风险控制绩效：预测能源，资源和工业领域的主要风险趋势以获取竞争优势

风险决定绩效驾驭能源、资源和工业领域的主要风险趋势以获得竞争优势 风险决定绩效|驾驭能源、资源和工业领域的主要风险趋势以获得竞争优势新观点风险管理风险通常被视为需要减轻和管理以防止损失的东西。在德勤，我们相信风险管理可以是一项创造价值的活动。我们帮助企业获得新的风险观——看到风险管理作为一个重要的绩效杠杆，可以揭示未开发的机会以创造竞争优势。当今的商业环境以颠覆为特征和波动性。那些能够识别影响风险的主要变革驱动因素并比同行更有效地利用它们的公司，才能蓬勃发展。风险趋势：工业控制：风险太大忽略04掌握扩展企业05网络到处！06第三方风险管理：战略来源优势08通过整合重新审视风险保证09产品安全：始于制造商10将数字风险转化为数字风险优势12复杂全球环境中的资金和现金管理组织13可持续性：通过低碳创造价值排放量14能源交易：优化碳氢化合物价值链16 风险决定绩效|驾驭能源、资源和工业领域的主要风险趋势以获得竞争优势四种催化剂为转型四大全球驱动因素已成为能源、资源和工业 (ER&I) 公司业务和运营转型的催化剂。1.监管审查重工业和关键基础设施吸引特殊监管机构的关注，因为对社区和环境的潜在影响。意识在公民中很高，信息可以传播到世界各地顷刻。立法者正在以越来越严格的法规和期望做出回应对社会负责的可持续运营的最佳实践。公司必须满足复杂监管环境的需求，但要足够灵活监管计划与快速变化的环境保持同步——都以行业为重点。您应对监管风险的方法是否旨在保持价值和电力性能？2.数字化转型新技术可以改变工业流程。自动化，互联互通，人工智能高级分析正在推动效率和优化作为更紧密的供应链整合。不幸的是，这些趋势也可能使公司面临潜在的风险滥用信息和中断关键活动。当今的商业环境是全球性且高度互联的，增加了网络威胁的可能性。在网络无处不在的复杂时代，有效的网络风险管理将使组织有信心充分利用利用技术机会。你准备好利用吗在避免陷阱的同时实现数字化的承诺？3.安全可靠许多工业过程本身就具有风险。随着运营规模和复杂性的增加，自动化取代人工监督和外部供应商发挥越来越大的作用，意外安全结果的可能性会增加。客户和更广泛的社区对失误的容忍度是减少，使组织面临更大的风险，并增加利益相关者的审查他们的操作。在瞬息万变的时代，贵公司是否将安全性和可靠性作为重中之重？4.可持续性越来越多的消费者、投资者和其他利益相关者要求组织使用更清洁、更碳中和的能源形式——这标志着全球从传统能源形式的转变。作为回应，当他们考虑如何生产和提取产品时，组织需要规划一个低碳经济。这些驱动因素共同增加了风险并创造重大机遇。贵公司是否通过可持续实践推动价值创造？在这份文件中，我们探索了 10 个具体的ER&I 公司需要准备的风险趋势。03 风险决定绩效|驾驭能源、资源和工业领域的主要风险趋势以获得竞争优势工业控制：太多的利害关系不容忽视ER&I 行业的运营方式发生了转变大规模工业和基础设施过程。绝大多数操作技术 (OT) 现在都是自动化的，其操作由算法或传感器驱动。以前不被认为面临外部威胁风险的系统现在几乎都连接到网络。互联 OT 提供了巨大的好处，包括降低成本、改进安全性、更高的可靠性和优化流程的能力。但它也使企业面临一系列全新的风险。运营关键基础设施的风险关键基础设施和经济ER&I 的重要性使它成为一个有吸引力的网络攻击的目标。威胁行为者的范围可以从低级网络罪犯和“黑客行动主义者”到复杂的犯罪集团和民族国家。成功攻击的后果可能是灾难性的。十亿美元的资产可能会丢失。可以采取生产离线数月，有大量财务影响。设施可能会突然关闭，并损坏或摧毁结果，对安全和环境产生影响。如果该设施提供基本服务，例如电力、水或运输，效果可以级联整个社会。公司需要问自己一些重要的问题：•我们是否已识别潜在风险将我们的 OT 数字化？组织通常会迅速采用新技术，渴望获得收益。•我们是否衡量了风险并将其与我们的整体风险偏好进行了比较？•我们是否有有效的工业控制到位？最佳实践工业控制风险类似于网络安全风险；然而，组织不能简单地将 IT 安全原则应用于其工业资产。 OT 通常安装在由工程人员维护，当 IT 团队管理企业网络安全。这些团体传统上并未在大公司内紧密或和谐地合作。当公司对运营系统和 IT 系统的安全性进行合理化时，就会出现最好的结果。多学科方法将所有技能组合在一起找到最佳解决方案。理想情况下，一个组织的 IT 团队和工程工作人员采取共同的方法以保护公司资产。2017 年的 NotPetya 勒索软件攻击在全球造成的总损失估计超过 100 亿美元。一些组织的成本达到了数亿美元，其中包括一家大型糖果公司、一家知名的包裹递送服务公司和一家大型集装箱公司。1 风险决定绩效|驾驭能源、资源和工业领域的主要风险趋势以获得竞争优势掌握扩展企业ER&I 公司越来越依赖供应商来执行核心职能并管理其业务的关键部分。复杂和大规模的运营模式可能包括多个承包商在组织自己的设施内或在其财产内工作。直接供应商可以反过来承包工作分包给自己的分包商。这种多层次的供应商网络被称为“扩展企业”。潜在风险：控制、成本增加等尽管他们紧密整合，但供应商往往没有得到充分监控，以验证他们是否符合绩效标准、遵守安全和监管协议以及遵守合同条款。公司可能会忽视对分包商实施与其内部运营相同的高标准控制。除了不让承包商和分包商达到相同的高标准的问题外，还存在公司可能为收到的服务支付过高的潜在风险，从而导致在整个生命周期内有重大价值泄漏合同。泄漏通常是由于对合同条款理解不足或合规审查不频繁造成的。公司可能没有从他们的供应商那里收集正确的信息，或者可能没有及时审查这些信息。财务影响可能很大，通常达到 1% 到 5%合同的价值。风险超出了成本和控制。项目时间表可能会受到影响。供应商的漏洞可能会破坏网络安全。健康和安全或环境事故的可能性可能会增加。如果发生高调的事件，例如人员伤亡或泄漏，外部利益相关者不会区分第三方供应商和公司本身。必须考虑对品牌和声誉的潜在损害。最佳实践扩展企业风险管理 (EERM) 的最佳方法是主动一个提供 360 度视图的供应商。 EERM 中的一个新兴实践是实施实时监控，以便任何问题都可以被识别和解决当它们出现时。05 风险决定绩效|驾驭能源、资源和工业领域的主要风险趋势以获得竞争优势网络到处！ER&I 公司正在以比以往任何时候都更快的速度采用数字技术。采用技术的例子包括数字油田、无人矿山和全自动工厂。服务和流程的数字化使消费者和员工可以随时随地通过移动设备获取高度敏感的数据。 风险决定绩效|驾驭能源、资源和工业领域的主要风险趋势以获得竞争优势虽然这种增加的连接性有好处，但它也扩大了数量以及全球网络攻击的可能性。威胁参与者已经接受了扩大的数字足迹，并且在利用漏洞方面变得越来越复杂。在 ER&I 行业内，预计网络安全成为支出增长最大的领域之一。网络安全挑战ER&I 行业面临几个网络安全挑战：•ER&I 行业的某些部分历来在网络安全方面监管不足，并且在该领域的投资不如其他行业那么多。•由于对熟练网络安全专业人员的需求超过供应，ER&I 在与被认为处于技术前沿的知名公司和消费品牌竞争人才时可能处于劣势。•工业控制系统 (ICS)与 IT 相比，基础架构具有不同的运行状况和更长的使用寿命设备，使其更具挑战性解决特定的网络威胁到运行 ER&I 的设备。•网络安全涵盖 ER&I 公司业务的所有方面，网络威胁与物理安全、安全、欺诈和风险相结合管理。挑战被放大当公司运营关键基础设施时。这带来了复杂的治理挑战，可能会在控制和监督方面留下差距。增加风险的趋势许多趋势导致 ER&I 公司的网络安全风险增加：•整个运行环境正在变得更加数字化。需要管理的设备数量激增。物联网网络正在连接到过去不需要安全保护的传统基础设施。网络安全必须到达每一个最后的端点。•攻击通常始于系统中某处受损的数字身份。身份曾经主要通过密码分配给员工，但现在所有连接的设备和操作技术都有自己的身份。在它们通过身份验证之前，它们都必须被视为不受信任。•增加互联互通第三方供应商将公司暴露在任何地方的潜在漏洞中供应商缺乏足够的网络安全。最佳实践虽然网络安全风险和挑战数量众多，有效的网络风险管理策略使建立信心的组织这使他们能够利用每一个技术机会出现。为了实现有效的网络风险管理，至关重要的是组织重新定义他们的看法网络风险——评估和讨论网络在赋予公司权力方面发挥的更大作用。网络安全应该不被视为业务的高风险组成部分，而是作为推动因素寻找新的机会。组织需要了解其网络足迹的全部范围，了解所有设备是什么，然后建立适当的治理和持续的实时监控。组织内网络安全的所有权应明确，明确谁负责政策制定和实施。07 83% 的组织在过去三年中经历了第三方事件。211%严重影响35%中等影响风险决定绩效|驾驭能源、资源和工业领域的主要风险趋势以获得竞争优势第三方风险管理：战略优势的来源任何与组织直接签约的第三方都有潜力成为影响安全、声誉或性能的“薄弱环节”。规模第三方关系对 ER&I 公司来说是巨大的。系统性失误——例如账单或合同管理不善——可能会增加材料成本影响。因此，公司一直在寻找管理第三方的方法以更有效的方式应对风险。第三方风险的新思考方式ER&I 公司正在以多种方式拓宽第三方风险的概念：•第三方类型：ER&I 公司传统上主要关注供应商，因此投入了大量严格评估采购过程中的风险。今天，他们也更仔细地观察其他人。•风险类型：石油天然气和矿业公司历来关注两种主要风险：健康安全、反贿赂和反腐败。今天，他们考虑了更广泛的风险，包括网络安全、数据隐私、劳工权利和可持续性。•技术使用：新技术解决方案以及现有平台上的新功能正在成为管理第三方风险的可行工具。•行业合作：ER&I 行业内的公司开始通过倡议进行合作在哪里他们共同进行风险评估负责任的供应链在当今监管和跨境执法日益严格的环境下，法律和声誉责任可以从供应商转移到采购商。数据隐私、劳工要求、反贿赂、现代奴隶制和制裁法规只是监管和道德考虑中的一小部分必须由以下人员有效管理一个全球性的企业。随着对道德行为、监管合规性的期望增加在供应链上已经不够用了。道德和环境主题的可证明的、主动的和系统的管理越来越被视为业务关键；公司必须建立与监管合规一起运营的社会许可。公司越来越多地被要求对与气候变化和可持续性相关的话题负责。期望他们将让第三方遵守相同的要求和标准，以便在他们的产品到达消费者手中之前建立一个负责任的供应链或其他业务。最佳实践许多公司正在采取更全面和综合的方法，将所有在一个所有权结构下共同进行第三方风险管理活动。有效风险的重要因素管理包括：整体治理结构；明确的政策和标准；详细的流程和标准；培训和教育；和评论从道德责任的角度对供应链进行分析。 风险决定绩效|驾驭能源、资源和工业领域的主要风险趋势以获得竞争优势重新审视风险综合保证备受瞩目的风险事件和监管变化激增在过去的十年。作为回应，ER&I 公司已将高度重视风险监督并投入大量资源到保证计划。保证活动的核心目的是提供信心组织正在管理其风险并实现其目标的领导团队。信息太多，洞察力不够保障计划支出的增加并不总能带来预期的结果。许多公司认识到他们正在执行许多不协调的工作保证，在重大直接和间接成本，收益太少。这些组织将其保证活动描述为重点狭窄、冗余、成本高、对业务有干扰，并且与价值和绩效驱动因素无关。因此，董事会缺乏对公司面临的最大风险的清晰、准确和全面的了解。综合保障模式寻求更好结果的公司越来越多地转向综合保证。他们正在简化和标准化保证模型，以重新关注其核心目的。综合保障是在共同治理模式下协调规划、执行和报告保障活动。这种方法不仅旨在使保证合理化并实现效率，它还指导保证活动到他们将为组织创造最大价值的地方。综合保证的基础模型是识别关键驱动因素业务中的价值，以便保证活动与关键目标保持一致。对于 ER&I 公司，价值驱动因素通常包括五个支柱：安全、运营完整性、资产绩效、财务弹性和产量增长。最佳实践为了使综合保证成功，单一的高级角色应该对整个组织范围内的保证负责。这应该会导致三个