信息化觀察網(wǎng)

盡管數(shù)字化和先進分析技術的好處已顯而易見，但其往往也隱藏著風險。

某家銀行正在進行數(shù)字化轉型項目，其早期階段進展順利。他們已成功地將其開發(fā)團隊轉變?yōu)槊艚輬F隊，而且主管們對由此帶來的速度和工作效率提升感到很興奮。但在幾周內(nèi)，領導層發(fā)現(xiàn)軟件開發(fā)人員一直在走一條工作流程捷徑，導致客戶的用戶名和密碼容易遭到黑客攻擊。之后其轉型團隊解決了這一問題，但隨后該銀行遭遇了另一種黑客攻擊，使其客戶數(shù)據(jù)的安全性遭到破壞。在發(fā)現(xiàn)錯誤之前，某些應用程序已經(jīng)運行了數(shù)周，因為在部署之前沒有設置適當?shù)谋O(jiān)控措施來識別安全問題。這意味著該銀行不知道誰可能訪問了這些敏感的客戶數(shù)據(jù)，也不知道這些數(shù)據(jù)可能泄露的程度和范圍有多大。這一問題非常嚴重，以至于使整個轉型工作都處于危險之中。其首席執(zhí)行官威脅說，如果他們無法提高應用程序開發(fā)的安全性，則將結束該轉型項目，并將開發(fā)團隊恢復為瀑布開發(fā)方式。

該銀行的經(jīng)歷并不罕見。各個行業(yè)的公司都在開啟數(shù)字化和分析轉型項目，以使各項服務和流程數(shù)字化，通過敏捷方式和自動化提高效率，提高客戶參與度，并使用新的分析工具。然而，大多數(shù)這些轉型項目都沒有采取任何正規(guī)的方法來識別和管理相關風險。許多項目在新流程中設置了很少的管控措施，變更計劃不夠完善(或根本沒有)，并且常常缺乏來自安全、隱私、風險和法律團隊的參與設計。因此，各個公司在網(wǎng)絡安全、技術債務、先進分析技術和運營彈性等方面就產(chǎn)生了隱藏的非財務風險。新冠疫情及其管控措施只會加劇這一問題，迫使各個組織快速進行創(chuàng)新，以滿足居家辦公和其他數(shù)字化需求。

最近，麥肯錫公司對來自全球各行業(yè)的100位企業(yè)數(shù)字化和分析轉型項目負責人進行了調(diào)查，以更好地了解這一問題的范圍。盡管數(shù)字化和先進分析技術的好處已顯而易見，但常常仍隱藏著風險。從麥肯錫公司的調(diào)查和隨后的訪談中，發(fā)現(xiàn)了一些重要的結果：

1.目前，各個行業(yè)的組織都在廣泛開展數(shù)字化和分析轉型項目。

2.風險管理還沒有跟上數(shù)字化和分析轉型項目的發(fā)展步伐，這一差距正在拉開，而這一差距只有通過大規(guī)模的創(chuàng)新才能得以彌合。

3.新冠疫情環(huán)境加劇了風險管理需求與現(xiàn)有能力之間的不均衡。

4.大多數(shù)公司都不確定如何來管理數(shù)字化風險。然而，領先的組織機構已經(jīng)設立了組織責任制，并實行了一系列有效的做法。

麥肯錫公司已經(jīng)想出了解決這些調(diào)查結果中所隱含難題的方法。其中包括一個新的四步框架，用于定義、實施、嵌入和加強解決方案;一些輔助方法可以加快一線團隊實現(xiàn)其風險管理的有效性和效率;以及一個基于云計算的診斷評估和跟蹤工具。該工具旨在幫助公司在企業(yè)和產(chǎn)品層面更好地識別、評估、降低和衡量由數(shù)字化和分析轉型項目所產(chǎn)生和加劇的非財務風險。

幸運的是，利用這些方法，大多數(shù)公司不必從頭開始。他們可以使用其現(xiàn)有的企業(yè)風險管理(ERM)基礎架構。該架構通常用于應對財務和監(jiān)管風險，但也可通過改造變得更加敏捷和更具適應性，以滿足數(shù)字化和分析轉型項目的風險管理需求。

數(shù)字化和分析轉型項目的優(yōu)勢是真實存在的，但風險也同樣存在。

通過了解麥肯錫經(jīng)過研究所獲得的見解和采用此處所述的方法，企業(yè)可以實現(xiàn)數(shù)字化和分析轉型項目的價值，同時還可以保護其組織和客戶。最終，企業(yè)可以激發(fā)出更富于成效的團隊關系，并通過長期保留其轉型工作的影響，為公司創(chuàng)造可持續(xù)的競爭優(yōu)勢。

一系列新的(和代價高昂的)風險

大多數(shù)公司似乎對數(shù)字化和分析轉型項目所產(chǎn)生和加劇的非財務風險幾乎無所作為。這些風險的范圍很廣。數(shù)字化和分析轉型項目通常部署在整個組織范圍內(nèi)，涉及許多部門和第三方。諸如技能、思維方式和工作方式等軟性因素，以及諸如技術、基礎架構和數(shù)據(jù)流等硬性因素，都將在這一轉型過程中立即發(fā)生改變。

一些傳統(tǒng)風險在大多數(shù)項目中更為常見，包括那些由預算和進度超出、人才(員工和第三方，包括承包商、供應商和合作伙伴)、IT績效以及合規(guī)性和法規(guī)問題引起的風險。然而，數(shù)字化和分析轉型項目還帶來了新的網(wǎng)絡風險、數(shù)據(jù)風險以及人工智能(AI)應用帶來的風險。數(shù)字化和分析項目需要從更廣泛的來源收集更詳細的數(shù)據(jù)。然后，這些數(shù)據(jù)會被用于組織內(nèi)的不同部門以產(chǎn)生見解。這些移動的數(shù)據(jù)會在數(shù)據(jù)可用性、位置、訪問和隱私方面產(chǎn)生固有的風險。運營彈性的風險來源包括新的IT服務和向云端的遷移。預測性分析模型可能會偏離或脫離該項目的最初側重點，使組織機構面臨法律責任或信譽風險。如果處理不當，此類風險可能導致犯下代價高昂的錯誤，遭到監(jiān)管處罰和消費者強烈抵制。

由新冠病毒危機引起的業(yè)務中斷使這些額外的風險更加復雜。從某種意義上說，這次新冠疫情引發(fā)了歷史上最大規(guī)模的數(shù)字化和分析轉型浪潮，將原本需要數(shù)年才能完成的轉型項目壓縮到數(shù)月之內(nèi)(甚至數(shù)周內(nèi))，而且往往沒有事先規(guī)劃。在新冠疫情發(fā)生之前，大多數(shù)組織機構都有一些安全策略和培訓。然而，很少有組織就如何安全地設置遠程辦公環(huán)境，或如何解決與快速獲取和部署新工具相關的其他風險制定詳細的策略或進行培訓。

例如，某家石油和天然氣公司必須劃分其虛擬專用網(wǎng)絡以擴展帶寬，這樣所有員工都可以在家中訪問公司網(wǎng)絡。這導致在員工筆記本電腦上安裝補丁程序的速度減慢，從而使公司暴露出一些攻擊者常常利用的漏洞。

某家電信公司讓其呼叫中心員工在家辦公，但具體政策由團隊經(jīng)理制定。其結果是30%的員工被允許使用不安全的個人設備進行遠程連接，從而使公司暴露在“自帶設備”攻擊的風險之中。同樣，某家銀行發(fā)現(xiàn)，員工在其家用打印機上打印文檔，而且通過不安全的家用路由器傳輸公司數(shù)據(jù)，而眾所周知的是，這很容易遭到黑客的攻擊。另一家公司對員工使用“智能家居”語音識別設備表示擔憂，因為這些設備可以在高管的家庭辦公室中對視頻通話的內(nèi)容進行錄音。

人工智能還有望重新定義企業(yè)的運營方式，并已經(jīng)在一系列重要職能部門中釋放出數(shù)據(jù)的力量。但人工智能的合規(guī)性和信譽風險對傳統(tǒng)的風險管理職能部門仍是一個挑戰(zhàn)。

我們現(xiàn)在工作方式的迅速變化已引起了各種擔憂。當前的風險管理能力還不足以解決這些擔憂，因為這些都是新出現(xiàn)的風險，而且呈指數(shù)級增長。這就需要一種新的風險管理方法。

數(shù)字化和分析轉型項目風險管理簡述

“麥肯錫全球調(diào)查”的結果讓我們對數(shù)字化和分析轉型項目所面臨的風險以及企業(yè)如何管理這些風險有了一個全面的了解。從參與轉型項目的人員中可以發(fā)現(xiàn)幾個要點。

轉型項目在各個行業(yè)變得司空見慣

受訪者在過去三年中平均完成了六個轉型項目，并設定了一系列目標。超過80%的公司至少實施了一次端到端的客戶旅程轉型項目，而70%的公司開發(fā)了新的數(shù)字化主張和生態(tài)系統(tǒng)。組織機構也在調(diào)整其運營模式以支持這些變化。大約80%的公司打算在未來三年內(nèi)讓多達30個團隊采用敏捷工作方式;其余20%的公司正在將30多個團隊轉變?yōu)槊艚輬F隊。當然，這意味著麥肯錫所調(diào)查的所有100家公司都打算在未來幾年內(nèi)采用或擴大規(guī)模采用敏捷工作方式。如果做得好，這對于風險管理人員來說是一個好消息，因為在管理良好的敏捷團隊中，存在其固有的風險緩解結構和早期發(fā)現(xiàn)和補救缺陷的文化。

風險管理工作沒有跟上發(fā)展速度

企業(yè)的風險管理能力落后于其轉型工作。與更新其風險框架以應對新的和更嚴重的風險相比，組織機構開展轉型項目的頻率要高得多，而風險和法律專業(yè)人員經(jīng)常各自單獨工作。因此，風險基礎架構無法跟上創(chuàng)新的步伐?？傮w而言，大多數(shù)受訪者評估自己組織的風險管理成熟度為一般，但超過75%的組織尚未對其開展的一半的數(shù)字化和分析轉型項目進行正式的、全面的風險評估。令人驚訝的是，有14%的公司從未正式評估過這些項目的風險——這對老牌公司來說是一個很大的疏忽。

企業(yè)不清楚如何管理數(shù)字化風險

與財務風險管理不同，在財務風險管理中，企業(yè)往往會設置明確的角色和流程(例如模型風險管理)，而我們所調(diào)查的公司都沒有設立明確的角色、流程，甚至對數(shù)字化和分析項目風險要素沒有統(tǒng)一的理解。主管們表示，他們在管理數(shù)字化和分析項目風險時面臨的最大挑戰(zhàn)就是識別風險。這一挑戰(zhàn)印證了一句格言：“您無法管理那些自己無法衡量的東西。”

值得注意的是，該調(diào)查結果顯示，IT支出額度與數(shù)字化和分析轉型項目的總體風險管理成熟度之間幾乎沒有關系。簡而言之，預算規(guī)模并不能解決這些挑戰(zhàn)。

角色和責任不夠明確

在哪個部門應負責應對數(shù)字化和分析轉型項目風險上，受訪者幾乎沒有形成一致的看法。對于幾乎所有受訪者來說，首席信息官或首席數(shù)據(jù)官都在負責領導數(shù)字化和分析轉型工作;然而，受訪者在誰來負責識別和降低相關風險上并沒有形成一致的看法。對于超過40%的受訪者而言，這一任務落在了負責數(shù)字化和分析轉型工作領導身上。不幸的是，這些人常常對內(nèi)在的風險因素缺乏詳細的了解，但卻獲得激勵去“完成轉型工作”。即使對于那些真正關注風險管理的人而言，責任也被認為是次要的，而完成項目才是更重要的。

領先企業(yè)會運用一系列有效的實踐和工具來管理風險

在麥肯錫的調(diào)查中，具有最高風險管理成熟度的公司可以更輕松地管理數(shù)字化和分析轉型項目。這些公司更有可能使其風險管理職能集中化或自動化，并且它們會使用一系列實踐和工具進行匯報，以識別和降低其數(shù)字化和分析轉型項目中的風險。

以下是主管們提到的最重要方法：

•重新設計流程并對員工重新培訓。在不同行業(yè)和地區(qū)的受訪者中，分別有74%和69%的人提到了這些做法，使其成為管理數(shù)字化和分析轉型項目中最受歡迎的方法。這些做法對于敏捷工作方式尤其重要。如果實施得當?shù)脑挘@些方法對于使用敏捷方式來降低技術風險是至關重要的。敏捷方式可以讓企業(yè)自動組建團隊，或者以更少的精力部署新工具，并且可以及早發(fā)現(xiàn)和補救其企業(yè)文化中固有的缺陷。

•正式的風險評估。企業(yè)沒有進行這些必要的大范圍評估工作;但進行此類評估工作的公司表示，他們對數(shù)字化和分析轉型項目所面臨風險的認識增加了75%。正式的風險評估還與更高的風險管理水平和更高的風險管理成熟度相關。

•自動反饋循環(huán)。擁有風險管理能力的公司其風險成熟度得分比平均水平高出30%以上。

•集中化。風險管理得分最高的公司更有可能通過一個單一的、集中的來源而非多個來源跟蹤數(shù)字化和分析項目的風險。

管理數(shù)字化和分析轉型項目風險方面的痛點

受訪者還描述了他們在識別和降低風險方面的最大痛點。

認識風險

48%的受訪者表示，他們最關注的問題是了解與數(shù)字化和分析轉型項目相關的風險。許多負責轉型項目的主管基本上都是很盲目的：風險歸屬權都不明確，對復雜和不斷變化的技術和監(jiān)管環(huán)境沒有進行很好的理解，設計和測試計劃在工作流程中并沒有盡早考慮風險。與金融風險不同，非金融風險很難進行基準測試，也沒有統(tǒng)一標準來管理風險。

快速管理變更

數(shù)字化和分析轉型項目常常通過敏捷和其他方式快速交付。如果傳統(tǒng)的風險管理實踐沒有隨著新的工作方式而進行轉變，那么這些實踐可能會帶來延誤，威脅到雄心勃勃的工作時間表。在某些情況下，由于存在不可預見的相互依賴性，即使遵循一些新策略也會產(chǎn)生問題。例如，某家北美分銷商啟動了一個分析轉型項目，并在該項目的實施階段還制定了新的信息安全策略。突然，所有轉型項目的相關工作都要服從于該新策略，這意味著必須每天記錄數(shù)據(jù)，將其保存在云端，而且要在30天后刪除。由于數(shù)據(jù)處理流程發(fā)生這些變化，使該轉型項目推遲了四個星期，導致超過2000萬美元的損失，這是與新的數(shù)字化工作方式直接相關的財務風險。應設計、實施和支持風險管理工作，以使風險管理工作與數(shù)字化和分析轉型項目團隊的工作進度保持同步，并應避免這些和其他類似風險。

利用資源

近三分之一的受訪者指出，在優(yōu)先考慮風險識別和管理工作方面，缺乏來自高管或其他利益相關者的鼓勵或支持。創(chuàng)造短期收益比管理內(nèi)在風險更重要。當然，后者對于維持長期價值至關重要。超過一半的受訪者在利用所需的人才和能力來改進風險管理工作時面臨資源限制。企業(yè)在部署適合的工具和流程方面也很艱難。例如，一些組織機構仍使用電子表格來手動管理數(shù)字化和分析轉型項目風險。即使是那些使用更高級工具的組織機構也無法在整個組織范圍內(nèi)都保持使用同樣的工具。

克服運營方面的限制

在數(shù)字化和分析轉型項目中，整個組織必須進行培訓，以使用新的方式(例如敏捷方式)開展工作，并對降低新風險保持警惕。數(shù)字化和分析轉型項目的一個常見的目標是更好地為終端用戶提供服務，他們通常是風險管理鏈中最薄弱的一環(huán)。低風險意識可能使企業(yè)面臨與新的數(shù)字化和分析工具及流程相關的重大風險。一線用戶的失誤甚至可能帶來風險，例如，錯誤地授予了訪問權限。

IT基礎架構也可能成為運營工作受到限制的來源。數(shù)字化和分析轉型項目會部署新系統(tǒng)和關閉遺留系統(tǒng)，但組織機構有時缺乏足夠的培訓和經(jīng)驗來管理新系統(tǒng)的補丁程序和漏洞。遺留系統(tǒng)(如果未正確停用)還可能會留下漏洞，惡意攻擊者以后可能會利用這些漏洞。例如，某家公司出于科研目的在數(shù)據(jù)中心中部署了一種硬件，但在常規(guī)的補丁周期中沒有為該設備安裝補丁程序。在該設備上的漏洞被攻擊者利用后，惡意軟件蔓延到整個數(shù)據(jù)中心，導致數(shù)據(jù)丟失，系統(tǒng)無法使用。云遷移可以降低甚至消除許多這類風險，但前提是正確地進行云遷移，而且將安全性作為其核心工作的一部分。

數(shù)字化和分析轉型項目的框架

數(shù)字化和分析轉型項目帶來的風險可能不同于公司通常所面臨的風險，或者說這些風險可能是高頻率發(fā)生和存在重大影響的傳統(tǒng)風險。幸運的是，大多數(shù)公司已經(jīng)具備避免這些風險的基礎：他們現(xiàn)有的企業(yè)風險管理基礎架構已用于應對財務和監(jiān)管風險。企業(yè)風險管理通常包括幾項常見的工作：

•制定一個成熟的企業(yè)風險框架

•通過分類法、風險偏好、報告和關鍵風險指標來建立一個有效的風險管理策略

•建立有風險意識的組織和運營模式(包括相關的三道防線)，并整合所需的資源和人才

•建立風險管理流程

•創(chuàng)建風險文化

這些工作對于數(shù)字化和分析轉型項目至關重要。然而，這些工作必須與數(shù)字化和分析團隊一起進行變革。這是因為風險管理工作必須與快速變化的數(shù)字化風險環(huán)境保持同步，以持續(xù)降低風險，同時又不能減緩業(yè)務發(fā)展速度。我們的框架可使組織機構更輕松地做到這一點。該框架由四個步驟組成，這些步驟可定義、實施、嵌入和加強轉型項目的各個要素。該框架可促進建立一種動態(tài)方法，有助于使現(xiàn)有的企業(yè)風險管理(ERM)基礎架構適應不斷增加的風險緩解信息和操作。在該框架內(nèi)，組織機構可設計轉型項目的各項工作和進行適當?shù)母深A。隨著工作方式、風險偏好、風險暴露和人才需求的變化，該框架也會不斷更新。

•定義：第一步，組織機構將其現(xiàn)有風險管理框架(以解決諸如金融和監(jiān)管風險等傳統(tǒng)風險)中特定技術元素應用到轉型項目環(huán)境中。沒有企業(yè)風險管理框架的組織將需要從該框架著手，理想情況下，創(chuàng)建一個具體的轉型框架來解決數(shù)字化和分析項目風險。其目的是通過具有清晰的分類法、明確的風險負責人、可用的控制措施和資源以及該項目的管理結構的相關風險矩陣來闡明風險和提出可能的解決方案。

•實施：第二步，轉型項目負責人要與風險領域專家或風險卓越中心合作，將風險管理的研究假設轉化為解決方案。具體工作可能包括采用軟件和數(shù)據(jù)控件，驗證算法模型，實施系統(tǒng)和基礎架構的補丁，培訓一線技術人員相關的網(wǎng)絡安全實踐，以及通過缺陷和單元測試來驗證產(chǎn)品的韌性。作為此步驟的組成部分，各團隊還要根據(jù)明確定義的指標(例如關鍵風險指標和關鍵績效指標)開始編寫風險報告，這些指標不僅可以嚴格評估風險工作的有效性，還可以嚴格評估風險管理的效率。

•嵌入：此步驟旨在將風險管理工作(包括測試結果、風險評估、事件報告和績效評估)中獲取的經(jīng)驗教訓嵌入到現(xiàn)有的管理實施運作模式、流程、治理以及(如果需要的話)組織設計中。在此步驟中，根據(jù)這些經(jīng)驗教訓，將設計出一些新的降低風險的方案。轉型團隊和轉型部門中的一線同事都已接受了有關風險意識、風險識別和降低風險的全面培訓。

•加強：在該工作周期的最后一步，轉型團隊通過將這些做法固化在人才管理和文化變革中，以加強和擴大緩解風險的這些實踐。他們還會將關鍵的見解、學到的知識和新風險反饋給核心風險管理團隊，以根據(jù)需要更新風險基礎架構，同時將外部獲取的信息和反饋信息應用到“定義”步驟中。這會使風險管理、風險緩解和績效與轉型工作保持同步。

框架和轉型角色的好處

該框架使企業(yè)能夠系統(tǒng)地管理數(shù)字化和分析轉型項目的風險，從而該框架與組織的創(chuàng)新工作保持同步。它會吸收來自一線員工的經(jīng)驗教訓，以改進概念矩陣，并隨著轉型過程調(diào)整風險管理方法。它還會與敏捷工作模式相結合，以實現(xiàn)更好的風險管理，鼓勵協(xié)作，并營造更好的風險文化。

通過采用這種方法，企業(yè)已經(jīng)看到了風險緩解的顯著效果和風險管理效率。盡管尚處于早期階段，但該方法有望為風險管理人員和轉型團隊帶來更多好處。

為了給該框架提供支持和將其方法付諸實踐，企業(yè)還需要為數(shù)字化和分析轉型項目風險來設定一些角色和職責：

•數(shù)字化和分析轉型項目領導：該角色負責提交數(shù)字化和分析轉型項目的各項工作。

•數(shù)字化和分析轉型項目風險負責人：該角色負責所有轉型項目的風險。

•轉型工作團隊：這些團隊通常以敏捷方式工作，并已擁有風險管理工作的相關資源。

•轉型產(chǎn)品客戶：這些人是轉型后的產(chǎn)品、服務和功能的最終用戶;這些變化可能會影響轉型項目的風險偏好和風險態(tài)勢。

•企業(yè)風險管理和控制合作伙伴團隊：轉型項目風險領導要與企業(yè)風險管理小組和單個管控合作伙伴小組緊密合作，以確保在企業(yè)層面已考慮到這些轉型項目風險，并在轉型層面上也考慮了企業(yè)的風險。

•轉型風險經(jīng)理：風險經(jīng)理專門負責變革風險以及數(shù)字化和分析轉型項目中產(chǎn)生的風險。他會與一線轉型團隊密切合作，并在轉型項目的早期規(guī)劃階段參與設計風險控制措施。

•轉型項目發(fā)起人：總體轉型項目的發(fā)起人應在整個變革過程中參與其中。

在大多數(shù)情況下，設立這些角色不需要增加人員。企業(yè)發(fā)現(xiàn)現(xiàn)有團隊成員已準備好并希望承擔這些職責。這些人員可能需要一些培訓才能完全發(fā)揮作用，但通常大多數(shù)團隊成員都有積極性接受此類培訓，因為他們清楚在轉型工作中所產(chǎn)生或加劇的風險。

最后，企業(yè)必須提高組織內(nèi)部對數(shù)字化和分析項目風險的意識，包括在高管團隊和董事會中。同樣，企業(yè)必須將數(shù)字化和分析項目風險管理充分納入其正式的風險管理模式中。

在如今的商業(yè)環(huán)境中，數(shù)字化和分析轉型項目是企業(yè)成功的核心。然而，如果在沒有采用正確的風險管理方法的情況下開展轉型項目，則企業(yè)只會是解決一系列問題后，可能又面臨一系列更大的問題。隨著數(shù)字化和分析功能變得日益普及，那些可以從其數(shù)字化和分析轉型項目中獲得最長期價值的公司能夠實現(xiàn)其目標，而且還能夠系統(tǒng)地識別、理解和降低相關風險。