許多企業(yè)在適應新的工作、員工管理和客戶服務方式，希望能夠獲得所需的所有技術型優(yōu)勢。它們正在向云計算、電子商務、數(shù)字供應鏈、人工智能及機器學習、數(shù)據(jù)分析以及能夠帶來效率和創(chuàng)新的其他領域邁出更大的步伐。

[[402243]]

與此同時，企業(yè)在竭力避免管理風險——帶來新機遇的數(shù)字化項目也可能會帶來種種風險，比如安全泄密、法規(guī)遵守未到位以及其他問題。結(jié)果是，進行創(chuàng)新的需求與緩解風險的需求長期存在沖突。

醫(yī)療保健提供商Intermountain Healthcare的首席信息官Ryan Smith說：“管理風險與參與數(shù)字化轉(zhuǎn)型工作之間始終會存在一定程度的緊張局勢。”

Smith說：“隨著企業(yè)組織轉(zhuǎn)而讓消費者和員工更容易通過數(shù)字化手段訪問個人和業(yè)務信息，這帶來了全新的風險，與開展業(yè)務的傳統(tǒng)方式相比，必須緩解這些風險。這些新的參與模式因數(shù)字化轉(zhuǎn)型而成為實現(xiàn)，需要不同的風險管理方法。”

下面介紹數(shù)字化轉(zhuǎn)型工作可能帶來的四大方面的風險以及企業(yè)應對這些風險的方法。

多云或混合云基礎架構(gòu)

更多的企業(yè)組織在轉(zhuǎn)向由多個云服務支持的IT環(huán)境，這些云服務常常來自多家提供商。這可能包括軟件即服務(SaaS)、平臺即服務(PaaS)或基礎架構(gòu)即服務(IaaS)等產(chǎn)品。

不管使用哪種類型的云，將重要數(shù)據(jù)和應用程序托管在本組織自身防御邊界之外都會帶來相當大的風險，牽涉多個位置、服務或供應商時更是如此。除了數(shù)據(jù)丟失或被盜外，企業(yè)還可能遇到數(shù)據(jù)隱私法規(guī)方面的問題，更不用說糟糕的云管理實踐導致成本超支這一風險了。

技術研究和咨詢公司ISG的合伙人Ola Chowning說：“我們在這里看到的最常見的風險涉及云環(huán)境的治理：哪家云提供商?哪種協(xié)議?創(chuàng)建、利用率和規(guī)模等方面設定的閾值，以便開發(fā)環(huán)境優(yōu)化使用情況。”她補充道，一開始就處理諸如此類的治理問題比實施后再處理要容易得多。

Emal Ehsan是全球管理咨詢公司科爾尼旗下商業(yè)分析咨詢公司Cervello的主管，他表示，多云戰(zhàn)略“往往帶來更高的復雜性以及脫節(jié)的管理和自動化工具。”這種復雜性可能會帶來業(yè)務中斷的風險。

此外，IT服務歷來是從企業(yè)自建和運營的數(shù)據(jù)中心采購的，而IT部門負責監(jiān)督采購過程。而現(xiàn)在，Intermountain的Smith表示，PaaS之類的云服務未經(jīng)過架構(gòu)或安全審查就很容易被業(yè)務用戶采購和部署。IT和業(yè)務部門負責人需要了解通過控制開啟哪些服務，供用戶使用來緩解這一風險。

[[402244]]

Smith說：“最佳實踐是確保對于所有請求的云服務而言，這些服務在任何IaaS、PaaS或SaaS供應商平臺上都經(jīng)過了適當?shù)募軜?gòu)和安全審查，之后才可以獲準用于企業(yè)中。向企業(yè)組織提供任何關于公共云供應商的工具之前，必須建立指導和防護機制，包括針對所有使用情況的日常監(jiān)控。”

Smith表示，IT、網(wǎng)絡安全和法務部門都須齊心協(xié)力，面對業(yè)務用戶采購和使用新型云服務的所有舉措做到搶先一步。

數(shù)字化供應鏈和銷售渠道

許多企業(yè)日益依賴眾多技術來增強和管理供應鏈，包括端到端數(shù)字化連接、云服務、區(qū)塊鏈、機器人、自動駕駛汽車和高級分析工具等。

供應鏈的這種數(shù)字化轉(zhuǎn)型不僅可以提高效率和可見性，減少錯誤及降低成本，加強與業(yè)務伙伴的合作以及改進流程，還會帶來風險，包括數(shù)據(jù)丟失。

Smith表示，參與企業(yè)對企業(yè)(B2B)數(shù)字化服務的有關方可以采用多種風險緩解方法，包括與合作伙伴制訂全面的業(yè)務協(xié)議，以兼顧種種風險和責任。企業(yè)還可以建立網(wǎng)絡安全和數(shù)據(jù)隱私控制機制，以確保數(shù)據(jù)的傳輸和存儲很安全。

Smith說：“企業(yè)通常要求監(jiān)控這些B2B連接，以確保政策和程序得到遵守。此外，最佳實踐建議企業(yè)經(jīng)常進行第三方風險評估，以確保數(shù)字化供應鏈的所有參與者都遵守行業(yè)安全和隱私方面的要求和標準。”

企業(yè)也更加依賴數(shù)字化銷售渠道，比如電子商務、電子郵件、文本、移動應用程序和線上活動，以覆蓋客戶或準客戶。

ISG合伙人Ola Chowning說：“我們在這里經(jīng)?？吹降娘L險是，多渠道戰(zhàn)略方面缺乏明確性，或者如果完全轉(zhuǎn)向數(shù)字化，缺少幫助另一端的合作伙伴、客戶和消費者實現(xiàn)轉(zhuǎn)變的戰(zhàn)略。如果沒有全面概述的戰(zhàn)略來推動優(yōu)先事項和投入，企業(yè)組織可能會發(fā)現(xiàn)處于優(yōu)先事項不斷調(diào)整的境地，實際上沒有任何一個渠道取得進展。”

Chowning表示，建立多條數(shù)字化渠道的一些工作甚至演變成了一種內(nèi)訌。“讓多個渠道交由同一個領導團隊負責常常是非常重要的緩解策略，有助于避免內(nèi)訌現(xiàn)象。”

物聯(lián)網(wǎng)

制造、醫(yī)療保健、零售及其他行業(yè)的企業(yè)已開始了大規(guī)模部署物聯(lián)網(wǎng)技術，以跟蹤資產(chǎn)位置、監(jiān)控設備性能以及收集產(chǎn)品使用數(shù)據(jù)等。

潛在的好處引人注目，包括提高供應鏈和工廠的效率、改善設備和產(chǎn)品的維護、增強客戶體驗，以及通過避免貨物丟失來降低成本。但是風險也很高。比如說，分布式拒絕服務攻擊已經(jīng)被歸咎于聯(lián)網(wǎng)設備，物聯(lián)網(wǎng)戰(zhàn)略引入了眾多的攻擊入口點，包括聯(lián)網(wǎng)設備本身。

企業(yè)內(nèi)部的聯(lián)網(wǎng)設備可能包括各種設備，從暖通空調(diào)系統(tǒng)、服務器及其他IT設備，到車輛、照明系統(tǒng)、恒溫器和電器，不一而足。Smith表示，企業(yè)組織需要想方設法保護聯(lián)網(wǎng)設備并緩解風險，以限制這些設備與其他設備之間的連接，在一些情況下要將它們放在單獨的網(wǎng)絡中。

Smith說：“此外，還需要格外用心地與設備制造商密切協(xié)調(diào)，以幫助確保這些類型的設備版本最新，做好給操作系統(tǒng)打補丁的工作，要有適當?shù)目刂拼胧﹣泶_保安全。”

其他最佳實踐包括簽署合同，要求設備制造商提供保持設備版本最新和安全可靠的方法，以及掃描公司網(wǎng)絡，檢測物聯(lián)網(wǎng)設備是否有可疑活動的跡象。

自動化和分析

由于許多企業(yè)竭力加快運營速度、減少錯誤和降低成本，正競相使耗費時間且勞動密集型的手動流程實現(xiàn)自動化。

人工智能和機器人流程自動化(RPA)等技術有助于自動處理數(shù)據(jù)輸入之類的任務，從而顯著改進處理業(yè)務流程的方式，但它們也會帶來風險。

Smith表示，分析、人工智能和機器學習方面的主要風險因素是數(shù)據(jù)科學家用來訓練模型的數(shù)據(jù)集和生成這些模型所用的平臺。

[[402245]]

Smith表示，風險緩解措施多種多樣，從精心設計的合同以管理大數(shù)據(jù)合作伙伴關系，將數(shù)據(jù)集所使用的數(shù)據(jù)限制在必要的最低限度，到盡可能使用匿名化數(shù)據(jù)，不一而足。

自動化的一些風險可能來自無法足夠快速地擴展或無法達到預期目標。

Cervello的Ehsan說：“眼下自動化生態(tài)系統(tǒng)正在經(jīng)歷重大變化。回顧過去，它始于流程外包，然后是流程優(yōu)化、精益方法、六西格瑪，再到RPA。我們現(xiàn)在看到的是RPA和人工智能融合，以解決復雜的業(yè)務問題。”

Ehsan表示，人工智能和RPA的這種融合正帶來新的可能性和使用場景，而這些在過去是不可能的，比如借助1750億個機器學習參數(shù)智能化處理文檔，或者使用神經(jīng)網(wǎng)絡和深度學習來檢測交易或事務中的異常。

Ehsan表示，企業(yè)組織應及早設定自動化方面的預期目標，讓業(yè)務和IT部門的利益相關者參與進來，以了解自動化的潛在好處、功能和用途。然后，它們應該引入側(cè)重于這些好處的短平快試點項目。

Ehsan說：“雇用員工或聘請顧問，盡早利用技能嫻熟的人員，以落實治理、框架、變更管理及傳達、模板、業(yè)務部門參與、業(yè)務方案制訂和投資回報率計算等方面的工作。”

實際的數(shù)字化風險緩解

對于任何數(shù)字化轉(zhuǎn)型項目，企業(yè)組織都應該通過IT、安全、風險管理、法務和其他相關部門的合作，全面評估風險，包括與他們要使用的技術平臺相關的風險。通過確定哪些是最大的風險，IT和安全負責人就能從這個角度來著手開展轉(zhuǎn)型項目。

制造系統(tǒng)提供商Park Industries在開展幾個數(shù)字化轉(zhuǎn)型項目，包括業(yè)務流程自動化、企業(yè)系統(tǒng)集成、云遷移以及與物聯(lián)網(wǎng)相關的數(shù)據(jù)分析。

Park Industries的IT主管David Lloyd說：“處理這些轉(zhuǎn)型項目時，信息安全和數(shù)據(jù)質(zhì)量是兩個最大的風險。擁有一項全面的數(shù)據(jù)戰(zhàn)略(包括安全、基于角色的權(quán)限以及確定單一數(shù)據(jù)來源)，則有助于緩解這些風險。”

Smith表示，大多數(shù)組織已經(jīng)認識到，充分利用云計算、人工智能、物聯(lián)網(wǎng)及其他技術可以帶來很大的好處，比如提高業(yè)務靈活性、增強服務的可擴展性以及降低成本。他說：“然而必須實施全新的風險管理方法，以支持這些變革性能力。”