洞察解析
2023年趨勢解析《風險諮詢服務篇》在世界變局中重構韌性並賦能未來
勤業眾信風險諮詢服務 / 吳佳翰營運長
過去這兩年環境發生了許多前所未有的劇變,包含:疫情、戰爭、氣候變遷、新興科技等。當變化已成為常態,更需要正視風險控管的重要,方能更穩健地達成永續企業願景,並在變局中展現強大組織韌性。
2023數位科技風險趨勢
隨著新興數位科技的進步與普及,網路空間也日趨複雜化,網路風險的管理也從關於各行業和領域規範,與遵循國際標準與系統安全,近年來由於大量資料外洩和網路攻擊事件等資安議題,也將網路風險管理提升到業務領域,管理的重點擴展到業務風險的管理與業務持續運作和保持營運韌性的能力。而在數位技術創新的快速發展,伴隨網路無邊和無限可能的多元數位應用的普及,雲端運算、維運技術(Operational Technology,OT)和資通技術(Information Technology,IT)的結合,萬物聯網IoT的普及,以及專業分工精細所呈現的相互關聯供應鏈生態環境,促使網路風險管理要面對的是快速變化和難以控制的風險。
根據世界經濟論壇2022年的報告指出,自疫情開始以來惡化最嚴重的風險中,前10名就包括了網路安全失效和數位不平等的網路風險,其中更將網路安全失效鑑別為未來五年內面臨關鍵科技面之風險,社會對數位系統的依賴、遠端工作、勒索軟體、網路安全人才短缺、人為失誤及供應鏈攻擊,都成為主要的網路安全風險。在數位依賴與網路脆弱性議題中更提到全球尚缺乏300萬名專業網路人才,95%網路安全事件可歸因於人為失誤。
在後疫情時代,全球產業也面臨新興的網路安全風險,例如:
- 居家辦公:對個人移動裝置與家用網路高度依賴,遭受網路攻擊的可能性增加。
- 社交工程攻擊數量急遽上升:攻擊者對注意力分散又脆弱的使用者採取越來越複雜的社交工程攻擊。
- 供應鏈中的權責模糊:隨著供應鏈的複雜性增加,缺乏監督和模糊的管理機制將影響網路韌性。
- 快速創新衍生的風險:快速數位化會導致組織繞過風險確認的步驟,將潛在的風險狀況變為未知狀態。
- 關鍵基礎服務設施:關鍵基礎服務設施仍然面臨巨大壓力,且易成為犯罪組織和民族主義者的攻擊目標。
在當今的數位環境中,企業應從風險全景建立對安全責任的可視性,將風險轉化為競爭力和資產,建立具備安全性的服務與產品,並藉由遵循領域資安標準、導入零信任架構、以及建立高度營運韌性等,使企業在市場上佔有優勢。
- 遵循領域資安標準:
企業應該考量產業的特性,導入符合產業特性的資安標準,例如資訊產業的ISO 27001、汽車產業的ISO/IEC 21434和TISAX、半導體產業的E187、以及被廣泛採的的工業控制通用標準ISO/IEC 62443標準。
- 導入零信任架構:
企業應考量以國際常用的零信任框架,透過身份、裝置、應用程式與工作負載、資料、網路、可視性及分析與自動化與協調等重點,配合企業的業務驅動力、政策與標準、合規要求,與數位服務管理等面向,打造企業零信任架構。
- 建立高度營運韌性:
企業應該考量7個要素,即策略、營運成長、營運作業、數位科技、工作流程、資金結構,以及結合社會體系等7個要素,以建立高度營運韌性的組織。
2023永續發展趨勢
回顧2022年,國際情勢變化莫測,無論是新冠疫情持續發酵、俄羅斯入侵烏克蘭等,全球在永續和氣候變遷回應上面對史無前例的挑戰。即便在第27屆聯合國氣候變遷大會(COP27)各國達成成立氣候基金以及正式對漂綠推出「Integrity Matters」報告;同時,在加拿大蒙特羅舉辦的聯合國生物多樣性大會(COP15 )上,世界各國也同意於2030年前保護地球30%的陸地和水域,但在各國為了維護自身利益的阻力和挑戰下,也限制了有效的進展,放眼2023年,永續管理的趨勢與關注焦點如下:
制定良好的碳管理策略仍為重中之重
首先,世界各國已於COP26達成2050淨零排放共識,並發布相關政策與法規,金管會2022年3月發布「上市櫃公司永續發展路徑圖」,要求上市櫃公司完成碳盤查及查證作業,碳費制度也預計於2024年上路,企業需透過制定減碳目標及策略、投入於自然為本等解決方案,積極展開減碳行動,而良好的碳管理則需仰賴企業所持有的自然資本,自然資本的妥善使用會是企業能否達成永續經營的關鍵要素。
資本市場行動主義必不可少
其次,金管會於2022年9月發布的「綠色金融行動方案3.0」,則是聚焦於「以金融業資金引導淨零轉型」,除了過去的從風險面把關、被動地調整投資組合外,更希望能透過資金的影響力,主動建立永續投融資框架,並發展永續創新金融商品,甚至採取多元ESG議合行動,扮演協助企業低碳轉型之重要角色,給予具有ESG企圖心的客戶優惠條件。
員工福祉與人權議題變得至關重要
接著,由於疫情趨緩後的工作型態與需求皆有巨大變化,如何適應個體差異與提高彈性化的獎酬福利配置為一大挑戰,而提升員工福祉遂成企業在社會層次積極經營組織營運永續的潮流。GRI 2021的改版與歐盟對企業在人權議題上的加重罰款,凸顯人權盡職調查的重要性,也建議企業透過人權管理強化企業與利害關係人間的和諧共榮,使社會層次議題不僅止於揭露與企業形象。
供應鏈管理為強化ESG不可或缺的角色
最後,企業必須將永續管理的範圍擴大至供應鏈上,才能夠真正落實永續。以溫室氣體而言,範疇三的排放占了大宗,且CBAM也要求以產品碳足跡為評估單位,顯示碳排由原物料開採到終端產品,整條供應鏈都需共同承擔責任,也因此企業的ESG治理必須延伸至供應鏈,在溫室氣體減量、人權與勞動、誠信經營等方面均需層層推動供應鏈上游的意識與治理強度,發揮以大帶小的作用來提高供應鏈的永續韌性。
2023數位轉型趨勢
後疫情時代來臨,企業數位轉型轉向透過策略驅動、架構轉型、科技治理與生態圈整合,促進企業重新定義數位轉型策略,提升企業核心競爭力與價值。企業應在數位創新思維下,以永續與整合觀點快速建構,開創新的商業模式。
以數位轉型策略驅動企業發展的核心競爭力
因疫後生活型態不斷地在變化,從消費端日新月異的需求,到現代社會人口結構的改變都帶給製造生產端不少挑戰,各國及企業開始意識到有別於傳統生產方式的一種新式生產方式-智慧製造,而世界經濟論壇(WEF)提出了「燈塔工廠網絡(GLN)」的概念。「燈塔工廠」為導入如IoT、AI等多項先進技術或數位工具,在生產效率、敏捷管理、響應市場速度、客製化等面向改善營運績效,希望藉此給出各產業的智慧製造標竿案例,若同時在環境永續改善上有一定影響力的工廠,WEF更從現有燈塔工廠中評選出「永續燈塔工廠」的標竿。建議企業在發展智慧製造轉型過程中,可以參考GLN燈塔工廠之架構,藉以打造具備數位DNA、先進技術與環境永續之供應鏈。
另一方面,金融科技的數位轉型亦改變金融領域的競爭生態,隨著金融業者對於金融科技的投資力道加大,發展出多元的新形態商品與客戶服務,透過提供優質的客戶服務體驗、強化風險控制與落實普惠金融三大面向,將成為金融業者趨向金融生態圈的最大原動力。面對主管機關2021年底頒布的「金融機構間資料共享指引」,金融機構應該積極整合企業內部資源,開展資料共享的佈局與應用。未來,金融生態圈的新價值創造,將更仰賴開放式的異業整合,由過去內部創造價值、提供產品服務給客戶,轉變為建構跨界的生態網絡,由外部帶來新的商業模式,豐富客戶體驗並滿足需求,提升整體市場效率與動能,實踐生態圈網絡將成為企業提升競爭力之關鍵。
數據治理-企業數位轉型的發展基石
迎接大數據時代的來臨,企業若想要掌握高品質的數據資產、降低核心數據資產的資安風險、資料架構與權責的釐清,以及運用數據資產並轉化成企業的商業價值(例如,即時性企業營運指標戰情室)。其前提,皆取決企業是否已妥善規劃,並導入完善的數據治理制度。 企業應該將數據治理規劃與導入,視為企業進行數位轉型過程的重要發展基石,蹲好馬步,並首重三個面向進行,第一,尋求高階管理層由上而下的支持,第二,數據治理制度導入後的延展,第三,強調數據治理與數據應用的雙軌並行。如此,才能打造企業內部數據治理與應用場域,驅動企業數位轉型進程。
科技治理為企業啟動數位架構轉型的關鍵
數位架構轉型是各產業必然面對的趨勢,當代企業在數位架構轉型的過程中,經營策略和科技的關聯至關重要。科技治理仰賴企業最高領導階層由上而下支持與投資,才能啟動數位轉型全盤性的策略規畫和跨部門間的合作。科技系統架構轉型的痛點,為企業在不斷擴張、疊床架屋的系統上,如何有條理並循序漸進地完成數位轉型,並且同時能打造高效、高可用與高韌性的維運能力與團隊。企業導入新科技的同時,亦會改變企業營運和組織運作,科技治理為企業數位架構轉型的關鍵,因通盤考量主管機關、客戶、治理階層與管理階層等利害關係人,打造創新、開發、維運與資安管理整合體系。
雲端架構轉型趨勢
企業在後疫情的新常態中為因應ESG企業永續發展與IT彈性與韌性,對於雲端投資呈現成長趨勢。隨著國際三大公有雲服務商今年全面落地台灣,使企業在政府法規與資安要求下較以往願意投資雲端基礎建設。觀察企業雲端架構主流趨勢,多數企業採用多雲混合雲架構推動上雲搬遷計畫,此架構同時具備公有雲的彈性與私有雲的機敏資料儲存需求,多雲架構的複雜性使企業開始重視雲端的治理與維運。數位轉型與IT現代化使企業組織展開架構轉型,透過雲原生技術的導入打造新中台架構、微服務架構等技術。企業管理階層更應思考在數位轉型過程中,考量業務、法規、資安、架構與財務各方面,評估與發展適切的上雲策略與路徑,並設計符合資訊治理的管理架構與工具,建立雲端治理與維運計畫,培養雲服務團隊(Cloud Center of Excellence),實踐多雲混合雲架構的價值與降低架構改變帶來的風險,以協助企業加速數位轉型的腳步。
2023數位內控趨勢-Future of Control (FoC) 以未來控制 智慧掌控未來
2022年全球仍是劇烈動盪的一年,烏俄戰爭爆發、新冠疫情未解、央行升息不斷、通貨膨脹失控、全球經濟衰退、地緣政治威脅、供應鏈大混亂、技術人才短缺等黑天鵝事件層出不窮,引致現今的商業環境比過往任何時候更加瞬息萬變,而可預期的是,企業身處在這樣黑天鵝環繞的不確定環境會是一個新常態,因此應佈建數位風險管理、數位內部控制以及數位稽核確信,從提升自我的企業經營韌性出發,在動盪且不可預測的商業環境中,追求逆境成長。
有鑑於企業經營面對的不確定極高且經營環境日益複雜化,臺灣證券交易所於2022年8月頒布了「上市上櫃公司風險管理實務守則」作為指引,協助上市公司導入風險管理機制,強化公司治理,健全企業永續經營。法規雖然迫使企業被動式地開始思考建立風險管理機制,但現今更多企業選擇採取主動推行風險管理,期望建立系統性、架構性、全面性的風管機制,結合Top-down 與Bottom-up雙軌方式,以期更快速及有效地識別風險、評估風險以及回應風險,一旦風險來臨,組織能具備敏捷應對風險的能力,降低公司營運衝擊,進而提升企業韌性。
身處數位轉型時代,企業應同步思考運用新興科技強化整體的控制環境。Deloitte提出了未來控制 Future of Control (FoC) 的最佳實務框架,協助企業將風險、控制與科技結合,以未來控制智慧掌控未來。在未來控制FoC架構下,企業可以從控制三大構面(風險控制、控制效率、控制確信)出發,探尋七大主題(風險協作、GRC&ERP 新科技、控制自動化、流程&控制轉型、及時智能洞見、確信整合與智慧稽核)以展開運用自動化與新興科技驅動控制模式,重塑控制營運方式,改變傳統風險管理方式。
風險控制著重優化風險管理系統,透過數位化風險監控並使用風險感知技術,提升風險管理效能。控制效率強調優化內部控制系統,企業應採用控制自動化,用系統控制取代人工控制,結合數據分析、AI技術與視覺化工具,佈建風險智能儀表板,隨時監控異常、偵測及預測風險。控制確信則是聚焦內稽數位化,藉由稽核自動化平台,提高稽核工作流程與效率,並結合大數據稽核及自動化稽核工具,提供管理洞見,展現稽核價值。
透過FoC未來控制,企業將常保韌性的控制環境,及早發現問題與及時應對風險,提升自我競爭優勢。
2023國際間合規發展新趨勢
觀察2021-2022國際合規發展動態,因應COVID-19衝擊、國際政局動盪、全球供應鏈危機、新的公司治理議題出現(如ESG)、新科技的廣泛應用(如5G、AI、大數據),牽動全球合規議題的轉變。根據Deloitte2022年國內企業合規管理現況調查報告,境內企業面臨的合規挑戰在於繁重、新興、跨國的法規變動及控管來自第三方的合規風險,面對複雜的合規管理議題上企業在推行新業務時將面臨更嚴峻挑戰。企業合規能力是業務創造力,亦是企業永續經營之能量。合規治理關鍵要素著重於採行策略性、整體性與敏捷的方式佈建整體法遵框架並形塑企業合規文化,如何依據產業特性建構符合企業需求的合規管理制度更是重要課題,境內外法規變動管理、合規事件通報、人員合規能力培育、全集團合規監督機制、合規風險評估、合規關鍵指標監控…等,如何透過滾動式管理及運用數據分析能力有效協助合規管理制度之運作,以形塑企業合規文化、增加利害關係人信任、提升競爭力並能靈活應對全球合規監管變化,達到企業在ESG管理議題中Governance成效,是2023年企業在整體經營佈局中可優先關注的議題。
掌握產業智財合規風險管理趨勢以營業秘密管理為核心_建立數位資料治理框架行政院院會2022年通過《國家安全法》修正草案,建構國家核心關鍵技術營業秘密之層級化保護體系,根據資策會2021年國內企業智財現況調查報告得知目前企業對於智財管理議題上,認為重要但困難的有不確定如何管理營業秘密、內部缺乏相關專業人才、智財權相關訴訟舉證困難;以及就持有營業秘密的企業,有76%都有管理上的疑慮;其中擔心營業秘密提供給合作夥伴後無法追蹤以及外洩後無法證明為公司的資料的比例皆為5成以上,面對數位轉型建立數位資料治理框架,掌握產業智財風險管理以營業秘密管理為核心,勤業眾信以多年智財輔導經驗提供企業系統化管理智財與營業秘密的諮詢與建議,可透過導入TIPS/ ISO 56005/EDGS規範,建立數位資料治理框架,提升資料的管理效能與安全性,成為企業在數位轉型與永續浪潮時代的成功關鍵。
2023年度金融犯罪趨勢
對於來年的金融犯罪風險管理的變化,在考量ESG、地緣政治、資恐與反武器擴散議題、目標性金融制裁等多種因素交叉影響之下,不僅金融產業需要針對區域性的金融犯罪議題進行防禦,針對非金融業也應該從供應鏈安全管理的角度,去確認如何針對貿易制裁風險管理、戰略性管制物品輸出入的監控與追蹤、供應商貪腐賄賂風險等上升中的風險進行適當因應活動。
此外,配合境內金融犯罪特性,包含對於電信詐欺活動、人口販賣、內部舞弊等,金融產業亦可結合人工智慧與新興科技,包含臉部辨識、結合犯罪資訊進行犯罪風險熱區判讀、內部員工行為異常自動偵測等技術,來強化對於複合性金融犯罪活動的偵測與預防;另外,因應國際趨勢,透過公私部門之間的多元相互合作,進行金融風險資訊共享與情資交換,亦可作為金融產業在新年度對於金融犯罪風險管理的策略方向之一。
在2023年,亦可期待國家法制能以更完善方式管理金融犯罪,包含吹哨者保護法案、洗錢防制法修法案、公司高階管理人員當責機制強化等,讓企業能夠以更成熟的公司治理高度,強化對於金融犯罪風險的預防。