数字风险报告2023

目录 Introduction1 数字风险如何创造一个超级互联的商业世界——以及一种分散的风险方法5 IRM和IRM技术如何弥合业务弹性差距14 关键见解：集成ORM、ITRM、ERM和GRC以管理数字风险18 Conclusion21 关于作者22 关于AuditBoard Introduction 数字风险仍然是增长最快、最普遍的风险之一任何组织的风险。随着企业继续加速其 数字转型投资，数字风险-固有的，不需要的，和技术表现出的意外风险-继续激增。 许多组织在数字化转型方面进行了投资，但没有做出综合风险管理(IRM)所需的投资。确保 数字技术可以承受广泛而复杂的数字风险，企业面临着日益紧迫的需要，以弥合“业务弹性差距“是由风险管理技术和 流程跟不上不断上升的风险需求。 业务中技术表现出的风险操作被称为“数字风险”。 这是与创造相关的风险，交付和使用新的数字流程，产品和服务。 有关更深入的了解，请参阅“IRM的要点”。 数字业务投资持续加速。IDC报告说 2022年全球数字化转型投资达到1.8万亿美元1,and 麦肯锡预测，物联网产品和服务的全球价值将 到2030年达到12.6万亿美元。2同时,数字业务的质量投资非常可疑，而黑客的网络继续fi和 利用低质量soft中的漏洞。黑暗阅读发现88% 的代码库使用尚未在中更新的开源组件过去两年3，和Gartner(如华尔街日报)据估计，不到50%的公司API将由 2025年，因为它们的增长将使其管理工具的能力黯然失色。4 fi的财务影响是巨大的：信息与经济联盟是质量(CISQ)估计劣质产品的成本在 美国已增长到至少2.4万亿美元.5 1IDC,全球数字化转型支出指南, 2麦肯锡全球研究所,物联网：加速发展机会, 3DarkReading，“80%的Soft是包含至少一个漏洞的代码库”，2022年。 4“华尔街日报”，“T-Mobile突破突出了共同的企业安全弱点”，2023年。 5CISQ,美国质量差的成本：2022年报告, 数字风险正在创造一个超级互联的商业世界，作为技术的使用数字产品和服务远远超出了组织的四面墙 由第三方组织启用。但是随着数字业务的增长，第三方也是如此生态系统和业务中断-以及最具破坏性和代价最高的风险 跨一系列行业的事件通常涉及第三方。另外，Organizations缺乏对正在使用的技术的可见性或控制。新数字 技术属于“影子IT”的保护伞，其中包括与IT相关的在外部使用和购买的自动化设备、soft和服务 直接控制集中的IT组织。 在当今的商业世界中，技术资产、业务的独特组合流程和战略目标被用来将数字业务带入生活。However,这些组合的意外后果可能导致 不需要的业务成果示例如图1所示。 组织必须努力弥合风险时产生的差距管理技术和流程跟不上不断发展的 数字风险的需求。我们将风险管理能力的这种不足称为 “业务弹性差距”。能够弥合差距的商业领袖可以 不仅可以增强抵御不必要的业务结果的能力，还可以 解锁未开发的潜在价值，实现下注者的表现，更大的保证，以及更符合成本效益的合规性。 （图1） 正如AuditBoard2023年对130多名风险领导者的数字风险调查发现的那样，大多数组织 正在努力成熟他们的风险管理能力。数字风险随着对数字化转型的投资加速，大多数组织仍然有 管理这些新风险的高度分散的方法。我们的调查探讨组织当前的数字风险管理计划和技术 依靠下注者了解他们的数字风险格局和数字风险管理成熟度、集成和技术采用。关键见解包括： •数字风险管理是分布式的跨个人风险管理 programs. ·成熟度水平差异很大跨越普遍适用的风险目标性能、弹性、保证和合规性-尤其是合规性 （更成熟）和弹性（不太成熟）。 •十分之九的组织正在维护或增加技术投资在所有风险目标中。 •十分之八的组织缺乏可报告的指标即将到来的监管变化将授权。 确保数字技术能够承受来自 多个方向-特别是来自第三方生态系统中不断发展的复杂性 —组织必须继续增加风险管理投资，并 成熟度，特别是在弹性空间。为此，审计委员会的2023Digital 风险报告还关注数字化转型本身是如何成为effEtive的关键 IRM.Byunderstandingcommonchallenges,trends,regulatoryimpacts,andIRMbest 实践，您可以帮助您的组织成熟其风险管理能力，以更有效地跟上不断扩大的风险范围。 数字风险代表t-2023年的热门外卖 79% 21% 44% 93% 数字风险是如何产生的超连接业务 世界-和一个破碎的接近风险 谁负责管理组织中的数字风险？ 随着数字业务的增长，我们的数字和第三方的广泛性质也是如此 生态系统(例如，供应商、供应商、合作伙伴)，我们对它们的依赖-以及由此产生的潜在业务中断和其他不必要业务的风险 结果。尽管如此，我们的调查结果表明大多数组织都有投资于数字技术，而不优先考虑其风险的成熟 管理实践。相反，他们依赖于支离破碎的方法和断开的(手动的)技术、流程和活动 没有整合到更广泛的风险管理中，也没有与整体业务保持一致运营。因此，业务弹性差距继续扩大。 此外，虽然数字风险在整个业务中都表现出来，但它是被视为IT风险管理(ITRM)问题。如图2所示，当 风险领导者被要求确定负责管理数字 在他们的组织中，超过50%的人表示“技术”，而没有其他答案选项获得了超过17%的投票。这些结果支持 发现组织在很大程度上没有将数字风险管理与 操作风险管理(ORM)的其他风险管理计划领域， 企业风险管理(ERM)，以及治理、风险和合规(GRC)。 （图2） 这些结果与去年相似，委托的组织略有增加 他们的技术承担着这一责任(从2022年的45%上升到2023年的50%)。此外，83%的受访者将数字风险管理与其他群体联系起来。 比业务运营-比2022年的78%有所增加。 数字风险管理活动越来越集中在ITRM领域 可能表明，组织至少在一定程度上给数字风险带来了但这种趋势对整体风险来说可能不是好兆头 管理eff效率，因为数字技术投资发生在 组织和en作为影子IT。理想情况下，数字风险管理应该更多均匀分布在整个组织中，更专注于业务运营 空间，支持跨各个组的协作。 IRMoff提供了一条押注者前进的道路，帮助企业将风险和团队联系起来通过将战略、运营、技术和其他风险联系起来，在整个业务中 具有战略性的商业目标。正如我们稍后将在本报告中讨论的那样，IRM可以指导公司在数字风险上连接点，同时支持所需的数字 transformation.Butfirst,let'slookathowthisdisconnectedapproachtomanaging 数字风险正在组织中显现并影响着组织。 1.数字风险管理缺乏成熟度 希望领先于数字风险的组织必须推进数字风险管理 成熟度。在早期阶段，他们正在去fi和评估风险，并建立 requiredfoundationsforincreasingmaturity.Thistypicallyinvolvesmovingfrommanual, 零碎的方法来实现自动化、技术支持的流程，并取得进展从主要依赖定性指标到更稳健的定性和 量化指标。随着组织在成熟度范围上的进一步发展， 他们转向积极的风险缓解，并最终进行持续的风险监控。 我们的调查要求风险领导者对其组织的数字风险管理进行评级 纯度水平都是全面的。 您将如何描述您的组织的数字风险 管理成熟度? （图3） 然而，当我们缩小时，大局是发人深省的:您将如何描述您的组织的数字风险管理成熟度? ·四分之三的组织报告说，他们明显缺乏成熟度。 这一fiGURE包括12%的人不管理数字风险，19%的人仍在DefiNing 数字风险，44%的人正处于用定量评估数字风险的阶段和/或定性指标。有趣的是，报告的受访者数量 实际上处于去fi化或定性评估数字风险的阶段 与去年的调查结果相比有所增加。读者可能期望相反 趋势，因为这些类别中的较低结果可能预示着成熟度的提高。(在2022年，10%是DefiNing，25%是定性评估。） •只有大约四分之一的组织处于成熟的一端。This 包括15%的组织正在积极降低数字风险，11%的组织持续监控数字风险。 2.数字风险管理高度碎片化 数字风险的有效管理需要了解其在整个 整个组织及其第三方生态系统。因此，一个重要的元素不断提高的成熟度是确保数字风险管理是 集成的、企业范围的风险管理方法，与业务运营。这种方法的基础是超越技术 风险(例如，技术、网络安全)，以了解整个业务，打破孤岛，并帮助建立全组织的 跨职能的数字风险。大多数公司似乎在这方面面临挑战面积也是如此，如图4所示。 （图4） 我们的调查结果表明，越来越多的公司将数字风险作为 ITRM计划领域，44%的风险领导者报告说，数字风险主要是由其IT部门在更广泛的风险管理活动中处理和报告，并 网络风险管理小组(从2022年的33%上升)。我们看到的技术功能中的责任集中在 图2. 您主要使用哪些技术来管理数字风险？ 这些结果可能表明，人们对风险的看法是孤立的，侧重于技术风险超过其他业务风险。我们将进一步深入研究潜在的问题 这种方法的含义在以下几节中。 3.数字风险需求超过风险管理能力 虽然数字风险需求继续呈指数级增长，但风险增长 managementcapacityremainsslow.Therealityisthatfragmented,inflexible,and 合规性驱动的遗留GRCsof根本不能提供连接的风险跟上数字风险步伐所需的能力-因此，大多数组织仍然依赖于零碎的手动流程，如图5所示。 （图5） 将这些结果与2022年的fi结果进行比较，没有管理数字风险略有下降，从11%降至8%。使用用于数字风险管理的手动技术-一种倾向于 非常耗时-实际上从2022年的38%增加到 2023.然而，使用内部部署或基于云的风险管理是，基本上保持不变。总之，近一半的被调查组织(48%)仍未利用可用的风险管理技术 提高数字风险管理成熟度的解决方案。 您如何管理和监控第三方数字风险？ 4.公司对第三方风险缺乏可见性 第三方风险引入更多复杂性的一个关键原因是实体和技术的数量(相对于数字业务活动) 组织需要跟踪和监控。对于大多数组织来说， 了解作为业务一部分的数字生态系统的全部范围。事实上，调查结果表明，组织的能见度有限 围绕数字投资的地方(例如，产品、服务、流程)，对这些投资带来的风险了解有限。 这就是影子IT的复杂性发挥作用的地方。因为组织对技术没有相同的集中控制和观点 与过去几年一样，数字业务的分散性质变得更加问题。 有效的数字风险管理需要提高对整个范围的可见性第三方数字风险。当风险领导者被问及流程时 用于管理和监控第三方风险，但是，它们的响应(请参见图6)显示了2022年以来的照明出口。 （图6） •大约五分之一的组织(21%)没有管理和 监控第三方数字风险。与2022年相比略有下降 (26%). 管理和监控时最大的挑战是什么 第三方数字风险？ •超过一半的组织依靠定性评估 有限的ff效率的方法。特别是fi，56%的风险领导者仅依赖于定性风险评估，24%的人基于他们的 仅对第三方的内部观点进行评估-一种处理方法非常有限的eff积极性。 •大约五分之一的组织正在采用最成熟的方法 管理第三方数字风险。略高于2022年的18%，22% 风险领导者报告使用最成熟的方法(即“定性和支持基于内部和外部观点的定量风险评估 通过风险问卷、目标审计和独立数据分析[例如，安全评级服务]“)。 调查还要求风险领导者确定他们在以下情况下面临的最大挑战管理和监控第三方数字风险。如图7所示，我们看到一个相当广泛，分布均匀。 （图7） 这些结果加强了第三方数字风险带来了跨领域的挑战该组织，与业务连续性和合同/SLA合规性挂钩 用于第1号和法规遵从性以及API的使用（技术