2020年高科技行业风险研究报告.pdf

灾难风险的新定义 观察 2020年3月 2020年高科技行业风险研究报告 观察 2020年3月 灾难风险的新定义 在过去几年里，由气候变化驱动的极端天气带来的灾难风险引 起了活动家、媒体、政府和越来越多的商界领袖的极大关注。人 们对另一个潜在的灾难风险关注较少：技术失效。在一个全球 化、数字互联的经济体中，这种失效可能会带来毁灭性的后果。 如果技术和数字基础设施发生灾难性的失效无论是蓄意 攻击还是失误全球商业可能会陷于停顿。数据会丢失或变 得无法访问。系统将无法通信。发电厂、医院和机场等关键基础 设施可能会被关闭。从任何意义上来说，大规模的技术失效都 可能是灾难性的。 当出现技术失效时，即使规模较小，也可能给科技公司带来一 系列的第一方风险，同时给使用技术的公司带来很多的责任风 险。这些风险暴露不仅仅是数据泄露和技术错误和疏漏那么简 单。它们可能包括身体伤害和财产损失，例如，如果一项技术故 障导致了一场自动驾驶汽车事故或一场工业事故。 达信的2020年高科技行业风险研究报告探索了灾难风险的新定 义：科技公司和技术支持型企业面临的最大灾难性风险可能不是 自然灾害，而是技术和数据基础设施故障。鉴于这一新定义，企 业必须回答这些关键问题：这些风险是什么？您如何测量它们？ 您目前如何减轻它们？在您的企业中是如何讨论这些风险的？ 我们就这些和其他相关问题调查了全球范围内的一系列通信、 媒体、技术和新兴行业风险专业人士和高管。我们感谢所有参 与今年调查的人士。 如果您对调查结果或我们的解释有任何意见或问题，请按下面 的地址给我留言，或者联系您的达信代表。 您也可以用#MarshCMTRisk这个主题标签给我们发一条推特 到MarshGlobal。 Tom Quigley 达信美国高科技企业客户服务部负责人 目录 1 科技公司面临的主要风险 2 技术故障是新的灾难性风险 4 了解您的灾难性风险情况 6 跟上变化 8 发现许多关键风险都缺乏足够的 风险转移解决方案 9 在保险不足的方面加强管控 11 一家公司-多种商业模式 13 展望未来 14 人口统计调查 16 其他见解 Marsh 1 图 1 保持系统的安全和正常运行是科技公司的主要风险。 资料来源：2020年达信高科技行业风险研究报告 您如何看待贵公司面临的下列各种风险？您认为下列风险在未来三到五年内的 变化？ 受关注程度较高或最高的风险 风险复杂性增加 认为该风险受关注程度较高或 最高的受访者所占的百分比。 预计未来三到五年内该风险的复杂 性会增加的受访者所占的百分比。 数据安全和隐私保护72% 68% 信息技术应变能力60% 55% 雇佣责任15% 并购22% 连带业务中断36% 物联网故障39% 42% 13% 14% 产品召回17% 17% 媒体责任24% 11% 跨国风险36% 38% 知识产权40% 30% 机动车/车队责任13% 环境责任19% 19% 董事及高级职员责任27% 27% 监管合规36% 40% 营业中断42% 29% 雇员欺诈14% 13% 对他人的身体伤害或财产损失20% 6% 房地安保29% 23% 员工安全39% 11% 技术过失与疏忽53% 51% 电磁场人身伤害 34% 31% 17% 6% 科技公司面临的主要风险 达信2020年高科技行业风险研究报告的调查受访者表示， 科技公司最关心的是保持其系统、网络和产品的安全和正 常运行（见图1）。他们连续第五年将数据安全和隐私保护 列为科技公司面临的首要风险。但这并不是说这是一种静 态风险超过三分之二的人认为，在未来三到五年内，这 种风险会变得更加复杂。 在主要风险当中，有一种风险得分仍然很低，那就是对他人 的身体伤害或财产损失；只有20%的受访者认为这是主要 风险。然而，随着无人驾驶汽车、工业物联网、智能家居等 的兴起，技术故障有可能对人身和财产造成有形损害。具有 前瞻性思维的风险领导者应该确保他们能够对这一日益增 长的责任提供保险支持。 2 灾难风险的新定义: 2020年高科技行业风险研究报告 图 2 公司称技术风险很高，可能会造成灾难性损失。 资料来源：2020年达信高科技行业风险研究报告 您认为以下哪种情况对贵公司来说是灾难性的损失-损失超过您的保险限额和/或您的现金储备？ 最大的担忧 黑客利用您的产品缺陷，造成 大量客户数据泄露。 勒索软件阻止访问您的 关键客户数据。 关键设施受地震影响。勒索软件阻止访问您 的关键公司数据。 35% 27% 23% 22% 低度关注 监管机构限制或约束您的公司 或商业模式的关键部分。 监管机构采取反垄断行动 来拆解您的公司。 气候对运营、供应链或B2B伙 伴关系的影响。 受贸易战影响，公司的供应 链被征收了高额关税。 9% 7% 5% 2% 环境技术地缘政治 中度关注 设施受洪水影响。极端组织或个人利用您的平台进行 虚假信息传播或非法活动。 关键数据中心停电。 15% 14% 11% 技术故障是新的灾难性风险 2020年一家公司遭遇的最大灾难更可能是网络攻击或事 件，而不是自然灾难。 当考虑潜在的灾难性风险时，受访者中排名最高的是：“黑 客利用您的产品缺陷，造成大量客户数据泄露。”四大灾难 性风险中的三个与技术故障有关（见图2）。 考虑到现代经济中数据和无形资产的增值，这并不令人意 外。1975年，在标准普尔500指数中，有形资产占市值的83% ，无形资产占17%。此后，这一比例发生了逆转。one.superior 那些利用勒索软件以阻止访问数据和关键系统的黑客，对 企业的破坏性可能比摧毁重要物理资产的自然灾害更大。 Marsh 3 图 3 世界经济论坛受访者有不同的观点优先考虑 环境问题。 资料来源：世界经济论坛2019hyphen.cap2020年全球风险认知调查 极端天气事件1 2 3 4 5 气候措施失败 自然灾害 生物多样性损失 人为的环境灾害 气候措施失败1 2 3 4 5 大规模杀伤武器 生物多样性损失 极端天气事件 水资源危机 按发生概率排列的最高风险按影响力排列的最高风险 环境地缘政治社会 虽然总部或数据中心的物理损失代价高昂，但冗余系统通常能让公司快速恢 复。然而，如果不能访问他们的数据和数字基础设施，大多数公司就无法运作。 与世界经济论坛2020年全球风险报告的众多受访者相比，科技公司对风险 的可能性和影响持有不同的看法。尽管气候变化和天气等对环境问题的担忧是 该报告中的首要长期风险，但对达信调查做出回应的科技公司更关注技术故障 的影响。这在一定程度上可能是因为科技公司有责任开发、维护和保护有助于 保持全球经济运行的系统。其中许多系统的故障都会引发全球危机，对于未能 保护这些系统的公司而言，也可能成为灾难性事件。 在今年的技术风险研究报告中，地缘政治风险，如监管合规、反垄断行动和贸易 制裁，在灾难性风险的规模上评分较低。只有不到11%的受访者将这些风险视为 灾难性的。尽管这些风险现在排名较低，但随着个人、政界人士和监管机构呼吁 对大型数据支持型科技公司进行审查，在2020年关注公民行动起来将是非常重 要的。如果这些声音引发更多监管和/或消费者参与度的重大转变，它们可能会 推动商业模式发生实质性变化。 one.numerator 无形资产市值年度研究，Ocean Tomo有限公司。2015年3月4日。 4 灾难风险的新定义: 2020年高科技行业风险研究报告 了解您的灾难性 风险状况 超过75%的技术调查受访者对灾难性风险的讨论超过了 初步水平（见图4）。如果这些讨论能让利益相关者参与进 来，并得到高级管理层的认可，这些讨论将最为有效。略高 于20%的受访者表示，灾难风险是高管层、董事会和整个公 司的高度优先事项。 关于灾难性风险的讨论应该涉及整个公司。为灾难性损失 情景做准备的计划不可能是“风险管理正在处理的事情”。 略高于三分之一的受访者表示，他们的企业正在与内部的 部分团队进行讨论。这是朝着正确方向迈出的一步，但公司 的其他部门呢？为了充分理解灾难性损失的影响，各方都应 该参与进来。风险管理需要扩大参与讨论的范围，以确保 充分考虑到各方面的潜在影响。 图 4 科技公司正在谈论灾难性的损失情景。 资料来源：2020年达信高科技行业风险研究报告 贵公司内部围绕不断演变的灾难性损失情景进行了哪些讨论？ 很少或没有重要的讨论 6% 逐渐开展讨论 19% 与特定内部团队进行相当数量的讨论 35% 与多个内部团队进行大量讨论 18% 高管层、董事会和整个公司的高度优先议项 22% 参与讨论的部门 环境、社会和治理 财务 人力资源 IT 法律 运营 销售 其他 Marsh 5 图 5 科技公司使用一系列工具来掌握灾难性风险。 资料来源：2020年达信高科技行业风险研究报告 贵公司正在采取什么措施来了解和量化这些新型灾难性风险？ 红旗-警示 很少或没有采取措施 基本措施 同类最佳 10% 查阅外部研究和行业风险研究 62% 规范企业风险管理流程 54% 跨风险职能部门实施规范的情景规划 43% 与内部专家和利益相关方进行非正式白板会议 34% 现有的或标准化的风险量化工具 21% 定制损失模型 19% 深度数据驱动预测分析 9% 风险管理的关键作用是通过使用数据和分析，将讨论凝聚 在一起。来自销售、运营和其他部门的代表能够解释他们的 各自领域将受到怎样的影响，但只有有效地使用完整的风 险数据和分析工具，贵公司才能量化和比较这些影响。 超过90%的受访者使用某些流程来理解灾难性风险（见图 5）。从使用第三方报告研究风险、设立企业风险管理委员 会，以及举行白板/场景规划会议等多角度入手，关键利益 相关者都参与到风险讨论中来。 然而，只有不到五分之一的受访者使用定制的损失模型和 数据驱动型预测分析工具。缺乏定制和严谨的分析工具， 会使得真正量化和理解新型和灾难性风险变得困难。虽然 21%的受访者使用“现成或标准化的风险量化工具”，但从 这些工具中获得的见解只能作为风险量化的基准线。如果 贵公司正在为您的客户开发创新和定制的解决方案，而又不 投资定制的损失模型和数据驱动型预测分析工具，就无法 了解新型风险。作为创新者和颠覆者，您公司的风险远比标 准工具能够理解的复杂得多。 6 灾难风险的新定义: 2020年高科技行业风险研究报告 2020年五大技术风险 受访者预计，在未来三到五年内，这一风险将成为更 大的问题。* 数据安全和隐私 1 信息技术应变能力 2 技术错漏（E&O） 3 知识产权 4 物联网故障 5 68% * 完整列表见第1页的图1。 55% 51% 29% 30% 跟上变化的步伐 2020年，变革的步伐正在加快。新开发的数字解决方案使通 信更加快捷，商业更加紧密，经济更加互联。但是这些互联 的系统也同时带来了比以往更快出现和更易扩散的风险。所 以当受访科技公司表示，当前的五大主要风险也将是他们在 未来三至五年重点关注的风险时，就不足为奇了（见图1）。 超五成的受访者认为他们正在努力跟上这种飞速变化的步伐 （见图6）。但是35%的受访者表示，他们无法掌握当前这种 科技风险（见图6）。53%的受访者计划建立更多的合作伙伴 关系，随着公司寻求扩大产品和服务的供应，挑战也将随之 增加（见图7）。 发展新的合作伙伴关系可能会出现公司无法直接掌控的风 险。60%的受访者表示，依赖第三方的技术意味着有40%或更 图 6 多数公司认为他们正在跟上科技风险的步伐。 资料来源：2020年达信高科技行业风险研究报告 鉴于复杂性和威胁日益增加，贵公司是否了解和衡量价值链中存在的科技风险，以适当地对冲和控制风险？ 15% 20% 52.5% 12.5% 临时措施在风险管控方面初 具成效 实时掌控整个企业面对的 威胁和复杂性 深入了解和管理整个企业和 职能部门的风险 Marsh 7 受访者表示，公司的大部分风险往往 不在直接管控范围内 公司风险中无法直接管控的风险占比多少？ %不在管控范围内%受访者 20% 25% 60% 25% 80% 5% 40% 30% 不确定 16% 图 7 科技公司正在扩大产品供应。 资料来源：2020年达信高科技行业风险研究报告 贵公司如何扩展产品/服务？ 在现有基础上开发新产品 和服务 78% 64% 以新的方式销售现有产品 或服务 53% 发展新的伙伴关系 52% 合并或收购 39% 创建新的部门（实验室、 创新中心等） 不确定 6% 没有开发新产品/服务 2% 多的风险超出了他们的直接管控范围。此外16%的受访者不 确定他们是否存在风险超出管控范围的情况。伙伴关系的扩 大有可能进一步加剧这种缺乏管控的情况，使风险更加复杂 和难以量化。 超出公司直接管控范围的风险比例越大，就越需要定制的 损失模型和深度预测分析。然而，如前所述，很少有受访者 实际使用这些工具。 39%的受访者接受扩大实验室和创新中心的使用，这些加速 发展的结构模式，也给风险管理带来了新的挑战（见图7）。 风险管理团队应该与这些团队合作，并提供灵活而创新的方 法来消除或降低创新的风险。正如风险管理必须确保所有业 务部门都在讨论新出现的风险一样，风险管理也应该与新的 创新实验室合作，以确保风险管理能够在创新讨论中占据一 席之地。 资料来源：2020年达信高科技行业风险研究报告 8 灾难风险的新定义: 2020年高科技行业风险研究报告 图 8 许多主要风险都缺乏适当的风险转移解决方案。 资料来源：2020年达信高科技行业风险研究报告 数据安全和隐私保护27% 33% 40% 信息技术应变能力31% 42% 27% 技术过失与疏忽24% 21% 55% 营业中断12% 35% 53% 知识产权30% 36% 34% 物联网故障29% 45% 26% 员工安全9% 27% 66% 监管合规26% 41% 33% 跨国风险15% 48% 37% 连带业务中断21% 37% 42% 房地安保15% 39% 46% 董事及高级职员责任13% 84%3% 媒体责任16% 41% 43% 并购18% 46% 36% 环境责任14% 45% 41% 产品召回19% 56% 25% 雇佣责任13% 28% 59% 雇员欺诈17% 33% 50% 电磁场人身伤害 27% 43% 30% 对他人的身体伤害或财产损失 19% 80%1% 机动车/车队责任20% 79%1% “完全不充分”或“有某些相关保险”“中立”“基本一致”或“与风险匹配良好” 对于已转移的风险，您如何评价当前的保险解决方案？ Marsh 9 在保险不足的方面加强管控 许多受访者认为新型风险的保险方案不够充分（见图8）。 超过50%的人对保险方案是否足以应对主要风险（如数据 安全和隐私保护、信息技术应变能力、知识产权、监管合规 和跨国风险）持否定或中立意见。技术过失与疏忽和营业中 断等更常见的风险获得的评级略高，但很少有风险被认为 已被现有的保险解决方案充分解决。 各行各业的公司都依赖技术和数据来运营业务，这无疑 增加了系统开发和数据存储公司的责任风险。当保险市场 处于转型期时，风险专业人士在寻找风险转移解决方案 时会面临更大的挑战。根据达信季度全球保险市场指 数，2019年第四季度，全球商业保险价格连续第九个季度上 涨。平均商业保险价格在2019年第四季度增长了11%。这是 自2012年调查开始以来最大的平均涨幅。 面对产能大幅减少或价格上涨，大多数受访者在续签谈判 中依赖传统策略（见图9）。虽然推动运营商之间的竞争很 重要，但许多受访者表示，他们正在改变限制、保留条款和 条件，以缓解保费上涨压力。 面对转型市场，技术风险领导者可能会从寻找创新解决方 案中受益。投资于分析、调查替代资本解决方案，和/或了解 自保措施所可能带来的帮助，可以找到保护预算和控制风险 的方案。掌控过程，成为风险的卖家，而不是能力的买家。 图 9 在解决产能和定价问题方面，传统方法仍是常态。 资料来源：2020年达信高科技行业风险研究报告 重新回到市场询价，寻找新的承保人。 79% 更改限额和自留额。 70% 利用替代资本。 27% 当产能大幅减少或价格上涨时，您会使用哪些杠杆？ 改变条款、条件、定义或服务。 50% 加大分析投入，保留更多风险。 35% 寻求自保方案。 23% 传统方法采取控制 10 灾难风险的新定义: 2020年高科技行业风险研究报告 一家公司 多种商业模式 很少有科技公司认为自己只是软件开发者。通信服务公司也不仅仅是连通无线电话，他们还要开发新技术，实现支付，并 打造流媒体视频（平台）。硬件公司不仅在制造设备，还在编写软件，将他们的产品集成到更大的数字生态系统中。为了生 存，许多公司在各种商业模式下运营（见图10）。 图 10 越来越多的科技公司跨部门运营。 资料来源：2020年达信高科技行业风险研究报告 以下哪一项最能描述贵公司的业务？ 请选出所有相关项。 软件和信息技术服务 通讯服务硬件 电子商务媒体 交通运输（机动性） 硬件和设备 业务流程外包 个人电子产品 广播 社交媒体 通信服务提供商金融服务/支付 承载/云服务 金融科技 搜索和信息服务 软件/软件服务 电子元气件 数据处理 媒体 零售/分销 自动出行 Marsh 11 充分利用资源 物联网和数据经济正在创造难以想象和无限的数据集。利用新的数据来源进行风险评估、风险缓解和风险处理 的机会非常大。 开拓创新 要投入当前的竞争，就必须努力掌握复杂的数据、分析和工具，这是必须付出的代价。但是我们需要交谈，去发现， 去拿起一支马克笔在白板上探索新的想法。我们处于未知领域。 开阔视野 通信基础设施、技术创新和对“眼球”的追求渗透到每一个行业，实现行业的颠覆性变革。一系列新出现的风险 将接踵而至。 调整与适应 这不仅是一种恒定的变化，还是一种加速。我们应该不断质疑我们对风险的理解、我们的反应以及我们的相 关性。 提高预测能力 作为风险专家，我们是从后视镜看问题的专家。变革的步伐正在加快，我们应该使用新的数据集和工具来提高我 们向前看和了解整体业务战略的能力。 展望未来 灾难性风险的新定义鼓励风险管理者挑战传统的思维方式和风险管理方法。一年前，在这份报告中，我们谈到了发展风险 管理的新思维。这一建议在今天仍然至关重要。风险领导者应该具备以下特点： 这个建议今天仍然有效。但随着政府、活动家和政治家更加关注科技公司及其对社会的影响，我们建议在2020年多一种思 维方式： 互通型思维 随着公司制定出环境、社会和治理等各种标准，风险经理应确保他们了解并拥有全球ESG（环境、社会、治理）通 连。这意味着让不同的声音和经历参与进来，以确保您了解社会可能如何看待您的公司。如果您没有不同的声音 来帮助你预测风险，您确定您能考虑到所有的影响吗？建立联系，做出更好的风险决策。 12 灾难风险的新定义: 2020年高科技行业风险研究报告 受访者的构成情况 按岗位职责划分 按公司收入划分 是否为公司最高管理层成员 风险管理 财务 法律 人力资源 运营 50% 78% 23% 11% 9% 5% 2% 20% 否 是 不回答 按公司总部所在地划分 美国 亚太地区 英国/爱尔兰 47% 12% 1% 4% 7% 欧洲大陆 印度 2% 按公司所有权类型划分 58% 34% 上市公司 非上市公司 非营利组织 4% 其他 低于5000万美元 5000万-1亿美元 1亿-2 . 5亿美元 2.5亿-5亿美元 5亿-10亿美元 10亿-49亿美元 28% 50亿美元以上 33% 不回答 5% 7% 4% 8% 8% 7% 加拿大 中东/非洲 18% 12% Marsh 13 其他内容 本次调查以及调研报告属于Marsh& McLennan Companies年度 意见领袖的一部分，后者包括研究报告、观察报告、活动和热点 问题评述等。 达信高科技客户服务部还会主办一系列活动，预计2020年的活 动包括： 风险与保险管理协会年会之通讯、媒体和高科技风险圆桌 会议 硅谷高科技风险论坛 要获得更多关于即将发布的报告、活动和观察报告的信息，请 联系您当地的达信代表，或发送电子邮件至， 我们将会向您发送相关信息。 达信高科技专知 排分的保费达 20亿美元 全球服务网络拥有 超过600名 高科技行业风险管理人员 全球办公室提供 本地化专业服务 超过 100个 85% 的客户属于中型高成长企业 全球客户 超过2000家 达信是Marsh & McLennan Companies的子公司。后者也是佳达、美世和奥纬的母公司。 本文件及其中由达信提供的任何建议或分析（统称为“达信分析”）不应作为针对个别情况的建议，也不得作为此类问题的处置依据。本文包含的信息是基于我们认为可靠的来源，但是我们并不保证 其准确性。达信并无义务对这些信息进行更新。对于您或本文所涉其他各方或任何问题，达信不负任何责任。任何关于保险精算、税务、会计、法律问题的陈述都完全基于我们作为保险经纪人和风险 顾问的经验，不得以此作为相关保险精算、税务、会计或法律问题的建议。被保险人如遇上述问题应咨询相应的专业顾问。任何建模、分析和预测都存在其固有的不确定性，任何基本假定、条件、信 息和因素的不准确、不完整或变化都有可能对“达信分析”造成重大影响。达信对任何保险公司或再保公司的保险条款、财务状况或偿付能力不做任何声明和保证。达信对于保险保障的获得、费用或 条款不做任何担保。尽管达信可以提供建议，但所有与保险金额、类型或条款相关的决定都应由投保人自行负责。投保人必须根据其具体情况和财务状况选定适合的保险。 Copyright 2020 Marsh LLC. All rights reserved. MA20-15903 444670304 关于达信 达信（Marsh）是全球保险经纪和创新型风险管理解决方案领域 的领先企业，拥有30000名员工，向全球130多个国家和地区的个 人和商业企业客户提供建议和服务。达信是 Marsh & McLennan Companies（纽交所代码：MMC）的全资子公司，后者是一家全 球性专业服务公司，向客户提供风险、战略和人力资源服务。Marsh & McLennan Companies在全球拥有将近65000名员工，年收入超 过140亿美元，通过旗下四家处于市场领先地位的子公司帮助 客户在变化多端和日趋复杂的环境中不断发展壮大。除达信以 外，Marsh & McLennan Companies还是下列公司的母公司：佳达， 开发先进的风险、再保险和资本战略，帮助客户实现盈利增长 并把握新的机遇；美世，提供建议和科技带动型解决方案，帮助 企业满足因人力资源变动带来的健康、财富和职业发展需求； 奥纬，致力于为私营部门和政府客户提供战略、经济和品牌咨询 服务。请在推特关注MarshGlobal，并在新浪微博关注达信 Marsh，或者在微信公众号搜索MarshChina关注达信微信公众平 台，或者订阅BRINK获取相关信息。 关于本报告 本报告是达信第五期2020年达信高科技行业风险研究报告， 收集了全球超过150名高科技行业风险管理人员的反馈信息。如 需获取更多关于本报告的信息或者了解达信如何帮助化解贵公司 面临的高科技风险，请联系： 美国 TOM QUIGLEY 英国 CARRICK LAMBERT 亚洲 ALEXANDER CHAO 印度 BHISHMA MAHESHWARI 加拿大 CHRIS JOHNSON