信息化觀察網(wǎng)

盡管數(shù)字化和先進(jìn)分析技術(shù)的好處已顯而易見，但其往往也隱藏著風(fēng)險(xiǎn)。

某家銀行正在進(jìn)行數(shù)字化轉(zhuǎn)型項(xiàng)目，其早期階段進(jìn)展順利。他們已成功地將其開發(fā)團(tuán)隊(duì)轉(zhuǎn)變?yōu)槊艚輬F(tuán)隊(duì)，而且主管們對由此帶來的速度和工作效率提升感到很興奮。但在幾周內(nèi)，領(lǐng)導(dǎo)層發(fā)現(xiàn)軟件開發(fā)人員一直在走一條工作流程捷徑，導(dǎo)致客戶的用戶名和密碼容易遭到黑客攻擊。之后其轉(zhuǎn)型團(tuán)隊(duì)解決了這一問題，但隨后該銀行遭遇了另一種黑客攻擊，使其客戶數(shù)據(jù)的安全性遭到破壞。在發(fā)現(xiàn)錯(cuò)誤之前，某些應(yīng)用程序已經(jīng)運(yùn)行了數(shù)周，因?yàn)樵诓渴鹬皼]有設(shè)置適當(dāng)?shù)谋O(jiān)控措施來識別安全問題。這意味著該銀行不知道誰可能訪問了這些敏感的客戶數(shù)據(jù)，也不知道這些數(shù)據(jù)可能泄露的程度和范圍有多大。這一問題非常嚴(yán)重，以至于使整個(gè)轉(zhuǎn)型工作都處于危險(xiǎn)之中。其首席執(zhí)行官威脅說，如果他們無法提高應(yīng)用程序開發(fā)的安全性，則將結(jié)束該轉(zhuǎn)型項(xiàng)目，并將開發(fā)團(tuán)隊(duì)恢復(fù)為瀑布開發(fā)方式。

該銀行的經(jīng)歷并不罕見。各個(gè)行業(yè)的公司都在開啟數(shù)字化和分析轉(zhuǎn)型項(xiàng)目，以使各項(xiàng)服務(wù)和流程數(shù)字化，通過敏捷方式和自動化提高效率，提高客戶參與度，并使用新的分析工具。然而，大多數(shù)這些轉(zhuǎn)型項(xiàng)目都沒有采取任何正規(guī)的方法來識別和管理相關(guān)風(fēng)險(xiǎn)。許多項(xiàng)目在新流程中設(shè)置了很少的管控措施，變更計(jì)劃不夠完善(或根本沒有)，并且常常缺乏來自安全、隱私、風(fēng)險(xiǎn)和法律團(tuán)隊(duì)的參與設(shè)計(jì)。因此，各個(gè)公司在網(wǎng)絡(luò)安全、技術(shù)債務(wù)、先進(jìn)分析技術(shù)和運(yùn)營彈性等方面就產(chǎn)生了隱藏的非財(cái)務(wù)風(fēng)險(xiǎn)。新冠疫情及其管控措施只會加劇這一問題，迫使各個(gè)組織快速進(jìn)行創(chuàng)新，以滿足居家辦公和其他數(shù)字化需求。

最近，麥肯錫公司對來自全球各行業(yè)的100位企業(yè)數(shù)字化和分析轉(zhuǎn)型項(xiàng)目負(fù)責(zé)人進(jìn)行了調(diào)查，以更好地了解這一問題的范圍。盡管數(shù)字化和先進(jìn)分析技術(shù)的好處已顯而易見，但常常仍隱藏著風(fēng)險(xiǎn)。從麥肯錫公司的調(diào)查和隨后的訪談中，發(fā)現(xiàn)了一些重要的結(jié)果：

1.目前，各個(gè)行業(yè)的組織都在廣泛開展數(shù)字化和分析轉(zhuǎn)型項(xiàng)目。

2.風(fēng)險(xiǎn)管理還沒有跟上數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的發(fā)展步伐，這一差距正在拉開，而這一差距只有通過大規(guī)模的創(chuàng)新才能得以彌合。

3.新冠疫情環(huán)境加劇了風(fēng)險(xiǎn)管理需求與現(xiàn)有能力之間的不均衡。

4.大多數(shù)公司都不確定如何來管理數(shù)字化風(fēng)險(xiǎn)。然而，領(lǐng)先的組織機(jī)構(gòu)已經(jīng)設(shè)立了組織責(zé)任制，并實(shí)行了一系列有效的做法。

麥肯錫公司已經(jīng)想出了解決這些調(diào)查結(jié)果中所隱含難題的方法。其中包括一個(gè)新的四步框架，用于定義、實(shí)施、嵌入和加強(qiáng)解決方案;一些輔助方法可以加快一線團(tuán)隊(duì)實(shí)現(xiàn)其風(fēng)險(xiǎn)管理的有效性和效率;以及一個(gè)基于云計(jì)算的診斷評估和跟蹤工具。該工具旨在幫助公司在企業(yè)和產(chǎn)品層面更好地識別、評估、降低和衡量由數(shù)字化和分析轉(zhuǎn)型項(xiàng)目所產(chǎn)生和加劇的非財(cái)務(wù)風(fēng)險(xiǎn)。

幸運(yùn)的是，利用這些方法，大多數(shù)公司不必從頭開始。他們可以使用其現(xiàn)有的企業(yè)風(fēng)險(xiǎn)管理(ERM)基礎(chǔ)架構(gòu)。該架構(gòu)通常用于應(yīng)對財(cái)務(wù)和監(jiān)管風(fēng)險(xiǎn)，但也可通過改造變得更加敏捷和更具適應(yīng)性，以滿足數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的風(fēng)險(xiǎn)管理需求。

數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的優(yōu)勢是真實(shí)存在的，但風(fēng)險(xiǎn)也同樣存在。

通過了解麥肯錫經(jīng)過研究所獲得的見解和采用此處所述的方法，企業(yè)可以實(shí)現(xiàn)數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的價(jià)值，同時(shí)還可以保護(hù)其組織和客戶。最終，企業(yè)可以激發(fā)出更富于成效的團(tuán)隊(duì)關(guān)系，并通過長期保留其轉(zhuǎn)型工作的影響，為公司創(chuàng)造可持續(xù)的競爭優(yōu)勢。

一系列新的(和代價(jià)高昂的)風(fēng)險(xiǎn)

大多數(shù)公司似乎對數(shù)字化和分析轉(zhuǎn)型項(xiàng)目所產(chǎn)生和加劇的非財(cái)務(wù)風(fēng)險(xiǎn)幾乎無所作為。這些風(fēng)險(xiǎn)的范圍很廣。數(shù)字化和分析轉(zhuǎn)型項(xiàng)目通常部署在整個(gè)組織范圍內(nèi)，涉及許多部門和第三方。諸如技能、思維方式和工作方式等軟性因素，以及諸如技術(shù)、基礎(chǔ)架構(gòu)和數(shù)據(jù)流等硬性因素，都將在這一轉(zhuǎn)型過程中立即發(fā)生改變。

一些傳統(tǒng)風(fēng)險(xiǎn)在大多數(shù)項(xiàng)目中更為常見，包括那些由預(yù)算和進(jìn)度超出、人才(員工和第三方，包括承包商、供應(yīng)商和合作伙伴)、IT績效以及合規(guī)性和法規(guī)問題引起的風(fēng)險(xiǎn)。然而，數(shù)字化和分析轉(zhuǎn)型項(xiàng)目還帶來了新的網(wǎng)絡(luò)風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)以及人工智能(AI)應(yīng)用帶來的風(fēng)險(xiǎn)。數(shù)字化和分析項(xiàng)目需要從更廣泛的來源收集更詳細(xì)的數(shù)據(jù)。然后，這些數(shù)據(jù)會被用于組織內(nèi)的不同部門以產(chǎn)生見解。這些移動的數(shù)據(jù)會在數(shù)據(jù)可用性、位置、訪問和隱私方面產(chǎn)生固有的風(fēng)險(xiǎn)。運(yùn)營彈性的風(fēng)險(xiǎn)來源包括新的IT服務(wù)和向云端的遷移。預(yù)測性分析模型可能會偏離或脫離該項(xiàng)目的最初側(cè)重點(diǎn)，使組織機(jī)構(gòu)面臨法律責(zé)任或信譽(yù)風(fēng)險(xiǎn)。如果處理不當(dāng)，此類風(fēng)險(xiǎn)可能導(dǎo)致犯下代價(jià)高昂的錯(cuò)誤，遭到監(jiān)管處罰和消費(fèi)者強(qiáng)烈抵制。

由新冠病毒危機(jī)引起的業(yè)務(wù)中斷使這些額外的風(fēng)險(xiǎn)更加復(fù)雜。從某種意義上說，這次新冠疫情引發(fā)了歷史上最大規(guī)模的數(shù)字化和分析轉(zhuǎn)型浪潮，將原本需要數(shù)年才能完成的轉(zhuǎn)型項(xiàng)目壓縮到數(shù)月之內(nèi)(甚至數(shù)周內(nèi))，而且往往沒有事先規(guī)劃。在新冠疫情發(fā)生之前，大多數(shù)組織機(jī)構(gòu)都有一些安全策略和培訓(xùn)。然而，很少有組織就如何安全地設(shè)置遠(yuǎn)程辦公環(huán)境，或如何解決與快速獲取和部署新工具相關(guān)的其他風(fēng)險(xiǎn)制定詳細(xì)的策略或進(jìn)行培訓(xùn)。

例如，某家石油和天然氣公司必須劃分其虛擬專用網(wǎng)絡(luò)以擴(kuò)展帶寬，這樣所有員工都可以在家中訪問公司網(wǎng)絡(luò)。這導(dǎo)致在員工筆記本電腦上安裝補(bǔ)丁程序的速度減慢，從而使公司暴露出一些攻擊者常常利用的漏洞。

某家電信公司讓其呼叫中心員工在家辦公，但具體政策由團(tuán)隊(duì)經(jīng)理制定。其結(jié)果是30%的員工被允許使用不安全的個(gè)人設(shè)備進(jìn)行遠(yuǎn)程連接，從而使公司暴露在“自帶設(shè)備”攻擊的風(fēng)險(xiǎn)之中。同樣，某家銀行發(fā)現(xiàn)，員工在其家用打印機(jī)上打印文檔，而且通過不安全的家用路由器傳輸公司數(shù)據(jù)，而眾所周知的是，這很容易遭到黑客的攻擊。另一家公司對員工使用“智能家居”語音識別設(shè)備表示擔(dān)憂，因?yàn)檫@些設(shè)備可以在高管的家庭辦公室中對視頻通話的內(nèi)容進(jìn)行錄音。

人工智能還有望重新定義企業(yè)的運(yùn)營方式，并已經(jīng)在一系列重要職能部門中釋放出數(shù)據(jù)的力量。但人工智能的合規(guī)性和信譽(yù)風(fēng)險(xiǎn)對傳統(tǒng)的風(fēng)險(xiǎn)管理職能部門仍是一個(gè)挑戰(zhàn)。

我們現(xiàn)在工作方式的迅速變化已引起了各種擔(dān)憂。當(dāng)前的風(fēng)險(xiǎn)管理能力還不足以解決這些擔(dān)憂，因?yàn)檫@些都是新出現(xiàn)的風(fēng)險(xiǎn)，而且呈指數(shù)級增長。這就需要一種新的風(fēng)險(xiǎn)管理方法。

數(shù)字化和分析轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)管理簡述

“麥肯錫全球調(diào)查”的結(jié)果讓我們對數(shù)字化和分析轉(zhuǎn)型項(xiàng)目所面臨的風(fēng)險(xiǎn)以及企業(yè)如何管理這些風(fēng)險(xiǎn)有了一個(gè)全面的了解。從參與轉(zhuǎn)型項(xiàng)目的人員中可以發(fā)現(xiàn)幾個(gè)要點(diǎn)。

轉(zhuǎn)型項(xiàng)目在各個(gè)行業(yè)變得司空見慣

受訪者在過去三年中平均完成了六個(gè)轉(zhuǎn)型項(xiàng)目，并設(shè)定了一系列目標(biāo)。超過80%的公司至少實(shí)施了一次端到端的客戶旅程轉(zhuǎn)型項(xiàng)目，而70%的公司開發(fā)了新的數(shù)字化主張和生態(tài)系統(tǒng)。組織機(jī)構(gòu)也在調(diào)整其運(yùn)營模式以支持這些變化。大約80%的公司打算在未來三年內(nèi)讓多達(dá)30個(gè)團(tuán)隊(duì)采用敏捷工作方式;其余20%的公司正在將30多個(gè)團(tuán)隊(duì)轉(zhuǎn)變?yōu)槊艚輬F(tuán)隊(duì)。當(dāng)然，這意味著麥肯錫所調(diào)查的所有100家公司都打算在未來幾年內(nèi)采用或擴(kuò)大規(guī)模采用敏捷工作方式。如果做得好，這對于風(fēng)險(xiǎn)管理人員來說是一個(gè)好消息，因?yàn)樵诠芾砹己玫拿艚輬F(tuán)隊(duì)中，存在其固有的風(fēng)險(xiǎn)緩解結(jié)構(gòu)和早期發(fā)現(xiàn)和補(bǔ)救缺陷的文化。

風(fēng)險(xiǎn)管理工作沒有跟上發(fā)展速度

企業(yè)的風(fēng)險(xiǎn)管理能力落后于其轉(zhuǎn)型工作。與更新其風(fēng)險(xiǎn)框架以應(yīng)對新的和更嚴(yán)重的風(fēng)險(xiǎn)相比，組織機(jī)構(gòu)開展轉(zhuǎn)型項(xiàng)目的頻率要高得多，而風(fēng)險(xiǎn)和法律專業(yè)人員經(jīng)常各自單獨(dú)工作。因此，風(fēng)險(xiǎn)基礎(chǔ)架構(gòu)無法跟上創(chuàng)新的步伐。總體而言，大多數(shù)受訪者評估自己組織的風(fēng)險(xiǎn)管理成熟度為一般，但超過75%的組織尚未對其開展的一半的數(shù)字化和分析轉(zhuǎn)型項(xiàng)目進(jìn)行正式的、全面的風(fēng)險(xiǎn)評估。令人驚訝的是，有14%的公司從未正式評估過這些項(xiàng)目的風(fēng)險(xiǎn)——這對老牌公司來說是一個(gè)很大的疏忽。

企業(yè)不清楚如何管理數(shù)字化風(fēng)險(xiǎn)

與財(cái)務(wù)風(fēng)險(xiǎn)管理不同，在財(cái)務(wù)風(fēng)險(xiǎn)管理中，企業(yè)往往會設(shè)置明確的角色和流程(例如模型風(fēng)險(xiǎn)管理)，而我們所調(diào)查的公司都沒有設(shè)立明確的角色、流程，甚至對數(shù)字化和分析項(xiàng)目風(fēng)險(xiǎn)要素沒有統(tǒng)一的理解。主管們表示，他們在管理數(shù)字化和分析項(xiàng)目風(fēng)險(xiǎn)時(shí)面臨的最大挑戰(zhàn)就是識別風(fēng)險(xiǎn)。這一挑戰(zhàn)印證了一句格言：“您無法管理那些自己無法衡量的東西。”

值得注意的是，該調(diào)查結(jié)果顯示，IT支出額度與數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的總體風(fēng)險(xiǎn)管理成熟度之間幾乎沒有關(guān)系。簡而言之，預(yù)算規(guī)模并不能解決這些挑戰(zhàn)。

角色和責(zé)任不夠明確

在哪個(gè)部門應(yīng)負(fù)責(zé)應(yīng)對數(shù)字化和分析轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)上，受訪者幾乎沒有形成一致的看法。對于幾乎所有受訪者來說，首席信息官或首席數(shù)據(jù)官都在負(fù)責(zé)領(lǐng)導(dǎo)數(shù)字化和分析轉(zhuǎn)型工作;然而，受訪者在誰來負(fù)責(zé)識別和降低相關(guān)風(fēng)險(xiǎn)上并沒有形成一致的看法。對于超過40%的受訪者而言，這一任務(wù)落在了負(fù)責(zé)數(shù)字化和分析轉(zhuǎn)型工作領(lǐng)導(dǎo)身上。不幸的是，這些人常常對內(nèi)在的風(fēng)險(xiǎn)因素缺乏詳細(xì)的了解，但卻獲得激勵(lì)去“完成轉(zhuǎn)型工作”。即使對于那些真正關(guān)注風(fēng)險(xiǎn)管理的人而言，責(zé)任也被認(rèn)為是次要的，而完成項(xiàng)目才是更重要的。

領(lǐng)先企業(yè)會運(yùn)用一系列有效的實(shí)踐和工具來管理風(fēng)險(xiǎn)

在麥肯錫的調(diào)查中，具有最高風(fēng)險(xiǎn)管理成熟度的公司可以更輕松地管理數(shù)字化和分析轉(zhuǎn)型項(xiàng)目。這些公司更有可能使其風(fēng)險(xiǎn)管理職能集中化或自動化，并且它們會使用一系列實(shí)踐和工具進(jìn)行匯報(bào)，以識別和降低其數(shù)字化和分析轉(zhuǎn)型項(xiàng)目中的風(fēng)險(xiǎn)。

以下是主管們提到的最重要方法：

•重新設(shè)計(jì)流程并對員工重新培訓(xùn)。在不同行業(yè)和地區(qū)的受訪者中，分別有74%和69%的人提到了這些做法，使其成為管理數(shù)字化和分析轉(zhuǎn)型項(xiàng)目中最受歡迎的方法。這些做法對于敏捷工作方式尤其重要。如果實(shí)施得當(dāng)?shù)脑?，這些方法對于使用敏捷方式來降低技術(shù)風(fēng)險(xiǎn)是至關(guān)重要的。敏捷方式可以讓企業(yè)自動組建團(tuán)隊(duì)，或者以更少的精力部署新工具，并且可以及早發(fā)現(xiàn)和補(bǔ)救其企業(yè)文化中固有的缺陷。

•正式的風(fēng)險(xiǎn)評估。企業(yè)沒有進(jìn)行這些必要的大范圍評估工作;但進(jìn)行此類評估工作的公司表示，他們對數(shù)字化和分析轉(zhuǎn)型項(xiàng)目所面臨風(fēng)險(xiǎn)的認(rèn)識增加了75%。正式的風(fēng)險(xiǎn)評估還與更高的風(fēng)險(xiǎn)管理水平和更高的風(fēng)險(xiǎn)管理成熟度相關(guān)。

•自動反饋循環(huán)。擁有風(fēng)險(xiǎn)管理能力的公司其風(fēng)險(xiǎn)成熟度得分比平均水平高出30%以上。

•集中化。風(fēng)險(xiǎn)管理得分最高的公司更有可能通過一個(gè)單一的、集中的來源而非多個(gè)來源跟蹤數(shù)字化和分析項(xiàng)目的風(fēng)險(xiǎn)。

管理數(shù)字化和分析轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)方面的痛點(diǎn)

受訪者還描述了他們在識別和降低風(fēng)險(xiǎn)方面的最大痛點(diǎn)。

認(rèn)識風(fēng)險(xiǎn)

48%的受訪者表示，他們最關(guān)注的問題是了解與數(shù)字化和分析轉(zhuǎn)型項(xiàng)目相關(guān)的風(fēng)險(xiǎn)。許多負(fù)責(zé)轉(zhuǎn)型項(xiàng)目的主管基本上都是很盲目的：風(fēng)險(xiǎn)歸屬權(quán)都不明確，對復(fù)雜和不斷變化的技術(shù)和監(jiān)管環(huán)境沒有進(jìn)行很好的理解，設(shè)計(jì)和測試計(jì)劃在工作流程中并沒有盡早考慮風(fēng)險(xiǎn)。與金融風(fēng)險(xiǎn)不同，非金融風(fēng)險(xiǎn)很難進(jìn)行基準(zhǔn)測試，也沒有統(tǒng)一標(biāo)準(zhǔn)來管理風(fēng)險(xiǎn)。

快速管理變更

數(shù)字化和分析轉(zhuǎn)型項(xiàng)目常常通過敏捷和其他方式快速交付。如果傳統(tǒng)的風(fēng)險(xiǎn)管理實(shí)踐沒有隨著新的工作方式而進(jìn)行轉(zhuǎn)變，那么這些實(shí)踐可能會帶來延誤，威脅到雄心勃勃的工作時(shí)間表。在某些情況下，由于存在不可預(yù)見的相互依賴性，即使遵循一些新策略也會產(chǎn)生問題。例如，某家北美分銷商啟動了一個(gè)分析轉(zhuǎn)型項(xiàng)目，并在該項(xiàng)目的實(shí)施階段還制定了新的信息安全策略。突然，所有轉(zhuǎn)型項(xiàng)目的相關(guān)工作都要服從于該新策略，這意味著必須每天記錄數(shù)據(jù)，將其保存在云端，而且要在30天后刪除。由于數(shù)據(jù)處理流程發(fā)生這些變化，使該轉(zhuǎn)型項(xiàng)目推遲了四個(gè)星期，導(dǎo)致超過2000萬美元的損失，這是與新的數(shù)字化工作方式直接相關(guān)的財(cái)務(wù)風(fēng)險(xiǎn)。應(yīng)設(shè)計(jì)、實(shí)施和支持風(fēng)險(xiǎn)管理工作，以使風(fēng)險(xiǎn)管理工作與數(shù)字化和分析轉(zhuǎn)型項(xiàng)目團(tuán)隊(duì)的工作進(jìn)度保持同步，并應(yīng)避免這些和其他類似風(fēng)險(xiǎn)。

利用資源

近三分之一的受訪者指出，在優(yōu)先考慮風(fēng)險(xiǎn)識別和管理工作方面，缺乏來自高管或其他利益相關(guān)者的鼓勵(lì)或支持。創(chuàng)造短期收益比管理內(nèi)在風(fēng)險(xiǎn)更重要。當(dāng)然，后者對于維持長期價(jià)值至關(guān)重要。超過一半的受訪者在利用所需的人才和能力來改進(jìn)風(fēng)險(xiǎn)管理工作時(shí)面臨資源限制。企業(yè)在部署適合的工具和流程方面也很艱難。例如，一些組織機(jī)構(gòu)仍使用電子表格來手動管理數(shù)字化和分析轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)。即使是那些使用更高級工具的組織機(jī)構(gòu)也無法在整個(gè)組織范圍內(nèi)都保持使用同樣的工具。

克服運(yùn)營方面的限制

在數(shù)字化和分析轉(zhuǎn)型項(xiàng)目中，整個(gè)組織必須進(jìn)行培訓(xùn)，以使用新的方式(例如敏捷方式)開展工作，并對降低新風(fēng)險(xiǎn)保持警惕。數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的一個(gè)常見的目標(biāo)是更好地為終端用戶提供服務(wù)，他們通常是風(fēng)險(xiǎn)管理鏈中最薄弱的一環(huán)。低風(fēng)險(xiǎn)意識可能使企業(yè)面臨與新的數(shù)字化和分析工具及流程相關(guān)的重大風(fēng)險(xiǎn)。一線用戶的失誤甚至可能帶來風(fēng)險(xiǎn)，例如，錯(cuò)誤地授予了訪問權(quán)限。

IT基礎(chǔ)架構(gòu)也可能成為運(yùn)營工作受到限制的來源。數(shù)字化和分析轉(zhuǎn)型項(xiàng)目會部署新系統(tǒng)和關(guān)閉遺留系統(tǒng)，但組織機(jī)構(gòu)有時(shí)缺乏足夠的培訓(xùn)和經(jīng)驗(yàn)來管理新系統(tǒng)的補(bǔ)丁程序和漏洞。遺留系統(tǒng)(如果未正確停用)還可能會留下漏洞，惡意攻擊者以后可能會利用這些漏洞。例如，某家公司出于科研目的在數(shù)據(jù)中心中部署了一種硬件，但在常規(guī)的補(bǔ)丁周期中沒有為該設(shè)備安裝補(bǔ)丁程序。在該設(shè)備上的漏洞被攻擊者利用后，惡意軟件蔓延到整個(gè)數(shù)據(jù)中心，導(dǎo)致數(shù)據(jù)丟失，系統(tǒng)無法使用。云遷移可以降低甚至消除許多這類風(fēng)險(xiǎn)，但前提是正確地進(jìn)行云遷移，而且將安全性作為其核心工作的一部分。

數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的框架

數(shù)字化和分析轉(zhuǎn)型項(xiàng)目帶來的風(fēng)險(xiǎn)可能不同于公司通常所面臨的風(fēng)險(xiǎn)，或者說這些風(fēng)險(xiǎn)可能是高頻率發(fā)生和存在重大影響的傳統(tǒng)風(fēng)險(xiǎn)。幸運(yùn)的是，大多數(shù)公司已經(jīng)具備避免這些風(fēng)險(xiǎn)的基礎(chǔ)：他們現(xiàn)有的企業(yè)風(fēng)險(xiǎn)管理基礎(chǔ)架構(gòu)已用于應(yīng)對財(cái)務(wù)和監(jiān)管風(fēng)險(xiǎn)。企業(yè)風(fēng)險(xiǎn)管理通常包括幾項(xiàng)常見的工作：

•制定一個(gè)成熟的企業(yè)風(fēng)險(xiǎn)框架

•通過分類法、風(fēng)險(xiǎn)偏好、報(bào)告和關(guān)鍵風(fēng)險(xiǎn)指標(biāo)來建立一個(gè)有效的風(fēng)險(xiǎn)管理策略

•建立有風(fēng)險(xiǎn)意識的組織和運(yùn)營模式(包括相關(guān)的三道防線)，并整合所需的資源和人才

•建立風(fēng)險(xiǎn)管理流程

•創(chuàng)建風(fēng)險(xiǎn)文化

這些工作對于數(shù)字化和分析轉(zhuǎn)型項(xiàng)目至關(guān)重要。然而，這些工作必須與數(shù)字化和分析團(tuán)隊(duì)一起進(jìn)行變革。這是因?yàn)轱L(fēng)險(xiǎn)管理工作必須與快速變化的數(shù)字化風(fēng)險(xiǎn)環(huán)境保持同步，以持續(xù)降低風(fēng)險(xiǎn)，同時(shí)又不能減緩業(yè)務(wù)發(fā)展速度。我們的框架可使組織機(jī)構(gòu)更輕松地做到這一點(diǎn)。該框架由四個(gè)步驟組成，這些步驟可定義、實(shí)施、嵌入和加強(qiáng)轉(zhuǎn)型項(xiàng)目的各個(gè)要素。該框架可促進(jìn)建立一種動態(tài)方法，有助于使現(xiàn)有的企業(yè)風(fēng)險(xiǎn)管理(ERM)基礎(chǔ)架構(gòu)適應(yīng)不斷增加的風(fēng)險(xiǎn)緩解信息和操作。在該框架內(nèi)，組織機(jī)構(gòu)可設(shè)計(jì)轉(zhuǎn)型項(xiàng)目的各項(xiàng)工作和進(jìn)行適當(dāng)?shù)母深A(yù)。隨著工作方式、風(fēng)險(xiǎn)偏好、風(fēng)險(xiǎn)暴露和人才需求的變化，該框架也會不斷更新。

•定義：第一步，組織機(jī)構(gòu)將其現(xiàn)有風(fēng)險(xiǎn)管理框架(以解決諸如金融和監(jiān)管風(fēng)險(xiǎn)等傳統(tǒng)風(fēng)險(xiǎn))中特定技術(shù)元素應(yīng)用到轉(zhuǎn)型項(xiàng)目環(huán)境中。沒有企業(yè)風(fēng)險(xiǎn)管理框架的組織將需要從該框架著手，理想情況下，創(chuàng)建一個(gè)具體的轉(zhuǎn)型框架來解決數(shù)字化和分析項(xiàng)目風(fēng)險(xiǎn)。其目的是通過具有清晰的分類法、明確的風(fēng)險(xiǎn)負(fù)責(zé)人、可用的控制措施和資源以及該項(xiàng)目的管理結(jié)構(gòu)的相關(guān)風(fēng)險(xiǎn)矩陣來闡明風(fēng)險(xiǎn)和提出可能的解決方案。

•實(shí)施：第二步，轉(zhuǎn)型項(xiàng)目負(fù)責(zé)人要與風(fēng)險(xiǎn)領(lǐng)域?qū)＜一蝻L(fēng)險(xiǎn)卓越中心合作，將風(fēng)險(xiǎn)管理的研究假設(shè)轉(zhuǎn)化為解決方案。具體工作可能包括采用軟件和數(shù)據(jù)控件，驗(yàn)證算法模型，實(shí)施系統(tǒng)和基礎(chǔ)架構(gòu)的補(bǔ)丁，培訓(xùn)一線技術(shù)人員相關(guān)的網(wǎng)絡(luò)安全實(shí)踐，以及通過缺陷和單元測試來驗(yàn)證產(chǎn)品的韌性。作為此步驟的組成部分，各團(tuán)隊(duì)還要根據(jù)明確定義的指標(biāo)(例如關(guān)鍵風(fēng)險(xiǎn)指標(biāo)和關(guān)鍵績效指標(biāo))開始編寫風(fēng)險(xiǎn)報(bào)告，這些指標(biāo)不僅可以嚴(yán)格評估風(fēng)險(xiǎn)工作的有效性，還可以嚴(yán)格評估風(fēng)險(xiǎn)管理的效率。

•嵌入：此步驟旨在將風(fēng)險(xiǎn)管理工作(包括測試結(jié)果、風(fēng)險(xiǎn)評估、事件報(bào)告和績效評估)中獲取的經(jīng)驗(yàn)教訓(xùn)嵌入到現(xiàn)有的管理實(shí)施運(yùn)作模式、流程、治理以及(如果需要的話)組織設(shè)計(jì)中。在此步驟中，根據(jù)這些經(jīng)驗(yàn)教訓(xùn)，將設(shè)計(jì)出一些新的降低風(fēng)險(xiǎn)的方案。轉(zhuǎn)型團(tuán)隊(duì)和轉(zhuǎn)型部門中的一線同事都已接受了有關(guān)風(fēng)險(xiǎn)意識、風(fēng)險(xiǎn)識別和降低風(fēng)險(xiǎn)的全面培訓(xùn)。

•加強(qiáng)：在該工作周期的最后一步，轉(zhuǎn)型團(tuán)隊(duì)通過將這些做法固化在人才管理和文化變革中，以加強(qiáng)和擴(kuò)大緩解風(fēng)險(xiǎn)的這些實(shí)踐。他們還會將關(guān)鍵的見解、學(xué)到的知識和新風(fēng)險(xiǎn)反饋給核心風(fēng)險(xiǎn)管理團(tuán)隊(duì)，以根據(jù)需要更新風(fēng)險(xiǎn)基礎(chǔ)架構(gòu)，同時(shí)將外部獲取的信息和反饋信息應(yīng)用到“定義”步驟中。這會使風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)緩解和績效與轉(zhuǎn)型工作保持同步。

框架和轉(zhuǎn)型角色的好處

該框架使企業(yè)能夠系統(tǒng)地管理數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的風(fēng)險(xiǎn)，從而該框架與組織的創(chuàng)新工作保持同步。它會吸收來自一線員工的經(jīng)驗(yàn)教訓(xùn)，以改進(jìn)概念矩陣，并隨著轉(zhuǎn)型過程調(diào)整風(fēng)險(xiǎn)管理方法。它還會與敏捷工作模式相結(jié)合，以實(shí)現(xiàn)更好的風(fēng)險(xiǎn)管理，鼓勵(lì)協(xié)作，并營造更好的風(fēng)險(xiǎn)文化。

通過采用這種方法，企業(yè)已經(jīng)看到了風(fēng)險(xiǎn)緩解的顯著效果和風(fēng)險(xiǎn)管理效率。盡管尚處于早期階段，但該方法有望為風(fēng)險(xiǎn)管理人員和轉(zhuǎn)型團(tuán)隊(duì)帶來更多好處。

為了給該框架提供支持和將其方法付諸實(shí)踐，企業(yè)還需要為數(shù)字化和分析轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)來設(shè)定一些角色和職責(zé)：

•數(shù)字化和分析轉(zhuǎn)型項(xiàng)目領(lǐng)導(dǎo)：該角色負(fù)責(zé)提交數(shù)字化和分析轉(zhuǎn)型項(xiàng)目的各項(xiàng)工作。

•數(shù)字化和分析轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)負(fù)責(zé)人：該角色負(fù)責(zé)所有轉(zhuǎn)型項(xiàng)目的風(fēng)險(xiǎn)。

•轉(zhuǎn)型工作團(tuán)隊(duì)：這些團(tuán)隊(duì)通常以敏捷方式工作，并已擁有風(fēng)險(xiǎn)管理工作的相關(guān)資源。

•轉(zhuǎn)型產(chǎn)品客戶：這些人是轉(zhuǎn)型后的產(chǎn)品、服務(wù)和功能的最終用戶;這些變化可能會影響轉(zhuǎn)型項(xiàng)目的風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)態(tài)勢。

•企業(yè)風(fēng)險(xiǎn)管理和控制合作伙伴團(tuán)隊(duì)：轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)領(lǐng)導(dǎo)要與企業(yè)風(fēng)險(xiǎn)管理小組和單個(gè)管控合作伙伴小組緊密合作，以確保在企業(yè)層面已考慮到這些轉(zhuǎn)型項(xiàng)目風(fēng)險(xiǎn)，并在轉(zhuǎn)型層面上也考慮了企業(yè)的風(fēng)險(xiǎn)。

•轉(zhuǎn)型風(fēng)險(xiǎn)經(jīng)理：風(fēng)險(xiǎn)經(jīng)理專門負(fù)責(zé)變革風(fēng)險(xiǎn)以及數(shù)字化和分析轉(zhuǎn)型項(xiàng)目中產(chǎn)生的風(fēng)險(xiǎn)。他會與一線轉(zhuǎn)型團(tuán)隊(duì)密切合作，并在轉(zhuǎn)型項(xiàng)目的早期規(guī)劃階段參與設(shè)計(jì)風(fēng)險(xiǎn)控制措施。

•轉(zhuǎn)型項(xiàng)目發(fā)起人：總體轉(zhuǎn)型項(xiàng)目的發(fā)起人應(yīng)在整個(gè)變革過程中參與其中。

在大多數(shù)情況下，設(shè)立這些角色不需要增加人員。企業(yè)發(fā)現(xiàn)現(xiàn)有團(tuán)隊(duì)成員已準(zhǔn)備好并希望承擔(dān)這些職責(zé)。這些人員可能需要一些培訓(xùn)才能完全發(fā)揮作用，但通常大多數(shù)團(tuán)隊(duì)成員都有積極性接受此類培訓(xùn)，因?yàn)樗麄兦宄谵D(zhuǎn)型工作中所產(chǎn)生或加劇的風(fēng)險(xiǎn)。

最后，企業(yè)必須提高組織內(nèi)部對數(shù)字化和分析項(xiàng)目風(fēng)險(xiǎn)的意識，包括在高管團(tuán)隊(duì)和董事會中。同樣，企業(yè)必須將數(shù)字化和分析項(xiàng)目風(fēng)險(xiǎn)管理充分納入其正式的風(fēng)險(xiǎn)管理模式中。

在如今的商業(yè)環(huán)境中，數(shù)字化和分析轉(zhuǎn)型項(xiàng)目是企業(yè)成功的核心。然而，如果在沒有采用正確的風(fēng)險(xiǎn)管理方法的情況下開展轉(zhuǎn)型項(xiàng)目，則企業(yè)只會是解決一系列問題后，可能又面臨一系列更大的問題。隨著數(shù)字化和分析功能變得日益普及，那些可以從其數(shù)字化和分析轉(zhuǎn)型項(xiàng)目中獲得最長期價(jià)值的公司能夠?qū)崿F(xiàn)其目標(biāo)，而且還能夠系統(tǒng)地識別、理解和降低相關(guān)風(fēng)險(xiǎn)。