2023 美國風險觀點調查報告

摘要

《2023美國風險觀點調查報告》（PwC’s 2023 US Risk Perspectives Survey）於2023年3月9日至4月3日間，以營收超過10億美元的美國企業為對象，針對其中從事風險、審計和法遵性審查工作的308名風險專家進行調查，探討其在應對新興科技、數據風險和策略決策時所面臨的重大挑戰。

關鍵訊息

• 57%受訪者表示，科技應用讓他們能夠妥善地洞察風險，做出更佳的決策。
• 85%受訪者認為，相較於效率，風險管理品質的提升，是數據投資的最大效益所在。
• 54%風險專家希望與高階主管建立更緊密的關係，以提升組織影響力。

風險專家整體影響力增加，但專案參與程度落差大

• 調查發現，雖然風險專家在企業內的影響力持續增加，但不一定會參與重大專案，且參與程度也不盡相同。企業討論科技投資、進入新市場、交易、新產品開發、雲端遷移、新商業模式等重大專案時，只有約一半的受訪者表示曾參與專案初期的策略規劃與產品設計；只有9%受訪者表示，重大專案啟動時即參與其中。其他受訪者雖有機會參與，但多半為時已晚，錯過了影響策略和設計的階段。
• 此外，風險專家在風險管理活動中的成效與表現也不均。超過半數受訪者表示，他們已向CEO、董事會和高層呈報風險分析洞察，影響重要決策，但也有40%受訪者還未做到。51%受訪者表示，他們無法促進風險管理三道防線（three lines，指執行及業務營運單位、風險管理單位與法令遵循單位、內部稽核）間的合作，也代表風險專家向上的影響力比對平行部門的影響力更大。
• 合作是管理未來複雜風險的關鍵，風險管理三道防線需建立一致的風險意識，建立共同風險標準，並有整合型數據模型協助風險指標控管。否則企業將陷入風險管理孤島（silos），訊息混淆且相互牴觸。
• 企業內的風險高階主管應與董事會、CEO和高層保持溝通，確保各方接收的訊息一致。風險高階主管應在策略形成和設計階段便參與重大專案，透過調節、管控風險，同步分享風險資訊，並利用科技和數據洞察，協助企業做出關鍵決策。

科技投資成果：風險專家逐漸熟悉新科技，但依舊難以跟上科技的進步及變化

• 企業對科技投資的效益正逐步顯現，風險團隊也在新興科技應用上累積許多實作經驗。然而，目前企業的科技能力和實際展現的效能間，仍存在很大的差距。
• 科技應用的確已在一定程度上改善企業管理風險的方式。約一半的受訪者表示，運用「高階分析」、「自動化工作流程」、「AI與機器學習」和「監管、風險與法遵（Governance, Risk, and Compliance; GRC）平台」等科技，明顯改善他們管理風險的方式。雖然如此，也有約一半受訪者認為，這些科技僅稍微或根本沒有改善風險管理。
• 關於科技應用已為企業帶來哪些重要、實際成果，大約一半的風險專家表示風險分析能夠輔助企業做出更佳的決策，企業也更能針對風險因應措施做出優先排序、有效發現新風險和即時發現威脅。然而，導入科技為風險管理帶來的「效率面」改善則較不顯著，例如降低法遵成本（30%）和人力成本（25%）。這項發現點出企業未來可以著重提高效率，而不僅是專注於「品質」成果。
• 風險專家與團隊對新興科技的認識雖正在增加，但仍有很多不足。約有過半的風險專家認為自己是VR、加密貨幣、虛擬環境工具和生成式AI等方面的專家，或有「良好的理論知識和實踐經驗」；近半受訪者表示，針對調查提到的新興科技只有「良好的理論知識」、「些許了解」甚至「很少或沒有涉獵」，缺乏實際操作經驗。隨著科技日新月異，強化風險團隊對新興科技的掌握度將至關重要。
• 企業可以怎麼做：
  • 透過升級和替換科技工具，改善數據品質、提升員工技能，強化風險管理的品質和效率。
  • 盤點企業正在使用或可能影響公司業務的新興科技，並針對這些科技與其風險做實務培訓。
  • 協調執行及業務營運單位、風險管理與法令遵循單位、內部稽核等三道風險管理防線對工具和新興科技的使用情況，對風險管理採一致的立場，並可考慮分攤投資成本。

數據投資成果：平衡數據風險和效益，有賴良好的團隊合作

• 超過半數受訪者表示，在數據安全和隱私、資安、即時詐欺偵測，以及第三方風險管理（third-party risk management; TPRM）等領域導入數據後，「顯著改善」了他們管理風險的方式。然而只有12%受訪者表示在調查列出的九個領域中，全部取得顯著進步。近一半表示只看到些微改善或毫無改善，特別是風險建模（risk modeling）、規劃監管變化和供應鏈風險等領域，改善不易。
• 雖然風險專家越來越依賴數據，但他們也明白內部數據資料增生可能會增加風險。風險專家也體認到，風險團隊必須透過與其他部門互動、強化合作，才能有效管理數據風險。
• 風險專家與企業隱私團隊、數據辦公室和軟體開發人員共同監督數據風險的機會較多，但在由其他團隊主導的數據風險管理專案中參與度較低。
• 企業可以怎麼做：
  • 尋找新契機，以創新做法運用手邊數據，改善公司監測和管理風險的方式。
  • 盤點監管數據風險時，最具挑戰的業務領域（例如第三方風險管理和採購），並與負責該領域的高階主管建立關係，共同制定風險緩解計畫（mitigation plan）。
  • 確保執行及業務營運單位、風險管理與法令遵循單位、內部稽核等三道風險管理防線的人員，能夠採行一致的數據使用與風險緩解措施。

建立關係，共同合作：建立內部關係與數位能力，創造風險專家影響力

• 受訪的風險專家多已對CEO和董事會有一定影響力，現在則更應關注改善並執行與業務營運單位、風險管理與法遵、內部稽核等風險管理防線的關係，提升數位能力，利用科技和數據洞察力，協助公司決策。
• 為了對公司策略決策產生正面影響，風險專家與團隊須提高系統、網路、特定科技和雲領域的技能。受訪者表示，建立內部影響力最需要數位能力，其重要性超越了社交溝通力和業務推動力。
• 加強風險專家對企業的影響力並不需要改變組織結構和隸屬關係（reporting line）。近一半的風險領導者已向董事會或CEO直接匯報。大多數風險專家被問及理想的隸屬關係時選擇「不改變」。
• 提升風險管理效果的方法不單是改變隸屬關係，而是要思考並規劃風險專家的價值、建立的關係、部署的工具以及團隊數位技能。
• 企業可以怎麼做：
  • 風險專家與團隊須與各部門高階主管更有效地合作，讓風險團隊在專案策略規劃和設計階段開始參與，以布局風險管理，協助決策。
  • 推動部門和整體企業的數位化培訓（特別是針對新興科技及相關風險），甚至可以考慮為董事會提供關鍵風險主題（例如數位化、網路安全、ESG等）的培訓。