动态风险治理为何始于共享数据

简而言之:

• 电子表格和电子邮件很难达到降低或防止组织风险暴露的任务。构建新方法以防止暴露的高管应该转向更动态的治理模型，这需要一种不同的工作方式。
• 运用数字化工具应对这些数字化危险，可使高质量的风险管理行为提高17%。
• 下面的案例研究展示了卡夫亨氏、加拿大皇家银行和标准银行如何克服挑战，改善风险治理。

抓住机会让风险管理数字化

现在，将软件和分析技术融入风险管理体系的大门已经打开。

首先，这类支出在一些强有力的议程上占比很高:83%首席执行官们计划增加投资在未来一年的数字能力方面，71%的董事会将数字技术计划列为疫情结束后的首要任务。其次，对企业抵御风险的方式进行重大改革的时机已经成熟，而数字第一的心态是所需变革的核心。

主要的模型被称为三条线(3L)，它根据一个功能的典型角色，而不是需要发生的实际活动，以及谁是执行这些活动的最佳人选，来划分风险管理职责。十多年来，各组织一直试图调整3L与一致的保证-所有2022世界杯赛程安排 职能协调他们的工作，避免重复，同时确保没有遗漏。然而，组织机构仍在努力获取利益。

立即下载:需要减轻和监控的主要新兴风险趋势

我们的替代框架，我们称之为动态风险治理(DRG)，打破了功能边界，通过风险和活动而不是角色来分配权力。这个模型在统计上被证明可以驱动高质量的风险行为，比如领导在机会和业务经理的知识上取得正确的平衡来做出更多的风险知情的决定。

为了实现及时、协作和高效的风险管理在构建完整的DRG框架的同时，还需要构建数字解决方案。这是一个良性循环:数字化需要共享;数字化是加快行动的必要条件;而DRG则建立了更密切的工作关系，以便在风险发生时迅速应对，从而促成更多的合作。

公司告诉我们，他们已经采取了三种方法来现代化和加快他们的风险管理过程。每一个都涉及到几个函数之间的协作复杂的数据使用和自动化:

• 使用集中的数据来创建风险分析，为整个职能的分布
• 从多个函数和外部来源引入数据，以创建共享的、不断更新的仪表板
• 自动化手动流程，通过删除不必要的任务和请求来为协作争取时间

了解更多:您的终极数据分析指南

卡夫亨氏共享集中存储数据的持续风险分析

在过去几年里，职能型领导人在更系统和更有效地评估风险方面取得了实质性进展数据驱动的方法．然而，独立的功能倾向于开发自己的分析，依赖于自己的数据集。也许他们是在保护自己的地盘，或者他们只是没有意识到交换数据资产和技能的好处。

为了解决这一挑战，卡夫亨氏公司的内部审计团队创建了一个卓越风险监测中心。目标:鼓励企业使用跨四个业务流程(订单到现金、采购到支付、会计到报告和制造到库存)跟踪100多个关键风险指标(KRIs)的工具。

时间是至关重要的;当需要采取行动时，必须提供资料。该工具对存储在中央ERP系统中的数据进行持续分析，并创建Tableau仪表盘，显示风险驱动因素、危险信号、控制差距或流程不一致。

为了推出这个工具，卓越中心有两个目的:

• 全面管理风险分析过程
• 持续风险监测工具的日常操作指导

在操作方面，中心使业务熟悉工具。团队首先确定业务中的重要涉众，并邀请他们查看和使用工具。

内部审计副总裁兼全球主管Fernando Garcia Bueno表示:“我们正在与企业合作，以确保KRI监控嵌入第一和第二道防线。所以，培训并没有就此结束。该中心还开发了风险分析洞察备忘录，并提出了证明该工具的相关性和实用性的建议。

有了支持，业务主管现在可以自己跟踪关键的企业风险。“卡夫亨氏实施的风险分析解决方案是一个很好的例子，它将我们的‘数字化决策’愿景变成了现实，”全球首席投资官科拉多•阿扎里塔(Corrado Azzarita)表示。“我坚信这一点数据驱动的决策可以在多个业务领域成为现实，提高效率和效率。”

加拿大皇家银行从人力资源、财务、IT和新闻中撤下风险信息

加拿大皇家银行(RBC)的内部审计团队肩负着与卡夫亨氏类似的使命:开发一种持续监测工具，为整个组织提供关键业务流程的最新风险信息。

但加拿大皇家银行采取了一个稍微复杂一点的策略。该行的内部审计团队没有将收集在一个地方的详细信息发送给其他业务部门，而是将公司和外部数据集汇集在一起。为了构建这个数字解决方案，内部审计与业务部门合作，定义相关信息和度量指标，以衡量KRIs和关键绩效指标。数据科学和自动化高级主管Kanika Vij告诉我们，他们将他们的发明称为“风险评估计划工具和组织者”(简称RaptOR)。

加拿大皇家银行的数据科学和自动化主管文森特·黄(Vincent Huang)表示，由于加拿大皇家银行的内部审计团队从一开始就与管理层密切合作，业务部门领导对允许内部审计访问可支持风险监测的数据感到放心。

一旦获得许可，该银行就从资本市场和商业银行向该公司的部门发送了超过38份自动信息数据湖只服务于内部审计组。数据源源不断地流向湖中的内部审计部分，这意味着监测始终是最新的。

接下来是仪表板开发，历时6个月。内部审计人员、数据科学家/数据工程师、DevOps、UX/UI设计师、项目经理和质量保证开发人员结合后端统计分析和前端Tableau可视化来突出实时风险信息。通过访问这个仪表板，RBC的职能领导可以享受三个好处:

• 通过对KRI趋势数据、审计问题状态和某些风险优先级的变化的可见性，业务整体风险意识提高。
• 风险和保证主管节省了为年度风险评估手工收集和评估信息的时间。
• 这些高管将节省下来的时间重新分配给更高价值的活动，比如分析高风险的根本原因，或者及时调整审计计划。

标准银行集团自动化审计节省时间和面向未来

另一个使用各种数据源来节省自动化时间的例子来自南非的Standard Bank Group。在这个案例中，内审团队用自己的名字命名了他们的平台:Gina(集团内审)。

随着组织控制环境的完整视图，Gina可以基于内部和外部数据源预测未来的风险。

根据内部审计首席运营官Hema Chetty的说法，Gina每天对该银行南非分行所在地的流程进行自动化测试。Gina负责进行测试，并利用测试结果来解决预期风险与实际风险之间的差异，迅速调整审计计划。在Gina到达现场之前，审计组将在40个分支机构部署18名审计员，这一过程耗时约3个月。

业务部门也很欣赏Gina为控制环境提供了更大的可见性，并减少了人工审计带来的中断次数。

而这仅仅是自动化保障的开始。随着组织采用DRG，他们将战略性地考虑自动化控制，以建立更好的伙伴关系。这种合作的增加将带来更好的风险管理。

本文原载于Gartner商业季刊2021年第三季度。下载完整版在这里．