achievement of defined strategic objectives, such as entering a new market or boosting revenues. This type of risk steering initiative is particularly valuable when the organization has deployed an ambitious strategic plan, embarked on a wide transformation program, or made a game changing investment decision. It involves a scenario-based assessment of the probability and likely financial impact of potential adverse events, based on historical observation, current market trends, and expert judgement.
In a world of risk-based multi-scenario planning, GenAI can dramatically transform planning activities.
Uma empresa líder internacional de moda e luxo, por exemplo, usou recentemente essa abordagem para identificar mais de 20 cenários prospectivos em várias categorias de risco (como cadeia de suprimentos, imagem e reputação, canal de serviço e interrupção de negócios). Ele priorizou os cenários com maior probabilidade de pôr em risco as chances de sucesso do novo plano, de acordo com os impactos potenciais no nível variável das receitas. Para cada um desses "cenários principais", as unidades de gerenciamento de risco relevantes e os negócios concordaram com um conjunto de KPIs e ações de mitigação relacionadas no caso de os limiares identificados são violados. Isso inclui:
In a world of risk-based multi-scenario planning, GenAI can dramatically transform planning activities in multiple ways, enabling a new operating model and at the same time streamlining activities and costs. These include:
- Gerando os primeiros rascunhos de documentação, descrições de cenários e possíveis análises de impacto regulatório. Simulações, com o potencial de ganhos de eficiência de até 50%. transformando o modelo operacional de planejamento. Mas a tecnologia adiciona sua própria
- Streamlining decision making by using real-time comparisons and analysis of data against benchmarks and detecting anomalies at granular level in the business.
- Reducing manual errors by automating data clean-up for processes such as budgeting or advanced scenario simulations, with the potential for efficiency gains of up to 50%.
- Enabling a new reporting model that moves from individual what-if requests to a complete analysis leveraging the full set of company data.
- Shifting work from low value to high value activities.
GenAI applications are already a reality, and many companies are piloting new use cases with the ultimate goal of transforming the planning operating model. But technology adds its own série de riscos e preocupações . A pressão para controlar os riscos enquanto ainda colhe as recompensas consideráveis está alimentando a integração de AI responsável , uma abordagem para projetar, desenvolver e implantar sistemas de IA alinhados com o objetivo e os valores da empresa, enquanto ainda oferece impacto nos negócios transformadores. O gerenciamento de riscos na empresa precisa estar na frente e no centro desse esforço.
Protegendo a empresa. O papel tradicional de Risk é mais importante do que nunca. Mas o nível de proteção necessário requer uma atualização significativa de toda a empresa da empresa. Nesta versão atualizada da proteção, os controles distribuídos e automatizados se tornam o sistema imunológico que detecta ameaças e questiona respostas. Isso requer um ambiente de controle repensado - o conjunto de padrões e processos que fornecem a base para controles internos dentro da organização e indicadores claros de alerta precoce. Mas o nível de proteção necessário requer uma atualização significativa dos recursos.
Risk’s traditional role is more important than ever. But the level of protection needed requires a significant upgrade of capabilities.
Para muitas empresas, novos dados que podem identificar fraudes em estágios muito iniciais podem ser necessários. A Banking novamente fornece um exemplo útil, pois seu modelo de negócios e o grande número de transações financeiras que ocorrem todos os dias tornam os bancos particularmente vulneráveis a ataques criminais e outras atividades nefastas. Os bancos estão cada vez mais adotando uma abordagem orientada a dados para enfrentar esse desafio. Eles automatizaram seus processos de conhecimento de seu cliente para obter dados relevantes do cliente, realizar pesquisas de notícias e avaliar os riscos de crimes financeiros. Eles estão aproveitando a IA para identificar e bloquear transações suspeitas dos milhões de transações legítimas que os bancos estão processando. Por exemplo, em um banco líder, aumentar a previsão e a prevenção, permitindo que a inteligência de dados de risco cruzado levou a uma diminuição de 20% nos alertas aumentou para o segundo nível. Tais movimentos também ajudam a empresa a incorporar controles simplificados nos processos de negócios para alcançar a conformidade pelo design. Uma ampla gama de atores (governos, cibercriminosos e funcionários, por exemplo) com uma variedade de motivações (como divulgação de dados e destruição de ativos) tem acesso a métodos de ataque semelhantes (como hackers e phishing seguidos por roubo e extorsão). Um número crescente de conexões entre a função de TI de uma empresa, sua tecnologia operacional e o
Better use of data, analytics, and technology achieves more effective protection through a more efficient use of resources. For example, at one leading bank, boosting prediction and prevention by enabling cross-risk data intelligence led to a 20% decrease in alerts escalated to the second level. Such moves also help the business to embed streamlined controls in business processes to achieve compliance by design.
The range, complexity, and interconnectedness of threats today opens new mandates (and opportunities) for risk management to prove its value. A wide range of actors (governments, cybercriminals, and employees, for example) with a variety of motivations (such as data disclosure and asset destruction) have access to similar attack methods (such as hacking and phishing followed by theft and extortion). Growing numbers of connections among a company’s own IT function, its operational technology and the Internet das Coisas , bem como ferramentas, dados e processos sobrepostos levam a ameaças que começam em um ambiente mais facilmente se espalhando para outras pessoas. A função de risco precisa focar seus recursos aprimorados a montante nas capacidades de previsão e prevenção entre os tipos de risco, como monitoramento de ameaças e perfil de risco, e a jusante, concentrando -se em recursos de detecção e resposta, como cenários e regras e investigação e remediação. Tecnologia avançada e recursos de dados, incluindo plataformas de gerenciamento de dados e
Fusing risk management capabilities across the various types of risks and technologies can generate both effectiveness and efficiency benefits. The risk function needs to focus its enhanced capabilities upstream on prediction and prevention capabilities across risk types, such as threat monitoring and risk profiling, and downstream by focusing on detection and response capabilities, such as scenarios and rules and investigation and remediation. Advanced technology and data capabilities, including data management platforms and análise avançada , são essenciais para ambos os esforços. A integração do gerenciamento de casos e a documentação da tomada de decisão de ponta a ponta ajudou a reduzir os custos de TI, removendo redundâncias e realizando sinergias enquanto reduzem o tempo de processamento em mais de 30%. Isso requer uma lógica diferente da do gerenciamento tradicional de riscos operacionais. As empresas devem considerar como manter a continuidade do serviço no caso de uma grande interrupção, o potencial de danos aos clientes e o ecossistema de mercado mais amplo de eventos em potencial e como redesenhar os serviços de negócios críticos de ponta a ponta que incorporam a modularidade, a redundância, a contingência e a capacidade de reagir rapidamente. O futuro das empresas:
Companies in multiple industries have realized 20% to 30% staff synergies by joining forces in multidisciplinary teams. Integrating case management and documenting end-to-end decision making has helped reduce IT costs by removing redundancies and realizing synergies while cutting processing time by more than 30%.
Finally, companies today need to embed resiliency at the core of their operations, technology, and business. This requires a different logic from that of traditional operational risk management. Companies must consider how to maintain service continuity in the event of a major disruption, the potential for harm to customers and the broader market ecosystem from potential events, and how to redesign end-to-end critical business services embedding modularity, redundancy, contingency, and ability to react quickly to changes.
De-Risking the Future
CEOs can launch a practical set of actions today to de-risk their companies’ future:
- Funções de negócios podem aproveitar as análises no nível do cliente ou do produto para antecipar oportunidades comerciais e equilibrar riscos, tornando as trocas ideais. Isso exigirá modelos de colaboração estruturada com a função de risco e recursos analíticos aprimorados. Isso exigirá modelos de colaboração estruturada com a função de risco, usando plataformas e metodologias de dados compartilhados.
- Finance functions can build risk-based planning capabilities that use strategic scenario tools and can generate early warnings of evolving external changes or threats and signal the need to launch contingency or alternative actions. This will require structured collaboration models with the risk function, using shared data platforms and methodologies.
- Operações precisará criar processos resilientes de ponta a ponta, garantindo continuidade e estabilidade nos serviços mais críticos do cliente e alavancando controles distribuídos misturando automação e processos humanos. Isso exigirá modelos de colaboração estruturada com a função de risco para definir cenários, tolerâncias sensíveis e uma estrutura de controle adequada. Isso exigirá que as habilidades de atualização significativamente se alinhem com novos riscos (como clima, TI, digital e cibernética) e requisitos de tecnologia e a construção de uma organização adequada para apoiar toda a empresa. A função de risco precisará manter sua independência, mas também transcender seu papel tradicional para se tornar um parceiro valioso para o futuro. Quando todos vêem o gerenciamento do risco como parte de seu trabalho, uma empresa está a caminho de ser bem preparada e resiliente para futuros eventos de risco. Em particular, eles agradecem a Abhinav Bansal, Ingmar Broemstrup, Stephanie Bussan, Davide Corradi, Lorenzo Fantini, Bernhard Gehra, Gerold Grasshoff, Paul O'Rourke, gestão de riscos e riscos e riscos. E-alert.
- The risk function will need to leverage technology to shift away from reporting and monitoring tasks to a high ratio (~80%) of value-added activities. This will require significantly upgrading skills to align with new risks (such as climate, IT, digital, and cyber) and technology requirements and building an organization fit for supporting the entire firm. The risk function will need to maintain its independence, but also transcend its traditional role to become a valued partner for the future.
Preparing for the future of risk requires a company-wide transformation in the operating model, the organizational structure, and in the minds of the company employees. When everyone views the management of risk as a part of their job, a company is on its way to being well-prepared and resilient for future risk events.
The authors are grateful to their BCG colleagues in the Risk & Compliance practice whose insights and experience contributed to this report. In particular, they thank Abhinav Bansal, Ingmar Broemstrup, Stephanie Bussan, Davide Corradi, Lorenzo Fantini, Bernhard Gehra, Gerold Grasshoff, Paul O’Rourke, Sebastién Rexhausen, Pierre Roussel, Hanjo Seibert, and Carsten Wiegand.
