某家銀行正在進行數字化轉型項目,其早期階段進展順利。他們已成功地將其開發團隊轉變為敏捷團隊,而且主管們對由此帶來的速度和工作效率提升感到很興奮。但在幾周內,領導層發現軟件開發人員一直在走一條工作流程捷徑,導致客戶的用戶名和密碼容易遭到黑客攻擊。之后其轉型團隊解決了這一問題,但隨后該銀行遭遇了另一種黑客攻擊,使其客戶數據的安全性遭到破壞。在發現錯誤之前,某些應用程序已經運行了數周,因為在部署之前沒有設置適當的監控措施來識別安全問題。這意味著該銀行不知道誰可能訪問了這些敏感的客戶數據,也不知道這些數據可能泄露的程度和范圍有多大。這一問題非常嚴重,以至于使整個轉型工作都處于危險之中。其首席執行官威脅說,如果他們無法提高應用程序開發的安全性,則將結束該轉型項目,并將開發團隊恢復為瀑布開發方式。
該銀行的經歷并不罕見。各個行業的公司都在開啟數字化和分析轉型項目,以使各項服務和流程數字化,通過敏捷方式和自動化提高效率,提高客戶參與度,并使用新的分析工具。然而,大多數這些轉型項目都沒有采取任何正規的方法來識別和管理相關風險。許多項目在新流程中設置了很少的管控措施,變更計劃不夠完善(或根本沒有),并且常常缺乏來自安全、隱私、風險和法律團隊的參與設計。因此,各個公司在網絡安全、技術債務、先進分析技術和運營彈性等方面就產生了隱藏的非財務風險。新冠疫情及其管控措施只會加劇這一問題,迫使各個組織快速進行創新,以滿足居家辦公和其他數字化需求。
最近,麥肯錫公司對來自全球各行業的100位企業數字化和分析轉型項目負責人進行了調查,以更好地了解這一問題的范圍。盡管數字化和先進分析技術的好處已顯而易見,但常常仍隱藏著風險。從麥肯錫公司的調查和隨后的訪談中,發現了一些重要的結果:
1.目前,各個行業的組織都在廣泛開展數字化和分析轉型項目。
2.風險管理還沒有跟上數字化和分析轉型項目的發展步伐,這一差距正在拉開,而這一差距只有通過大規模的創新才能得以彌合。
3.新冠疫情環境加劇了風險管理需求與現有能力之間的不均衡。
4.大多數公司都不確定如何來管理數字化風險。然而,領先的組織機構已經設立了組織責任制,并實行了一系列有效的做法。
麥肯錫公司已經想出了解決這些調查結果中所隱含難題的方法。其中包括一個新的四步框架,用于定義、實施、嵌入和加強解決方案;一些輔助方法可以加快一線團隊實現其風險管理的有效性和效率;以及一個基于云計算的診斷評估和跟蹤工具。該工具旨在幫助公司在企業和產品層面更好地識別、評估、降低和衡量由數字化和分析轉型項目所產生和加劇的非財務風險。
幸運的是,利用這些方法,大多數公司不必從頭開始。他們可以使用其現有的企業風險管理(ERM)基礎架構。該架構通常用于應對財務和監管風險,但也可通過改造變得更加敏捷和更具適應性,以滿足數字化和分析轉型項目的風險管理需求。
數字化和分析轉型項目的優勢是真實存在的,但風險也同樣存在。
通過了解麥肯錫經過研究所獲得的見解和采用此處所述的方法,企業可以實現數字化和分析轉型項目的價值,同時還可以保護其組織和客戶。最終,企業可以激發出更富于成效的團隊關系,并通過長期保留其轉型工作的影響,為公司創造可持續的競爭優勢。
一系列新的(和代價高昂的)風險
大多數公司似乎對數字化和分析轉型項目所產生和加劇的非財務風險幾乎無所作為。這些風險的范圍很廣。數字化和分析轉型項目通常部署在整個組織范圍內,涉及許多部門和第三方。諸如技能、思維方式和工作方式等軟性因素,以及諸如技術、基礎架構和數據流等硬性因素,都將在這一轉型過程中立即發生改變。
一些傳統風險在大多數項目中更為常見,包括那些由預算和進度超出、人才(員工和第三方,包括承包商、供應商和合作伙伴)、IT績效以及合規性和法規問題引起的風險。然而,數字化和分析轉型項目還帶來了新的網絡風險、數據風險以及人工智能(AI)應用帶來的風險。數字化和分析項目需要從更廣泛的來源收集更詳細的數據。然后,這些數據會被用于組織內的不同部門以產生見解。這些移動的數據會在數據可用性、位置、訪問和隱私方面產生固有的風險。運營彈性的風險來源包括新的IT服務和向云端的遷移。預測性分析模型可能會偏離或脫離該項目的最初側重點,使組織機構面臨法律責任或信譽風險。如果處理不當,此類風險可能導致犯下代價高昂的錯誤,遭到監管處罰和消費者強烈抵制。
由新冠病毒危機引起的業務中斷使這些額外的風險更加復雜。從某種意義上說,這次新冠疫情引發了歷史上最大規模的數字化和分析轉型浪潮,將原本需要數年才能完成的轉型項目壓縮到數月之內(甚至數周內),而且往往沒有事先規劃。在新冠疫情發生之前,大多數組織機構都有一些安全策略和培訓。然而,很少有組織就如何安全地設置遠程辦公環境,或如何解決與快速獲取和部署新工具相關的其他風險制定詳細的策略或進行培訓。
例如,某家石油和天然氣公司必須劃分其虛擬專用網絡以擴展帶寬,這樣所有員工都可以在家中訪問公司網絡。這導致在員工筆記本電腦上安裝補丁程序的速度減慢,從而使公司暴露出一些攻擊者常常利用的漏洞。
某家電信公司讓其呼叫中心員工在家辦公,但具體政策由團隊經理制定。其結果是30%的員工被允許使用不安全的個人設備進行遠程連接,從而使公司暴露在“自帶設備”攻擊的風險之中。同樣,某家銀行發現,員工在其家用打印機上打印文檔,而且通過不安全的家用路由器傳輸公司數據,而眾所周知的是,這很容易遭到黑客的攻擊。另一家公司對員工使用“智能家居”語音識別設備表示擔憂,因為這些設備可以在高管的家庭辦公室中對視頻通話的內容進行錄音。
人工智能還有望重新定義企業的運營方式,并已經在一系列重要職能部門中釋放出數據的力量。但人工智能的合規性和信譽風險對傳統的風險管理職能部門仍是一個挑戰。
我們現在工作方式的迅速變化已引起了各種擔憂。當前的風險管理能力還不足以解決這些擔憂,因為這些都是新出現的風險,而且呈指數級增長。這就需要一種新的風險管理方法。
數字化和分析轉型項目風險管理簡述
“麥肯錫全球調查”的結果讓我們對數字化和分析轉型項目所面臨的風險以及企業如何管理這些風險有了一個全面的了解。從參與轉型項目的人員中可以發現幾個要點。
轉型項目在各個行業變得司空見慣
受訪者在過去三年中平均完成了六個轉型項目,并設定了一系列目標。超過80%的公司至少實施了一次端到端的客戶旅程轉型項目,而70%的公司開發了新的數字化主張和生態系統。組織機構也在調整其運營模式以支持這些變化。大約80%的公司打算在未來三年內讓多達30個團隊采用敏捷工作方式;其余20%的公司正在將30多個團隊轉變為敏捷團隊。當然,這意味著麥肯錫所調查的所有100家公司都打算在未來幾年內采用或擴大規模采用敏捷工作方式。如果做得好,這對于風險管理人員來說是一個好消息,因為在管理良好的敏捷團隊中,存在其固有的風險緩解結構和早期發現和補救缺陷的文化。
風險管理工作沒有跟上發展速度
企業的風險管理能力落后于其轉型工作。與更新其風險框架以應對新的和更嚴重的風險相比,組織機構開展轉型項目的頻率要高得多,而風險和法律專業人員經常各自單獨工作。因此,風險基礎架構無法跟上創新的步伐。總體而言,大多數受訪者評估自己組織的風險管理成熟度為一般,但超過75%的組織尚未對其開展的一半的數字化和分析轉型項目進行正式的、全面的風險評估。令人驚訝的是,有14%的公司從未正式評估過這些項目的風險——這對老牌公司來說是一個很大的疏忽。
企業不清楚如何管理數字化風險
與財務風險管理不同,在財務風險管理中,企業往往會設置明確的角色和流程(例如模型風險管理),而我們所調查的公司都沒有設立明確的角色、流程,甚至對數字化和分析項目風險要素沒有統一的理解。主管們表示,他們在管理數字化和分析項目風險時面臨的最大挑戰就是識別風險。這一挑戰印證了一句格言:“您無法管理那些自己無法衡量的東西。”
值得注意的是,該調查結果顯示,IT支出額度與數字化和分析轉型項目的總體風險管理成熟度之間幾乎沒有關系。簡而言之,預算規模并不能解決這些挑戰。
角色和責任不夠明確
在哪個部門應負責應對數字化和分析轉型項目風險上,受訪者幾乎沒有形成一致的看法。對于幾乎所有受訪者來說,首席信息官或首席數據官都在負責領導數字化和分析轉型工作;然而,受訪者在誰來負責識別和降低相關風險上并沒有形成一致的看法。對于超過40%的受訪者而言,這一任務落在了負責數字化和分析轉型工作領導身上。不幸的是,這些人常常對內在的風險因素缺乏詳細的了解,但卻獲得激勵去“完成轉型工作”。即使對于那些真正關注風險管理的人而言,責任也被認為是次要的,而完成項目才是更重要的。
領先企業會運用一系列有效的實踐和工具來管理風險
在麥肯錫的調查中,具有最高風險管理成熟度的公司可以更輕松地管理數字化和分析轉型項目。這些公司更有可能使其風險管理職能集中化或自動化,并且它們會使用一系列實踐和工具進行匯報,以識別和降低其數字化和分析轉型項目中的風險。
以下是主管們提到的最重要方法:
• 重新設計流程并對員工重新培訓。在不同行業和地區的受訪者中,分別有74%和69%的人提到了這些做法,使其成為管理數字化和分析轉型項目中最受歡迎的方法。這些做法對于敏捷工作方式尤其重要。如果實施得當的話,這些方法對于使用敏捷方式來降低技術風險是至關重要的。敏捷方式可以讓企業自動組建團隊,或者以更少的精力部署新工具,并且可以及早發現和補救其企業文化中固有的缺陷。
• 正式的風險評估。企業沒有進行這些必要的大范圍評估工作;但進行此類評估工作的公司表示,他們對數字化和分析轉型項目所面臨風險的認識增加了75%。正式的風險評估還與更高的風險管理水平和更高的風險管理成熟度相關。
• 自動反饋循環。擁有風險管理能力的公司其風險成熟度得分比平均水平高出30%以上。
• 集中化。風險管理得分最高的公司更有可能通過一個單一的、集中的來源而非多個來源跟蹤數字化和分析項目的風險。
管理數字化和分析轉型項目風險方面的痛點
受訪者還描述了他們在識別和降低風險方面的最大痛點。
認識風險
48%的受訪者表示,他們最關注的問題是了解與數字化和分析轉型項目相關的風險。許多負責轉型項目的主管基本上都是很盲目的:風險歸屬權都不明確,對復雜和不斷變化的技術和監管環境沒有進行很好的理解,設計和測試計劃在工作流程中并沒有盡早考慮風險。與金融風險不同,非金融風險很難進行基準測試,也沒有統一標準來管理風險。
快速管理變更
數字化和分析轉型項目常常通過敏捷和其他方式快速交付。如果傳統的風險管理實踐沒有隨著新的工作方式而進行轉變,那么這些實踐可能會帶來延誤,威脅到雄心勃勃的工作時間表。在某些情況下,由于存在不可預見的相互依賴性,即使遵循一些新策略也會產生問題。例如,某家北美分銷商啟動了一個分析轉型項目,并在該項目的實施階段還制定了新的信息安全策略。突然,所有轉型項目的相關工作都要服從于該新策略,這意味著必須每天記錄數據,將其保存在云端,而且要在30天后刪除。由于數據處理流程發生這些變化,使該轉型項目推遲了四個星期,導致超過2000萬美元的損失,這是與新的數字化工作方式直接相關的財務風險。應設計、實施和支持風險管理工作,以使風險管理工作與數字化和分析轉型項目團隊的工作進度保持同步,并應避免這些和其他類似風險。
利用資源
近三分之一的受訪者指出,在優先考慮風險識別和管理工作方面,缺乏來自高管或其他利益相關者的鼓勵或支持。創造短期收益比管理內在風險更重要。當然,后者對于維持長期價值至關重要。超過一半的受訪者在利用所需的人才和能力來改進風險管理工作時面臨資源限制。企業在部署適合的工具和流程方面也很艱難。例如,一些組織機構仍使用電子表格來手動管理數字化和分析轉型項目風險。即使是那些使用更高級工具的組織機構也無法在整個組織范圍內都保持使用同樣的工具。
克服運營方面的限制
在數字化和分析轉型項目中,整個組織必須進行培訓,以使用新的方式(例如敏捷方式)開展工作,并對降低新風險保持警惕。數字化和分析轉型項目的一個常見的目標是更好地為終端用戶提供服務,他們通常是風險管理鏈中最薄弱的一環。低風險意識可能使企業面臨與新的數字化和分析工具及流程相關的重大風險。一線用戶的失誤甚至可能帶來風險,例如,錯誤地授予了訪問權限。
IT基礎架構也可能成為運營工作受到限制的來源。數字化和分析轉型項目會部署新系統和關閉遺留系統,但組織機構有時缺乏足夠的培訓和經驗來管理新系統的補丁程序和漏洞。遺留系統(如果未正確停用)還可能會留下漏洞,惡意攻擊者以后可能會利用這些漏洞。例如,某家公司出于科研目的在數據中心中部署了一種硬件,但在常規的補丁周期中沒有為該設備安裝補丁程序。在該設備上的漏洞被攻擊者利用后,惡意軟件蔓延到整個數據中心,導致數據丟失,系統無法使用。云遷移可以降低甚至消除許多這類風險,但前提是正確地進行云遷移,而且將安全性作為其核心工作的一部分。
數字化和分析轉型項目的框架
數字化和分析轉型項目帶來的風險可能不同于公司通常所面臨的風險,或者說這些風險可能是高頻率發生和存在重大影響的傳統風險。幸運的是,大多數公司已經具備避免這些風險的基礎:他們現有的企業風險管理基礎架構已用于應對財務和監管風險。企業風險管理通常包括幾項常見的工作:
• 制定一個成熟的企業風險框架
• 通過分類法、風險偏好、報告和關鍵風險指標來建立一個有效的風險管理策略
• 建立有風險意識的組織和運營模式(包括相關的三道防線),并整合所需的資源和人才
• 建立風險管理流程
• 創建風險文化
這些工作對于數字化和分析轉型項目至關重要。然而,這些工作必須與數字化和分析團隊一起進行變革。這是因為風險管理工作必須與快速變化的數字化風險環境保持同步,以持續降低風險,同時又不能減緩業務發展速度。我們的框架可使組織機構更輕松地做到這一點。該框架由四個步驟組成,這些步驟可定義、實施、嵌入和加強轉型項目的各個要素。該框架可促進建立一種動態方法,有助于使現有的企業風險管理(ERM)基礎架構適應不斷增加的風險緩解信息和操作。在該框架內,組織機構可設計轉型項目的各項工作和進行適當的干預。隨著工作方式、風險偏好、風險暴露和人才需求的變化,該框架也會不斷更新。
• 定義:第一步,組織機構將其現有風險管理框架(以解決諸如金融和監管風險等傳統風險)中特定技術元素應用到轉型項目環境中。沒有企業風險管理框架的組織將需要從該框架著手,理想情況下,創建一個具體的轉型框架來解決數字化和分析項目風險。其目的是通過具有清晰的分類法、明確的風險負責人、可用的控制措施和資源以及該項目的管理結構的相關風險矩陣來闡明風險和提出可能的解決方案。
• 實施:第二步,轉型項目負責人要與風險領域專家或風險卓越中心合作,將風險管理的研究假設轉化為解決方案。具體工作可能包括采用軟件和數據控件,驗證算法模型,實施系統和基礎架構的補丁,培訓一線技術人員相關的網絡安全實踐,以及通過缺陷和單元測試來驗證產品的韌性。作為此步驟的組成部分,各團隊還要根據明確定義的指標(例如關鍵風險指標和關鍵績效指標)開始編寫風險報告,這些指標不僅可以嚴格評估風險工作的有效性,還可以嚴格評估風險管理的效率。
• 嵌入:此步驟旨在將風險管理工作(包括測試結果、風險評估、事件報告和績效評估)中獲取的經驗教訓嵌入到現有的管理實施運作模式、流程、治理以及(如果需要的話)組織設計中。在此步驟中,根據這些經驗教訓,將設計出一些新的降低風險的方案。轉型團隊和轉型部門中的一線同事都已接受了有關風險意識、風險識別和降低風險的全面培訓。
• 加強:在該工作周期的最后一步,轉型團隊通過將這些做法固化在人才管理和文化變革中,以加強和擴大緩解風險的這些實踐。他們還會將關鍵的見解、學到的知識和新風險反饋給核心風險管理團隊,以根據需要更新風險基礎架構,同時將外部獲取的信息和反饋信息應用到“定義”步驟中。這會使風險管理、風險緩解和績效與轉型工作保持同步。
框架和轉型角色的好處
該框架使企業能夠系統地管理數字化和分析轉型項目的風險,從而該框架與組織的創新工作保持同步。它會吸收來自一線員工的經驗教訓,以改進概念矩陣,并隨著轉型過程調整風險管理方法。它還會與敏捷工作模式相結合,以實現更好的風險管理,鼓勵協作,并營造更好的風險文化。
通過采用這種方法,企業已經看到了風險緩解的顯著效果和風險管理效率。盡管尚處于早期階段,但該方法有望為風險管理人員和轉型團隊帶來更多好處。
為了給該框架提供支持和將其方法付諸實踐,企業還需要為數字化和分析轉型項目風險來設定一些角色和職責:
• 數字化和分析轉型項目領導:該角色負責提交數字化和分析轉型項目的各項工作。
• 數字化和分析轉型項目風險負責人:該角色負責所有轉型項目的風險。
• 轉型工作團隊:這些團隊通常以敏捷方式工作,并已擁有風險管理工作的相關資源。
• 轉型產品客戶:這些人是轉型后的產品、服務和功能的最終用戶;這些變化可能會影響轉型項目的風險偏好和風險態勢。
• 企業風險管理和控制合作伙伴團隊:轉型項目風險領導要與企業風險管理小組和單個管控合作伙伴小組緊密合作,以確保在企業層面已考慮到這些轉型項目風險,并在轉型層面上也考慮了企業的風險。
• 轉型風險經理:風險經理專門負責變革風險以及數字化和分析轉型項目中產生的風險。他會與一線轉型團隊密切合作,并在轉型項目的早期規劃階段參與設計風險控制措施。
• 轉型項目發起人:總體轉型項目的發起人應在整個變革過程中參與其中。
在大多數情況下,設立這些角色不需要增加人員。企業發現現有團隊成員已準備好并希望承擔這些職責。這些人員可能需要一些培訓才能完全發揮作用,但通常大多數團隊成員都有積極性接受此類培訓,因為他們清楚在轉型工作中所產生或加劇的風險。
最后,企業必須提高組織內部對數字化和分析項目風險的意識,包括在高管團隊和董事會中。同樣,企業必須將數字化和分析項目風險管理充分納入其正式的風險管理模式中。
在如今的商業環境中,數字化和分析轉型項目是企業成功的核心。然而,如果在沒有采用正確的風險管理方法的情況下開展轉型項目,則企業只會是解決一系列問題后,可能又面臨一系列更大的問題。隨著數字化和分析功能變得日益普及,那些可以從其數字化和分析轉型項目中獲得最長期價值的公司能夠實現其目標,而且還能夠系統地識別、理解和降低相關風險。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號