建立在平衡计分卡和COSO企业风险管理框架相关概念基础上的社交媒体风险框架,可帮助企业权衡相关风险并制定相应的战略。
社交媒体正迅速改变企业风险管理方式、控制措施及相关政策。例如,根据《华盛顿邮报》的报道(wapo.st/36iD5tE),美国费雪玩具公司和美国童子军协会近期仅因通过少数社交媒体平台发布产品召回信息而受到谴责。2017年,香港一个“山寨”麦当劳推特账户以陷入困境的员工口吻发布信息,而被黑客入侵的美国麦当劳推特账户则发布了政治攻击言论。
普华永道2020年发布的一份报告(pwc.to/2SNuffz)显示,社交媒体风险是首席执行官(CEO)最为关注的问题。鉴于董事会对社交媒体风险管理的关注,首席财务官(CFO)、首席信息官(CIO)及首席内部审计官有必要通过有效的内部控制政策和事件响应机制做出充分回应。主要的社交媒体风险通常源于对虚假信息、隐私恐吓威胁以及勒索导致业务中断等情况反应过慢,致使品牌和声誉受损。因这些攻击所造成的收入下滑、直接成本及资本市场损失等可能也颇为惨重。
可通过两个对照案例说明管理这类风险的重要性:大众汽车对社交媒体曝光其排放系统问题反应迟缓,导致这一问题升级,并最终给该公司造成逾350亿美元的损失,其中资本市场价值下降了25%。与之相反的是,三星迅速在社交媒体上回应了其手机电池问题,有效缓解了客户和资本市场的反应。不到一年,三星便恢复过来,其资本市场价值上涨了500亿美元。
在社交媒体风险管理方面,最有效的内部控制措施包括四个方面:(1)招聘、培养和聘请具备前沿社会技术的专家;(2)制定社交媒体行为准则,明确界定个人及组织社交媒体渠道上禁止或允许出现的组织相关话题与行为、何时需要特定授权、何时以及如何报告相关事件;(3)开发与维护事件检测信息系统资源;(4)在整个组织内开展培训,确保所有员工明确其职责。
受以下三个重要方面的影响,识别社交媒体风险并制定适当的控制措施并非易事:社交媒体可与更广泛的人群进行沟通,人群可利用社交媒体发表不当评论,社交媒体可快速并急剧扩大公众的反感度。如果某个贴子因不当原因在网络上“走红”,利益相关者的评论以及对声誉的损害可能会很快失控。(见“声誉受损实例”部分列举的两个社交媒体使用不当的案例)这些例子突显出社交媒体治理的核心战略问题──如何使用社交媒体、如何使其与企业形象及故事相一致。在这样一个新环境中,企业很快发现使用社交媒体是对其风险管理活动的巨大挑战。
传统风险管理框架侧重于内部因素,且通常关注于财务报表方面的风险。例如,美国反虚假财务报告委员会下属发起人委员会(COSO)发布的《内部控制—整合框架》,通过确定组织上的与控制系统上的层级,来解决财务报告和资产保护方面的问题。《企业风险管理—整合框架》(COSO ERM Framework)建立在COSO最初针对财务报表发布的框架之上。这些风险管理框架并不针对社交媒体风险,因为社交媒体既涉及企业内部沟通,也包括与外部股东的互动。
为解决这一双重性问题,我们开发了“社交媒体战略和风险管理整合框架”(以下简称“整合框架”。详见“Social Technology: An Integrated Strategy and Risk Management Framework”一文,Journal of Information Systems,2019夏季刊,129-153页),其通过将社交媒体的作用纳入传统风险管理框架,突出了社交媒体的范围。因此,如果没有战略性社交媒体管理这部分内容,组织的风险管理工作可能会以失败告终。我们会重点阐述运用社交媒体所带来的挑战,并提出一个框架,鼓励企业从广泛的风险角度对社交媒体进行评估和考量。
超越传统风险管理
为应对社交媒体风险,我们考虑同时使用COSO企业风险管理框架及罗伯特·S·卡普兰和大卫·P·诺顿共同开发的平衡计分卡。平衡计分卡传统上被视为一项战略协同工具,但我们运用其学习与成长、内部流程、客户和财务四个维度作为考量企业风险管理中社交媒体风险的基础。这四个维度提供了一个明确考虑社交媒体风险的内部与外部因素的框架。
整合框架建议将社交媒体风险管理分为两个阶段:战略选择和风险评估阶段,以及战略执行和风险管理阶段(见图1)。这两个阶段结合了平衡计分卡的战略内容及COSO企业风险管理框架的风险管理视角,旨在提供一个社交媒体解决方案的选择、制定和实施框架。在第一阶段“战略选择和风险评估”中,企业将围绕平衡计分卡的四个维度,考虑不同的社交媒体战略以及相关的内部或外部风险。
第一阶段工作结束并选定战略后,企业进入第二阶段“战略执行和风险管理”,实施选定的社交媒体战略,并评估其对风险管理的影响。在第二阶段中,企业从平衡计分卡的四个维度展开,首先是学习与成长维度。其次是内部流程维度,企业根据COSO框架来应对风险管理的五个方面:选定的社交媒体战略如何影响公司的治理与文化风险、战略与目标设定风险、绩效与实施风险、审查与修订风险以及信息、沟通与报告风险?根据这一分析,企业制定社交媒体控制措施,包括解决相关数据治理问题的措施。然后,企业考量所选社交媒体战略如何影响客户增长及客户满意度指标,最后是考虑其对利润和收入指标的影响。
为验证该框架的有效性,我们对若干专业组织的代表进行了实地访谈。这些代表负责社交媒体战略的选定、实施以及监测外部因素(如客户评价、分析师的担忧等)对企业品牌与声誉的影响。
从战略开始
整合框架从第一阶段中所提到的平衡计分卡的四个维度开始。实地访谈受访者表示,社交媒体战略并非单纯的风险管理或单纯的战略。事实上,内部自反性会影响社交媒体方面的考虑。受访者的社交媒体项目通常从第一阶段中强调的更广泛的战略维度开始,他们会从特定战略角度来评估社交媒体,选择的维度根据战略目的不同而不同。举例来说,一家企业选择领英作为员工招聘工具,而另一家企业使用Yelp来监测产品满意度。在使用社交媒体时,企业并非将社交媒体视为解决所有战略问题与挑战的灵丹妙药,而是有一个具体的战略目标。
总体而言,平衡计分卡的四个战略维度反映了外部焦点(财务与客户维度)、内部焦点(内部流程设计与改善维度)以及包含内外部因素的混合焦点(在人力资源、信息和IT方面的学习与成长投资)。这些维度可为COSO企业风险管理模型所建议考量的风险因素提供参考(即考虑这些风险:治理与文化;战略与目标设定;绩效与实施;审查与修订;以及信息、沟通和报告)。
社交媒体风险管理受企业最初的战略起点驱动,而不是考虑与所有可能的战略结果相关的风险。企业在实施社交媒体项目时,可能会强调不同的战略领域。例如,企业可能选择使用某个社交媒体渠道来招聘员工(如领英),以获得新的商业智能、能力和才能,因此会采用学习与成长维度。同一家企业可能会选择使用不同的社交媒体渠道(如推特)来传递财务信息,这就采用了财务维度。
此外,在这个初始阶段,企业需要关注社交媒体风险。第一阶段将COSO企业风险管理框架中的风险与战略起点相结合,强调了战略和风险的双重要求如何影响社交媒体的选择。一旦企业确定其战略性社交媒体需求,那么在社交媒体战略实施前,风险就已经确定了。
执行规划
在其社交媒体战略获得批准后,受访者进入到整合框架的第二阶段——战略执行规划。此阶段使用更传统的方法,即以平衡计分卡的四个维度来指导社交媒体战略规划与风险管理。
受访者要考虑从何种维度评价社交媒体项目以及如何制定评价指标。这可通过图1中箭头方向来展示,箭头从第一阶段的单个战略关注点伸展到第二阶段的学习与成长维度。受访者表示在考虑社交媒体的使用如何影响内部流程(如风险管理和内部控制)之前,他们强调达成学习与成长的目的、评价指标、目标和方案。
实施社交媒体战略时,企业首先从学习与成长维度出发,在IT方面进行投资,提高员工的社会技术技能。然后分析这些投资会如何改变内部流程,再确定目的和指标,以评估社交媒体投资对外部维度的影响,特别是客户增长与客户满意度以及收入和利润的增长。
框架实施案例
为说明整合框架的运用,我们展示了三个短案例。这些案例说明和强调了整合框架实施两步法带来的益处、实施企业可能预见的问题以及最可能出现的结果。
使用领英拓宽招聘渠道
假设一家企业正考虑通过领英来扩增其招聘选择。尽管可以设定领英的招聘范围以及相关条件,但仍存在很多风险,潜在问题包括个人资料上的误导性信息或者未能审查应聘者的在线活动。企业在选择社交媒体战略前,需要考虑自己的社交媒体能力——这些能力是否需要升级以及升级的潜在成本。
企业是否具备必要的内部资源(属于平衡计分卡的学习与成长维度),对于成功运用确定的社交媒体并通过其开展招聘活动至关重要。评估企业这一战略需要用到的指标包括:
■社交媒体上发布的某个招聘广告的点击量、转发量或者评论数(技术传递工作机会的有效性);
■每个招聘广告收到的评论的性质(对工作和组织看法的定性参考);
■通过社交媒体接收的应聘者数量(将社交媒体作为候选人才库);
■面试者占应聘者的比重(初步合适的应聘者);
■通过社交媒体招聘入职的新员工数(社交媒体招聘的有效性);
■将员工入职后绩效与通过社交媒体展示的技能进行对比(员工对内部成长与学习的贡献)。
这些指标将初始的学习与成长战略映射到随后的社交媒体内部流程,并将组织想做的事情和实际做的事情链接起来,同时通过指标追踪绩效。后续的其他维度也可能用来评价社交媒体招聘成功与否,例如,客户维度有提升吗(如,企业进入某个新的市场领域的行动是否引起了市场注意)?财务绩效有否因社交媒体招聘得到改善?
组织还必须考虑IT治理风险。外部恶意行为者可以在领英上模仿该组织并窃取应聘者数据,而有着足够权限的内部人员可以使用领英表达不满或以其他方式损害企业声誉。企业必须考虑额外的监管投资所产生的影响。
使用Yelp监测客户满意度
如果企业考虑使用Yelp来监测客户满意度,首先应根据整体框架第一阶段中的客户维度,对拟实施的战略进行评估。公开分享客户满意度方面的故事可以扩大公司客户群,但客户不满意度方面的故事会起到相反的效果。设定社交媒体战略后,企业会出现在Yelp上,并要明确需对风险管理流程进行哪些更改。这始于学习与成长(内部焦点)维度。企业在确定学习与成长指标后,就会审查Yelp评分和评论对风险管理的影响,并从内部流程维度制定适当的内控措施。企业还需确定客户增长和客户满意度指标,以及Yelp评分和评论最终对企业收入与利润的财务影响。
使用博客分享最佳实践
假设某企业的会计人员正在评估是否创建一个内部博客,来与世界各地的会计人员分享最佳实践,以提高报告的质量和及时性。会计人员会计算与这一战略相关风险的预期总成本,如因分享最佳实践而导致竞争优势丧失,以及从治理到监督活动所导致的其他风险。他们要将成本与预期收益进行对比,预期收益包括增进专业知识、减少报告编制时间以及更高的员工满意度。
如果收益大于成本,企业将按照传统的平衡计分卡流程来实施这一战略。首先,考虑是否需要聘用专家、第三方或培养员工的社交媒体专业知识(学习与成长维度);接下来,企业会评估纳入这些专业知识(内部流程维度)是否会影响财务报告流程,以便向满意度更高的报告接收者提供更好的信息(客户维度,因为管理人员是会计部门的“客户”)以及为企业提供更高质量的报告(财务维度)。
社交媒体管理
整体框架强调了社交媒体如何改变企业的风险管理战略。社交媒体的使用大大增加了企业可能面临的外部威胁,而这些威胁会对企业经营与利润造成负面影响。企业一向能够监控内部沟通并实施一定程度的控制,但是社交媒体需要企业关注外部言论。
讨论社交媒体风险管理时,我们研究的参与者强调了要对外部威胁做出反应,这凸显了这样一个事实:组织无论如何精心设计其内部流程和内部控制,也无法阻止负面推文或帖子所造成伤害。社交媒体改变了内部控制的实施方式,企业需要监控外部对话并作出回应,这是企业社交媒体控制方式的一个关键点。
整体框架可从以下三方面帮助管理人员应对社交媒体风险管理挑战:
1.对于任何既定方案,社交媒体风险管理都是由平衡计分卡四个维度中的单个战略起点驱动的。
2.社交媒体战略实施通常从学习与成长维度的IT方面的投资开始。
3.回应外部对话是企业进行社交媒体内部控制的关键和新元素。
社交媒体改变了企业与利益相关者沟通的方式。使用社交媒体能带来战略利益,但企业必须对影响重大的薄弱环节进行管理。社交媒体模糊了传统内部控制和风险的内/外部界限。为尽可能提升组织价值、改善利益相关者关系,社交媒体战略和特别制定的风险管理须协调一致。欢迎读者对我们的社交媒体战略和风险管理整合框架提出意见和建议。
(以上信息来自CMA官微)
CMA学习咨询电话:0532-88889889 15908998386
地址:青岛市崂山区香港东路23号D217现代职业发展研究院CMA研究中心
