许多企业在适应新的工作、员工管理和客户服务方式,希望能够获得所需的所有技术型优势。它们正在向云计算、电子商务、数字供应链、人工智能及机器学习、数据分析以及能够带来效率和创新的其他领域迈出更大的步伐。
与此同时,企业在竭力避免管理风险——带来新机遇的数字化项目也可能会带来种种风险,比如安全泄密、法规遵守未到位以及其他问题。结果是,进行创新的需求与缓解风险的需求长期存在冲突。
医疗保健提供商Intermountain Healthcare的首席信息官Ryan Smith说:“管理风险与参与数字化转型工作之间始终会存在一定程度的紧张局势。”
Smith说:“随着企业组织转而让消费者和员工更容易通过数字化手段访问个人和业务信息,这带来了全新的风险,与开展业务的传统方式相比,必须缓解这些风险。这些新的参与模式因数字化转型而成为实现,需要不同的风险管理方法。”
下面介绍数字化转型工作可能带来的四大方面的风险以及企业应对这些风险的方法。
多云或混合云基础架构
更多的企业组织在转向由多个云服务支持的IT环境,这些云服务常常来自多家提供商。这可能包括软件即服务(SaaS)、平台即服务(PaaS)或基础架构即服务(IaaS)等产品。
不管使用哪种类型的云,将重要数据和应用程序托管在本组织自身防御边界之外都会带来相当大的风险,牵涉多个位置、服务或供应商时更是如此。除了数据丢失或被盗外,企业还可能遇到数据隐私法规方面的问题,更不用说糟糕的云管理实践导致成本超支这一风险了。
技术研究和咨询公司ISG的合伙人Ola Chowning说:“我们在这里看到的最常见的风险涉及云环境的治理:哪家云提供商?哪种协议?创建、利用率和规模等方面设定的阈值,以便开发环境优化使用情况。”她补充道,一开始就处理诸如此类的治理问题比实施后再处理要容易得多。
Emal Ehsan是全球管理咨询公司科尔尼旗下商业分析咨询公司Cervello的主管,他表示,多云战略“往往带来更高的复杂性以及脱节的管理和自动化工具。”这种复杂性可能会带来业务中断的风险。
此外,IT服务历来是从企业自建和运营的数据中心采购的,而IT部门负责监督采购过程。而现在,Intermountain的Smith表示,PaaS之类的云服务未经过架构或安全审查就很容易被业务用户采购和部署。IT和业务部门负责人需要了解通过控制开启哪些服务,供用户使用来缓解这一风险。
Smith说:“最佳实践是确保对于所有请求的云服务而言,这些服务在任何IaaS、PaaS或SaaS供应商平台上都经过了适当的架构和安全审查,之后才可以获准用于企业中。向企业组织提供任何关于公共云供应商的工具之前,必须建立指导和防护机制,包括针对所有使用情况的日常监控。”
Smith表示,IT、网络安全和法务部门都须齐心协力,面对业务用户采购和使用新型云服务的所有举措做到抢先一步。
数字化供应链和销售渠道
许多企业日益依赖众多技术来增强和管理供应链,包括端到端数字化连接、云服务、区块链、机器人、自动驾驶汽车和高级分析工具等。
供应链的这种数字化转型不仅可以提高效率和可见性,减少错误及降低成本,加强与业务伙伴的合作以及改进流程,还会带来风险,包括数据丢失。
Smith表示,参与企业对企业(B2B)数字化服务的有关方可以采用多种风险缓解方法,包括与合作伙伴制订全面的业务协议,以兼顾种种风险和责任。企业还可以建立网络安全和数据隐私控制机制,以确保数据的传输和存储很安全。
Smith说:“企业通常要求监控这些B2B连接,以确保政策和程序得到遵守。此外,最佳实践建议企业经常进行第三方风险评估,以确保数字化供应链的所有参与者都遵守行业安全和隐私方面的要求和标准。”
企业也更加依赖数字化销售渠道,比如电子商务、电子邮件、文本、移动应用程序和线上活动,以覆盖客户或准客户。
ISG合伙人Ola Chowning说:“我们在这里经常看到的风险是,多渠道战略方面缺乏明确性,或者如果完全转向数字化,缺少帮助另一端的合作伙伴、客户和消费者实现转变的战略。如果没有全面概述的战略来推动优先事项和投入,企业组织可能会发现处于优先事项不断调整的境地,实际上没有任何一个渠道取得进展。”
Chowning表示,建立多条数字化渠道的一些工作甚至演变成了一种内讧。“让多个渠道交由同一个领导团队负责常常是非常重要的缓解策略,有助于避免内讧现象。”
物联网
制造、医疗保健、零售及其他行业的企业已开始了大规模部署物联网技术,以跟踪资产位置、监控设备性能以及收集产品使用数据等。
潜在的好处引人注目,包括提高供应链和工厂的效率、改善设备和产品的维护、增强客户体验,以及通过避免货物丢失来降低成本。但是风险也很高。比如说,分布式拒绝服务攻击已经被归咎于联网设备,物联网战略引入了众多的攻击入口点,包括联网设备本身。
企业内部的联网设备可能包括各种设备,从暖通空调系统、服务器及其他IT设备,到车辆、照明系统、恒温器和电器,不一而足。Smith表示,企业组织需要想方设法保护联网设备并缓解风险,以限制这些设备与其他设备之间的连接,在一些情况下要将它们放在单独的网络中。
Smith说:“此外,还需要格外用心地与设备制造商密切协调,以帮助确保这些类型的设备版本最新,做好给操作系统打补丁的工作,要有适当的控制措施来确保安全。”
其他最佳实践包括签署合同,要求设备制造商提供保持设备版本最新和安全可靠的方法,以及扫描公司网络,检测物联网设备是否有可疑活动的迹象。
自动化和分析
由于许多企业竭力加快运营速度、减少错误和降低成本,正竞相使耗费时间且劳动密集型的手动流程实现自动化。
人工智能和机器人流程自动化(RPA)等技术有助于自动处理数据输入之类的任务,从而显著改进处理业务流程的方式,但它们也会带来风险。
Smith表示,分析、人工智能和机器学习方面的主要风险因素是数据科学家用来训练模型的数据集和生成这些模型所用的平台。
Smith表示,风险缓解措施多种多样,从精心设计的合同以管理大数据合作伙伴关系,将数据集所使用的数据限制在必要的最低限度,到尽可能使用匿名化数据,不一而足。
自动化的一些风险可能来自无法足够快速地扩展或无法达到预期目标。
Cervello的Ehsan说:“眼下自动化生态系统正在经历重大变化。回顾过去,它始于流程外包,然后是流程优化、精益方法、六西格玛,再到RPA。我们现在看到的是RPA和人工智能融合,以解决复杂的业务问题。”
Ehsan表示,人工智能和RPA的这种融合正带来新的可能性和使用场景,而这些在过去是不可能的,比如借助1750亿个机器学习参数智能化处理文档,或者使用神经网络和深度学习来检测交易或事务中的异常。
Ehsan表示,企业组织应及早设定自动化方面的预期目标,让业务和IT部门的利益相关者参与进来,以了解自动化的潜在好处、功能和用途。然后,它们应该引入侧重于这些好处的短平快试点项目。
Ehsan说:“雇用员工或聘请顾问,尽早利用技能娴熟的人员,以落实治理、框架、变更管理及传达、模板、业务部门参与、业务方案制订和投资回报率计算等方面的工作。”
实际的数字化风险缓解
对于任何数字化转型项目,企业组织都应该通过IT、安全、风险管理、法务和其他相关部门的合作,全面评估风险,包括与他们要使用的技术平台相关的风险。通过确定哪些是最大的风险,IT和安全负责人就能从这个角度来着手开展转型项目。
制造系统提供商Park Industries在开展几个数字化转型项目,包括业务流程自动化、企业系统集成、云迁移以及与物联网相关的数据分析。
Park Industries的IT主管David Lloyd说:“处理这些转型项目时,信息安全和数据质量是两个最大的风险。拥有一项全面的数据战略(包括安全、基于角色的权限以及确定单一数据来源),则有助于缓解这些风险。”
Smith表示,大多数组织已经认识到,充分利用云计算、人工智能、物联网及其他技术可以带来很大的好处,比如提高业务灵活性、增强服务的可扩展性以及降低成本。他说:“然而必须实施全新的风险管理方法,以支持这些变革性能力。”
