某家银行正在进行数字化转型项目,其早期阶段进展顺利。他们已成功地将其开发团队转变为敏捷团队,而且主管们对由此带来的速度和工作效率提升感到很兴奋。但在几周内,领导层发现软件开发人员一直在走一条工作流程捷径,导致客户的用户名和密码容易遭到黑客攻击。之后其转型团队解决了这一问题,但随后该银行遭遇了另一种黑客攻击,使其客户数据的安全性遭到破坏。
在发现错误之前,某些应用程序已经运行了数周,因为在部署之前没有设置适当的监控措施来识别安全问题。这意味着该银行不知道谁可能访问了这些敏感的客户数据,也不知道这些数据可能泄露的程度和范围有多大。这一问题非常严重,以至于使整个转型工作都处于危险之中。其首席执行官威胁说,如果他们无法提高应用程序开发的安全性,则将结束该转型项目,并将开发团队恢复为瀑布开发方式。
该银行的经历并不罕见。各个行业的公司都在开启数字化和分析转型项目,以使各项服务和流程数字化,通过敏捷方式和自动化提高效率,提高客户参与度,并使用新的分析工具。然而,大多数这些转型项目都没有采取任何正规的方法来识别和管理相关风险。许多项目在新流程中设置了很少的管控措施,变更计划不够完善(或根本没有),并且常常缺乏来自安全、隐私、风险和法律团队的参与设计。因此,各个公司在网络安全、技术债务、先进分析技术和运营弹性等方面就产生了隐藏的非财务风险。新冠疫情及其管控措施只会加剧这一问题,迫使各个组织快速进行创新,以满足居家办公和其他数字化需求。
最近,麦肯锡公司对来自全球各行业的100位企业数字化和分析转型项目负责人进行了调查,以更好地了解这一问题的范围。尽管数字化和先进分析技术的好处已显而易见,但常常仍隐藏着风险。从麦肯锡公司的调查和随后的访谈中,发现了一些重要的结果:
- 目前,各个行业的组织都在广泛开展数字化和分析转型项目。
- 风险管理还没有跟上数字化和分析转型项目的发展步伐,这一差距正在拉开,而这一差距只有通过大规模的创新才能得以弥合。
- 新冠疫情环境加剧了风险管理需求与现有能力之间的不均衡。
- 大多数公司都不确定如何来管理数字化风险。然而,领先的组织机构已经设立了组织责任制,并实行了一系列有效的做法。
麦肯锡公司已经想出了解决这些调查结果中所隐含难题的方法。其中包括一个新的四步框架,用于定义、实施、嵌入和加强解决方案;一些辅助方法可以加快一线团队实现其风险管理的有效性和效率;以及一个基于云计算的诊断评估和跟踪工具。该工具旨在帮助公司在企业和产品层面更好地识别、评估、降低和衡量由数字化和分析转型项目所产生和加剧的非财务风险。
幸运的是,利用这些方法,大多数公司不必从头开始。他们可以使用其现有的企业风险管理(ERM)基础架构。该架构通常用于应对财务和监管风险,但也可通过改造变得更加敏捷和更具适应性,以满足数字化和分析转型项目的风险管理需求。
数字化和分析转型项目的优势是真实存在的,但风险也同样存在。
通过了解麦肯锡经过研究所获得的见解和采用此处所述的方法,企业可以实现数字化和分析转型项目的价值,同时还可以保护其组织和客户。最终,企业可以激发出更富于成效的团队关系,并通过长期保留其转型工作的影响,为公司创造可持续的竞争优势。
一系列新的(和代价高昂的)风险
大多数公司似乎对数字化和分析转型项目所产生和加剧的非财务风险几乎无所作为。这些风险的范围很广。数字化和分析转型项目通常部署在整个组织范围内,涉及许多部门和第三方。诸如技能、思维方式和工作方式等软性因素,以及诸如技术、基础架构和数据流等硬性因素,都将在这一转型过程中立即发生改变。
一些传统风险在大多数项目中更为常见,包括那些由预算和进度超出、人才(员工和第三方,包括承包商、供应商和合作伙伴)、IT绩效以及合规性和法规问题引起的风险。然而,数字化和分析转型项目还带来了新的网络风险、数据风险以及人工智能(AI)应用带来的风险。数字化和分析项目需要从更广泛的来源收集更详细的数据。然后,这些数据会被用于组织内的不同部门以产生见解。这些移动的数据会在数据可用性、位置、访问和隐私方面产生固有的风险。运营弹性的风险来源包括新的IT服务和向云端的迁移。预测性分析模型可能会偏离或脱离该项目的最初侧重点,使组织机构面临法律责任或信誉风险。如果处理不当,此类风险可能导致犯下代价高昂的错误,遭到监管处罚和消费者强烈抵制。
由新冠病毒危机引起的业务中断使这些额外的风险更加复杂。从某种意义上说,这次新冠疫情引发了历史上最大规模的数字化和分析转型浪潮,将原本需要数年才能完成的转型项目压缩到数月之内(甚至数周内),而且往往没有事先规划。在新冠疫情发生之前,大多数组织机构都有一些安全策略和培训。然而,很少有组织就如何安全地设置远程办公环境,或如何解决与快速获取和部署新工具相关的其他风险制定详细的策略或进行培训。
例如,某家石油和天然气公司必须划分其虚拟专用网络以扩展带宽,这样所有员工都可以在家中访问公司网络。这导致在员工笔记本电脑上安装补丁程序的速度减慢,从而使公司暴露出一些攻击者常常利用的漏洞。
某家电信公司让其呼叫中心员工在家办公,但具体政策由团队经理制定。其结果是30%的员工被允许使用不安全的个人设备进行远程连接,从而使公司暴露在“自带设备”攻击的风险之中。同样,某家银行发现,员工在其家用打印机上打印文档,而且通过不安全的家用路由器传输公司数据,而众所周知的是,这很容易遭到黑客的攻击。另一家公司对员工使用“智能家居”语音识别设备表示担忧,因为这些设备可以在高管的家庭办公室中对视频通话的内容进行录音。
人工智能还有望重新定义企业的运营方式,并已经在一系列重要职能部门中释放出数据的力量。但人工智能的合规性和信誉风险对传统的风险管理职能部门仍是一个挑战。
我们现在工作方式的迅速变化已引起了各种担忧。当前的风险管理能力还不足以解决这些担忧,因为这些都是新出现的风险,而且呈指数级增长。这就需要一种新的风险管理方法。
数字化和分析转型项目风险管理简述
“麦肯锡全球调查”的结果让我们对数字化和分析转型项目所面临的风险以及企业如何管理这些风险有了一个全面的了解。从参与转型项目的人员中可以发现几个要点。
(1) 转型项目在各个行业变得司空见惯
受访者在过去三年中平均完成了六个转型项目,并设定了一系列目标。超过80%的公司至少实施了一次端到端的客户旅程转型项目,而70%的公司开发了新的数字化主张和生态系统。组织机构也在调整其运营模式以支持这些变化。大约80%的公司打算在未来三年内让多达30个团队采用敏捷工作方式;其余20%的公司正在将30多个团队转变为敏捷团队。当然,这意味着麦肯锡所调查的所有100家公司都打算在未来几年内采用或扩大规模采用敏捷工作方式。如果做得好,这对于风险管理人员来说是一个好消息,因为在管理良好的敏捷团队中,存在其固有的风险缓解结构和早期发现和补救缺陷的文化。
(2) 险管理工作没有跟上发展速度
企业的风险管理能力落后于其转型工作。与更新其风险框架以应对新的和更严重的风险相比,组织机构开展转型项目的频率要高得多,而风险和法律专业人员经常各自单独工作。因此,风险基础架构无法跟上创新的步伐。总体而言,大多数受访者评估自己组织的风险管理成熟度为一般,但超过75%的组织尚未对其开展的一半的数字化和分析转型项目进行正式的、全面的风险评估。令人惊讶的是,有14%的公司从未正式评估过这些项目的风险——这对老牌公司来说是一个很大的疏忽。
(3) 企业不清楚如何管理数字化风险
与财务风险管理不同,在财务风险管理中,企业往往会设置明确的角色和流程(例如模型风险管理),而我们所调查的公司都没有设立明确的角色、流程,甚至对数字化和分析项目风险要素没有统一的理解。主管们表示,他们在管理数字化和分析项目风险时面临的最大挑战就是识别风险。这一挑战印证了一句格言:“您无法管理那些自己无法衡量的东西。”
值得注意的是,该调查结果显示,IT支出额度与数字化和分析转型项目的总体风险管理成熟度之间几乎没有关系。简而言之,预算规模并不能解决这些挑战。
(4) 角色和责任不够明确
在哪个部门应负责应对数字化和分析转型项目风险上,受访者几乎没有形成一致的看法。对于几乎所有受访者来说,首席信息官或首席数据官都在负责领导数字化和分析转型工作;然而,受访者在谁来负责识别和降低相关风险上并没有形成一致的看法。对于超过40%的受访者而言,这一任务落在了负责数字化和分析转型工作领导身上。不幸的是,这些人常常对内在的风险因素缺乏详细的了解,但却获得激励去“完成转型工作”。即使对于那些真正关注风险管理的人而言,责任也被认为是次要的,而完成项目才是更重要的。
(5) 领先企业会运用一系列有效的实践和工具来管理风险
在麦肯锡的调查中,具有最高风险管理成熟度的公司可以更轻松地管理数字化和分析转型项目。这些公司更有可能使其风险管理职能集中化或自动化,并且它们会使用一系列实践和工具进行汇报,以识别和降低其数字化和分析转型项目中的风险。
以下是主管们提到的最重要方法:
(1) 重新设计流程并对员工重新培训。在不同行业和地区的受访者中,分别有74%和69%的人提到了这些做法,使其成为管理数字化和分析转型项目中最受欢迎的方法。这些做法对于敏捷工作方式尤其重要。如果实施得当的话,这些方法对于使用敏捷方式来降低技术风险是至关重要的。敏捷方式可以让企业自动组建团队,或者以更少的精力部署新工具,并且可以及早发现和补救其企业文化中固有的缺陷。
(2) 正式的风险评估。企业没有进行这些必要的大范围评估工作;但进行此类评估工作的公司表示,他们对数字化和分析转型项目所面临风险的认识增加了75%。正式的风险评估还与更高的风险管理水平和更高的风险管理成熟度相关。
(3) 自动反馈循环。拥有风险管理能力的公司其风险成熟度得分比平均水平高出30%以上。
(4) 集中化。风险管理得分最高的公司更有可能通过一个单一的、集中的来源而非多个来源跟踪数字化和分析项目的风险。
管理数字化和分析转型项目风险方面的痛点
受访者还描述了他们在识别和降低风险方面的最大痛点。
(1) 认识风险
48%的受访者表示,他们最关注的问题是了解与数字化和分析转型项目相关的风险。许多负责转型项目的主管基本上都是很盲目的:风险归属权都不明确,对复杂和不断变化的技术和监管环境没有进行很好的理解,设计和测试计划在工作流程中并没有尽早考虑风险。与金融风险不同,非金融风险很难进行基准测试,也没有统一标准来管理风险。
(2) 快速管理变更
数字化和分析转型项目常常通过敏捷和其他方式快速交付。如果传统的风险管理实践没有随着新的工作方式而进行转变,那么这些实践可能会带来延误,威胁到雄心勃勃的工作时间表。在某些情况下,由于存在不可预见的相互依赖性,即使遵循一些新策略也会产生问题。例如,某家北美分销商启动了一个分析转型项目,并在该项目的实施阶段还制定了新的信息安全策略。突然,所有转型项目的相关工作都要服从于该新策略,这意味着必须每天记录数据,将其保存在云端,而且要在30天后删除。由于数据处理流程发生这些变化,使该转型项目推迟了四个星期,导致超过2000万美元的损失,这是与新的数字化工作方式直接相关的财务风险。应设计、实施和支持风险管理工作,以使风险管理工作与数字化和分析转型项目团队的工作进度保持同步,并应避免这些和其他类似风险。
(3) 利用资源
近三分之一的受访者指出,在优先考虑风险识别和管理工作方面,缺乏来自高管或其他利益相关者的鼓励或支持。创造短期收益比管理内在风险更重要。当然,后者对于维持长期价值至关重要。超过一半的受访者在利用所需的人才和能力来改进风险管理工作时面临资源限制。企业在部署适合的工具和流程方面也很艰难。例如,一些组织机构仍使用电子表格来手动管理数字化和分析转型项目风险。即使是那些使用更高级工具的组织机构也无法在整个组织范围内都保持使用同样的工具。
(4) 克服运营方面的限制
在数字化和分析转型项目中,整个组织必须进行培训,以使用新的方式(例如敏捷方式)开展工作,并对降低新风险保持警惕。数字化和分析转型项目的一个常见的目标是更好地为终端用户提供服务,他们通常是风险管理链中最薄弱的一环。低风险意识可能使企业面临与新的数字化和分析工具及流程相关的重大风险。一线用户的失误甚至可能带来风险,例如,错误地授予了访问权限。
IT基础架构也可能成为运营工作受到限制的来源。数字化和分析转型项目会部署新系统和关闭遗留系统,但组织机构有时缺乏足够的培训和经验来管理新系统的补丁程序和漏洞。遗留系统(如果未正确停用)还可能会留下漏洞,恶意攻击者以后可能会利用这些漏洞。例如,某家公司出于科研目的在数据中心中部署了一种硬件,但在常规的补丁周期中没有为该设备安装补丁程序。在该设备上的漏洞被攻击者利用后,恶意软件蔓延到整个数据中心,导致数据丢失,系统无法使用。云迁移可以降低甚至消除许多这类风险,但前提是正确地进行云迁移,而且将安全性作为其核心工作的一部分。
数字化和分析转型项目的框架
数字化和分析转型项目带来的风险可能不同于公司通常所面临的风险,或者说这些风险可能是高频率发生和存在重大影响的传统风险。幸运的是,大多数公司已经具备避免这些风险的基础:他们现有的企业风险管理基础架构已用于应对财务和监管风险。企业风险管理通常包括几项常见的工作:
- 制定一个成熟的企业风险框架
- 通过分类法、风险偏好、报告和关键风险指标来建立一个有效的风险管理策略
- 建立有风险意识的组织和运营模式(包括相关的三道防线),并整合所需的资源和人才
- 建立风险管理流程
- 创建风险文化
这些工作对于数字化和分析转型项目至关重要。然而,这些工作必须与数字化和分析团队一起进行变革。这是因为风险管理工作必须与快速变化的数字化风险环境保持同步,以持续降低风险,同时又不能减缓业务发展速度。我们的框架可使组织机构更轻松地做到这一点。该框架由四个步骤组成,这些步骤可定义、实施、嵌入和加强转型项目的各个要素。该框架可促进建立一种动态方法,有助于使现有的企业风险管理(ERM)基础架构适应不断增加的风险缓解信息和操作。在该框架内,组织机构可设计转型项目的各项工作和进行适当的干预。随着工作方式、风险偏好、风险暴露和人才需求的变化,该框架也会不断更新。
- 定义:第一步,组织机构将其现有风险管理框架(以解决诸如金融和监管风险等传统风险)中特定技术元素应用到转型项目环境中。没有企业风险管理框架的组织将需要从该框架着手,理想情况下,创建一个具体的转型框架来解决数字化和分析项目风险。其目的是通过具有清晰的分类法、明确的风险负责人、可用的控制措施和资源以及该项目的管理结构的相关风险矩阵来阐明风险和提出可能的解决方案。
- 实施:第二步,转型项目负责人要与风险领域专家或风险卓越中心合作,将风险管理的研究假设转化为解决方案。具体工作可能包括采用软件和数据控件,验证算法模型,实施系统和基础架构的补丁,培训一线技术人员相关的网络安全实践,以及通过缺陷和单元测试来验证产品的韧性。作为此步骤的组成部分,各团队还要根据明确定义的指标(例如关键风险指标和关键绩效指标)开始编写风险报告,这些指标不仅可以严格评估风险工作的有效性,还可以严格评估风险管理的效率。
- 嵌入:此步骤旨在将风险管理工作(包括测试结果、风险评估、事件报告和绩效评估)中获取的经验教训嵌入到现有的管理实施运作模式、流程、治理以及(如果需要的话)组织设计中。在此步骤中,根据这些经验教训,将设计出一些新的降低风险的方案。转型团队和转型部门中的一线同事都已接受了有关风险意识、风险识别和降低风险的全面培训。
- 加强:在该工作周期的最后一步,转型团队通过将这些做法固化在人才管理和文化变革中,以加强和扩大缓解风险的这些实践。他们还会将关键的见解、学到的知识和新风险反馈给核心风险管理团队,以根据需要更新风险基础架构,同时将外部获取的信息和反馈信息应用到“定义”步骤中。这会使风险管理、风险缓解和绩效与转型工作保持同步。
框架和转型角色的好处
该框架使企业能够系统地管理数字化和分析转型项目的风险,从而该框架与组织的创新工作保持同步。它会吸收来自一线员工的经验教训,以改进概念矩阵,并随着转型过程调整风险管理方法。它还会与敏捷工作模式相结合,以实现更好的风险管理,鼓励协作,并营造更好的风险文化。
通过采用这种方法,企业已经看到了风险缓解的显著效果和风险管理效率。尽管尚处于早期阶段,但该方法有望为风险管理人员和转型团队带来更多好处。
为了给该框架提供支持和将其方法付诸实践,企业还需要为数字化和分析转型项目风险来设定一些角色和职责:
- 数字化和分析转型项目领导:该角色负责提交数字化和分析转型项目的各项工作。
- 数字化和分析转型项目风险负责人:该角色负责所有转型项目的风险。
- 转型工作团队:这些团队通常以敏捷方式工作,并已拥有风险管理工作的相关资源。
- 转型产品客户:这些人是转型后的产品、服务和功能的最终用户;这些变化可能会影响转型项目的风险偏好和风险态势。
- 企业风险管理和控制合作伙伴团队:转型项目风险领导要与企业风险管理小组和单个管控合作伙伴小组紧密合作,以确保在企业层面已考虑到这些转型项目风险,并在转型层面上也考虑了企业的风险。
- 转型风险经理:风险经理专门负责变革风险以及数字化和分析转型项目中产生的风险。他会与一线转型团队密切合作,并在转型项目的早期规划阶段参与设计风险控制措施。
- 转型项目发起人:总体转型项目的发起人应在整个变革过程中参与其中。
在大多数情况下,设立这些角色不需要增加人员。企业发现现有团队成员已准备好并希望承担这些职责。这些人员可能需要一些培训才能完全发挥作用,但通常大多数团队成员都有积极性接受此类培训,因为他们清楚在转型工作中所产生或加剧的风险。
最后,企业必须提高组织内部对数字化和分析项目风险的意识,包括在高管团队和董事会中。同样,企业必须将数字化和分析项目风险管理充分纳入其正式的风险管理模式中。
在如今的商业环境中,数字化和分析转型项目是企业成功的核心。然而,如果在没有采用正确的风险管理方法的情况下开展转型项目,则企业只会是解决一系列问题后,可能又面临一系列更大的问题。随着数字化和分析功能变得日益普及,那些可以从其数字化和分析转型项目中获得最长期价值的公司能够实现其目标,而且还能够系统地识别、理解和降低相关风险。
