IT安全风险管理的挑战与机遇

关键要点

根据普华永道最近发布的《2022全球风险调查》，许多大型组织在管理系统时，由于系统相互不兼容，导致IT安全风险管理变得更加复杂。

普华永道的网络、安全与监管团队企业技术负责人伊丽莎白麦克尼考尔Elizabeth McNichol指出，该调查的一个重要发现是：有75的受访组织表示，不同系统和网络不兼容是他们面临的“重大风险管理挑战”。

更令人吃惊的是，面对这一挑战的企业中，只有35在“正式、全企业”的层面上进行应对。麦克尼考尔表示：“这是否反映了这些组织对协调方法重要性缺乏认识？这种方法对整体风险战略的重要性如何？”

“在金融服务行业，组织解决企业层面转型速度挑战的可能性最大。”她补充说，私募股权行业是个例外，通常是在业务单元层面应对这一挑战。在普华永道调查的企业中，近四分之一23为金融公司，是调查中占比最大的类别。

总体而言，调查发现约64的企业正在增加对风险管理技术的投入，其中75增加了对数据分析的支出，74在过程自动化上支出增加，72则花费更多在风险检测与监控上。对应于更高的投资，64的受访者也表示他们通过早期咨询风险专业人士，做出了更好的决策并取得更好的成果。

尽管持续的疫情及其影响显然对IT安全风险产生了广泛而深远的影响，麦克尼考尔提到，组织还引用了整体“宏观市场风险、商业与运营模型以及这些模型的变化、网络安全与信息管理、外部变化和地缘政治风险”等，作为与收入增长相关的主要担忧。

调查还发现，金融服务行业是三个更可能在所有重点领域增加风险管理人力资源实践的行业之一，包括技术与数字能力、实施多样性、公平和包容性计划，以及重新组织风险职能结构。

同时，金融公司更可能表示他们在风险管理战略和开发的六个主要领域中“获得了收益”。根据普华永道的研究，这六个关键领域包括：创建一个全景和整合的治理、风险和控制体系；增强三条线之间的合作；定义或重置风险承受能力和风险阈值；投资于第一线风险管理流程和工具；量化新风险以评估风险暴露并调整风险承受能力；投资于风险文化；以及考虑行为风险。

一个可能决定成功与失败的关键因素是：在新项目或战略倡议的开始阶段就包含风险管理能力，并在每个步骤中将其嵌入这些项目中，这对许多受访者而言至关重要。麦克尼考尔表示， “从一开始就整合风险管理帮助高管做出了更好的决策，并促进了更可持续的成果。”

尽管在金融服务行业，风险管理的更深入关注令人期待，麦克尼考尔指出：“仍然有很多工作需要完成。”

“尽管大多数组织显示出对风险管理的成熟方法，”她补充道，“但几乎每四个组织中就有一个在风险管理方面依然采取被动反应的方式。”