企業的戰略能力 — 管理戰略風險

運用"雲端服務"加速企業的數位轉型願景

14 min readDec 12, 2023

數位科技的發展提供了前所未有的機遇，但也具有破壞性和風險。毫不誇張地說，數位轉型要麼推動企業走向成功，要麼使其滅亡。

在戰術層面，風險管理是指確定應對現有和新的威脅和弱點的方法。在戰略層面上，它是為了確保企業在市場規則因數位技術而改變的環境中取得成功。

定義

ITIL 風險管理實務指南包含風險的定義以及風險管理及其相關概念和活動的描述。所謂的風險是:
可能造成傷害或損失，或使實現目標變得更加困難的事件。也可以定義為結果的不確定性，並且可以用於測量正面結果和負面結果的機率。

當不確定的結果會導致傷害或損失時，風險就是負面的。 當不確定的結果會為利害關係人帶來利益時，風險就是正面的。積極的風險有時也被稱為“機會”。

風險管理實務的目的是確保企業了解風險並有效地處理風險。典型的活動包括：

進行環境分析以識別和界定風險
確定並記錄企業的風險能力和風險偏好
記錄風險管理政策
識別、分析和評估風險
確定適當的風險處理方法
識別風險觸發因素和負責人
確保風險策略得到適當實施

數位企業的風險管理

風險管理方法將根據企業所使用的轉型範例而有所不同。使用基於流程的範例的企業可能會首先評估其當前狀態，定義其所需的未來狀態，並識別從一種模式過渡到另一種模式相關的風險。使用基於模型的範例的企業將首先識別潛在的商業論證並評估與每個案例相關的風險。

風險有多種來源、多種形式；例如：

以新技術為基礎來制定戰略的企業面臨著替代技術佔據主導地位的風險（例如，Zoom 因其易用性和免費加值服務而成為最受歡迎的遠距會議平台）。
新的商業模式可能會被拒絕，因為它與現有員工和客戶的文化格格不入。例如，家樂氏麥片在印度的推出最初失敗了，因為印度的文化是基於新鮮烹製的傳統早餐。
處於開發早期階段的技術可能未經測試且有缺陷，這會導致成本增加並降低企業績效。
消費者和員工以新方式使用新科技可能會使企業面臨意想不到的結果、值得注意的失敗，甚至道德問題。
物聯網(IoT) 方法將資料、資訊和設備操作程序暴露在風險之中。對監督控制和資料採集系統的攻擊使企業容易受到工業流程關閉或惡意操縱的影響。
為了保持競爭力，企業提供APP，使消費者、裝置和合作夥伴能夠存取其資料。
網路犯罪分子在尋找和利用新技術漏洞方面投入了大量資金，通常在開發人員和合法用戶之前就發現了這些漏洞。這些漏洞使企業面臨盜竊、品牌損害和服務停止的風險。

專注於保護企業內部資產的方法是有限的。在數位企業中，需要保護的資產無所不在：企業內部、由雲端服務提供者託管、行動應用程式中，有些甚至在網站上和透過第三方免費向公眾開放。有效的風險管理將依賴所有利害關係人了解企業的風險管理活動，並使用企業提供的工具積極促進風險評估和緩解。

風險也可能來自企業承擔過多的作業或成本（例如，過度投資於大型專案或計劃），或花費太長時間向客戶提供產品和服務。成功的數位化企業承擔經過計算的小風險，但不會為他們帶來巨大的風險。他們提供原型或最小可行產品和服務，以便在投入大量時間、金錢和其他資源之前獲得頻繁的回饋和數據。

企業風險管理

企業的董事會最終負責實施適當的風險管理架構。 C-Level負責以符合該框架的方式監督和指導工作。

每個企業都應建立正式的風險管理實踐。它的結構應該反映企業的管理方式。風險或稽核委員會通常負責持續維護該框架，並確保風險得到適當的定義和處理。 CISO專注於實施風險和安全措施。

使用風險管理來評估機會

數位技術帶來了許多機會。但並非所有人都能將企業帶往理想的方向。企業使用風險管理來確定哪些機會可能有助於其實現目標，哪些機會可能回報很少或根本沒有回報，或損害目標。

風險管理是戰略推動者。它透過以下方式幫助決策者和領導者：

辨識每個機會的正面和負面風險
確定正面和負面風險的可能性
指出企業應採取哪些措施來避免負面風險
指出什麼行動最有可能確保正面成果
評估所有負面和正面風險的最終結果

風險辨識

幾乎所有學科都使用框架來理解和管理風險。每個都有一個可用於識別風險的風險類別提示清單。例如：

PESTLE 所建立的風險提示清單。
VUCA 為一般條件和情況制定的風險提示清單。
TECOP（技術、經濟、文化、組織和政治）風險提示清單，重點在於了解內部背景。
OODA "觀察-導向-決定-行動"的循環決策週期的概念，由美國空軍上校約翰·博伊德 (John Boyd) 創建，最初用於在軍事交戰中做出作戰決策。
波特五力分析廣泛用於關注商業世界中競爭所帶來的威脅。
力場分析一種社會科學方法，用於檢視影響情況的因素。

從業者可以透過使用顛覆、創新、網路安全和參與（DICE-disruption, innovation, cybersecurity, and engagement）的概念來擴大風險識別的範圍，將數位技術的影響納入其中。

破壞性風險(Disruption risks)

定義:可能破壞企業營運或業務模式的風險。

在數位技術的背景下，破壞性風險通常與競爭對手如何使用數位技術徹底改變客戶體驗或產業運作方式有關，從而比採用該技術速度較慢的企業獲得優勢。當客戶要求更好的體驗，或當他們使用數位技術需要改變服務的提供方式時，破壞性風險也可能來自客戶。

雲端或行動技術也可能帶來破壞性風險，技能稀缺或貿易限制等因素也會影響數位技術的使用方式。對於處於停滯產業、採用新技術速度緩慢的企業來說，破壞性風險尤其重要。如果進入障礙夠低，這些企業就會成為鄰近產業甚至完全不同產業的公司顛覆的絕佳目標。

另一方面，採用未經證實的新技術的企業可能會發現該技術沒有兌現其承諾；相反，它會耗盡資源和金錢，並導致企業走向錯誤的方向。

創新風險

定義:企業的創新帶來的風險。

創新本質上是有風險的。因此，創新是在受控環境中開發和測試的，在企業將未來押注於原型和最低可行產品之前對其進行評估。

一些企業可能會試圖透過在經過適當測試之前發布創新產品或服務來超越競爭對手。儘管數位市場對創新的興趣更高，但客戶並不總是願意等待服務提供者糾正有缺陷的產品或不足的服務。更好或更有吸引力的產品很快就會出現，特別是因為競爭對手很快就會從競爭對手的失敗中學習。

創新是企業能否跟上不斷變化的客戶和市場能力的關鍵。如果它只專注於那些可以透過當前業務改善（例如收入或效率）來衡量的創新，那麼它就有可能錯過加強或提高其整體市場地位的重要機會。

另一方面，有些企業追求運作良好但對業務沒有貢獻的創新。一個新的應用程式似乎可以改善與客戶的溝通，但如果它不能帶來更高的滿意度或增加銷售額，那麼它就不值得投資。

透過定期分析特定產業的報告來識別創新風險。這些報告涵蓋建模、測試審查、消費者回饋的持續分析（在短迭代周期內）和營運績效。

網路安全風險

定義:網路攻擊或資料外洩對企業造成的暴露或損失的風險。

隨著企業收集、儲存、挖掘和分析敏感資料（例如消費者或財務資料），它們成為越來越大且有吸引力的駭客目標。分散的資料收集和傳播使企業面臨更多資訊盜竊和遺失的管道。

隨著新技術的使用不斷增長，安全漏洞已被廣泛宣傳，並且開發了工具來保護新技術。然而，技術越新，對其漏洞的了解就越少。企業越來越依賴提供威脅情報和有關網路犯罪成長的新聞的供應商。這是從其他企業的經驗以及深網和暗網上傳達的訊息中收集到的。

網路安全風險通常是透過使用專門的軟體工具、漏洞評估、威脅情報評估以及產業報告分析來識別的。當這些方法透過機器學習得到增強時，可以實現更主動、更可靠的風險識別。

參與風險

源自企業利害關係人的風險，包括其供應商和合作夥伴、客戶和員工。

數位化企業依賴與一系列利害關係人的合作來確保其成功。如果他們與不合適的合作夥伴合作，或者他們的合作模式沒有看到利害關係人的變化，風險就會增加。例如：

客戶可以輕鬆地在供應商之間轉換。如果另一個供應商提供的產品或服務稍微好一些，或者表現比現有供應商更好，那麼該供應商就可能贏得業務。
供應商必須能夠滿足企業所需的功能和效能。長期、不靈活的合約是敏捷數位企業的重大威脅。
如果一個合作夥伴比另一個合作夥伴對新技術更加開放並且對環境變化更加敏感，那麼合作夥伴關係可能會存在風險。
監管機構可能不允許企業進行必要的改變以利用新的機會。儘管該機構可能對市場中的所有企業構成約束，但它會使它們在沒有這些約束的其他市場競爭時處於不利地位。
內部參與至關重要。例如，IT 部門與其他業務部門之間的關係薄弱或有爭議，IT 部門尋求維持控制權，而業務部門則制定自己的數位化策略，這可能會導致企業數位化戰略的失敗；或者創新的 IT 部門因領導者堅持過時的業務實踐而受阻。

參與風險可以透過在關係的早期階段進行盡職調查(DD)來識別。當盡職調查自動化並透過機器學習增強時，可以實現更主動、更可靠的風險識別。

風險登記表

風險識別的主要輸出是風險登記表：已識別的主要風險的清單，按優先順序排列，並包含有關其歷史和當前狀態的資訊。風險登記表由C-Level監督，並由企業的風險或稽核委員會定期審查。影響企業戰略或生存能力的風險必須由其董事會進行溝通和審查。

在戰略層面，風險登記表的更新頻率應反映企業戰略和業務模式的審查和更新頻率。在舉措或專案層面，登記表應與檢查點會議一樣頻繁地更新。

質化(Qualitative)風險分析

質化風險分析用於確定風險發生的可能性以及風險發生時產生的影響。由於不可能深入解決每一個風險，質化風險分析有助於確定需要先處理哪些風險的優先順序以及在這些風險上花費多少精力。質化風險分析有不同類型，包括風險矩陣和基於情境的分析。

風險矩陣

風險矩陣如下圖所示，y 軸顯示風險的潛在影響，x 軸顯示風險發生的可能性。此矩陣可用於負面風險和正面風險，儘管它主要用於評估負面風險。
企業首先要努力消除負面的「High」風險，因為它們可能是災難性的。「Low」風險是指影響低、可能性低；企業通常選擇接受它們而不採取主動行動。然而，他們將繼續監控「Low」風險，以防風險變為「Medium」或「High」。「Medium」風險是風險修改或分擔的最佳候選者。

基於情境的分析

戰略涉及評估是否應該利用機會及其所有負面和正面風險。情境允許企業評估機會。在風險管理的背景下，情境：

描述機會及其組成部分（客戶、員工、供應商、技術等）
列出定義機會時所做的假設
辨識機會的變數
預測挑戰假設和改變每個變數的影響
評估每次變更的可能性和影響
確定應採取哪些行動來應對負面風險並確保實現正面風險

量化(Quantitative)風險分析

量化風險分析技術試圖對風險進行金錢價值評估。這些方法很複雜，需要大量的研究和分析。它們通常僅在風險超過預定義閾值時使用。

情境分析中使用的量化計算包括：
• Annual rate of occurrence(ARO) 風險在一年內發生的機率。
• Single loss expectancy(SLE) 因風險而導致的預期財務損失，每次發生時均適用。
• Annualized loss expectancy(ALE) 一年內因風險而產生的平均預期財務損失(SLE × ARO)。

風險觸發

風險觸發因素是將風險轉化為實際事件或問題的條件。它也可能是將風險轉移到不同類別的影響或可能性的情況。所有重大風險都應有相關的風險觸發因素和負責監控風險的負責人，以便及時採取行動。這個角色最好由了解所涉及風險類別的SME來擔任。

風險態勢：平衡數位科技的風險和回報

「風險態勢(Risk posture)」指企業識別、分析、規劃、回應和管理風險的整體方法。風險管理實務指南中描述了風險態勢，但本節概述了主要概念及其在定義和管理站略風險中的用途。

定義戰略的一個主要部分是準確闡明企業在追求目標時願意接受多少風險。下表概述了用於描述這一點的術語。這些術語通常可以互換使用，而且不同產業的定義也有所不同。使用的術語或定義並不重要。重要的是企業中的每個人都以相同的方式使用它們，並且它們的含義被納入企業的風險規劃和回應活動中。

風險偏好(risk appetite)

風險偏好由基於風險能力、偏好、容忍度和閾值(capacity, appetite, tolerance, and thresholds)的典型風險反應組成。它不僅適用於企業，也適用於個別利害關係人。了解企業對風險的態度很重要，但也要確定各個利害關係人如何以及為何支持或抵制特定機會。

用於描述風險偏好的術語各不相同。常用的一些是：

Risk-averse
規避風險的企業高估負面風險，低估正面風險。他們可能會捍衛自己目前的處境，並抵制任何需要徹底改變的策略。這些企業不太可能將尋求數位機會作為顛覆市場的一種方式。相反，他們僅在面臨失去市場地位的危險時才專注於使用新技術，並且傾向於僅部署經過其他企業測試的解決方案。
Risk-Seeking
尋求風險的企業低估負面風險並高估正面風險。他們很可能在充分考慮所涉及的所有負面風險之前就匆匆抓住機會。許多新創公司都屬於這一類。數位化和 IT 戰略應確保企業做好充分準備來管理其所追求的機會的各個面向。 領導者有責任去發現並解決過度熱情的問題。
Risk-tolerant
具有風險承受能力的企業對風險持不參與的態度。他們不會試圖減輕負面風險，也不會積極追求正面風險。 這些企業的數位化戰略不太可能討論數位轉型。他們可能認為他們現有的客戶群和商業模式是無懈可擊的。
Risk-neutral
風險中立的企業對風險採取長期的態度。他們評估積極和消極的威脅，作為評估數位和 IT 戰略的機會的一部分。這是最健康的風險偏好； 領導者應盡可能地促進這一點，平衡規避風險和尋求風險的利害關係人的觀點，以在企業中形成平衡的風險方法。

風險對應

「風險對應」或「風險緩解」是指用於準備和減輕風險對企業的影響的政策、計畫、流程和工具。風險對應一般分為以下幾類：

風險保留或接受(Risk retention or acceptance)
企業認為潛在風險的影響或可能性不值得為預防風險而進行投資。該舉措將在不採取任何對策的情況下繼續進行。
風險規避(Risk avoidance)
企業認為風險的影響或機率太高，或預防成本太高。因此，它決定不尋求這個機會或主動權。
風險分擔或轉移(Risk-sharing or transfer)
企業投資於合作夥伴關係，合作夥伴承擔部分或全部風險（例如，雲端服務提供者保護企業的基礎架構），或賠償企業免受該風險的影響（例如，資安保險）。儘管企業可以轉移風險管理，但不能轉移責任。例如，如果雲端服務提供者遭到駭客攻擊並且私人資料洩露，企業必須與客戶一起糾正這種情況。
風險修改或減少(Risk modification or reduction)
採取措施減少風險的影響和(或)可能性。這些包括：
• 限制對有價值資產的存取
• 監控有價值的資產並在發生洩漏或濫用時向上層發出告警
• 監控環境，尋找有價值資產被竊或洩漏的證據（例如客戶的個人識別資訊）
• 建立冗餘機制以防止故障
• 使用自動化來限制錯誤
• 在出現明顯風險時快速反應並回復

實現風險知情(risk-informed)的思維與文化

C-Level在創造風險知情思維和文化方面發揮著至關重要的作用，包括確定企業的風險態勢和偏好。 C-Level要求領導者參與意識(awareness)和溝通活動，以促進所有員工之間的理解。它最終批准企業將採取的應對風險的行動。

具有風險意識並不等於規避風險。領導層不應該對每一種可能出現的負面結果反應過度，也不應該害怕承擔任何風險。相反，風險意識思維鼓勵領導者在風險顯現之前考量企業將如何反應。沒有企業能夠預測每種風險並為其做好準備，但具有風險意識的企業可以很好地理解最相關的風險並做出相應的準備。

除了營造緊迫感之外，數位化領導者也為企業文化注入了面對風險的勇氣。他們獎勵在追求機會時謹慎承擔風險的人，即使預期的效益並不總是能實現，並且偶爾會造成一些損害。這體現在「快速失敗」和「快速學習」這兩個詞彙中，它們鼓勵受過教育的實驗，即使有些實驗失敗了。在解決方案上投入過多之前，最好先經歷失敗，並以促進學習的方式失敗。

同時，數位化領導者很快就會對魯莽行為提出警告。 「快速失敗」並不是放棄常識的藉口。員工應該遵循的一個好政策是，每當他們不確定是否有必要接受風險時，就要求澄清。

這種方法應該透過關於重要風險因素的正規教育以及關於常見風險和如何預防風險的一般意識計劃（例如使用密碼保護個人電腦）來支持。