Gartner：企业动态风险治理始于共享数据-(附3大案例).docx

Gartner :企业动态风险治理始于共享数据（附3大案例） 企业高管需要使用更动态的治理模式来预防风险暴露。 企业仍在使用20世纪的工具对抗21世纪的威胁——这是有风险的。 电子表格和电子邮件很难胜任最小化或防止组织风险暴露的任务。企业高管需要使用更动态的治理模式来预防风险W 更动态的治理模式来预防风险W 利用数字工具应对数字危险，可将高质量的风险管理行为提高17%。 Gartner提出了 3个典型案例，分析卡夫亨氏食品公司、加拿大皇家银行和标准银行 如何克服挑战，改善风险治理。 -实现风险治理数字化前，将软件和分析纳入风险治理结构的趋势逐渐凸显。83%的CEO计划在未来 年增加对数字能力的投资，71%的董事会将数字技术计划列为疫情阶段的首要任务。其次，对企业抵御风险的方式进行重大改革的时机已经成熟，而数字优先的思维方式就是变 革的核心。 2017 to 2021 .DigrttMly Oviwn 41 Cybersecurity： Technolooicdl Vulnerabilities Data Privacy Data Privacy Data Governance IT Governance Data Privacy Cloud Computing Cloud Computing Third-Party Ecosystems Data Governance •ocEodE- Cybersecurity： External Threats Strategic Workforce Planning SfrMegtc Workforce Planning Cyber Vulnerabilities Cyber Vulnerabilities Pace of Innovation Information Security Behaviors Data Governance Data Privacy Business Continuity and Disaster Recovery Change Fatigue Business Continuity and Dtsaster Recovery Cybersecurity： Growing Attack Sophistication Risk Culture and Decision Making Talent Resilience 2017 2018 2019 2020 2021 Gartner 过去，企业具备经典的三条线（3L ）模式，即根据职能部门的典型作用，而不是根据 需要进行的实际活动和谁最适合执行这些活动来划分风险管理责任。虽然十多年来，各企 业一直试图调整3L模式，避免重复性工作的同时确保没有漏洞。然而，大多数企业仍然 无法做到这一点。 前，动态风险治理（DRG）框架正在替代3L模式，通过风险和活动而非角色分配权 限，从而打破职能界限。为了实现及时、协作和高效的风险管理，企业需要在构建完整的DRG框架的同时，建立数字化解决方案。这是一个良性循环：数字化需要共享、数字化是 加快行动的必要条件；反过来，DRG框架又催生了更紧密的工作关系，以便在风险发生时 迅速进行处理，从而实现更多合作。 根据企业实践，为加快风险管理流程一般采取三种方法。每一种都涉及多个职能部门 之间的协作以及数据的自动化使用： ・ 使用集中数据创建风险分析，以便在整个职能部门进行分配 ・ 从多个职能部门和外部源引入数据，创建共享、不断更新的仪表盘 ・ 将人工流程自动化，通过消除不必要的任务和询问，节省时间二卡夫亨氏：在共享集中存储数据的持续风险分析 在以更系统的和数据驱动的方式评估风险方面，职能部门领导者在过去几年中取得了 重大进展。然而，独立的职能部门出于数据保护、或是由于未能意识到数据资产交换的好 处，依旧倾向于依靠自己的数据集开发分析方法。 为了应对这一挑战，卡夫亨氏公司的内部审计团队创建了一个风险监控卓越中心。鼓 励企业使用一种工具，跟踪四个业务流程（从订单到现金、从采购到付款、从会计到报 告、从制造到库存）中的100多个关键风险指标（KRI）。在运营方面，该中心使企业业 务与工具相结合，确定了企业中的重要利益相关者，并邀请其查看和使用该工具。 此外，这一数字化工具对存储在中央ERP系统中的数据进行持续分析，并创建Tableau仪表盘，以说明风险驱动因素、危险信号、控制差距或流程不一致的情况。 • Tracking Risk Moni(OfKK)KPIs • Continuous Improvement Guidance • Iratning (for Auditors and Business) Operation9 Risk Monitoring Center of Excellence Pillars • Data Analytics Audit Support • KRI Monitoring and Continuous Auditing • Ad Hoc Request Management Gartner 通过工具嵌入，企业高管们可以自行跟踪关键的企业风险，实现对风险分析过程的全 面治理。全球首席信息官Corrado Azzarita认为，卡夫亨氏的风险分析解决方案是实现 "数字决策”愿望的一个非常好的例子，数据驱动的决策可以在多个业务领域成为现实， 并提高效益和效率。 三加拿大皇家银行：从外部数据集中提取风险信息 加拿大皇家银行（Royal Bank of Canada ,以下简称〃RBC〃 ）的内部审计团队开 始执行一项与卡夫亨氏类似的任务：制作一种持续监测工具，为整个组织提供关键业务流 程的最新风险信息。 但RBC的策略稍微复杂。银行内部审计团队将公司数据集和外部数据集整合在一起。 为了构建这个数字解决方案，内部审计与业务部门合作，定义了相关信息和指标，以衡量 KRI和关键绩效指标。由于RBC的内部审计团队从一开始就与管理层紧密合作，业务部门领导可以放心地授予内部审计访问权限以获取可以支持风险用空的数据。 一旦获得许可，该银行将来自资本市场和商业银行的38个以上的自动反馈信息发送 到该公司的特定数据湖中。当数据不断地流向内部审计的数据湖的部分，这也意味着风险 监测始终是动态更新的。 此外，加拿大皇家银行的风险治理工具同样包含仪表盘，这一功能使得： ・ 随着对KRI趋势数据、审计问题状态和某些风险的优先级变化的了解，企业的整体 风险意识有所提高 ・ 风险治理相关负责人节省了手动收集和评估年度风险评估信息的时间高管们将节省的时间重新分配到更有价值的活动上，如分析风险升高的根本原因或 调整当前的审计计划 RaptOR Continuous Risk Monitoring Dashboard 3QK) Auditable Enttty Rlatform ! PUdorm X Audltabte Entity View Auditable Unit Unit V Uni* Ourte^r 01—~「一， 1"【■:—!上■ 4011 )019 2019 3019 4QV 1020 2Q2O 3Q2O Fouf Quarwr Mcwang Awca9V Gartner 四南非标准银行集团：通过自动化审计预测风险 南非标准银行集团的内部审计团队以自己的名字命名了平台：Gina （集团内部审计）。在全面了解企业控制环境的同时，Gina可以根据内部和外部数据来源预测未来的风 险。 内部审计首席运营官Hema Chetty称，Gina每天对南非分行的流程进行自动化测 试。Gina运行测试并利用测试结果来解决预期风险和实际风险之间的差异，从而迅速调整 审计计划。 Gina Visualization of Anticipated Versus Actual Risks Gartner 显然，Gina为控制环境提供了更大的可视性，并减少了人工审核造成的中断次数。而 这仅仅是自动化保障的开始。 Gartner指出，随着企业陆续采用DRG ,将从战略上考虑自动化控制以建立更好的合 作伙伴关系，而企业合作的增加、数据共享的深化也将带来更好的风险管理。