洞察解析

2021年趨勢解析《風險諮詢服務篇》疫後新常態時代下的七大關鍵風險管理

勤業眾信風險諮詢服務 / 吳佳翰營運長

回顧2020年,全球遭新型冠狀病毒(COVID-19)疫情肆虐且國際政經情勢極為動盪,展望2021年,企業勢必仍高度關注疫情反覆對經濟復甦緩慢影響的程度、國際情勢如美中貿易及科技戰在拜登當選後的後續發展,在在說明了全球經貿不確定性將仍居高不下,企業的投資及布局將在疫後新常態時代面臨高度挑戰。

勤業眾信風險諮詢服務部門針對企業在疫後新常態時代即將面臨的關鍵風險管理議題,包含數位科技安全、金融風險管理及法規遵循、合規遵循風險展望與RegTech應用、數位轉型、數位科技應用下的營運風險管理、ESG議題、氣候變遷與人力資本策略、企業韌性管理等,提出協助企業辨識並管理風險的建議,與企業在2021年強復甦之路上共同向前邁進,搶先布局未來所需要的競爭力。

數位科技安全趨勢

企業因新型冠狀病毒(COVID-19)疫情面臨極大挑戰,但也加速數位化轉型,展望2021年企業建立後疫情時代管理機制時,亦須同步強化數位資訊安全防護,以兼備防範疫情與維持企業營運之目標。隨著數位戰略的發展,企業應評估數位化程度所需的網路安全管理成熟度,建構由上而下的防禦框架(Framework)與基礎措施(Baseline),以及以風險為導向的網路安全策略與治理架構。

隨著各國政府制定保護要求更嚴謹的隱私權規範,企業應審慎對應隱私合規遵循,並著重於如何有效保護個人資料避免因新興科技使用而產生的各種新型態威脅。

企業因應疫情已加速雲端服務部署腳步,面臨主管機關監理以及同時管理雲端與地端資訊服務的複雜性,雲端安全性和治理的有效性是企業須克服的首要課題。而為配合雲端資源整合的潮流,DevOps與敏捷式(Agile)開發為軟體產業工作模式之二大發展方向,使軟體及系統的本身技術架構也朝向微服務(Microservice)與API-Led connectivity等模式,企業應致力於Security by Design與Privacy by Design的DNA內化於軟體開發流程中。

身份識別與存取管理是授予所有企業IT資源存取權限的入口,應妥善定義和管理每個使用者的身份角色及其所需資源的存取權限,並根據身份角色生命週期,落實特權帳號管理、身份治理與消費者身份識別與存取管理等最佳實務作法。另外透過資訊架構縱深防禦與組態安全等評估,強化資訊基礎建設體質,了解所面臨之風險並改善,輔以控制評估報告以供外界理解企業之決心與成果。

針對關鍵基礎設施或具同等能量之企業,完整的工控系統(OT)安全治理策略能消除IT和OT團隊之間的鴻溝,為IT與OT基礎設施環境訂定全面的資安角色和權責分工。駭客集團網路犯罪技術日益進步,形成巨大的「網路犯罪地下經濟」惡勢力,面對不可預見的資安危機,企業應加強資安應變及預警能力,從組織、程序及技術面全面性提升應變能量,同時善用及掌握更完整威脅情資,縮短企業反應時間以強化資安韌性。

金融風險管理及法規遵循趨勢

金融海嘯後,面對金融監理不斷頻繁更新法令法規並加重裁罰力道,同時各類新興科技創新蓬勃發展,不僅改變金融交易的模式及型態,也改變了金融機構所面臨的風險及法規遵循面向。以整體金融法規趨勢分析及未來發展,金融機構應考量及規劃風險管理及法規遵循管理議題,將以三大重點面向來說明:


圖1:法規盤點表

金融法規對策與遵循議題

Basel III已在銀行公會及銀行間熱烈的討論因應之道,目前銀行應於2023年完成Basel III合規,包含IRRBB (Interest Rate Risk in Banking Book)及FRTB (Fundamental Review of the Trading Book)的導入,由於合規導入涉及人員、流程及系統的調整,建議銀行應及早規劃Basel合規相關事宜;另考量節省信用風險資本計提,銀行也正積極布局提出信用風險內部評等法(Internal Rating Based Approach)申請,於此同時,銀行開始審視內部評等模型的覆蓋完整性及模型的妥適性,力求在質化及量化上符合申請使用內部評等模型的相關標準及規範。而另一個合規的重點是配合金融監督管理委員會2019年底推出之「財富管理新方案」及2020年2月26日預告「銀行辦理高資產客戶適用之金融商品及服務管理辦法」草案,若銀行考慮申辦此項服務,則須考量發展高資產客戶或私人銀行業務的後續業務發展,若以國際上私人銀行實務標準來看,銀行在組織上、服務模式、商品及服務、風險及合規管理上,都須考量轉型或升級。

公平待客及理專十誡議題

由於保護消費者權益與公平待客是金融產業近年重點之一,加上因理專不當行為頻頻發生,如何基於誠信經營文化,持續有效保護消費者權益與避免內部行員舞弊,建議金融業可以跳脫過去傳統管控思維,結合新興科技跟主動管理來強化管理效果,主要是因為內部舞弊或員工不當行為,都屬於金融犯罪定義之一,其行為模式會因為犯罪者了解金融業內部作業規定而尋找可以規避的方式,因此金融產業可結合大數據分析,運用分析結構化資料與非結構化資料,找出在行為學上的離散值,再結合流程面的管控紀錄,進行關聯對應,進而發掘出潛在的不當行為風險活動。此外,主管機關也重申公司治理及高階管理階層當責性的重要性,因此建議從上而下推廣,除了董事會應主動參與策略擬定與投入資源外,對於文化是否有效形成與利害關係人的定期回饋,也是須要持續關注的活動。

法遵科技的運用

在數位浪潮下金融機構不斷面臨新的挑戰與機遇,新興科技與風險及合規管理的碰撞,讓金融機構對RegTech應用報以相當大的期望,國際上已推出許多RegTech應用的平台,而這些平台發展著重在身份識別與監控、風險管理、法遵與合規報告及交易監控的解決方案。反觀台灣金融機構實務來看,目前最多運用場景則是透過流程自動化機器人(RPA)來實現。所謂流程機器人則是透過新型態的電腦作業自動化平台,模擬高重複性、規則化的人工作業,取代人力投入,有效降低人員操作錯誤或輸入錯誤資料的狀況。從2018小規模的試行,到2020整體金融機構前中後台大規模流程的導入,未來更寄望加上人工智慧及機器學習的技術,擴及更多新興科技的共同應用,以發揮更大的綜效。而以國際RegTech發展來看,台灣還是有很多發揮的空間,建議可以考量大數據分析及AI技術、身份識別技術及區塊鏈技術,解決目前金融機構面對KYC作業、AML交易監控、風險預警偵測及風險合規報表的各項挑戰。

合規遵循風險展望與RegTech應用趨勢

回顧2020,COVID-19疫情雖影響甚鉅,但全球監管力道不減反增,合規遵循風險持續提高。企業若未留神,便可能引來裁罰敲門。如去年金管會對金融業弊案已開出近2億元罰鍰、廣明遭惠普控告反托拉斯遭判賠約新台幣130億元高額罰金等皆值得企業引以為戒。不少企業為避免踩到法令紅線,開始重視合規遵循責任管理、風險偵測與預警。在組織面,不只是金融業,近幾年亦見高科技製造、化工等企業陸續建立合規組織,以處理來自法令法規、國際標準、產業要求等合規需求,並依領域(如公司治理、環安衛、智慧財產、財稅等)辨識風險與建立合規策略。以全球發展趨勢觀之,合規遵循管理將朝向以下四大方向發展:

合規遵循單位常須要追蹤全球變動的法規、產業規範、管制清單等,並且形成Actionable(可行動的)控制措施並確保實踐。但追蹤合規的單位、具能力進行控制措施設計與行動實踐的單位不見得相同,如何即時管理跨單位的合規過程是一;從公司治理的角度而言,董事與高階管理層是否有能力掌握現行企業整體的合規狀況,也會是一大挑戰。因此,應用監理科技(RegTech),依下述路徑,讓組織逐步達成合規遵循的數位轉型,將是企業未來必須面對的重要課題。

合規遵循數位轉型的第一步,須盤點企業的合規要求,並導入法規遵循管理平台工具,整合跨來源之監理資料予以結構化,使其得以共享;並將合規流程數位化,保留合規軌跡;另透過文字探勘技術,辨識外部法規涉及的內部規範及控制措施,以實現高效的合規管理。其他應用則可包含:導入對談人工智慧(Conversational AI),提供員工合規諮詢,亦可分析遵循議題熱區。在風險偵測上,亦可導入數位控制(Digital Controls)或IoT (Internet of Things)監測工具,監測活動合規狀況。若分析結果達到風險指標閥值,系統可自動告警或暫停作業,以達到風險防阻。亦可運用資料感知技術(Risk-sensing),針對法院判決、法令草案、裁罰相關案件及新聞進行數據分析,供合規遵循人員管理潛在合規風險。

隨著企業業務拓展,須遵循之規範將有增無減,合規遵循能力將是企業重要的競爭力。藉由合規組織與管理方法的建立,輔以監理科技的導入,將能夠協助企業持續履行合規義務,管理合規遵循風險。

數位轉型趨勢

因應COVID-19疫情的影響,「不確定性」將成為常態,數位轉型將成為企業生存的關鍵,從根本的客戶服務,乃至企業策略布局,數位轉型將從「選配」變成「標配」,甚至是「必須」。企業應有效藉由數位轉型「縮短與客戶的距離」與「消除與客戶之間的屏蔽」,因此企業應該更著重於理解自身的客戶需求,透過導入數位轉型,企業將可較靈活地在營運策略、商業模式及通路經營上,採取多元的因應措施,不只快速投入數位資源以防守疫情期間的業績低谷,更可進攻後疫情的報復性消費回升。此波疫情為企業帶來了極度艱鉅的挑戰,同時也為數位轉型創造良機。企業應以此為契機,加緊數位轉型腳步,以客戶需求為原則來重新定義企業優勢,探索屬於自己的轉型之路,以因應未來快速變動的後疫情市場。

數位科技應用下的營運風險管理趨勢

2020年9月Deloitte發表「2020全球審計委員會調查報告(2020 Global Audit Committee Survey) 」,報告中審計委員對企業內部稽核報告的期望,除了希望能提升報告的頻率與層次、更希望內容要包括「著重未來新興科技風險與挑戰,依重要程度排序,提供改善建議」以及「採用科技及創新進行分析、測試,運用圖表及視覺化儀表板呈現洞察力資訊」,也建議「稽核人員要積極參與轉型專案,協助企業洞察轉型過程中可能發生的風險」。顯示隨著數位科技應用的成熟度提升,以及對企業營運流程的影響與日俱增,企業開始正視流程管理與科技本身的風險,以RPA流程自動化機器人的導入為例,如何管理使用RPA的風險,也成為企業關注的重點之一。

數位科技除了可以協助提升經營績效,也可以是企業風險管理的利器。在企業對新興科技更瞭解的同時,營運風險管理相關的領域,預期會是數位化浪潮的下一波熱門應用。例如AI應用上,透過光學辨識結合深度學習找出品質異常風險、藉由無人機的存貨盤點協助確認存貨數量異常、結合VR技術的智慧眼鏡降低勞工安全風險;在RPA應用上,雖然過去多應用在提升採購、銷售、財務等營運流程效率,然而RPA的特性是擅長將重複性高、帶有固定規則的作業流程自動化,因此在企業內部稽核領域上,協助收集和處理數據、安全和控制監控、發送例外通知,相信是企業對RPA更加熟悉後的熱門場景;在大數據浪潮下,應用數據分析找出企業營運異常,對企業來說可能不是新鮮事,但隨著BI、視覺化工具的普及化、企業對基本數據蒐集的成熟度提高,整合大數據、視覺化工具、平台化管理的風險監控平台,已經是台灣領先企業爭相導入的風險管理工具。展望未來,除了適用範圍與模組的擴充,結合自動化工具或AI進行更精準的異常偵測等深度發展,勢必讓大數據在營運風險管理領域依舊引領風騷。

依台灣企業現況概述數位科技對企業可能的影響如下:

資訊基礎建設整合

為因應遠距管理、線上服務與多系統整合的策略需求,企業須有能夠整合所有資訊的資訊系統基礎建設,才能增加競爭優勢。

數位分析與決策

面對多據點以及遠距管理,以及更多渠道的資訊來源,規範化的資訊分析與輔助決策,將會扮演更重要的角色。

自動化應用

不論是工廠自動化、作業流程自動化或是人工智慧(AI)的應用,都將成為企業因應人員短缺以及遠距管理的利器。

新興科技創造客戶體驗

協同科技有效改善客戶體驗的產品或服務,將成為企業競爭優勢的重點。

同時也須要注意的是,有效應用數位化需要適合的優質人才以及組織資訊轉型應用的能力,二者皆須長期培養,無法輕易自外部取得,提醒企業須儘速規劃準備。

ESG議題、氣候變遷與人力資本策略趨勢

牛津辭典年度代表字「氣候緊急狀態」,真切地反映了21世紀氣候變遷對人類的商業、社會、生活樣貌造成巨大改變,永續發展成為了全球交流的共同語言與合作共識,不僅強化金融機構推動ESG投融資決策的決心,驅動全球市場資金配置,相關法令法規以及國際客戶對風險治理需求,也鞭策企業正視永續發展的挑戰。在疫情的推波助瀾下,無疑更加速了企業永續轉型的急迫感。最初以短期變通的營運角度已與情勢相悖,疫後時代企業應拋下包袱,強化風險管理,以永續治理思維深度檢視營運體質,繼而制定數位轉型、人才組織等變革策略,建構可因應未來變化的敏捷組織,才能在混沌而快速變化的市場中找到生存之道。

企業韌性管理趨勢

COVID-19改變了企業許多管理或日常作業的環節,要維持「Business as usual」是個挑戰,管理階層應該預期現況已非暫時性變化,而是新的常態。在此情況下,公司既有的營運持續復原方案是否適用於新常態?僅備有一套劇本、是否足夠因應新常態的風險,甚至是該劇本是否須具有彈性,而非萬年不變?

企業於評估新的營運持續復原方案時,除了針對方案本身、資源準備充足度及人員認知熟練度,一般常見考量因素之外,亦應同時復原方案本身,能否隨著外部環境的變化,與組織策略取得一致,例如:COVID-19後,隨著業務與產品的消長,復原方案優先序與時間要求是否須配合調整等,會是新的挑戰。

 

是否找到您要的資訊?