《風險諮詢服務篇》風險詭譎、法規變換的時代，全球趨勢下的挑戰

回顧2017年，美國總統川普上台後於今年6月宣布退出《巴黎協定》，為全球邁向永續發展投下一枚震撼彈，英國脫歐未來發展情勢亦尚未明朗；反觀國內政經局勢發展更顯詭譎，時隔不到一年的時間，政府又針對一例一休進行修法，企業如何在多變的法規要求之下，以流程自動化機器人 (Robotic Process Automation, RPA) 提升作業效率，無疑是一個重要的挑戰；同時，新任金管會主委，近期更致力推動吹哨者保護、法遵獨立性、資安專責等納入內稽內控辦法，以落實公司治理。企業面對日益嚴峻的法規要求，勤業眾信風險管理諮詢部門從企業五大風險領域：策略與商譽風險、法規風險、金融風險、營運風險以及數位科技風險等，分別提出2018年發展趨勢與因應方針，以期協助企業掌握風險，尋找機會點，開創未來的競爭優勢。

策略與商譽風險

世界經濟論壇每年發布全球風險報告，指出當前國際面臨經濟、社會、環境三大面向的永續風險，不論是貧富不均、社會分化以及氣候變遷，都是全球邁向永續發展過程中需突破的困境。

在環境風險層面，氣候變遷加劇，極端氣候事件發生頻率愈來愈高、大規模自然災害頻傳、缺水危機……等風險，直接導致水資源缺乏、土壤枯竭、糧食短缺等狀況。為降低環境風險，國際合作勢在必行。2015年第21屆締約國大會 (COP21)，訂下解決氣候變遷問題的第一個真正全球性協議的《巴黎協定》；推動至今年6月，美國宣布退出，引起全球譁然，卻也激起參與國支持《巴黎協定》的浪潮，更加強推行世界氣候行動的決心；2017年11月，第23屆締約國大會 (COP23)，更深入探討減碳議題，並推出《氣候變遷教育白皮書》，將氣候變遷的知識深化至教育體系。

在經濟社會面向，自金融危機後，經濟成長緩慢帶來的持續性高負債及高失業率，造成社會對立及貧富不均問題持續惡化，形成社會的不穩定結構，引發地域性的社會動盪，引起區域大規模遷徙，進而加劇民眾心中對經濟及安全的不安全感，導致政治民粹主義崛起。面對如此威脅，當前第一要務便是透過區域合作，如歐盟於移民政策上的合作，並建立完善政策與制度，如支持無條件基本收入倡議，以追求永續穩健並具包容性的經濟成長模式。

永續發展已成為各國共識，相關風險是所有人無法逃避的課題，為有效實踐永續發展藍圖，透過風險鑑別，結合內部經濟、環境、社會規劃及呼應外部需求，擬定永續策略及目標，並連結國際合作，展開行動，轉化風險為機會。

法規風險

自從全球金融危機之後，企業面臨的法遵議題變成了結構性議題，雖然法遵持續進行改革，但西方經濟體在政治上的不穩定 (英國脫歐與美國總統大選)，提高了法遵環境的不確定性，且有許多新的、更嚴格的遵法要求不斷地被提出，這意味著有效的管理法規遵循風險變得越來越重要。

法規風險被列為對於未來兩年的業務中最重要的風險類型之一，大多數企業認為法遵改革已經對經營產生了重要的影響，不可否認，遵法議題使企業面臨莫大風險，現在全球化社會，監理不僅侷限於國內規範，國際間相關規定只要與企業有關皆須遵循，任一違規，即很有可能使企業動輒賠上鉅額罰款，不可不慎。

因此，企業如何有效管理法遵風險，將是企業重要的課題，針對法遵風險管理可從管理及技術兩個層面來檢視，就管理層面來說，首要是企業需設置獨立法遵單位及配置適格的法遵人員，使其能專責為企業建置合身的法遵管理制度，且為期能有效落實法遵管理制度，企業亦應設有健全之吹哨者制度，使舉報人查見任何違規情事能勇於吹哨，遏止不法，也能使企業降低違規風險。就技術層面來說，企業可使用新興科技精簡合規流程和提高效率，例如，通過使用流程自動化機器人 (Robotic Process Automation, RPA) 來自動化執行日常任務，降低企業合規成本及提高效率。 

在當前不確定的監管環境中，法遵風險管理已邁向新的方向，迎接新的挑戰，最重要的是，企業需要整合性法遵風險管理技術及設置獨立的法遵單位，使其可靈活應對及預測遵法方向的潛在變化，有效的管理法遵風險。

金融風險

有鑑於國內企業已全面採用IFRSs，以集團合併財務報告作為公開資訊之表達，加上近年主管機關亦推動加強企業自編 (合併) 財務報表能力之政策，因此，如何利用有限的人力資源，快速產出正確的財務報表，成為企業面臨的挑戰；而財務資訊除了在對外的表達上須符合各號新公報的規範，對於企業在內部決策及經營管理上亦扮演重要角色，決策者期望能透過有效的整體財務資訊，發現企業面臨之風險，並即時做出正確的管理決策，亦是現今企業期望突破的困難。

為了突破上述困境，許多企業透過新的科技或工具的運用來縮短收集與彙整資料的時間，並減少人工處理的錯誤機率，例如企業透過財務資訊整合平台的建置，縮短合併財務報表編製之時程，同時透過系統執行後勤單位費用分攤、事業部間之內部轉撥計價等運算，即時提供各樣經營分析及決策支援之報表，或搭配視覺化效果來呈現營運績效。財務資訊整合平台可強化整體財務數據之品質、提高財務報表編製之效率，並達到管理階層分析價值；財會人員亦可藉由數據結果洞察經營風險，即時提出解決方案。

然而財會功能在數位化的同時，組織及人員亦須配合轉型，除了高階主管對新科技的推動外，組織內應建立分析型的文化；而財會人員欲轉型為財務規劃及分析人員 (FP & A)，則須搭配相關科技或工具之教育訓練；最重要的是全體成員需投入及承諾，一同打造敏捷的分析型組織，始可迅速回應各項內部及外部環境的變遷與挑戰。

營運風險

全球經濟正經歷新一波的革命，企業也面臨底層商業基礎架構的變革，而這波革命的推動浪潮，主要來自於運算能力的聚合、人工智慧的應用、以及跨界連結的通達。這場革命帶來各產業營運模式的重新塑形，只是快與慢的差別而已，其所帶來的改變，是挑戰也是機會，更衍生出新的競爭、威脅與風險。

將營運模式提升至策略層級

一直以來營運模式是為了實現商業策略，但如今，透過新興資訊科技的演進與應用，營運模式發展的可能性及能耐將重新定義企業的經營策略，營運模式也應從過去實現商業策略的定位，轉變為驅動商業策略的角色。企業可以藉由自動化、物聯網、網絡運算等技術重新定義產品或服務，也可用以改變設計、採購、製造、傳遞產品或服務的方法。

成為你的客戶，體驗他的體驗

企業與客戶間的關係品質發揮至關重要的決定性影響力，客戶擁有愈來愈大的力量，因為他們較過往有更巨量的資料、更多元的選擇與更重大的影響，因應來自於客戶的巨大力量，企業需要跟隨客戶旅程重新調整營運流程。以出貨為例，快速出貨已非選項而是必要，企業可考量運輸倉儲自動化、無人機及無人車送貨、或是將這些技術整合智慧製造，進而促進傳統供應鏈的轉型。

運用自動化技術提升效率

企業必需擴充它的生產力，而最新的解釋為透過自動化工具及認知技術來重新設計生產流程。營運流程自動化早已融入企業日常作業當中，但如今透過像是流程自動化機器人 (Robotic Process Automation, RPA) 的認知技術，它的影響更為廣泛及深遠，引進這些自動化技術從事日常例行性任務，而使專業技能人員可更專注投入在專業活動上，將能擴增企業整體生產力。

生態系的協同合作

企業應建立策略聯盟及夥伴關係以因應新浪潮。這可能反應在打造一個更即時回應客戶需求的服務網絡，或是最適化的全球運籌，不僅是最小化營運成本，更可擴大人才庫來源及緩減經營風險。例如金融科技及眾籌平台重新定義了傳統銀行的角色，金融價值鏈中的無縫結盟及協同合作也更為容易，以在端到端的客戶旅程中，提供不同的價值活動予客戶。

重新定義成本結構

新興科技所引導的新革命，為企業帶來了新的契機以重新定義成本結構與投資未來。不同於以往的慣例，企業成本降低與業務成長不再是利弊權衡的取捨關係，例如引進自動化工具或認知技術，不僅可為企業帶來成本的降低，同時也可協助企業追求快速成長。企業應節省成本以提升客戶體驗，促進更大規模的轉型，以及投資未來。

這件事並不容易做到

面對這波前所未有的革命，不可能不付出任何的代價。社會態度的改變、政治力量的介入都是對於全球化及自動化的反作用力。我們可以從匯率的波動及民生物資價格的起伏見證經濟的動盪；企業所面臨的法遵成本及資安威脅也較過往大幅增加；企業對於資料的收集、處理、利用、保存需更為審慎及取得客戶同意；對於新興科技的採用也應考量對員工工作權益的衝擊。這些都是改變所需付出的成本，但面對這股無法迴避的改革浪潮，我們追求的是整體社會淨利益的提升。

數位科技風險

隨著數位時代來臨，跨領域、跨產業整合發展日趨頻繁，而新興科技衍生的安全風險與挑戰也將傳統資訊安全風險提昇為企業營運、國家安全等更高層次的風險議題。根據各國持續發布之科技風險相關法令或法規，可觀察全球主要國家科技風險管理之發展趨勢及共同性如下：

關鍵資訊基礎建設保護

關鍵基礎設施保護議題已逐漸為各國所重視，幾乎所有的關鍵基礎設施 (電力、水源、交通、通訊、能源供應等) 愈來愈依賴於資訊系統，倘若這些資訊系統遭受攻擊，極有可能導致公共服務中斷、甚至影響民生經濟活動，將進而威脅國家安全，故各國政府均高度重視關鍵資訊基礎建設防護之相關政策。

數位邊界與資料落地 

網際網路的自由性造成與個資保護的衝突性，目前歐盟、中國、俄羅斯等國家，相繼將「資料落地」立法付諸實施。以中國於2017年6月1日正式實施的「網路安全法」為例，即要求業者將處理資訊所需的伺服器及資料儲存設備設於中國境內。其他各國也紛紛基於國家安全、個人隱私等考量，針對資料的跨境傳輸以法規予以禁止或限制，以確保公民權益與國家安全。

隱私資料保護及資料外洩通報

號稱人類史上最嚴格的隱私保護法案，歐盟通用資料保護規則 (General Data Protection Regulation, GDPR) 將在2018年5月25日正式生效，除提升隱私資料保護要求及確立隱私資料外洩通報責任與時限外，並大幅提高罰則，以警惕企業需善盡隱私資料保護之責任。

從傳統資訊安全標準轉為成熟度評估框架

2014年美國國家標準與技術中心 (NIST) 推出以成熟度為基礎的網路安全框架 (Cyber Security Framework) 後，目前已有香港、日本、新加坡等地區或國家持續推動網路安全成熟度評估框架，2017年3月美國眾議院也通過法案鼓勵關鍵資訊基礎設施之營運企業落實NIST網路安全框架，臺灣政府第五期國家資通訊安全發展方案 (106至109年) 也已將資安治理成熟度評估機制納入，傳統齊頭式的安全標準難以涵蓋所有產業及新興科技，隨著成熟度評估機制的發展，將逐步取代傳統資訊安全標準，形成因應產業與企業特性的成熟度框架。

加強金融機構的網路安全管理機制

自2008年金融海嘯後，全球各國無不強化金融監理，而隨著新興科技日新月異，加上金融科技蓬勃發展，科技與業務已密不可分，也大幅提升法令遵循與資訊安全管理的複雜度。金融機構須密切注意全球金融監理制度與法規要求之發展趨勢，特別是董事會與高階主管的參與及管理責任、資安長與資安專責單位設置、網路安全成熟度框架、攻防演練、事件應變、營運持續等議題，透過持續評估各項機制之遵循程度，以面對日趨嚴格之金融業網路安全監理要求。