1、 1 认清趋势，抓住机遇认清趋势，抓住机遇 2019年全球数字化风险调查 目录目录 序言 0101 关于本次调查 0202 颠覆性技术对企业的影响 0404 数字化转型治理 1111 数字化转型带来的全新风险领域 1616 风险运营模式 2222 运用颠覆性技术数字化管理风险 2828 人才 3333 作者和参与者 3838 全球联系人 3939 注释 4040 1 序言序言 我我欣然与您分享我们欣然与您分享我们首次全球数字化风险调查首次全球数字化风险调查结果结果。我们采访了。我们采访了160160多家多家企业企业，其中大多数其中大多数正经历正经历一一定程度定程度上上的数字化或的数字化或真正意

2、义上的真正意义上的数字化转型。受访者开诚布公数字化转型。受访者开诚布公地向我们讲述了地向我们讲述了其其数字数字化愿景化愿景从建立全新从建立全新商业模式到创造更商业模式到创造更具具个性化的产品和服务，个性化的产品和服务，而这些产品和服务而这些产品和服务均均依托依托人工智能（人工智能（AIAI）、）、大数据和云技术来实现大数据和云技术来实现。同时，同时，他们亦他们亦谈到了当前谈到了当前所所面临的巨大挑战，面临的巨大挑战，包括变革速度包括变革速度、文化采借、文化采借、网络威胁、技术资源网络威胁、技术资源匮匮乏和监管合规等乏和监管合规等问题问题。我们希望。我们希望本报告对本报告对您的数字化之旅您的数字

3、化之旅有所启发有所启发和帮助，和帮助，并期待并期待与与您共同探讨本调查报告中涉及的关键问题。您共同探讨本调查报告中涉及的关键问题。 概况概况 建立客户忠诚度需花费数年时间，但在数字化世界中，这种信任一夜之间即可逝去。因此，企业须在迈向数字化时代的转型过程中觅得持续掌控的方法。本报告介绍了我们2019年全球数字化风险调查的结果，从全球角度阐述了运用颠覆性技术降低风险时所面临的机遇和挑战，并就如何克服其中某些挑战提出了最新思路。 我们旨在阐明采用新兴技术后的“实际”进展状况，并强调有效的风险管理能推动企业实施其数字化战略。因此，贯穿本报告的共同主题即是如何最大程度地转化数字化经济所带来的商业机遇，

4、而强劲的领导力、明晰的归属划分和高效的执行力将有助于加快这一进程。 我们在此感谢参与本次调查的全球客户，他们坦率地分享了其观点及挑战其中许多观点及挑战在多个区域和行业均相似。 Stephen LeyStephen Ley 全球领导合伙人，技术与数字化风险 报报告结构告结构 颠覆性技术对企业的影响颠覆性技术对企业的影响企业运用颠覆性技术到达何种程度？他们能否迅速部署颠覆性技术？在运用此类技术过程中面临哪些困难？ 数字化转型治理数字化转型治理企业是否有信心充分掌控颠覆性技术的运用？是否对其治理方法的适用性和可扩展性具备信心？ 数字化转型带来的全新风险领域数字化转型带来的全新风险领域随着数字化转型速

5、度及程度日益提高，将出现哪些风险类型？这些风险类型拥有多大的关注度？ 风险运营模式风险运营模式颠覆性技术的运用对风险管理方式有何影响？ 运用颠覆性技术管理风险运用颠覆性技术管理风险企业是否基于当前所需的速度和规模管理风险利用颠覆性技术？ 人才人才企业需要哪些技术来应对管理数字化风险所面临的挑战？ Beyond the hype | Global Digital Risk Survey 2019 02 公共公共卫生卫生 石油石油与天然气与天然气 信息信息技术技术 金融金融服务服务 行业行业分布情况分布情况 消费品消费品与零售与零售 其他其他 制造制造 电信电信 关于关于本次本次调查调查 概况概况

6、 本次调查衡量了三道防线的高管对颠覆性技术的看法及此类技术对其企业的影响。166名受访者来自欧洲、中东和非洲（EMEA）、美洲和亚太地区的各个企业，所属部门分别为数字化、转型、技术、风险和内部审计部门。上述参与调查的企业涉足金融服务、消费品与零售、电信、公共卫生与生命科学、石油与天然气以及科技等领域。 方法方法 本次调查受Deloitte LLP委托，持续时间从2018年12月至2019年3月。 调查团队通过线上和线下两种方式访问调查参与者。 在此之后，内部行业专家对实际调查结果进行分析并确定共同风险类型、关键经验教训和问题，以供深入考量。 受访人员情况受访人员情况 图图1.1.受访者受访者分

7、布情况分布情况 防线防线 28% 24% 33% 15% 第一道防线第一道防线 非防风险作用非防风险作用 第一道防线第一道防线 第二道防线第二道防线 防风险作用防风险作用 第第三道防线三道防线 区域区域分布情况分布情况 16% 55% 29% EMEA 美洲地区美洲地区 亚太亚太地区地区 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 颠覆颠覆性性技术对技术对企业企业的的影响影响 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 4 颠覆性技术对企业颠覆性技术对企业的影响的影响 对于能成功冲破壁垒的企业而言是千载难逢的机遇 技术以多种方式助力当今企

8、业完成其梦寐以求之事，化不可能为可能。讽刺的是，实现真正数字化转型过程中面临的诸多壁垒不再与技术有关，而是与文化、技术、执行能力和风险管理能力有关。因此，需结合这些要素来决定和阐明提高颠覆性技术采用率的商业作用许多机构似乎仍在适应这一点。 机遇无限，障碍重重机遇无限，障碍重重 来自各地区、行业及职能部门的意见均趋同于一点，即颠覆性技术蕴含创造极大价值的潜力。从缩短上市时间到更好地了解客户，再到创造具备全球规模的新产品类型，受访者表示新业务模式可释放出巨大的商业价值。然而，赢得此类机遇并非畅行无碍。受访者谈及的数字化转型壁垒大相径庭，范围从传统流程、文化抵触、人才及能力匮乏到基础设施老化。 当前

9、最具当前最具影响影响力的颠覆性技术力的颠覆性技术是什么？是什么？ 就采用颠覆性技术的总体形势而言，调查显示，占据主导地位的技术为云（85%）、敏捷开发（80%）、敏捷交付（77%）及应用程序接口（76%）。大规模采用其他新兴技术似乎仍处于初始阶段，如物联网、机器人、机器学习、区块链及自然语言处理等“规模化运用”的相关占比均低于10%10%。 有关颠覆性技术的详细列表，请参见图2。 从缩短上市时间到更好地了解客户，再到创造具备全球规模的新产品类型，受访者表示新业务模式可释放出巨大的商业价值。 创建数字化优势的良机创建数字化优势的良机 鉴于当前云、敏捷及应用程序接口等技术的采用程度和需求情况，风险

10、团队应充分考量三类技术的各项治理方法，确保此类方法易于理解并能推动上述技术进一步普及。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 5 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019 年全球数字化风险调查 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 6 哪些地区在运用颠覆性技术方面处于领先地位？哪些地区在运用颠覆性技术方面处于领先地位？ 每个地区颠覆性技术的应用水平大致反映了全球颠覆性技术的应用趋势云、敏捷开发、敏捷交付和API是应用最广泛的四大技术趋势。在亚太地区和美洲地区大规模应用的技术中，云技术位居榜首；而在欧洲、中东和非洲，敏

11、捷开发技术最普遍。结果表明，亚太地区在云技术的应用处于领先地位，该地区大规模应用云技术的企业数量几乎为美洲的两倍（参见图3）。 扩大颠覆性技术应用规模最常见的壁垒扩大颠覆性技术应用规模最常见的壁垒是什么？是什么？ 难以阐明商业作用（20%20%）是扩大颠覆性技术应用规模最常见的壁垒（参见图4）。现有选择多样化，企业似乎专注于决策如何最佳地应用新技术来创造商业价值。很明显，位居第二和第三位的答案分别是功能成熟度和人才匮乏，两者在阐明如何应用技术方面均发挥着十分重要的作用。 扩大颠覆性技术应用规模最常见的壁垒并非监管审查、缺乏高层支持和董事会接受度低，而是源自阐明商业作用、人才、功能、治理模式和文

12、化方面的挑战。 哪些地区在颠覆性技术的运用方面处于领先地位？哪些地区在颠覆性技术的运用方面处于领先地位？哪哪些技术些技术的采用位居榜首？的采用位居榜首？ 图图3 3：受访者大规模应用颠覆性技术的占比（按地区划分）受访者大规模应用颠覆性技术的占比（按地区划分） 亚太亚太地地区区 美洲美洲地区地区 欧洲欧洲、中东中东和非洲地和非洲地41% 19% 32% 云 云/敏捷软件开发 敏捷软件开发 27% 15% 29% 敏捷软件开发 API/微服务 敏捷项目实施 22% 12 26% 敏捷软件开发 API/微服务 敏捷项目实施 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 7

13、企业能否迅速将创意转化为实际解决方企业能否迅速将创意转化为实际解决方案？案？ 大多数企业（69%69%）报告称，他们难以在六个月内将创意推向市场（参见图5）。虽然各地区间差异不大，但美洲地区和亚太地区的报告显示，其在制造业和IT业的技术部署速度较之其他地区更快（就行业而言）。但从总体来看，各研究结果表明，不同地区和行业间并无显著差异，这表示许多企业面临同样的挑战，即如何在保持控制权的同时缩短“实现价值的时间”。 对于需要6个月或更长时间将创意转化为实际解决方案的企业而言，相关壁垒主要聚焦于文化（如更加保守的瀑布式资金分配方法）、传统流程（如人工环境配置）和人才匮乏。对于能较快展开技术部署的企业

14、来说，加快部署的最大壁垒并非文化和传统流程，而是人才匮乏的问题（参见图6中的完整列表）。 不论部署时间长短，各项研究结果均表明风险团队在减少实现变更时间和成本方面可发挥重要作用。在解决由风险及控制需求而导致的延迟问题时，安全要求、文化和敏捷团队与非敏捷团队的相互沟通等要素均可促进问题解决进程。 超过三分之一的受访者（36%36%）称其经历了因颠覆性技术出错而导致的重大事故。他们中许多经历了影响更为重大的低发事故此类事故由采用曲线下的技术（自动化、区块链）所引发，以及较低影响的高发事故此类事故由现行技术（云、API）所造成。该观察结果存在偏差，体现在颠覆性技术所产生的风险状况随采用曲线有所差异。

15、随着颠覆性技术采用率的日益提高，服务中断的可能性不断增加，这意味着需要根据技术采用情况扩大治理方法的适用范围。 能实现快速部署的情况鲜见能实现快速部署的情况鲜见图图5. 将将创意创意转化为实际解决方案的平均时间转化为实际解决方案的平均时间1个月内1至3个月3至6个月6个月至1年1年以上07大多数企业需要6个月甚至一年多的时间来构想和实施一项新的解决方案。此现象在所有行业及地区几乎是一致的。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 8 风险管理团队的价值创造机遇风险管理团队的价值创造机遇助助力企业力企业缩短实现价值的时间缩短实现价值的时间 图图6影响将创意转化为实

16、际解决方案的最大壁垒，按转换创意所需的平均时间划分影响将创意转化为实际解决方案的最大壁垒，按转换创意所需的平均时间划分 将创意转化为实际解决方案（将创意转化为实际解决方案（6个月内）个月内） 认清趋势，抓住机遇认清趋势，抓住机遇| 2019 年全球数字化风险调查 敏捷团队与非敏捷团队相互沟通导致的延误 具备适当技能的资源不足 传统流程 利益相关者理解程度 上海品茶 自动化程度低 风险和控制需求造成的延误 安全需求造成的延误 将创意转化为实际解决方案（将创意转化为实际解决方案（6至至12个月）个月） 敏捷团队与非敏捷团队相互沟通导致的延误 具备适当技能的资源不足 传统流程 利益相关者理解程度 企

17、业文化 自动化程度低 风险和控制需求造成的延误 安全需求造成的延误 将创意转化为实际解决方案（将创意转化为实际解决方案（1年以上）年以上） 敏捷团队与非敏捷团队相互沟通导致的延误 具备适当技能的资源不足 传统流程 利益相关者理解程度 上海品茶 自动化程度低 风险和控制需求造成的延误 安全需求造成的延误 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 9 规划前进之路规划前进之路企业应把工作重企业应把工作重心放在何处？心放在何处？ 由于数字化环境的市场动态变化迅速，扩大规模和提高速度的任何壁垒均可能成为对业务造成严重潜在影响的战略风险。因此，风险职能部门可通过安全可靠的方

18、式改进快速应用新技术的方法，从而在帮助企业消除这些壁垒时发挥重要的作用。 聚焦业务转型需求，而非技术聚焦业务转型需求，而非技术当今世界，技术日新月异，人们很容易将主要精力倾注在技术上。然而，业务转型需求应是主要驱动因素。待真正的业务需求确定后，应聚焦创建经充分研究且令人信服的业务案例，并找到具备相关技能的员工，以实现此类业务需求。 了解并突破了解并突破速度速度壁垒壁垒调查结果显示，传统流程、技能差异、文化及应对风险和控制需求的方法是影响变革速度的主要因素。应明确影响价值实现时间的问题，并将其逐一解决。 将灵活性融入治理框架中，优先考虑与当前相关的将灵活性融入治理框架中，优先考虑与当前相关的技术

19、技术企业高管不太可能愿意承担不必要的风险，但如因此导致效率低下或治理流程过于僵化，或使创新和承担风险的能力受限，其亦无法承担。随着颠覆性技术采用率的不断提高，治理和风险管理日趋重要，因此，为确保颠覆性技术的安全采用，需定制一套通用方法，使其与常规风险框架保持一致。 创创建数字化优势的良机建数字化优势的良机 当今，快速市场化至关重要，通过设计缩短价值实现时间的治理流程，风险团队有机会为企业创造真正的商业优势。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 10 数字化转型治理数字化转型治理 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 11 数

20、字化转型治理数字化转型治理 乘风破浪乘风破浪 新技术具有增强优化、颠覆甚至替代现有业务模式的巨大潜力。新技术带来的风险可能会在整个企业中产生广泛的影响，因此，企业考量其现有治理模式是否符合未来需求，并且能否应对当下及即将发生的纷繁变化是至关重要的。此类考量包括深入理解关键的新兴风险领域是什么，谁来负责并管理、监控和降低这些风险。 数字化风险的定义是否明确？谁来负数字化风险的定义是否明确？谁来负责这些风险？责这些风险？ 许多行业经历了翻天覆地的转型，我们的调查显示，数字化风险尚未在众多企业中得到明确定义，这一结果并不令人讶异。大多数企业将数字化视为附加在现有风险领域（例如信息安全、网络、数据隐私

21、及转型）中固有的风险驱动因素。有趣的是，一些受访者表示，数字化风险作为战略执行风险（即在实现董事会战略目标时技术和数据所产生的风险）已被明确定义，而更精细的运营风险仍未被定义。另一个普遍现象是，数字化风险在第一道防线中往往被视为战略或营销风险抑或会影响数字化渠道（例如移动应用程序）的稳定性，而内审部门则倾向于从更广泛的角度将其视为在云转型、大数据及人工智能等新兴技术应用中产生的风险。 大部分企业似乎更关注于网络和监管合规性等热点领域，这表明他们尚未探索在数字化转型进程中所产生的端到端的风险影响，与网络、数据及监管相比，数字化转型对风险管理的影响更大。 一些受访者强调，缺乏对数字化风险的更多关注

22、的原因之一是控制职能部门中的数字化专业人员不足，企业通常依赖负责数字化风险相关人员的“直觉” ，而非结构化治理方法来管理这些风险（网络等通俗领域亦是采用该方法） 。 对风险责任归属的影响对风险责任归属的影响 由于对数字化风险的构成难以达成一致，导致诸多企业缺乏相应的数字化风险责任人或对其定位不清。根据我们的调查，在大多数企业中，数字化风险可来源于 IT、战略抑或营销等职能部门，因而并未被明确界定。 3333的调查参与者表示，数字化风险应由首席信息官（CIO）负责，该回答在所有受访地区中最为普遍。1414的受访者给出了自己的答案，比如数字化部门的首席执行官或是视情况来确定风险责任人（例如，移动应

23、用程序所产生的问题较之数字化渠道所提供的较差客户成果的情况） 。1212的受访者认为并未对风险责任进行明确界定，而表示由首席技术官、首席执行官及首席风险官等负责数字化风险的受访者合计达 8 8左右。 鉴于数字化会对企业的许多方面（如变革、供应商、财务、房地产、战略和组织设计与文化）产生广泛影响，建议将管理数字化风险的职责进行明晰地划分。 目前，仅有金融服务和消费品行业提及首席数字风险官这一新兴岗位。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 12 当前风险治理模式是否与技术的应用水平保持一致，且具有可扩展性呢？当前风险治理模式是否与技术的应用水平保持一致，且具有可

24、扩展性呢？ 图 7. 针对技术应用周期不同阶段所采用风险治理方法的适当性开展调查，并对受访者就治理方法随技术应用的普及而扩展的可行性所回答的信心水平进行对比。 您在多大程度上同意以下说法： “我们的治理方法符合当前的技术应用水平” 对于以下颠覆性技术，您是否相信您现有的治理方法能有效推动其被广泛应用？ 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 创建数字化优势的良机创建数字化优势的良机 数字化转型的广泛影响促使企业各风险责任人之间相互沟通和关联，从而有效防止或减缓风险。风险管理团队应确保风险治理模式依照正确的信息使相关人员充分发挥其作用，并以透明、协作的方式加以运用

25、。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 13 企业的哪些领域参与到数字化转型治理？企业的哪些领域参与到数字化转型治理？ 目前，有 7373的受访者表示其技术部门作为治理主体一般负责管理数字化转型，而将相关高层、运营部门、战略部门、风险部门和首席信息安全官作为治理主体的也不少，这在受访公司中的占比达 3737。然而，仅有1616的企业以人力资源部门作为治理主体负责数字化转型治理，且不到 1010的企业选择供应、制造、物流和采购部门作为治理主体。 受访者指出，推动数字化转型治理的关键职能部门是技术部门、风险部门和相关业务部门（占比分别为7474、4040和393

26、9） ，这表明风险部门在数字化转型中虽占有一席之地，但也未成功将有效的风险治理转变为数字化优势。有一半的受访者表示，其作为治理主体负责数字化转型的职能部门数量有限（三个或以下） 。 企业是否已针对数字化转型定义其风险偏企业是否已针对数字化转型定义其风险偏好？好？ 仅有 1313的企业表示，他们已经明确定义了数字化转型相关的风险偏好。4646的受访者表示已经讨论过在数字化转型下的风险偏好，但并没有正式定义或发布此类偏好，还有 3333的企业根本未考虑过专门针对数字化转型去定义风险偏好，这种情况在那些从事数字化项目工作人数不足 1,000 的企业中更为普遍 。 企业是否使用指标来衡量风险？企业是否

27、使用指标来衡量风险？ 大约一半（4949）的受访者表示，他们正在整个企业范围内采用运营风险衡量方法来定义风险指标。鉴于本报告第 3 节中着重提及的新兴风险，这些传统指标在数字化环境中能否充分覆盖数字化各领域仍值得商榷。仅有 7 7的受访者指出，他们提供给治理主体的各类指标信息是全面有效的，这说明还有待加大此方面的工作力度。 仅仅有有7%的受访者表示风险治理主体所提供用来帮助他们高效管理风险的数据是真正完整有效的。 仅有仅有15%的受访者表示其内部审计部门能对数字化转型治理产生巨大影响。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 14 受访者所受访者所关注的关注的改

28、善风险治理方法的改善风险治理方法的五大机遇五大机遇 许多受访者都对如何优化现有风险治理模式发表了意见。其中最普遍的观点是现有风险治理模式应与企业数字化总体战略保持一致，而非独立运行。五大反复提及的观点如下所示： 对那些未受到技术发展直接冲击的利益相关者进行教育普遍认为，业务团队并不总是能够认识到技术产业变化（无论是数据还是技术方面）对客户体验和品牌声誉产生的潜在影响。提升团队对此类影响的理解程度可有效提高企业的风险识别及管理能力。 消除企业“筒仓效应”这需要业务、技术和风险团队之间的共同努力，从而避免产生单向的风险治理模式或是个别团队认为定义风险治理模式是其他团队责任的情况。 确定技术应用与实

29、施框架受访者表示，基于一致的框架及结构有助于实现报告输出的统一性，还可制定协商一致的方法来根据从概念证明到规模的应用以扩大治理工作的范围。建立一致性框架亦可避免风险管理工作是基于项目，而非计划这可能导致管理方法产生差异。 识别并确认企业相互矛盾的优先事项无论是在削减成本的同时加快市场化进度，还是在投资全新构筑的同时延长年久失修基础设施的使用寿命，整个企业中存在诸多相互冲突的优先级事项需要得到确认和管理。 明确内部审计作用从我们的调查结果来看，内部审计为数字化转型提供的保障性作用似乎并不明确，仅有 15%的受访者认为其内部审计职能发挥了显著作用。鉴于该职能所涉及的各类技能，这说明部分企业并未依照

30、一定程度的严谨性及结构化方式开展数字化转型工作。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 15 数字化转型数字化转型 带来的全新风险领域带来的全新风险领域 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 16 数字化转型带来的全新风险领域数字化转型带来的全新风险领域 聚焦全新风险领域，应对日益复杂的已知风险聚焦全新风险领域，应对日益复杂的已知风险 毫无疑问，风险格局正持续快速地发生变化，企业自身在戮力管理网络、数据隐私等已知风险的同时，还需了解并解决全新的风险领域。业务团队与技术团队之间的界线日趋模糊，新兴风险领域将比过去传统的技术风险更

31、具战略影响力。 新兴风险的主要来源新兴风险的主要来源 在调查中，受访者普遍认为，业务与技术的融合对传统风险管理框架内各类传统风险（非仅限于运营风险）的影响日益增加。现有众多风险框架基于当今技术应用水平之前所确定的主要风险类别而建立，因此仅从这一角度可能不足以评估数字化转型的影响。 近年来，人们对网络安全和数据隐私愈发关注，企业将新兴风险所涉及的三大领域认定为网络（21） 、数据隐私（17）和监管不合规（12） ，这也并不足为奇。各防线受访者对这三大风险领域的观点是一致的。 但是，一些受访者认为这些领域不再属于“新兴”领域，因为对这些领域的认知度已经很高，而且为降低三大领域相关风险已在多种情况下

32、开展了大量工作。 然而，数字化转型的确进一步加大了这些已知风险领域的复杂性，如数字化资产的不断增加及第三方集成增加了其他网络威胁切入点，数字化资产相关数据的大量使用带来了隐私及道德方面的问题，以及在缺乏规范性监管指导的情况下难以获得监管合规的保障。 除网络、数据隐私和监管不合规三大风险领域外，各防线受访者回答的其他领域有所差异。第一道防线受访者将“变革速度”列为新兴风险的第四个领域；第二道防线受访者为“与第三方的关系” ；而第三道防线受访者为“完善的数字化风险管理流程” （见图 8） 。出现此类回答合情合理，原因在于运营团队较关注对其交付速度的要求；风险团队更关注扩展企业的影响；而审计团队则关

33、注企业是否提升自身风险管理能力以与数字化企业的发展保持一致。这些都是很有价值的关注点并彰显了跨防线治理和协作的必要性，而这种必要性有助于确保风险补救措施的优先级是根据企业需求而非特定职能而确定的。 第一道防线第一道防线 第二道防线第二道防线 第三道防线第三道防线 变革速度 与第三方的关系 完善的数字化风险 管理流程 是否充分了解新兴风险的影响？ 图 8. 除网络、监管不合规和数据隐私外，受访者认为企业的最大风险源类别因防线而异。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 17 风险格局日趋复杂风险格局日趋复杂 我们的调查还包含以下洞见，例如会在哪些方面加剧已知风险

34、的复杂性（见图 9） ，在哪些方面需要新兴技术知识以便从与新技术相关的控制角度（例如云实施相关的逻辑访问控制）了解需要改变之处，以及先期未深入探讨的具体风险尽管有可能根据现有运营风险类别对这些风险进行分类。上述洞见包括： 数字化渠道对不同客户群欺诈风险的影响数字化渠道对不同客户群欺诈风险的影响也就是说，如果银行客户仅通过网络或移动设备等特定渠道（而非支行等实体渠道）进行交易，银行客户是否更容易被欺诈？ 扩展风险扩展风险调查反映出一项巨大挑战，即对数字化职能部门以外团队的依赖性，以及这些团队能否随着数字化职能部门相关数据处理量、客户旅程及变革组合的发展变化而快速扩展。 工具类风险工具类风险随着数

35、字化产业的不断发展，支持其发展的工具亦在大量增加。其中许多工具可能在过去并未引起风控团队的关注，因此应仔细考虑对相关工具（如用于代码部署的自动化控制平台）的控制级别。 变革延迟风险变革延迟风险调查显示，许多数字化团队希望更频繁地将变革举措应用到生产环节，但由于企业内某些限制因素而无法得以实施。除了因无法快速实施变革举措而产生的成本及战略风险外，从准备部署到能够部署之间较长的滞后时间通常意味着每次会推出大量累积的变革项目，这导致在事件发生后更难查明问题的症结所在。 上海品茶和体系架构风险上海品茶和体系架构风险随着企业数字化转型架构不断演变，其自动化程度、报告体系及治理结构各异，因而未达最佳标准的

36、组织结构设计将在很大程度上影响企业的交付能力。 创创建建数字化优势的良机数字化优势的良机 帮助企业了解并主动管理在数字化环境中不同风险种类之间的相互依赖性（如行为风险、第三方风险与运营风险之间的相互关联），将助力企业提升运营弹性。数据和自动化技术的应用在迅速完成此类工作方面呈现巨大优势。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 18 企业在数字化转型中是否需要重新考量其传统风险框架？企业在数字化转型中是否需要重新考量其传统风险框架？ 图 9. 传统风险领域愈发复杂 对系统及数据的逻辑访问对系统及数据的逻辑访问 交付团队成员所承担的角色越来越多， 这说明传统角色在

37、设计、开发、测试、环境控制、发布管理和应用支持等方面的界限日趋模糊。由此提出一个疑问，即当个人需承担多个角色时，“基于角色”的访问控制方法是否仍奏效？ 变革管理变革管理 数字化产业越发复杂，需求变革的呼声日益高涨，因此采用“一刀切”的方法来管理变革会产生瓶颈问题。 事件管理事件管理 代码部署和发布管理等跨不同团队的传统流程日益自动化，谁将在事件中发挥主导作用？ 数据治理数据治理 数字化渠道提供了大量有关客户行为的数据，由此对商业成功而言，相关数据质量极其重要。而遵循监管要求及道德规范的情况愈显复杂。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 认清趋势，抓住机遇认清

38、趋势，抓住机遇 | 2019年全球数字化风险调查 19 全球视角全球视角受访者认为数字化转型整体受访者认为数字化转型整体会会增强还是降低运营弹性？增强还是降低运营弹性？ 图 10. 受访结果汇总（按受访者） 美洲企业倾向于数字化转型降低了运营弹性美洲企业倾向于数字化转型降低了运营弹性 图 11. 受访结果汇总（按地区） 从事风控及审计工作的人员更倾向于数字化转型对运营弹性产生积极影响从事风控及审计工作的人员更倾向于数字化转型对运营弹性产生积极影响 图 12. 受访结果汇总（按防线） 科技型企业更倾向于数字化转型正在增强运营弹性科技型企业更倾向于数字化转型正在增强运营弹性 图 13. 受访结果汇

39、总（按行业） 24% 21%55% 25% 16%59% 21% 17% 24% 62% 40% 4% 24% 56% 亚太地区 EMEA 美洲地区 26% 22% 24% 52% 23% 15% 24% 62% 32% 4% 24% 64% 20% 20% 24% 60% 第一道防线（非风险） 第一道防线（风险） 第二道防线 第三道防线 40% 11% 24% 49% 33% 24% 67% 17% 18% 24% 65% 100% 34% 66% 28% 22% 24% 51% 31% 9% 24% 60% 18% 12% 24% 70% 降低 无影响 增强 降低 无影响 增强 降低 无影

40、响 增强 降低 无影响 增强 电信 石油天然气 建筑 IT服务 医疗 金融服务 消费品与零售 其它行业 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 20 在未来三年，风险格局将如何变化？同时在未来三年，风险格局将如何变化？同时带来哪些挑战？带来哪些挑战？ 许多受访者认为，风险格局正迅速变化，在此背景下，企业的应变能力将决定其风险敞口是增加还是减少。 受访者关注的某些主要挑战包括： 第三方整合力度不断提高，企业需保持控制力第三方整合力度不断提高，企业需保持控制力企业报告显示，将加大将第三方（无论是成熟的技术供应商或是 IT 初创公司）纳入其价值链的工作力度。我们的调查

41、结果表明，销售与营销、战略与技术部门在整合工作中处于领先地位，并对整合工作从易到难的进展态势有着全方位的认识。相关挑战主要围绕风险治理在安全、业务连续性和数据等方面是否从初期及规模上均达到合理水平，尤其是在风险团队事先未介入或合同早已签订的情况下。应对这些挑战的方法如下所示：将第三方视为合作伙伴而非供应商；较大企业应为初创企业提供技能和资源，以帮助其达到要求水平；在风险团队前期参与的情况下开展概念验证，以确保风险在一开始阶段即受到重视。 认识集中风险认识集中风险无论将基础设施迁移至单个云供应商，还是将客户旅程关键部分（如入职培训）外包给单个第三方，抑或核心流程自动化、集中化风险、对单一流程或提

42、供商关键依赖，均呈上升趋势。我们在调查中强调的挑战主要是风险归属问题，即由谁来负责了解集中风险并代表企业对该类风险进行监控。 变革呈常态，应随之调整运营模式变革呈常态，应随之调整运营模式持续、渐进地进行变革是产品开发的核心部分。随着变革数量和频率的急剧增加，变革俨然成为部分变革类别的 BAU 流程，但并非全部类别。变革不断推动流程变化（例如增加自动化技术的使用） 、文化差异（数字化团队与非数字化团队之间）以及组织结构变化（如增加交付团队自主权，以快速实现变革） 。 充分监督自动化流程充分监督自动化流程通过部署机器人流程自动化（RPA）软件、在端到端客户旅程相关系统之间实现数据流自动化或自动配置

43、环境并运行测试脚本等，可不断提高企业自动化程度。实际上，当前亟待解决的关键问题之一是确定跨多部门自动化流程的责任制，其中涉及企业某些需人工处理的半自动化流程。 缩小技术团队以外团缩小技术团队以外团队的技术知识差距队的技术知识差距某些企业担忧，数字化产业的变革速度正超越其能够理解和管理相关风险的速度。这对于传统技术风险团队和审计团队而言尤其重要，即技术虽并非其专职工作，但需紧跟技术趋势。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 21 数字化数字化 风险风险运营运营模式模式 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 22 开展一线风险工

44、程与风险分析开展一线风险工程与风险分析 图图14. 14. 一线一线风险管理人员的职能不断扩大风险管理人员的职能不断扩大 风险分析风险分析 风险工程风险工程 第二道防线和第三道防线的受访者把重新定义项目模式作为优先事项，这表明这些团队认识到需改进与运营团队的沟通方式，以确保模式行之有效。而在第一道防线担任非风险角色的受访者则把持续性监测的重要性放在首位。这是意料之中之事，原因在于第一道防线的利益相关者更加重视来自风险团队的洞察此类洞察推动日常调整升级与决策，而非回溯性的时间点干预措施。 有趣的是，身处第一道防线风险岗位的受访者将对技术的更多需求作为其首选，并将“提速”需求视为前四大影响。这是可

45、理解的，因为他们可能需要处理日常技术问题。 风险管理职能角色的诸多变化增加了一线风险管理的重要性，以及运营团队和变革团队对风险能力的需求。一位受访者巧妙地将这些变化概括为 “赋能作用”，而非仅是传统意义上由风险职能发挥的“保护作用”。 颠覆性技术的应用如何变革运营相关颠覆性技术的应用如何变革运营相关风险管理的需求？风险管理的需求？ 我们的调查显示，在企业适应数字经济过程中，风险管理活动无疑也在不断变革。所有受访者中最普遍认可的影响包括： 与回溯性鉴证相比，持续性监测需求愈显重要（47%47%） 对技术的需求更多（46%46%） 需重新定义风险与控制的项目模式（46%46%） 需为每项颠覆性技术

46、量身定制风险管理方法（42%42%） 虽然这四大影响在受访者中被广泛认同，但在本报告所述不同防线中存在某些差异。 风险运营模式风险运营模式 在在变革与变革与充满不确定性的时代中运筹帷幄充满不确定性的时代中运筹帷幄 组织结构正缓慢发生变化数字化转型推动商业模式、技术实施方法、流程和工作方式的革故鼎新，以及组织结构的不断演变。这种持续性变化对确定风险归属及问责制，以及执行核心风险管理流程并将这些流程应用于企业不同环节提出了挑战。传统的风险管理功能模式须相应地进行调整。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 23 调查受访者迅速指出，传统风险管理活动的总体目标依旧重

47、要，但执行方式正发生变化，以便目标结果更好地契合高级管理层的需求即执行方式需具备主动性、预防性与预测性，而非被动的、回顾性的与需经检测的。这意味着，风险管理活动正在不断演变，本调查关注的主要变化如下所示： 更多地参与到解决方案设计中更多地参与到解决方案设计中有明显的迹象表明，风险团队的职权范围正在扩大，扩展范围涉及“制造者”即负责交付产品和解决方案的数字化交付团队，而产品和方案有助于推动数字转型带来诸多变革。对于企业而言，在开始阶段即从风险与控制的角度设计解决方案有助于其大幅降低鉴证成本； 更加重视数据分析更加重视数据分析当前呈现的普遍趋势是，管理层期望获得预测性分析，而非检测性结果，因而更加

48、依赖数字化环境中生成的数据进行分析。 创建数字化优势的良机创建数字化优势的良机 通过设计自动化控制措施来降低鉴证成本的潜力巨大。如果设计得当，这将使鉴证团队能够专注于自动化控制的设计，而非进行成本高、人工且基于样本的运营有效性测试。 风险管理职能的作用及职责范围将如风险管理职能的作用及职责范围将如何演变？何演变？ 风险覆盖范围扩大风险覆盖范围扩大受访者指出，数字化转型正日益触及企业的诸多领域，随之扩大了风险团队需要了解和挖掘的潜在风险数量。这表明，对熟知数字化企业的风险团队领导者的需求正在增大； 将控制措施嵌入到流程自动化方案中将控制措施嵌入到流程自动化方案中随着企业不断扩大自动化的使用范围，

49、某些领先企业正积极探索将控制措施嵌入到新建的自动化流程中，由此可将手动且周期性的鉴证模式变革为自动化持续的模式； 摆脱每年瀑布式的鉴证周期摆脱每年瀑布式的鉴证周期许多传统的鉴证计划遵循年度周期，逐年实施重复性的既定计划、测试、报告和整治活动，以确保管理层有效执行控制措施。各企业正在探索如何制定出一种可持续、敏捷的鉴证方法（见图15），这种方法可通过可视化手段来为决策提供有效信息，而非两年一次的鉴证报告。 认清趋势，抓住机遇认清趋势，抓住机遇 | 2019年全球数字化风险调查 24 敏捷工作方式的差异对企业敏捷工作方式的差异对企业有何影有何影响？响？ 仅有仅有9%9%的受访者表示，他们的风险管理

50、职能部门成功地采用了敏捷文化。 鉴于开发全新数字化产品和解决方案所需的投资金额，风险团队需采取行动以明确其与数字化交付团队的合作模式，并通过缩短企业变革时间及降低相关成本来彰显其所能提供的价值。 何为敏捷鉴证？何为敏捷鉴证？ 图图 15. 15. 敏捷鉴证模型遵循的原则敏捷鉴证模型遵循的原则 连续性交付连续性交付 风险分类法风险分类法 完成业务成果 识别固有风险的分类法 优先顺序优先顺序 优先优先级级 根据业务价值确定交付优先级 根据风险降低对业务发展的价值重新确定积压的工作 业务成果业务成果 识别业务成果 持续性鉴证持续性鉴证 控制设计、实施及鉴证 当被问及企业在针对敏捷性交付而调整风险管理