某家銀行正在進(jìn)行數(shù)字化轉(zhuǎn)型項(xiàng)目,其早期階段進(jìn)展順利。他們已成功地將其開(kāi)發(fā)團(tuán)隊(duì)轉(zhuǎn)變?yōu)槊艚輬F(tuán)隊(duì),而且主管們對(duì)由此帶來(lái)的速度和工作效率提升感到很興奮。但在幾周內(nèi),領(lǐng)導(dǎo)層發(fā)現(xiàn)軟件開(kāi)發(fā)人員一直在走一條工作流程捷徑,導(dǎo)致客戶的用戶名和密碼容易遭到黑客攻擊。之后其轉(zhuǎn)型團(tuán)隊(duì)解決了這一問(wèn)題,但隨后該銀行遭遇了另一種黑客攻擊,使其客戶數(shù)據(jù)的安全性遭到破壞。在發(fā)現(xiàn)錯(cuò)誤之前,某些應(yīng)用程序已經(jīng)運(yùn)行了數(shù)周,因?yàn)樵诓渴鹬皼](méi)有設(shè)置適當(dāng)?shù)谋O(jiān)控措施來(lái)識(shí)別安全問(wèn)題。這意味著該銀行不知道誰(shuí)可能訪問(wèn)了這些敏感的客戶數(shù)據(jù),也不知道這些數(shù)據(jù)可能泄露的程度和范圍有多大。這一問(wèn)題非常嚴(yán)重,以至于使整個(gè)轉(zhuǎn)型工作都處于危險(xiǎn)之中。其首席執(zhí)行官威脅說(shuō),如果他們無(wú)法提高應(yīng)用程序開(kāi)發(fā)的安全性,則將結(jié)束該轉(zhuǎn)型項(xiàng)目,并將開(kāi)發(fā)團(tuán)隊(duì)恢復(fù)為瀑布開(kāi)發(fā)方式。
該銀行的經(jīng)歷并不罕見(jiàn)。各個(gè)行業(yè)的公司都在開(kāi)啟數(shù)字化和分析轉(zhuǎn)型項(xiàng)目,以使各項(xiàng)服務(wù)和流程數(shù)字化,通過(guò)敏捷方式和自動(dòng)化提高效率,提高客戶參與度,并使用新的分析工具。然而,大多數(shù)這些轉(zhuǎn)型項(xiàng)目都沒(méi)有采取任何正規(guī)的方法來(lái)識(shí)別和管理相關(guān)風(fēng)險(xiǎn)。許多項(xiàng)目在新流程中設(shè)置了很少的管控措施,變更計(jì)劃不夠完善(或根本沒(méi)有),并且常常缺乏來(lái)自安全、隱私、風(fēng)險(xiǎn)和法律團(tuán)隊(duì)的參與設(shè)計(jì)。因此,各個(gè)公司在網(wǎng)絡(luò)安全、技術(shù)債務(wù)、先進(jìn)分析技術(shù)和運(yùn)營(yíng)彈性等方面就產(chǎn)生了隱藏的非財(cái)務(wù)風(fēng)險(xiǎn)。新冠疫情及其管控措施只會(huì)加劇這一問(wèn)題,迫使各個(gè)組織快速進(jìn)行創(chuàng)新,以滿足居家辦公和其他數(shù)字化需求。
最近,麥肯錫公司對(duì)來(lái)自全球各行業(yè)的100位企業(yè)數(shù)字化和分析轉(zhuǎn)型項(xiàng)目負(fù)責(zé)人進(jìn)行了調(diào)查,以更好地了解這一問(wèn)題的范圍。盡管數(shù)字化和先進(jìn)分析技術(shù)的好處已顯而易見(jiàn),但常常仍隱藏著風(fēng)險(xiǎn)。從麥肯錫公司的調(diào)查和隨后的訪談中,發(fā)現(xiàn)了一些重要的結(jié)果:
1.目前,各個(gè)行業(yè)的組織都在廣泛開(kāi)展數(shù)字化和分析轉(zhuǎn)型項(xiàng)目。
2.風(fēng)險(xiǎn)管理還沒(méi)有跟上數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的發(fā)展步伐,這一差距正在拉開(kāi),而這一差距只有通過(guò)大規(guī)模的創(chuàng)新才能得以彌合。
3.新冠疫情環(huán)境加劇了風(fēng)險(xiǎn)管理需求與現(xiàn)有能力之間的不均衡。
4.大多數(shù)公司都不確定如何來(lái)管理數(shù)字化風(fēng)險(xiǎn)。然而,領(lǐng)先的組織機(jī)構(gòu)已經(jīng)設(shè)立了組織責(zé)任制,并實(shí)行了一系列有效的做法。
麥肯錫公司已經(jīng)想出了解決這些調(diào)查結(jié)果中所隱含難題的方法。其中包括一個(gè)新的四步框架,用于定義、實(shí)施、嵌入和加強(qiáng)解決方案;一些輔助方法可以加快一線團(tuán)隊(duì)實(shí)現(xiàn)其風(fēng)險(xiǎn)管理的有效性和效率;以及一個(gè)基于云計(jì)算的診斷評(píng)估和跟蹤工具。該工具旨在幫助公司在企業(yè)和產(chǎn)品層面更好地識(shí)別、評(píng)估、降低和衡量由數(shù)字化和分析轉(zhuǎn)型項(xiàng)目所產(chǎn)生和加劇的非財(cái)務(wù)風(fēng)險(xiǎn)。
幸運(yùn)的是,利用這些方法,大多數(shù)公司不必從頭開(kāi)始。他們可以使用其現(xiàn)有的企業(yè)風(fēng)險(xiǎn)管理(ERM)基礎(chǔ)架構(gòu)。該架構(gòu)通常用于應(yīng)對(duì)財(cái)務(wù)和監(jiān)管風(fēng)險(xiǎn),但也可通過(guò)改造變得更加敏捷和更具適應(yīng)性,以滿足數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的風(fēng)險(xiǎn)管理需求。
數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的優(yōu)勢(shì)是真實(shí)存在的,但風(fēng)險(xiǎn)也同樣存在。
通過(guò)了解麥肯錫經(jīng)過(guò)研究所獲得的見(jiàn)解和采用此處所述的方法,企業(yè)可以實(shí)現(xiàn)數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的價(jià)值,同時(shí)還可以保護(hù)其組織和客戶。最終,企業(yè)可以激發(fā)出更富于成效的團(tuán)隊(duì)關(guān)系,并通過(guò)長(zhǎng)期保留其轉(zhuǎn)型工作的影響,為公司創(chuàng)造可持續(xù)的競(jìng)爭(zhēng)優(yōu)勢(shì)。
一系列新的(和代價(jià)高昂的)風(fēng)險(xiǎn)
大多數(shù)公司似乎對(duì)數(shù)字化和分析轉(zhuǎn)型項(xiàng)目所產(chǎn)生和加劇的非財(cái)務(wù)風(fēng)險(xiǎn)幾乎無(wú)所作為。這些風(fēng)險(xiǎn)的范圍很廣。數(shù)字化和分析轉(zhuǎn)型項(xiàng)目通常部署在整個(gè)組織范圍內(nèi),涉及許多部門(mén)和第三方。諸如技能、思維方式和工作方式等軟性因素,以及諸如技術(shù)、基礎(chǔ)架構(gòu)和數(shù)據(jù)流等硬性因素,都將在這一轉(zhuǎn)型過(guò)程中立即發(fā)生改變。
一些傳統(tǒng)風(fēng)險(xiǎn)在大多數(shù)項(xiàng)目中更為常見(jiàn),包括那些由預(yù)算和進(jìn)度超出、人才(員工和第三方,包括承包商、供應(yīng)商和合作伙伴)、IT績(jī)效以及合規(guī)性和法規(guī)問(wèn)題引起的風(fēng)險(xiǎn)。然而,數(shù)字化和分析轉(zhuǎn)型項(xiàng)目還帶來(lái)了新的網(wǎng)絡(luò)風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)以及人工智能(AI)應(yīng)用帶來(lái)的風(fēng)險(xiǎn)。數(shù)字化和分析項(xiàng)目需要從更廣泛的來(lái)源收集更詳細(xì)的數(shù)據(jù)。然后,這些數(shù)據(jù)會(huì)被用于組織內(nèi)的不同部門(mén)以產(chǎn)生見(jiàn)解。這些移動(dòng)的數(shù)據(jù)會(huì)在數(shù)據(jù)可用性、位置、訪問(wèn)和隱私方面產(chǎn)生固有的風(fēng)險(xiǎn)。運(yùn)營(yíng)彈性的風(fēng)險(xiǎn)來(lái)源包括新的IT服務(wù)和向云端的遷移。預(yù)測(cè)性分析模型可能會(huì)偏離或脫離該項(xiàng)目的最初側(cè)重點(diǎn),使組織機(jī)構(gòu)面臨法律責(zé)任或信譽(yù)風(fēng)險(xiǎn)。如果處理不當(dāng),此類風(fēng)險(xiǎn)可能導(dǎo)致犯下代價(jià)高昂的錯(cuò)誤,遭到監(jiān)管處罰和消費(fèi)者強(qiáng)烈抵制。
由新冠病毒危機(jī)引起的業(yè)務(wù)中斷使這些額外的風(fēng)險(xiǎn)更加復(fù)雜。從某種意義上說(shuō),這次新冠疫情引發(fā)了歷史上最大規(guī)模的數(shù)字化和分析轉(zhuǎn)型浪潮,將原本需要數(shù)年才能完成的轉(zhuǎn)型項(xiàng)目壓縮到數(shù)月之內(nèi)(甚至數(shù)周內(nèi)),而且往往沒(méi)有事先規(guī)劃。在新冠疫情發(fā)生之前,大多數(shù)組織機(jī)構(gòu)都有一些安全策略和培訓(xùn)。然而,很少有組織就如何安全地設(shè)置遠(yuǎn)程辦公環(huán)境,或如何解決與快速獲取和部署新工具相關(guān)的其他風(fēng)險(xiǎn)制定詳細(xì)的策略或進(jìn)行培訓(xùn)。
例如,某家石油和天然氣公司必須劃分其虛擬專用網(wǎng)絡(luò)以擴(kuò)展帶寬,這樣所有員工都可以在家中訪問(wèn)公司網(wǎng)絡(luò)。這導(dǎo)致在員工筆記本電腦上安裝補(bǔ)丁程序的速度減慢,從而使公司暴露出一些攻擊者常常利用的漏洞。
某家電信公司讓其呼叫中心員工在家辦公,但具體政策由團(tuán)隊(duì)經(jīng)理制定。其結(jié)果是30%的員工被允許使用不安全的個(gè)人設(shè)備進(jìn)行遠(yuǎn)程連接,從而使公司暴露在“自帶設(shè)備”攻擊的風(fēng)險(xiǎn)之中。同樣,某家銀行發(fā)現(xiàn),員工在其家用打印機(jī)上打印文檔,而且通過(guò)不安全的家用路由器傳輸公司數(shù)據(jù),而眾所周知的是,這很容易遭到黑客的攻擊。另一家公司對(duì)員工使用“智能家居”語(yǔ)音識(shí)別設(shè)備表示擔(dān)憂,因?yàn)檫@些設(shè)備可以在高管的家庭辦公室中對(duì)視頻通話的內(nèi)容進(jìn)行錄音。
人工智能還有望重新定義企業(yè)的運(yùn)營(yíng)方式,并已經(jīng)在一系列重要職能部門(mén)中釋放出數(shù)據(jù)的力量。但人工智能的合規(guī)性和信譽(yù)風(fēng)險(xiǎn)對(duì)傳統(tǒng)的風(fēng)險(xiǎn)管理職能部門(mén)仍是一個(gè)挑戰(zhàn)。
我們現(xiàn)在工作方式的迅速變化已引起了各種擔(dān)憂。當(dāng)前的風(fēng)險(xiǎn)管理能力還不足以解決這些擔(dān)憂,因?yàn)檫@些都是新出現(xiàn)的風(fēng)險(xiǎn),而且呈指數(shù)級(jí)增長(zhǎng)。這就需要一種新的風(fēng)險(xiǎn)管理方法。
數(shù)字化和分析轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)管理簡(jiǎn)述
“麥肯錫全球調(diào)查”的結(jié)果讓我們對(duì)數(shù)字化和分析轉(zhuǎn)型項(xiàng)目所面臨的風(fēng)險(xiǎn)以及企業(yè)如何管理這些風(fēng)險(xiǎn)有了一個(gè)全面的了解。從參與轉(zhuǎn)型項(xiàng)目的人員中可以發(fā)現(xiàn)幾個(gè)要點(diǎn)。
轉(zhuǎn)型項(xiàng)目在各個(gè)行業(yè)變得司空見(jiàn)慣
受訪者在過(guò)去三年中平均完成了六個(gè)轉(zhuǎn)型項(xiàng)目,并設(shè)定了一系列目標(biāo)。超過(guò)80%的公司至少實(shí)施了一次端到端的客戶旅程轉(zhuǎn)型項(xiàng)目,而70%的公司開(kāi)發(fā)了新的數(shù)字化主張和生態(tài)系統(tǒng)。組織機(jī)構(gòu)也在調(diào)整其運(yùn)營(yíng)模式以支持這些變化。大約80%的公司打算在未來(lái)三年內(nèi)讓多達(dá)30個(gè)團(tuán)隊(duì)采用敏捷工作方式;其余20%的公司正在將30多個(gè)團(tuán)隊(duì)轉(zhuǎn)變?yōu)槊艚輬F(tuán)隊(duì)。當(dāng)然,這意味著麥肯錫所調(diào)查的所有100家公司都打算在未來(lái)幾年內(nèi)采用或擴(kuò)大規(guī)模采用敏捷工作方式。如果做得好,這對(duì)于風(fēng)險(xiǎn)管理人員來(lái)說(shuō)是一個(gè)好消息,因?yàn)樵诠芾砹己玫拿艚輬F(tuán)隊(duì)中,存在其固有的風(fēng)險(xiǎn)緩解結(jié)構(gòu)和早期發(fā)現(xiàn)和補(bǔ)救缺陷的文化。
風(fēng)險(xiǎn)管理工作沒(méi)有跟上發(fā)展速度
企業(yè)的風(fēng)險(xiǎn)管理能力落后于其轉(zhuǎn)型工作。與更新其風(fēng)險(xiǎn)框架以應(yīng)對(duì)新的和更嚴(yán)重的風(fēng)險(xiǎn)相比,組織機(jī)構(gòu)開(kāi)展轉(zhuǎn)型項(xiàng)目的頻率要高得多,而風(fēng)險(xiǎn)和法律專業(yè)人員經(jīng)常各自單獨(dú)工作。因此,風(fēng)險(xiǎn)基礎(chǔ)架構(gòu)無(wú)法跟上創(chuàng)新的步伐??傮w而言,大多數(shù)受訪者評(píng)估自己組織的風(fēng)險(xiǎn)管理成熟度為一般,但超過(guò)75%的組織尚未對(duì)其開(kāi)展的一半的數(shù)字化和分析轉(zhuǎn)型項(xiàng)目進(jìn)行正式的、全面的風(fēng)險(xiǎn)評(píng)估。令人驚訝的是,有14%的公司從未正式評(píng)估過(guò)這些項(xiàng)目的風(fēng)險(xiǎn)——這對(duì)老牌公司來(lái)說(shuō)是一個(gè)很大的疏忽。
企業(yè)不清楚如何管理數(shù)字化風(fēng)險(xiǎn)
與財(cái)務(wù)風(fēng)險(xiǎn)管理不同,在財(cái)務(wù)風(fēng)險(xiǎn)管理中,企業(yè)往往會(huì)設(shè)置明確的角色和流程(例如模型風(fēng)險(xiǎn)管理),而我們所調(diào)查的公司都沒(méi)有設(shè)立明確的角色、流程,甚至對(duì)數(shù)字化和分析項(xiàng)目風(fēng)險(xiǎn)要素沒(méi)有統(tǒng)一的理解。主管們表示,他們?cè)诠芾頂?shù)字化和分析項(xiàng)目風(fēng)險(xiǎn)時(shí)面臨的最大挑戰(zhàn)就是識(shí)別風(fēng)險(xiǎn)。這一挑戰(zhàn)印證了一句格言:“您無(wú)法管理那些自己無(wú)法衡量的東西。”
值得注意的是,該調(diào)查結(jié)果顯示,IT支出額度與數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的總體風(fēng)險(xiǎn)管理成熟度之間幾乎沒(méi)有關(guān)系。簡(jiǎn)而言之,預(yù)算規(guī)模并不能解決這些挑戰(zhàn)。
角色和責(zé)任不夠明確
在哪個(gè)部門(mén)應(yīng)負(fù)責(zé)應(yīng)對(duì)數(shù)字化和分析轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)上,受訪者幾乎沒(méi)有形成一致的看法。對(duì)于幾乎所有受訪者來(lái)說(shuō),首席信息官或首席數(shù)據(jù)官都在負(fù)責(zé)領(lǐng)導(dǎo)數(shù)字化和分析轉(zhuǎn)型工作;然而,受訪者在誰(shuí)來(lái)負(fù)責(zé)識(shí)別和降低相關(guān)風(fēng)險(xiǎn)上并沒(méi)有形成一致的看法。對(duì)于超過(guò)40%的受訪者而言,這一任務(wù)落在了負(fù)責(zé)數(shù)字化和分析轉(zhuǎn)型工作領(lǐng)導(dǎo)身上。不幸的是,這些人常常對(duì)內(nèi)在的風(fēng)險(xiǎn)因素缺乏詳細(xì)的了解,但卻獲得激勵(lì)去“完成轉(zhuǎn)型工作”。即使對(duì)于那些真正關(guān)注風(fēng)險(xiǎn)管理的人而言,責(zé)任也被認(rèn)為是次要的,而完成項(xiàng)目才是更重要的。
領(lǐng)先企業(yè)會(huì)運(yùn)用一系列有效的實(shí)踐和工具來(lái)管理風(fēng)險(xiǎn)
在麥肯錫的調(diào)查中,具有最高風(fēng)險(xiǎn)管理成熟度的公司可以更輕松地管理數(shù)字化和分析轉(zhuǎn)型項(xiàng)目。這些公司更有可能使其風(fēng)險(xiǎn)管理職能集中化或自動(dòng)化,并且它們會(huì)使用一系列實(shí)踐和工具進(jìn)行匯報(bào),以識(shí)別和降低其數(shù)字化和分析轉(zhuǎn)型項(xiàng)目中的風(fēng)險(xiǎn)。
以下是主管們提到的最重要方法:
• 重新設(shè)計(jì)流程并對(duì)員工重新培訓(xùn)。在不同行業(yè)和地區(qū)的受訪者中,分別有74%和69%的人提到了這些做法,使其成為管理數(shù)字化和分析轉(zhuǎn)型項(xiàng)目中最受歡迎的方法。這些做法對(duì)于敏捷工作方式尤其重要。如果實(shí)施得當(dāng)?shù)脑挘@些方法對(duì)于使用敏捷方式來(lái)降低技術(shù)風(fēng)險(xiǎn)是至關(guān)重要的。敏捷方式可以讓企業(yè)自動(dòng)組建團(tuán)隊(duì),或者以更少的精力部署新工具,并且可以及早發(fā)現(xiàn)和補(bǔ)救其企業(yè)文化中固有的缺陷。
• 正式的風(fēng)險(xiǎn)評(píng)估。企業(yè)沒(méi)有進(jìn)行這些必要的大范圍評(píng)估工作;但進(jìn)行此類評(píng)估工作的公司表示,他們對(duì)數(shù)字化和分析轉(zhuǎn)型項(xiàng)目所面臨風(fēng)險(xiǎn)的認(rèn)識(shí)增加了75%。正式的風(fēng)險(xiǎn)評(píng)估還與更高的風(fēng)險(xiǎn)管理水平和更高的風(fēng)險(xiǎn)管理成熟度相關(guān)。
• 自動(dòng)反饋循環(huán)。擁有風(fēng)險(xiǎn)管理能力的公司其風(fēng)險(xiǎn)成熟度得分比平均水平高出30%以上。
• 集中化。風(fēng)險(xiǎn)管理得分最高的公司更有可能通過(guò)一個(gè)單一的、集中的來(lái)源而非多個(gè)來(lái)源跟蹤數(shù)字化和分析項(xiàng)目的風(fēng)險(xiǎn)。
管理數(shù)字化和分析轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)方面的痛點(diǎn)
受訪者還描述了他們?cè)谧R(shí)別和降低風(fēng)險(xiǎn)方面的最大痛點(diǎn)。
認(rèn)識(shí)風(fēng)險(xiǎn)
48%的受訪者表示,他們最關(guān)注的問(wèn)題是了解與數(shù)字化和分析轉(zhuǎn)型項(xiàng)目相關(guān)的風(fēng)險(xiǎn)。許多負(fù)責(zé)轉(zhuǎn)型項(xiàng)目的主管基本上都是很盲目的:風(fēng)險(xiǎn)歸屬權(quán)都不明確,對(duì)復(fù)雜和不斷變化的技術(shù)和監(jiān)管環(huán)境沒(méi)有進(jìn)行很好的理解,設(shè)計(jì)和測(cè)試計(jì)劃在工作流程中并沒(méi)有盡早考慮風(fēng)險(xiǎn)。與金融風(fēng)險(xiǎn)不同,非金融風(fēng)險(xiǎn)很難進(jìn)行基準(zhǔn)測(cè)試,也沒(méi)有統(tǒng)一標(biāo)準(zhǔn)來(lái)管理風(fēng)險(xiǎn)。
快速管理變更
數(shù)字化和分析轉(zhuǎn)型項(xiàng)目常常通過(guò)敏捷和其他方式快速交付。如果傳統(tǒng)的風(fēng)險(xiǎn)管理實(shí)踐沒(méi)有隨著新的工作方式而進(jìn)行轉(zhuǎn)變,那么這些實(shí)踐可能會(huì)帶來(lái)延誤,威脅到雄心勃勃的工作時(shí)間表。在某些情況下,由于存在不可預(yù)見(jiàn)的相互依賴性,即使遵循一些新策略也會(huì)產(chǎn)生問(wèn)題。例如,某家北美分銷商啟動(dòng)了一個(gè)分析轉(zhuǎn)型項(xiàng)目,并在該項(xiàng)目的實(shí)施階段還制定了新的信息安全策略。突然,所有轉(zhuǎn)型項(xiàng)目的相關(guān)工作都要服從于該新策略,這意味著必須每天記錄數(shù)據(jù),將其保存在云端,而且要在30天后刪除。由于數(shù)據(jù)處理流程發(fā)生這些變化,使該轉(zhuǎn)型項(xiàng)目推遲了四個(gè)星期,導(dǎo)致超過(guò)2000萬(wàn)美元的損失,這是與新的數(shù)字化工作方式直接相關(guān)的財(cái)務(wù)風(fēng)險(xiǎn)。應(yīng)設(shè)計(jì)、實(shí)施和支持風(fēng)險(xiǎn)管理工作,以使風(fēng)險(xiǎn)管理工作與數(shù)字化和分析轉(zhuǎn)型項(xiàng)目團(tuán)隊(duì)的工作進(jìn)度保持同步,并應(yīng)避免這些和其他類似風(fēng)險(xiǎn)。
利用資源
近三分之一的受訪者指出,在優(yōu)先考慮風(fēng)險(xiǎn)識(shí)別和管理工作方面,缺乏來(lái)自高管或其他利益相關(guān)者的鼓勵(lì)或支持。創(chuàng)造短期收益比管理內(nèi)在風(fēng)險(xiǎn)更重要。當(dāng)然,后者對(duì)于維持長(zhǎng)期價(jià)值至關(guān)重要。超過(guò)一半的受訪者在利用所需的人才和能力來(lái)改進(jìn)風(fēng)險(xiǎn)管理工作時(shí)面臨資源限制。企業(yè)在部署適合的工具和流程方面也很艱難。例如,一些組織機(jī)構(gòu)仍使用電子表格來(lái)手動(dòng)管理數(shù)字化和分析轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)。即使是那些使用更高級(jí)工具的組織機(jī)構(gòu)也無(wú)法在整個(gè)組織范圍內(nèi)都保持使用同樣的工具。
克服運(yùn)營(yíng)方面的限制
在數(shù)字化和分析轉(zhuǎn)型項(xiàng)目中,整個(gè)組織必須進(jìn)行培訓(xùn),以使用新的方式(例如敏捷方式)開(kāi)展工作,并對(duì)降低新風(fēng)險(xiǎn)保持警惕。數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的一個(gè)常見(jiàn)的目標(biāo)是更好地為終端用戶提供服務(wù),他們通常是風(fēng)險(xiǎn)管理鏈中最薄弱的一環(huán)。低風(fēng)險(xiǎn)意識(shí)可能使企業(yè)面臨與新的數(shù)字化和分析工具及流程相關(guān)的重大風(fēng)險(xiǎn)。一線用戶的失誤甚至可能帶來(lái)風(fēng)險(xiǎn),例如,錯(cuò)誤地授予了訪問(wèn)權(quán)限。
IT基礎(chǔ)架構(gòu)也可能成為運(yùn)營(yíng)工作受到限制的來(lái)源。數(shù)字化和分析轉(zhuǎn)型項(xiàng)目會(huì)部署新系統(tǒng)和關(guān)閉遺留系統(tǒng),但組織機(jī)構(gòu)有時(shí)缺乏足夠的培訓(xùn)和經(jīng)驗(yàn)來(lái)管理新系統(tǒng)的補(bǔ)丁程序和漏洞。遺留系統(tǒng)(如果未正確停用)還可能會(huì)留下漏洞,惡意攻擊者以后可能會(huì)利用這些漏洞。例如,某家公司出于科研目的在數(shù)據(jù)中心中部署了一種硬件,但在常規(guī)的補(bǔ)丁周期中沒(méi)有為該設(shè)備安裝補(bǔ)丁程序。在該設(shè)備上的漏洞被攻擊者利用后,惡意軟件蔓延到整個(gè)數(shù)據(jù)中心,導(dǎo)致數(shù)據(jù)丟失,系統(tǒng)無(wú)法使用。云遷移可以降低甚至消除許多這類風(fēng)險(xiǎn),但前提是正確地進(jìn)行云遷移,而且將安全性作為其核心工作的一部分。
數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的框架
數(shù)字化和分析轉(zhuǎn)型項(xiàng)目帶來(lái)的風(fēng)險(xiǎn)可能不同于公司通常所面臨的風(fēng)險(xiǎn),或者說(shuō)這些風(fēng)險(xiǎn)可能是高頻率發(fā)生和存在重大影響的傳統(tǒng)風(fēng)險(xiǎn)。幸運(yùn)的是,大多數(shù)公司已經(jīng)具備避免這些風(fēng)險(xiǎn)的基礎(chǔ):他們現(xiàn)有的企業(yè)風(fēng)險(xiǎn)管理基礎(chǔ)架構(gòu)已用于應(yīng)對(duì)財(cái)務(wù)和監(jiān)管風(fēng)險(xiǎn)。企業(yè)風(fēng)險(xiǎn)管理通常包括幾項(xiàng)常見(jiàn)的工作:
• 制定一個(gè)成熟的企業(yè)風(fēng)險(xiǎn)框架
• 通過(guò)分類法、風(fēng)險(xiǎn)偏好、報(bào)告和關(guān)鍵風(fēng)險(xiǎn)指標(biāo)來(lái)建立一個(gè)有效的風(fēng)險(xiǎn)管理策略
• 建立有風(fēng)險(xiǎn)意識(shí)的組織和運(yùn)營(yíng)模式(包括相關(guān)的三道防線),并整合所需的資源和人才
• 建立風(fēng)險(xiǎn)管理流程
• 創(chuàng)建風(fēng)險(xiǎn)文化
這些工作對(duì)于數(shù)字化和分析轉(zhuǎn)型項(xiàng)目至關(guān)重要。然而,這些工作必須與數(shù)字化和分析團(tuán)隊(duì)一起進(jìn)行變革。這是因?yàn)轱L(fēng)險(xiǎn)管理工作必須與快速變化的數(shù)字化風(fēng)險(xiǎn)環(huán)境保持同步,以持續(xù)降低風(fēng)險(xiǎn),同時(shí)又不能減緩業(yè)務(wù)發(fā)展速度。我們的框架可使組織機(jī)構(gòu)更輕松地做到這一點(diǎn)。該框架由四個(gè)步驟組成,這些步驟可定義、實(shí)施、嵌入和加強(qiáng)轉(zhuǎn)型項(xiàng)目的各個(gè)要素。該框架可促進(jìn)建立一種動(dòng)態(tài)方法,有助于使現(xiàn)有的企業(yè)風(fēng)險(xiǎn)管理(ERM)基礎(chǔ)架構(gòu)適應(yīng)不斷增加的風(fēng)險(xiǎn)緩解信息和操作。在該框架內(nèi),組織機(jī)構(gòu)可設(shè)計(jì)轉(zhuǎn)型項(xiàng)目的各項(xiàng)工作和進(jìn)行適當(dāng)?shù)母深A(yù)。隨著工作方式、風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)暴露和人才需求的變化,該框架也會(huì)不斷更新。
• 定義:第一步,組織機(jī)構(gòu)將其現(xiàn)有風(fēng)險(xiǎn)管理框架(以解決諸如金融和監(jiān)管風(fēng)險(xiǎn)等傳統(tǒng)風(fēng)險(xiǎn))中特定技術(shù)元素應(yīng)用到轉(zhuǎn)型項(xiàng)目環(huán)境中。沒(méi)有企業(yè)風(fēng)險(xiǎn)管理框架的組織將需要從該框架著手,理想情況下,創(chuàng)建一個(gè)具體的轉(zhuǎn)型框架來(lái)解決數(shù)字化和分析項(xiàng)目風(fēng)險(xiǎn)。其目的是通過(guò)具有清晰的分類法、明確的風(fēng)險(xiǎn)負(fù)責(zé)人、可用的控制措施和資源以及該項(xiàng)目的管理結(jié)構(gòu)的相關(guān)風(fēng)險(xiǎn)矩陣來(lái)闡明風(fēng)險(xiǎn)和提出可能的解決方案。
• 實(shí)施:第二步,轉(zhuǎn)型項(xiàng)目負(fù)責(zé)人要與風(fēng)險(xiǎn)領(lǐng)域?qū)<一蝻L(fēng)險(xiǎn)卓越中心合作,將風(fēng)險(xiǎn)管理的研究假設(shè)轉(zhuǎn)化為解決方案。具體工作可能包括采用軟件和數(shù)據(jù)控件,驗(yàn)證算法模型,實(shí)施系統(tǒng)和基礎(chǔ)架構(gòu)的補(bǔ)丁,培訓(xùn)一線技術(shù)人員相關(guān)的網(wǎng)絡(luò)安全實(shí)踐,以及通過(guò)缺陷和單元測(cè)試來(lái)驗(yàn)證產(chǎn)品的韌性。作為此步驟的組成部分,各團(tuán)隊(duì)還要根據(jù)明確定義的指標(biāo)(例如關(guān)鍵風(fēng)險(xiǎn)指標(biāo)和關(guān)鍵績(jī)效指標(biāo))開(kāi)始編寫(xiě)風(fēng)險(xiǎn)報(bào)告,這些指標(biāo)不僅可以嚴(yán)格評(píng)估風(fēng)險(xiǎn)工作的有效性,還可以嚴(yán)格評(píng)估風(fēng)險(xiǎn)管理的效率。
• 嵌入:此步驟旨在將風(fēng)險(xiǎn)管理工作(包括測(cè)試結(jié)果、風(fēng)險(xiǎn)評(píng)估、事件報(bào)告和績(jī)效評(píng)估)中獲取的經(jīng)驗(yàn)教訓(xùn)嵌入到現(xiàn)有的管理實(shí)施運(yùn)作模式、流程、治理以及(如果需要的話)組織設(shè)計(jì)中。在此步驟中,根據(jù)這些經(jīng)驗(yàn)教訓(xùn),將設(shè)計(jì)出一些新的降低風(fēng)險(xiǎn)的方案。轉(zhuǎn)型團(tuán)隊(duì)和轉(zhuǎn)型部門(mén)中的一線同事都已接受了有關(guān)風(fēng)險(xiǎn)意識(shí)、風(fēng)險(xiǎn)識(shí)別和降低風(fēng)險(xiǎn)的全面培訓(xùn)。
• 加強(qiáng):在該工作周期的最后一步,轉(zhuǎn)型團(tuán)隊(duì)通過(guò)將這些做法固化在人才管理和文化變革中,以加強(qiáng)和擴(kuò)大緩解風(fēng)險(xiǎn)的這些實(shí)踐。他們還會(huì)將關(guān)鍵的見(jiàn)解、學(xué)到的知識(shí)和新風(fēng)險(xiǎn)反饋給核心風(fēng)險(xiǎn)管理團(tuán)隊(duì),以根據(jù)需要更新風(fēng)險(xiǎn)基礎(chǔ)架構(gòu),同時(shí)將外部獲取的信息和反饋信息應(yīng)用到“定義”步驟中。這會(huì)使風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)緩解和績(jī)效與轉(zhuǎn)型工作保持同步。
框架和轉(zhuǎn)型角色的好處
該框架使企業(yè)能夠系統(tǒng)地管理數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的風(fēng)險(xiǎn),從而該框架與組織的創(chuàng)新工作保持同步。它會(huì)吸收來(lái)自一線員工的經(jīng)驗(yàn)教訓(xùn),以改進(jìn)概念矩陣,并隨著轉(zhuǎn)型過(guò)程調(diào)整風(fēng)險(xiǎn)管理方法。它還會(huì)與敏捷工作模式相結(jié)合,以實(shí)現(xiàn)更好的風(fēng)險(xiǎn)管理,鼓勵(lì)協(xié)作,并營(yíng)造更好的風(fēng)險(xiǎn)文化。
通過(guò)采用這種方法,企業(yè)已經(jīng)看到了風(fēng)險(xiǎn)緩解的顯著效果和風(fēng)險(xiǎn)管理效率。盡管尚處于早期階段,但該方法有望為風(fēng)險(xiǎn)管理人員和轉(zhuǎn)型團(tuán)隊(duì)帶來(lái)更多好處。
為了給該框架提供支持和將其方法付諸實(shí)踐,企業(yè)還需要為數(shù)字化和分析轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)來(lái)設(shè)定一些角色和職責(zé):
• 數(shù)字化和分析轉(zhuǎn)型項(xiàng)目領(lǐng)導(dǎo):該角色負(fù)責(zé)提交數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的各項(xiàng)工作。
• 數(shù)字化和分析轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)負(fù)責(zé)人:該角色負(fù)責(zé)所有轉(zhuǎn)型項(xiàng)目的風(fēng)險(xiǎn)。
• 轉(zhuǎn)型工作團(tuán)隊(duì):這些團(tuán)隊(duì)通常以敏捷方式工作,并已擁有風(fēng)險(xiǎn)管理工作的相關(guān)資源。
• 轉(zhuǎn)型產(chǎn)品客戶:這些人是轉(zhuǎn)型后的產(chǎn)品、服務(wù)和功能的最終用戶;這些變化可能會(huì)影響轉(zhuǎn)型項(xiàng)目的風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)態(tài)勢(shì)。
• 企業(yè)風(fēng)險(xiǎn)管理和控制合作伙伴團(tuán)隊(duì):轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)領(lǐng)導(dǎo)要與企業(yè)風(fēng)險(xiǎn)管理小組和單個(gè)管控合作伙伴小組緊密合作,以確保在企業(yè)層面已考慮到這些轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn),并在轉(zhuǎn)型層面上也考慮了企業(yè)的風(fēng)險(xiǎn)。
• 轉(zhuǎn)型風(fēng)險(xiǎn)經(jīng)理:風(fēng)險(xiǎn)經(jīng)理專門(mén)負(fù)責(zé)變革風(fēng)險(xiǎn)以及數(shù)字化和分析轉(zhuǎn)型項(xiàng)目中產(chǎn)生的風(fēng)險(xiǎn)。他會(huì)與一線轉(zhuǎn)型團(tuán)隊(duì)密切合作,并在轉(zhuǎn)型項(xiàng)目的早期規(guī)劃階段參與設(shè)計(jì)風(fēng)險(xiǎn)控制措施。
• 轉(zhuǎn)型項(xiàng)目發(fā)起人:總體轉(zhuǎn)型項(xiàng)目的發(fā)起人應(yīng)在整個(gè)變革過(guò)程中參與其中。
在大多數(shù)情況下,設(shè)立這些角色不需要增加人員。企業(yè)發(fā)現(xiàn)現(xiàn)有團(tuán)隊(duì)成員已準(zhǔn)備好并希望承擔(dān)這些職責(zé)。這些人員可能需要一些培訓(xùn)才能完全發(fā)揮作用,但通常大多數(shù)團(tuán)隊(duì)成員都有積極性接受此類培訓(xùn),因?yàn)樗麄兦宄谵D(zhuǎn)型工作中所產(chǎn)生或加劇的風(fēng)險(xiǎn)。
最后,企業(yè)必須提高組織內(nèi)部對(duì)數(shù)字化和分析項(xiàng)目風(fēng)險(xiǎn)的意識(shí),包括在高管團(tuán)隊(duì)和董事會(huì)中。同樣,企業(yè)必須將數(shù)字化和分析項(xiàng)目風(fēng)險(xiǎn)管理充分納入其正式的風(fēng)險(xiǎn)管理模式中。
在如今的商業(yè)環(huán)境中,數(shù)字化和分析轉(zhuǎn)型項(xiàng)目是企業(yè)成功的核心。然而,如果在沒(méi)有采用正確的風(fēng)險(xiǎn)管理方法的情況下開(kāi)展轉(zhuǎn)型項(xiàng)目,則企業(yè)只會(huì)是解決一系列問(wèn)題后,可能又面臨一系列更大的問(wèn)題。隨著數(shù)字化和分析功能變得日益普及,那些可以從其數(shù)字化和分析轉(zhuǎn)型項(xiàng)目中獲得最長(zhǎng)期價(jià)值的公司能夠?qū)崿F(xiàn)其目標(biāo),而且還能夠系統(tǒng)地識(shí)別、理解和降低相關(guān)風(fēng)險(xiǎn)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。