信息來源：安全牛

當前，我國經濟發(fā)展正在呈現出非常明顯的數字化特征，并從最初的消費領域向幾乎所有產業(yè)領域快速推進。數字化技術的深入應用已經成為中國經濟提質增效、轉型升級的重要驅動力。對企業(yè)而言，在數字化時代充滿機遇和挑戰(zhàn)。加強數字風險管理已成為數字經濟時代企業(yè)提升核心競爭力的重要內容，應當引起企業(yè)管理層的高度重視。

10 月 26 日，由中國內部審計協(xié)會、北京國家會計學院、國際信息系統(tǒng)審計協(xié)會 (ISACA)、北京谷安天下聯合舉辦的首屆數字風險峰會 (DRS) 在北京友誼賓館成功舉辦，會議邀請了信息化建設、企業(yè)風險管理以及內部審計領域的國際專家、權威學者及企業(yè)數值化轉型的先行者，共同探討了在企業(yè)數字化轉型趨勢下，如何構建有中國特色的數字風險管理應對之道。

當前，人類社會正由信息化向數字化演進，數字技術已成為社會快速發(fā)展的核心基礎及創(chuàng)新原動力。而安全屬于伴生技術，新技術的出現，必然會不斷帶來新的安全挑戰(zhàn)與風險。數字化的過程，一定伴隨著新的安全過程，而 “安全過程” 不單是數據安全，數據安全僅是安全的細分領域。數字化依賴于平臺，平臺可靠性和穩(wěn)定性的不足使企業(yè)的數字化進程不得不面臨著各種各樣的脆弱和不確定性，進而演變?yōu)閿底诛L險。如何有效控制、管理風險是現在企業(yè)面臨的主要問題，需要安全、業(yè)務、管理、審計等多個部門，加強協(xié)作、共同探索。

在數字化時代，企業(yè)需要采取各種方法消除風險，但這并不意味著企業(yè)要避免所有的風險，因為風險也會為企業(yè)帶來機會。因此，風險應該管理，而不是消除。風險管理就是要幫助企業(yè)在接受一定風險的前提下，幫助企業(yè)擴大業(yè)務目標，在此過程中為客戶和利益相關者帶來更大的價值。專注目標，讓通往有效風險管理的道路更加清晰。

50 年來，ISACA 致力于成為世界級的學習型組織，為個人和企業(yè)提供所需的培訓、知識以及資源，使他們成為各自領域的佼佼者。ISACA 即將正式發(fā)布《2020年企業(yè)風險管理狀況》報告，通過分析來自 140 個國家的逾 4,600 名應答者的數據，來決定最高風險、風險成熟等級、風險關注等。

數字風險已成為一項影響組織目標實現的關鍵風險，數字風險與傳統(tǒng)風險相比主要具備三方面特點：第一，數字風險廣泛存在于組織的方方面面；第二，數字風險的復雜性決定了應對風險的難度更高，對風險的管理也會涉及到多個領域的知識和技能；第三，數字風險可能會在極短時間內給組織在戰(zhàn)略和聲譽上造成沉重的打擊。

因此，這對企業(yè)內部審計人員提出了更高的要求，需要不斷提升在相關領域的業(yè)務能力，首先需要熟知組織的數字化發(fā)展規(guī)劃，深入理解其中包含的關鍵舉措和涉及的相關技術。同時，內部審計還要與組織內部的其他職能密切協(xié)作，整合資源，形成對風險的統(tǒng)一認識以及二三道防線聯動的工作機制。此外，還需要通過不斷提升在相關領域的業(yè)務能力，為數字化轉型和發(fā)展的決策者提供富有價值的信息和建議，成為幫助組織應對數字風險的關鍵助力。

數字化是一種趨勢，是數字技術被廣泛使用并由此帶來了社會環(huán)境、經濟活動和生活的根本變化。在數字化時代，數字安全已經不只是一種基礎能力，還是產業(yè)發(fā)展、社會正常運轉的驅動力。數字安全已成為所有 0 前面的 1，沒有了 1，所有 0 都失去了意義。我們應以全新視角去理解數字安全問題，因為數字安全問題未必出現在組織原有的體系內，也可能是發(fā)生在體系外。數字安全以前都是個人、組織的問題，現在，數字安全已經成為國家、社會乃至全人類的問題。傳統(tǒng)安全觀以攻防為主體，面對新的數字生態(tài)，應該跳出攻防概念，以協(xié)作為基礎，推動政府、組織、個人聯動，共同提高防護措施，構建數字安全的整體體系。只有從根本上轉變安全觀念，提升安全認知維度，才能真正地以安全為驅動力，構建真正意義上的數字安全新生態(tài)。

數字化不再是企業(yè)錦上添花的一個工具，而是已經成為了企業(yè)核心戰(zhàn)略，數字化轉型已經不是選擇，而是必然。埃森哲統(tǒng)計數據顯示，早期接納數字化轉型的企業(yè)生產率提高了 70%，相比之下，后續(xù)仿效的企業(yè)生產率僅提高了 30%。不過任何事情都具有兩面性，數字化在給我們帶來機會的同時，也必然帶來許多前所未有的新的風險。在企業(yè)數字化應用環(huán)境下，風險管理相關部門（風險、內控及審計）將很難沿用傳統(tǒng) “先找監(jiān)管規(guī)范，再建內控體系，后進行審計” 的方法，技術的快速發(fā)展、市場的快速變化將使傳統(tǒng)風險管理逐步進入無 “規(guī)” 可依的境地，“鼓勵創(chuàng)新” 與 “風險控制” 未來將是一對矛盾體，對風險管理相關部門將是一個需要長期面對的挑戰(zhàn)。

數字化時代，“風控體系建設” 已經成為數字銀行建設的重中之重，風險防護能力已經成為衡量一家商業(yè)銀行金融科技創(chuàng)新能力的首要標準。中國建設銀行在風險防控能力建設上主要突出三部分。第一，安全與體驗平衡，在防控風險的同時兼顧客戶體驗；第二，實施動態(tài)調整策略，針對不同等級賬戶采取差異化的安全管控策略；第三，主動防御措施，通過監(jiān)測外部泄漏數據、風險傳播渠道、暴力猜解行為以及主動識別釣魚網站等手段，主動出擊應對交易風險。通過利用大數據分析技術及人工智能手段，中國建設銀行已成功做到風險看得見、風險理的清、風險控得住。

隨著政務大數據與安全 “同步” 進入新的發(fā)展階段，大數據技術在電子政務中得到廣泛應用。數據資產權益就是現實資產在網絡社會中的投影，數據資產權益保護也顯得愈發(fā)重要。數據化的物質和意識，大數據就有可開拓的市場；人類只要還有未被云化的生產、生活方式，互聯網應用就有創(chuàng)新的動力；社會只要還有未被完整描述和轉化的人與人、人與物的關系，信息安全就有發(fā)展的方向，總而言之，即 “數據暨世界、應用暨生活、安全暨社會”。

萬物互聯時代，技術改變著生產和工作方式，也改變著安全業(yè)態(tài)。與此同時，國家層面的高度重視和相關法律法規(guī)的出臺，影響著網絡安全的變革。由此，基于云計算的系統(tǒng)思維可以將數字化時代的安全體系分成管理體系、運維體系和技術體系，從而進一步持續(xù)改進、更新。對于大型政企單位，可以逐漸建設成圍繞數據的安全保護系統(tǒng)，將內外組件化，達到快速響應，使安全賦能企業(yè)、保障業(yè)務安全且有效的進行。

數據驅動需要內控、內審團隊共同推動，協(xié)調長期資源，整合線上信息，將數智化之后的數據作為決策依據并給出最后的判斷。產品建設要抓具體業(yè)務場景，解決具體問題，賦予 COSO 方法論完成數據化平臺建設，最終形成全經濟多業(yè)態(tài)數據風控解決方案。最終，希望形成數據驅動、產品助力、專家服務三位一體的模式，使風控融合在業(yè)務全鏈路中：決策預判風險，事前布控事中監(jiān)控，事后檢查和復盤，讓風險無處可逃。

今天，數據正在從傳統(tǒng)靜態(tài)的、被動的變遷成動態(tài)、流動的，已成為一種重要資產。同時，數據也正在從單純的物理結構，轉變成和場景有關的內容。因此，在數字化時代，我們對數據有三個 (3A) 基本要求：準確、可用、可獲得，并且數據必須同企業(yè)的業(yè)務成果相互聯系。為了應對復雜數字化環(huán)境下的風險管理需求，我們正基于數據分析、快速識別、衡量以及監(jiān)控客戶和產品風險，構建一個數據管理成熟度模型 DMM。該模型不僅可以作為一個測量工具，更是一種能夠衡量企業(yè)數據管理能力的最佳實踐框架。

現在網絡安全態(tài)勢和日常生活越來越緊密結合，網絡攻擊、數據欺詐和盜竊成為世界前五大威脅。企業(yè)面對有組織的攻擊，顯得十分脆弱，網絡安全需要 “內生安全”。以往傳統(tǒng)的安全防護手段局限在外部的互聯網，現在必須把安全能力構建在內部的業(yè)務系統(tǒng)上，從而保證信息化系統(tǒng)能生長出安全能力。內生安全實現的四要素：新機制、技術集合、數據聚合、人的聚合，強調了在信息化建設的方方面面，充分考慮引入并融合安全能力，以應對數據集中之后內部威脅日益增長的挑戰(zhàn)。

隨著當前數字化發(fā)展的快速推進，數據質量的提升將會變得更加重要。只有能夠提煉數據之間的關聯和趨勢，數據的效用才能大大增加。企業(yè)要善用大數據，賦能業(yè)務發(fā)展。審計技術應用的演變，從數據分析到人工智能的過程中存在很多機遇和挑戰(zhàn)。在普華永道，我們已經實現了多維度數據分析，全面提升了企業(yè)對于特定領域的洞察能力。對于如何合理使用大數據技術，建議重點關注以下四點：1、善用內部數據；2、尋找可實現增值的數據源；3、搭建數據治理體系，強化數據安全保護和合規(guī)；4、不斷測試、學習、調整。