当董事会忽视预警信号

健康的公司治理和强大的风险管理是相辅相成的。领先的工业企业通常将按照“三线模型”原则设计的内控与风险管理一体化计划作为强化风险治理和管理机制的有效手段。

业界日益认识到，董事会对于运营风险管理的监督机制必须进一步升级——这是提升企业韧性的关键抓手。

下载文章

发表于 5月 8, 2025

虽然董事会的监督职责已发生演变，不再局限于传统的价值创造方面，还涉及价值创造带来的影响，即公司的盈利能力、声誉和运营风险等方面，但实际上他们还有很长的路要走。

健康的公司治理和强大的风险管理是相辅相成的。领先的工业企业通常将按照“三线模型”原则设计的内控与风险管理一体化计划作为一种强化风险治理和管理机制的有效手段。¹

图1：国际内部审计师协会三线模型（以前称三道防线模型）

优先级不断上升

疫情、极端天气事件、网络攻击和关键资产故障等事故和外部事件会对企业运营和供应链造成重大冲击和破坏，导致风险组合中的运营风险敞口不断扩大，因此董事会必须加强相关监督力度。

随着利益相关者对企业期望的不断提高，董事会承担的监督职责压力也越来越大。对于无法有效控制运营风险敞口的企业，投资者的投资意愿也会下降。事实上，环境、社会和治理（ESG）绩效不佳或曾发生过ESG事故的企业往往为了节省短期成本而牺牲其长期价值²，而投资者希望企业不仅能创造自身价值，还能保护其价值。

我们对四个国家的四个不同行业发生的12起重大安全事故进行了分析，发现在事故发生后的几个月内，涉事企业的价值大幅下降（图2）。除直接损失外，此类事故通常还会导致利益相关者信心下降、涉事企业股价下跌、品牌资产下降等问题，而且还会影响公司招聘、员工士气和留存率以及企业整体形象。

图2：重大过程安全事故对股价的影响

我们发现，在英国石油公司德州炼油厂爆炸事故（2005年）、深水地平线马孔多油井井喷事故（2010年）和巴西布鲁马迪尼奥尾矿坝溃坝事故（2019年）等灾难性事故发生后，董事会对提高风险敞口透明度的呼声越来越高。但我们也发现，工业企业的董事会成员和高管对其运营风险管理计划的透明度和充分性越来越表示担忧，即使他们已经明确识别了其核心业务的固有风险。

企业并购、投资组合重组、大型资本项目落地、能源转型和员工队伍变化等动态因素不断影响着企业的风险状况。同时新兴运营风险不断涌现，而现有风险也越来越严重。

新兴运营风险

长期以来，各行各业都存在着运营风险。如今，在重点内外部因素的推动下，新兴运营风险达到了前所未有的水平。

气候物理风险

由于极端降雨、洪水或干旱等气候风险的不断增加，巴西、秘鲁、南非、中国和澳大利亚等地多个矿业项目的运营遭到严重干扰，从而影响了关键矿物的生产。预计在未来十年内情况还会进一步恶化。

C电池起火

电气电子废物的指数级增长和再利用导致锂离子（Li-ion）电池火灾激增。根据美国国家废物回收协会和Resource Recycling Systems的一项联合研究，在过去五年内，由于锂离子电池起火导致灾难性损失的概率上升了41%³。

网络安全

网络安全风险一直呈上升趋势。在极端情况下，该风险对企业造成的直接损失金额可高达25亿美元⁴。

网络安全

随着极端直接损失规模的不断扩大（最高达25亿美元），网络安全风险持续攀升，对企业造成重大影响。

在这种背景下，董事会花费多少时间探讨运营风险和变化的风险状况？他们是否能够获得确切的信息和数据？

运营风险监督：实际挑战

我们总结了董事会在运营风险监督方面必须攻克的四大挑战。

挑战 1:

运营风险在董事会层面的透明度不足

挑战 2:

未能明确传达业务风险的影响

挑战 3:

董事会对运营风险保障流程缺乏信心

挑战 4:

专业知识和衡量标准不足

未来展望

为应对这四大挑战，全体员工（从领导层到一线员工）必须齐心协力，在整个公司内建立一个强大的运营风险文化，建立有效的沟通机制，并开展公开透明、具有建设性的对话。

全面落实运营风险文化建设并非易事。早期的企业风险管理计划未能实现其预期价值，反而导致风险治理结构过于复杂、报告流程缺乏灵活性。

董事会必须重点关注如何在企业内部有效实施“三线模型”，同时在绩效、速度/灵活性和风险控制之间取得适当平衡，从而显著改善企业的价值创造和维护能力。

建议：如何激发董事会的主动性

建议 1:

对运营风险与财务、法律风险给予同等重视

建议 2:

推动保障流程的逐步变革

建议 3:

助力管理层建立风险意识和风险防范文化

创造和保护价值

董事会往往难以充分履行其运营风险监督职责，因此当突发事件发生并造成重大损失时，他们往往感到措手不及。高级管理层和董事会收到的运营风险报告往往缺乏透明度且质量参差不齐，导致利益相关者对关键风险敞口存在盲点。更糟糕的是，作为第三道防线的内部审计部门往往能力不足且缺乏足够的信息，无法充分审查和评估运营风险敞口情况，也无法确定适当的风险管理计划是否落实到位。

风险无处不在，企业必须同时采用自上而下和自下而上的方法解决风险问题。董事会应主动听取各方意见、学习风险管理方法，并引领公司创造和保护价值。虽然运营风险讨论可能涉及棘手问题，但董事会有责任提出正确的问题、深入探究问题，并确保风险得到良好控制。同时，高级管理层应与董事会建立可信赖的合作关系，以便利用集体经验，更有效地处理运营风险管理问题，并找出真正潜在的严重安全漏洞。

¹ https://www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-english.pdf
² Principles of Responsible Investment, ESG incidents and shareholder value, Simon Glossner, 25 June, 2021
³ https://wasterecycling.org/press_releases/nwra-and-rrs-release-report-on-threat-of-lithium-batteries-to-waste-and-recycling-infrastructure/
⁴ International Monetary Fund, Global Financial Stability Report, April 2024.