2019 延伸性企業風險管理全球調查：All together now （上）

奠基於近幾年的延伸性企業風險管理(Extended Enterprise Risk Management，簡稱EERM)議題之興起，Deloitte 全球於六月底發布了「2019延伸性企業風險管理全球調查」結果！更勝於2018年，此調查結果集結了來自19個不同國家、由各個產業的高階管理階層、超過1,055份受訪者之回應，充分顯示了企業，尤其是領導階層，對於「延伸性企業風險管理」議題躍升之關心！

今年度的全球調查結果，共提出六大各企業聚焦EERM議題之關鍵發現：

一、 全球經濟的動盪與越趨險峻的營運環境持續影響投資EERM的驅動因素

過去四年，Deloitte全球調查的結果再再地顯示企業組織傾向於與第三方組織合作來引導達成企業之策略性目標。2015年時，投資在EERM上的目標轉變為管理下行風險(Downside Risk)，例如監管風險、第三方意外事件(Third-party incidents)。到了2018年，有更多的董事會成員及高階管理階層建立了更強的認知，並意識到EERM帶來的風險以及機會，也更堅信在EERM上的投資能為他們帶來實質的利益。然而，延續2018年直至2019年初(本問卷截止之時)，全球經濟充滿的不確定性，受訪的企業的董事會成員及高階管理階層表示較難投入鉅額資本來導入更加全面的、更高度整合的方法來管理延伸性企業風險。

全球經濟的動盪、越趨嚴格的監管制度、破壞性的市場變化，這些不確定性影響了企業對於投資在EERM上的態度，並驅使企業重新審視自身的營運架構，轉向更著眼於「追求效率」以及「降低成本」。本次調查結果指出的四大驅動因素分別為：降低成本、降低第三方的意外事故、內部遵循 / 稽核要求、監管審查制度(詳圖1)，且與2018年相比，有更多的企業表達重視這四項因素所帶來的效率、或降低成本之效果。

值得一提的是，此次調查結果也顯示過去三年中，有83％的企業組織受到第三方意外事件影響，其中有11％的企業表示其在客戶服務、財務狀況、聲譽或是法規遵循方面受到較為嚴重的影響。

二、 零星的投資在EERM上反而削弱了EERM成熟度，從基礎面開始就有負面影響

有約半數的企業表示，「缺乏整合性及一致性的延伸性企業風險管理方式」和「擔憂無法從作業程序面、科技面、和即時的(real-time)資訊反饋來管理延伸性企業風險」是損害企業對EERM信心的兩大主因。從2015年的第一次全球調查，直到今年度的調查，勤業眾信發現EERM成熟度的發展是沒有跟上企業對第三方組織持續攀升的依賴程度的，且採取零星的投資態度更是拖累了企業在EERM成熟度上的腳步。相較於去年，認為自己已達「整合的(Integrated) 」或「最佳化的(Optimized) 」成熟度的企業僅從20%上升至21%；而維持有超越半數的企業認為自己落在「受管理的(Managed) 」的成熟度等級(僅從50%上升至51%)。

今年，我們詢問了受訪企業關於對EERM的投資，有高達七成的企業組織認為其投資在EERM的支出是不符合理想的、或甚至不知道是否有此方面的支出。儘管普遍而言，大部分的企業自覺投資不足，但若從年均投資金額來看，企業之間的落差更為驚人。有50%的企業表示其投資在EERM的支出超過美金一百萬元。其中，前11%的企業投資了超過美金一千萬元，且雇用了超過一百名相當於全職投入EERM上的員工。

而從企業關心的風險來看，調查發現，企業將大部分地資源投入在：資訊安全(68%)、資料隱私(62%)、數位科技 / 網路風險(58%)。反之，有兩大面向是企業過於不重視的：一是在「對重要的第三方夥伴之退場策略」，且有超過60%的企業表示其定期檢視之頻率長於一年；二是「管理集中性風險(Concentration Risk) 」方面則有50%的企業表示他們傾向於透過報表方式制定因應該風險之方式，而非主動將其納入EERM的一部分。

三、 領導階層想要更積極地參與、提升與團隊的協調互動、以及更智慧地使用數據

今年調查也指出，有超過37%的受訪者認為如何提升內部團隊之間的協調互動，包含主管階層、各風險領域專家、營運單位、部門(例如採購部門、法務部門、內部稽核部門)等，是企業之首要任務。

而從管理數據層面來看，企業最普及使用之技術是雲端科技(cloud technologies)，次之為流程機器人(Robotic Process Automation，簡稱RPA)。其中，有三分之二的消費者產品及工業產品產業公司主要使用 / 計畫開始使用雲端科技技術及RPA，而生命科技及醫療科技產業則較著重在視覺化技術(Visualization technologies, 55%)。由此，勤業眾信也觀察到，企業的決策層級開始從定期獲取資料轉向更全面和即時的線上資訊查詢方式。而風險資訊工具的運用趨勢，則從吸收、統整及自動即時檢視企業所有面向的風險評估、並提供警示、趨勢分析、甚至情境分析，及整合至雲端服務平台、RPA、視覺化技術，進而創造更實用的資訊。

四、 主流的EERM營運模式結合了去中央集權化與CoE或SSC之集中式控管

有近七成的企業是使用整合型的營運模式，這已經蔚為管理延伸性企業風險之主流模式。它更強調在去中央集權化的體制下，各別面向(例如負責範圍、組織架構或甚至是科技運用)的集中式控管，使其有別於傳統的中央集權式管理。調查也指出，已經有53%的企業選擇建構Centers of Excellence (CoEs)的方式，外加21%的企業未來會採納該方式。而有38%的企業選擇共享服務模式(Shared Services Centers，簡稱SSC)，並有20%的企業表示會朝該模式前進。

而整合型的營運模式有兩大特性：

• 建構在Centers of Excellence (CoEs)或共享服務模式之上、
• 引進管理服務(Managed Service)，以同時可以降低人力及資本支出。且可再細分成引進風險智能(Risk Intelligence)、在地配置人員(On-premise staff)、或引進EERM科技這三種管理服務模式。

本期淺談了前四項今年度延伸性企業風險管理全球調查的發現，下期我們將繼續討論最後兩項發現，以及勤業眾信觀察歸納出來的預測觀點！如對調查結果有興趣，歡迎點選連結(EERM Global Survey Report: All together now)觀看原文及過去歷年的調查結果報告！