数字化转型中的风险治理:业内首提风控中台

2019-11-08 11:29 来源:安全牛
浏览量: 收藏:0 分享

  数字化转型过程:风险与价值的对立统一

  多项数据显示,近年各国数字经济的 GDP 占比正在稳步增长。组织高层已经不再仅把数字化作为一种工具,而是将其看做企业核心战略看待。数字化转型,作为发展数字经济的重要过程,已经不只是一种选择,而是大型企业的必然发展方向,

  但同时,我们也应看到,数字化转型在给企业带来价值的同时,也带来了风险。而且,在数字化时代,这种风险与价值就像太极图中的阴阳鱼,如影随行,对立统一,永远存在。不能过分夸大,也不能视而不见。我们在享受数字化盛宴的同时,风险也正悄悄来临。例如,近期业内对大数据公司(比如风控、互金等)的整治(滥用爬虫技术,非法爬取数据并借此获利),就是忽视这种关系而招致严重后果的典型事例。

  所以不难理解,CEO 为什么会越来越关注企业的数字风险管理。这点在 Gartner 近期的相关调研数据中也有佐证:65% 的 CEO 认为,对风险管理的研究和投资已经滞后于实际需求;77% 的 CEO 认为,数字业务将引入新的风险类型与等级;83% 的 CEO 认为敏捷方法越来越重要,对风险管理提出了新的要求。

  此外,世界经济论坛 (WEF) 在其最新发布《全球风险报告 (2019) 》中,也明确提及了诸如网络攻击、技术进步的负面影响、数据欺诈或窃取、关键信息基础设施故障等数字风险,数字风险已经成为全球风险的重要组成部分。

  面对新时期的数字风险,企业风险管理的思路与方法都面临着变革

  首先,风险管理范围应在横向上,扩展到全方位的数字风险管理,不仅仅是安全风险、合规风险,还应包括数字战略风险、IT 治理风险、数字业务流程风险、数字业务数据风险,客户体验风险等;纵向上,设计新业务时,要同步规划、同步设计和同步运营内嵌必要的安全措施,以控制数字风险。

  其次, “先找监管规范,再建内控体系,之后再进行审计” 这套风控流程方法已经不适用了。技术、市场的快速变化,风险与创新的矛盾,企业必须开始思考具有数字化思维,兼具风险控制和鼓励创新的数字风险管控模式。

  再则,风险管控思路应有所调整。作为企业二、三道防线的内控合规、风险管理及审计部门,一方面,不能因为自身缺乏对数字化的了解,就对数字风险视而不见;另一方面,也不能完全沿用传统的风险管控思路与方法,将数字化转型过程中创新事物,因风控机制不完善而扼杀在摇篮中。而是多调查研究,多提管理建议,而不应当是开了一堆 “罚单”。

  在二、三道防线对数字化业务不甚了解的情况下,建议二、三道防线从业人员把数字化业务看成是一个 “黑盒子”,把对数字风险的管控视角先放在数字业务的输入、输出及治理机制上。

  这里,输入,指的是灵活、弹性、安全的数字化支撑能力,主要包括:战略迅速决策能力、需求有效把握能力、项目快速实施能力、系统部署与服务能力、数据分析支持业务的能力、自适应信息安全能力、IT 投资管理能力等;输出,指的是数字业务应具有数据分析、客户体系、数字营销、数字运营等方面的特征。而治理机制,则指数字化过程中的决策机构、控制体系和支撑能力。

  数字化转型三个阶段的风险治理建议

  陈伟认为,企业数字化转型,可以将其划分三个阶段:数字化尝试期、数字化发展期和数字化深入期。前两个阶段,是当前大部分数字化转型企业所处的位置。以下是不同阶段数字风险治理的建议。

  1. 数字化尝试期

  处在数字化尝试期的企业,对数字化的认知还不够深刻,数字化能力与原有业务的融合也不够充分,客户体验不连贯,是后续数字化发展期的基础。

  数字化尝试期的风险治理,从 “决策” 角度,需要建立跨部门的协调机构(比如 IT 治理委员会);还应引入 IT 管理中常见的双模管理形式,从风险治理层面,充分认识到 IT 和业务创新融合型部门存在的合理性。

  从 “控制” 角度,这个阶段的企业更多是合规&风险导向的治理,针对企业自身的数字化应用场景,提炼业务控制框架。

  “支撑” 角度,则需要在组织结构不做过多调整的前提下,利用数字化能力,为创新型业务部门开绿色通道。例如更加敏捷、安全的 DevSecOps。

  2. 数字化发展期

  不同于数字化尝试期,处在数字化发展期的企业,最典型的区别就是数字化支撑能力已与业务有较为充分的融合。这表现在需要有强大的数字化共享服务中心(又称中台)来提供共享服务支持,并设有专门的数字化领导人,引入大规模数字化工具的使用等。此外,在企业文化层面,更加重视创新与协作。

  数字化发展期的风险治理,从 “决策” 角度,企业对数字化领导力以及敏捷执行力有诉求。所以,相对数字化发展期之前较为松散的风险管理,企业需要跨部门的数字安全管理及数字风险管理负责人,也即数字风险官 (DRO),DRO 未来甚至将与 CRO 走向统一,与首席运营官 (COO) 与首席信息官 (CIO) 等 CxO 们一起,成为首席执行官 (CEO) 的得力干将。

  “控制” 角度也和数字尝试期有明显区别,从合规转向了价值和风险导向。企业需要从多个维度,评价数字化业务的风险与价值。合规是最基础的,处在数字化发展期的企业,在风险分析时更多结合业务价值,并将价值评价体系细化。

  “支撑” 角度,陈伟认为,数字化共享服务中心,不仅要包括业务中台、数据中台,从数字风险控制角度,也要形成符合企业自身业务发展、创新需求的风控中台。通过风控中台,快速向各业务部门提供风控措施与建议,保障数字化业务的健康运营。这点无论是对充分融合数字化能力的创新业务,还是传统业务,都将会是重要的基础支撑。

  3. 数字化深入期

  数字化深入期的特征,包括组织形成统一的数字化战略,数字化决策权回归业务一线,大量同时精通数字化和业务的人才团队等。随着增强智能、深度学习更加广泛、深入的应用,形成更智能化的服务中心,支撑动态决策。

标签:

责任编辑:bozhihua
在线客服