2023 美國風險觀點調查報告

us perspectives

摘要

《2023美國風險觀點調查報告》(PwC’s 2023 US Risk Perspectives Survey)於2023年3月9日至4月3日間,以營收超過10億美元的美國企業為對象,針對其中從事風險、審計和法遵性審查工作的308名風險專家進行調查,探討其在應對新興科技、數據風險和策略決策時所面臨的重大挑戰。

關鍵訊息

  • 57%受訪者表示,科技應用讓他們能夠妥善地洞察風險,做出更佳的決策。
  • 85%受訪者認為,相較於效率,風險管理品質的提升,是數據投資的最大效益所在。
  • 54%風險專家希望與高階主管建立更緊密的關係,以提升組織影響力。

風險專家整體影響力增加,但專案參與程度落差大

  • 調查發現,雖然風險專家在企業內的影響力持續增加,但不一定會參與重大專案,且參與程度也不盡相同。企業討論科技投資、進入新市場、交易、新產品開發、雲端遷移、新商業模式等重大專案時,只有約一半的受訪者表示曾參與專案初期的策略規劃與產品設計;只有9%受訪者表示,重大專案啟動時即參與其中。其他受訪者雖有機會參與,但多半為時已晚,錯過了影響策略和設計的階段。
  • 此外,風險專家在風險管理活動中的成效與表現也不均。超過半數受訪者表示,他們已向CEO、董事會和高層呈報風險分析洞察,影響重要決策,但也有40%受訪者還未做到。51%受訪者表示,他們無法促進風險管理三道防線(three lines,指執行及業務營運單位、風險管理單位與法令遵循單位、內部稽核)間的合作,也代表風險專家向上的影響力比對平行部門的影響力更大。
  • 合作是管理未來複雜風險的關鍵,風險管理三道防線需建立一致的風險意識,建立共同風險標準,並有整合型數據模型協助風險指標控管。否則企業將陷入風險管理孤島(silos),訊息混淆且相互牴觸。
  • 企業內的風險高階主管應與董事會、CEO和高層保持溝通,確保各方接收的訊息一致。風險高階主管應在策略形成和設計階段便參與重大專案,透過調節、管控風險,同步分享風險資訊,並利用科技和數據洞察,協助企業做出關鍵決策。

科技投資成果:風險專家逐漸熟悉新科技,但依舊難以跟上科技的進步及變化

  • 企業對科技投資的效益正逐步顯現,風險團隊也在新興科技應用上累積許多實作經驗。然而,目前企業的科技能力和實際展現的效能間,仍存在很大的差距。
  • 科技應用的確已在一定程度上改善企業管理風險的方式。約一半的受訪者表示,運用「高階分析」、「自動化工作流程」、「AI與機器學習」和「監管、風險與法遵(Governance, Risk, and Compliance; GRC)平台」等科技,明顯改善他們管理風險的方式。雖然如此,也有約一半受訪者認為,這些科技僅稍微或根本沒有改善風險管理。
  • 關於科技應用已為企業帶來哪些重要、實際成果,大約一半的風險專家表示風險分析能夠輔助企業做出更佳的決策,企業也更能針對風險因應措施做出優先排序、有效發現新風險和即時發現威脅。然而,導入科技為風險管理帶來的「效率面」改善則較不顯著,例如降低法遵成本(30%)和人力成本(25%)。這項發現點出企業未來可以著重提高效率,而不僅是專注於「品質」成果。
  • 風險專家與團隊對新興科技的認識雖正在增加,但仍有很多不足。約有過半的風險專家認為自己是VR、加密貨幣、虛擬環境工具和生成式AI等方面的專家,或有「良好的理論知識和實踐經驗」;近半受訪者表示,針對調查提到的新興科技只有「良好的理論知識」、「些許了解」甚至「很少或沒有涉獵」,缺乏實際操作經驗。隨著科技日新月異,強化風險團隊對新興科技的掌握度將至關重要。
  • 企業可以怎麼做:
    • 透過升級和替換科技工具,改善數據品質、提升員工技能,強化風險管理的品質和效率。
    • 盤點企業正在使用或可能影響公司業務的新興科技,並針對這些科技與其風險做實務培訓。
    • 協調執行及業務營運單位、風險管理與法令遵循單位、內部稽核等三道風險管理防線對工具和新興科技的使用情況,對風險管理採一致的立場,並可考慮分攤投資成本。

數據投資成果:平衡數據風險和效益,有賴良好的團隊合作

  • 超過半數受訪者表示,在數據安全和隱私、資安、即時詐欺偵測,以及第三方風險管理(third-party risk management; TPRM)等領域導入數據後,「顯著改善」了他們管理風險的方式。然而只有12%受訪者表示在調查列出的九個領域中,全部取得顯著進步。近一半表示只看到些微改善或毫無改善,特別是風險建模(risk modeling)、規劃監管變化和供應鏈風險等領域,改善不易。
  • 雖然風險專家越來越依賴數據,但他們也明白內部數據資料增生可能會增加風險。風險專家也體認到,風險團隊必須透過與其他部門互動、強化合作,才能有效管理數據風險。
  • 風險專家與企業隱私團隊、數據辦公室和軟體開發人員共同監督數據風險的機會較多,但在由其他團隊主導的數據風險管理專案中參與度較低。
  • 企業可以怎麼做:
    • 尋找新契機,以創新做法運用手邊數據,改善公司監測和管理風險的方式。
    • 盤點監管數據風險時,最具挑戰的業務領域(例如第三方風險管理和採購),並與負責該領域的高階主管建立關係,共同制定風險緩解計畫(mitigation plan)。
    • 確保執行及業務營運單位、風險管理與法令遵循單位、內部稽核等三道風險管理防線的人員,能夠採行一致的數據使用與風險緩解措施。

建立關係,共同合作:建立內部關係與數位能力,創造風險專家影響力

  • 受訪的風險專家多已對CEO和董事會有一定影響力,現在則更應關注改善並執行與業務營運單位、風險管理與法遵、內部稽核等風險管理防線的關係,提升數位能力,利用科技和數據洞察力,協助公司決策。
  • 為了對公司策略決策產生正面影響,風險專家與團隊須提高系統、網路、特定科技和雲領域的技能。受訪者表示,建立內部影響力最需要數位能力,其重要性超越了社交溝通力和業務推動力。
  • 加強風險專家對企業的影響力並不需要改變組織結構和隸屬關係(reporting line)。近一半的風險領導者已向董事會或CEO直接匯報。大多數風險專家被問及理想的隸屬關係時選擇「不改變」。
  • 提升風險管理效果的方法不單是改變隸屬關係,而是要思考並規劃風險專家的價值、建立的關係、部署的工具以及團隊數位技能。
  • 企業可以怎麼做:
    • 風險專家與團隊須與各部門高階主管更有效地合作,讓風險團隊在專案策略規劃和設計階段開始參與,以布局風險管理,協助決策。
    • 推動部門和整體企業的數位化培訓(特別是針對新興科技及相關風險),甚至可以考慮為董事會提供關鍵風險主題(例如數位化、網路安全、ESG等)的培訓。
相關連結
關注我們