信息來源：安全牛

當(dāng)前，我國經(jīng)濟(jì)發(fā)展正在呈現(xiàn)出非常明顯的數(shù)字化特征，并從最初的消費(fèi)領(lǐng)域向幾乎所有產(chǎn)業(yè)領(lǐng)域快速推進(jìn)。數(shù)字化技術(shù)的深入應(yīng)用已經(jīng)成為中國經(jīng)濟(jì)提質(zhì)增效、轉(zhuǎn)型升級(jí)的重要驅(qū)動(dòng)力。對(duì)企業(yè)而言，在數(shù)字化時(shí)代充滿機(jī)遇和挑戰(zhàn)。加強(qiáng)數(shù)字風(fēng)險(xiǎn)管理已成為數(shù)字經(jīng)濟(jì)時(shí)代企業(yè)提升核心競(jìng)爭(zhēng)力的重要內(nèi)容，應(yīng)當(dāng)引起企業(yè)管理層的高度重視。

10 月 26 日，由中國內(nèi)部審計(jì)協(xié)會(huì)、北京國家會(huì)計(jì)學(xué)院、國際信息系統(tǒng)審計(jì)協(xié)會(huì) (ISACA)、北京谷安天下聯(lián)合舉辦的首屆數(shù)字風(fēng)險(xiǎn)峰會(huì) (DRS) 在北京友誼賓館成功舉辦，會(huì)議邀請(qǐng)了信息化建設(shè)、企業(yè)風(fēng)險(xiǎn)管理以及內(nèi)部審計(jì)領(lǐng)域的國際專家、權(quán)威學(xué)者及企業(yè)數(shù)值化轉(zhuǎn)型的先行者，共同探討了在企業(yè)數(shù)字化轉(zhuǎn)型趨勢(shì)下，如何構(gòu)建有中國特色的數(shù)字風(fēng)險(xiǎn)管理應(yīng)對(duì)之道。

當(dāng)前，人類社會(huì)正由信息化向數(shù)字化演進(jìn)，數(shù)字技術(shù)已成為社會(huì)快速發(fā)展的核心基礎(chǔ)及創(chuàng)新原動(dòng)力。而安全屬于伴生技術(shù)，新技術(shù)的出現(xiàn)，必然會(huì)不斷帶來新的安全挑戰(zhàn)與風(fēng)險(xiǎn)。數(shù)字化的過程，一定伴隨著新的安全過程，而 “安全過程” 不單是數(shù)據(jù)安全，數(shù)據(jù)安全僅是安全的細(xì)分領(lǐng)域。數(shù)字化依賴于平臺(tái)，平臺(tái)可靠性和穩(wěn)定性的不足使企業(yè)的數(shù)字化進(jìn)程不得不面臨著各種各樣的脆弱和不確定性，進(jìn)而演變?yōu)閿?shù)字風(fēng)險(xiǎn)。如何有效控制、管理風(fēng)險(xiǎn)是現(xiàn)在企業(yè)面臨的主要問題，需要安全、業(yè)務(wù)、管理、審計(jì)等多個(gè)部門，加強(qiáng)協(xié)作、共同探索。

在數(shù)字化時(shí)代，企業(yè)需要采取各種方法消除風(fēng)險(xiǎn)，但這并不意味著企業(yè)要避免所有的風(fēng)險(xiǎn)，因?yàn)轱L(fēng)險(xiǎn)也會(huì)為企業(yè)帶來機(jī)會(huì)。因此，風(fēng)險(xiǎn)應(yīng)該管理，而不是消除。風(fēng)險(xiǎn)管理就是要幫助企業(yè)在接受一定風(fēng)險(xiǎn)的前提下，幫助企業(yè)擴(kuò)大業(yè)務(wù)目標(biāo)，在此過程中為客戶和利益相關(guān)者帶來更大的價(jià)值。專注目標(biāo)，讓通往有效風(fēng)險(xiǎn)管理的道路更加清晰。

50 年來，ISACA 致力于成為世界級(jí)的學(xué)習(xí)型組織，為個(gè)人和企業(yè)提供所需的培訓(xùn)、知識(shí)以及資源，使他們成為各自領(lǐng)域的佼佼者。ISACA 即將正式發(fā)布《2020年企業(yè)風(fēng)險(xiǎn)管理狀況》報(bào)告，通過分析來自 140 個(gè)國家的逾 4,600 名應(yīng)答者的數(shù)據(jù)，來決定最高風(fēng)險(xiǎn)、風(fēng)險(xiǎn)成熟等級(jí)、風(fēng)險(xiǎn)關(guān)注等。

數(shù)字風(fēng)險(xiǎn)已成為一項(xiàng)影響組織目標(biāo)實(shí)現(xiàn)的關(guān)鍵風(fēng)險(xiǎn)，數(shù)字風(fēng)險(xiǎn)與傳統(tǒng)風(fēng)險(xiǎn)相比主要具備三方面特點(diǎn)：第一，數(shù)字風(fēng)險(xiǎn)廣泛存在于組織的方方面面；第二，數(shù)字風(fēng)險(xiǎn)的復(fù)雜性決定了應(yīng)對(duì)風(fēng)險(xiǎn)的難度更高，對(duì)風(fēng)險(xiǎn)的管理也會(huì)涉及到多個(gè)領(lǐng)域的知識(shí)和技能；第三，數(shù)字風(fēng)險(xiǎn)可能會(huì)在極短時(shí)間內(nèi)給組織在戰(zhàn)略和聲譽(yù)上造成沉重的打擊。

因此，這對(duì)企業(yè)內(nèi)部審計(jì)人員提出了更高的要求，需要不斷提升在相關(guān)領(lǐng)域的業(yè)務(wù)能力，首先需要熟知組織的數(shù)字化發(fā)展規(guī)劃，深入理解其中包含的關(guān)鍵舉措和涉及的相關(guān)技術(shù)。同時(shí)，內(nèi)部審計(jì)還要與組織內(nèi)部的其他職能密切協(xié)作，整合資源，形成對(duì)風(fēng)險(xiǎn)的統(tǒng)一認(rèn)識(shí)以及二三道防線聯(lián)動(dòng)的工作機(jī)制。此外，還需要通過不斷提升在相關(guān)領(lǐng)域的業(yè)務(wù)能力，為數(shù)字化轉(zhuǎn)型和發(fā)展的決策者提供富有價(jià)值的信息和建議，成為幫助組織應(yīng)對(duì)數(shù)字風(fēng)險(xiǎn)的關(guān)鍵助力。

數(shù)字化是一種趨勢(shì)，是數(shù)字技術(shù)被廣泛使用并由此帶來了社會(huì)環(huán)境、經(jīng)濟(jì)活動(dòng)和生活的根本變化。在數(shù)字化時(shí)代，數(shù)字安全已經(jīng)不只是一種基礎(chǔ)能力，還是產(chǎn)業(yè)發(fā)展、社會(huì)正常運(yùn)轉(zhuǎn)的驅(qū)動(dòng)力。數(shù)字安全已成為所有 0 前面的 1，沒有了 1，所有 0 都失去了意義。我們應(yīng)以全新視角去理解數(shù)字安全問題，因?yàn)閿?shù)字安全問題未必出現(xiàn)在組織原有的體系內(nèi)，也可能是發(fā)生在體系外。數(shù)字安全以前都是個(gè)人、組織的問題，現(xiàn)在，數(shù)字安全已經(jīng)成為國家、社會(huì)乃至全人類的問題。傳統(tǒng)安全觀以攻防為主體，面對(duì)新的數(shù)字生態(tài)，應(yīng)該跳出攻防概念，以協(xié)作為基礎(chǔ)，推動(dòng)政府、組織、個(gè)人聯(lián)動(dòng)，共同提高防護(hù)措施，構(gòu)建數(shù)字安全的整體體系。只有從根本上轉(zhuǎn)變安全觀念，提升安全認(rèn)知維度，才能真正地以安全為驅(qū)動(dòng)力，構(gòu)建真正意義上的數(shù)字安全新生態(tài)。

數(shù)字化不再是企業(yè)錦上添花的一個(gè)工具，而是已經(jīng)成為了企業(yè)核心戰(zhàn)略，數(shù)字化轉(zhuǎn)型已經(jīng)不是選擇，而是必然。埃森哲統(tǒng)計(jì)數(shù)據(jù)顯示，早期接納數(shù)字化轉(zhuǎn)型的企業(yè)生產(chǎn)率提高了 70%，相比之下，后續(xù)仿效的企業(yè)生產(chǎn)率僅提高了 30%。不過任何事情都具有兩面性，數(shù)字化在給我們帶來機(jī)會(huì)的同時(shí)，也必然帶來許多前所未有的新的風(fēng)險(xiǎn)。在企業(yè)數(shù)字化應(yīng)用環(huán)境下，風(fēng)險(xiǎn)管理相關(guān)部門（風(fēng)險(xiǎn)、內(nèi)控及審計(jì)）將很難沿用傳統(tǒng) “先找監(jiān)管規(guī)范，再建內(nèi)控體系，后進(jìn)行審計(jì)” 的方法，技術(shù)的快速發(fā)展、市場(chǎng)的快速變化將使傳統(tǒng)風(fēng)險(xiǎn)管理逐步進(jìn)入無 “規(guī)” 可依的境地，“鼓勵(lì)創(chuàng)新” 與 “風(fēng)險(xiǎn)控制” 未來將是一對(duì)矛盾體，對(duì)風(fēng)險(xiǎn)管理相關(guān)部門將是一個(gè)需要長(zhǎng)期面對(duì)的挑戰(zhàn)。

數(shù)字化時(shí)代，“風(fēng)控體系建設(shè)” 已經(jīng)成為數(shù)字銀行建設(shè)的重中之重，風(fēng)險(xiǎn)防護(hù)能力已經(jīng)成為衡量一家商業(yè)銀行金融科技創(chuàng)新能力的首要標(biāo)準(zhǔn)。中國建設(shè)銀行在風(fēng)險(xiǎn)防控能力建設(shè)上主要突出三部分。第一，安全與體驗(yàn)平衡，在防控風(fēng)險(xiǎn)的同時(shí)兼顧客戶體驗(yàn)；第二，實(shí)施動(dòng)態(tài)調(diào)整策略，針對(duì)不同等級(jí)賬戶采取差異化的安全管控策略；第三，主動(dòng)防御措施，通過監(jiān)測(cè)外部泄漏數(shù)據(jù)、風(fēng)險(xiǎn)傳播渠道、暴力猜解行為以及主動(dòng)識(shí)別釣魚網(wǎng)站等手段，主動(dòng)出擊應(yīng)對(duì)交易風(fēng)險(xiǎn)。通過利用大數(shù)據(jù)分析技術(shù)及人工智能手段，中國建設(shè)銀行已成功做到風(fēng)險(xiǎn)看得見、風(fēng)險(xiǎn)理的清、風(fēng)險(xiǎn)控得住。

隨著政務(wù)大數(shù)據(jù)與安全 “同步” 進(jìn)入新的發(fā)展階段，大數(shù)據(jù)技術(shù)在電子政務(wù)中得到廣泛應(yīng)用。數(shù)據(jù)資產(chǎn)權(quán)益就是現(xiàn)實(shí)資產(chǎn)在網(wǎng)絡(luò)社會(huì)中的投影，數(shù)據(jù)資產(chǎn)權(quán)益保護(hù)也顯得愈發(fā)重要。數(shù)據(jù)化的物質(zhì)和意識(shí)，大數(shù)據(jù)就有可開拓的市場(chǎng)；人類只要還有未被云化的生產(chǎn)、生活方式，互聯(lián)網(wǎng)應(yīng)用就有創(chuàng)新的動(dòng)力；社會(huì)只要還有未被完整描述和轉(zhuǎn)化的人與人、人與物的關(guān)系，信息安全就有發(fā)展的方向，總而言之，即 “數(shù)據(jù)暨世界、應(yīng)用暨生活、安全暨社會(huì)”。

萬物互聯(lián)時(shí)代，技術(shù)改變著生產(chǎn)和工作方式，也改變著安全業(yè)態(tài)。與此同時(shí)，國家層面的高度重視和相關(guān)法律法規(guī)的出臺(tái)，影響著網(wǎng)絡(luò)安全的變革。由此，基于云計(jì)算的系統(tǒng)思維可以將數(shù)字化時(shí)代的安全體系分成管理體系、運(yùn)維體系和技術(shù)體系，從而進(jìn)一步持續(xù)改進(jìn)、更新。對(duì)于大型政企單位，可以逐漸建設(shè)成圍繞數(shù)據(jù)的安全保護(hù)系統(tǒng)，將內(nèi)外組件化，達(dá)到快速響應(yīng)，使安全賦能企業(yè)、保障業(yè)務(wù)安全且有效的進(jìn)行。

數(shù)據(jù)驅(qū)動(dòng)需要內(nèi)控、內(nèi)審團(tuán)隊(duì)共同推動(dòng)，協(xié)調(diào)長(zhǎng)期資源，整合線上信息，將數(shù)智化之后的數(shù)據(jù)作為決策依據(jù)并給出最后的判斷。產(chǎn)品建設(shè)要抓具體業(yè)務(wù)場(chǎng)景，解決具體問題，賦予 COSO 方法論完成數(shù)據(jù)化平臺(tái)建設(shè)，最終形成全經(jīng)濟(jì)多業(yè)態(tài)數(shù)據(jù)風(fēng)控解決方案。最終，希望形成數(shù)據(jù)驅(qū)動(dòng)、產(chǎn)品助力、專家服務(wù)三位一體的模式，使風(fēng)控融合在業(yè)務(wù)全鏈路中：決策預(yù)判風(fēng)險(xiǎn)，事前布控事中監(jiān)控，事后檢查和復(fù)盤，讓風(fēng)險(xiǎn)無處可逃。

今天，數(shù)據(jù)正在從傳統(tǒng)靜態(tài)的、被動(dòng)的變遷成動(dòng)態(tài)、流動(dòng)的，已成為一種重要資產(chǎn)。同時(shí)，數(shù)據(jù)也正在從單純的物理結(jié)構(gòu)，轉(zhuǎn)變成和場(chǎng)景有關(guān)的內(nèi)容。因此，在數(shù)字化時(shí)代，我們對(duì)數(shù)據(jù)有三個(gè) (3A) 基本要求：準(zhǔn)確、可用、可獲得，并且數(shù)據(jù)必須同企業(yè)的業(yè)務(wù)成果相互聯(lián)系。為了應(yīng)對(duì)復(fù)雜數(shù)字化環(huán)境下的風(fēng)險(xiǎn)管理需求，我們正基于數(shù)據(jù)分析、快速識(shí)別、衡量以及監(jiān)控客戶和產(chǎn)品風(fēng)險(xiǎn)，構(gòu)建一個(gè)數(shù)據(jù)管理成熟度模型 DMM。該模型不僅可以作為一個(gè)測(cè)量工具，更是一種能夠衡量企業(yè)數(shù)據(jù)管理能力的最佳實(shí)踐框架。

現(xiàn)在網(wǎng)絡(luò)安全態(tài)勢(shì)和日常生活越來越緊密結(jié)合，網(wǎng)絡(luò)攻擊、數(shù)據(jù)欺詐和盜竊成為世界前五大威脅。企業(yè)面對(duì)有組織的攻擊，顯得十分脆弱，網(wǎng)絡(luò)安全需要 “內(nèi)生安全”。以往傳統(tǒng)的安全防護(hù)手段局限在外部的互聯(lián)網(wǎng)，現(xiàn)在必須把安全能力構(gòu)建在內(nèi)部的業(yè)務(wù)系統(tǒng)上，從而保證信息化系統(tǒng)能生長(zhǎng)出安全能力。內(nèi)生安全實(shí)現(xiàn)的四要素：新機(jī)制、技術(shù)集合、數(shù)據(jù)聚合、人的聚合，強(qiáng)調(diào)了在信息化建設(shè)的方方面面，充分考慮引入并融合安全能力，以應(yīng)對(duì)數(shù)據(jù)集中之后內(nèi)部威脅日益增長(zhǎng)的挑戰(zhàn)。

隨著當(dāng)前數(shù)字化發(fā)展的快速推進(jìn)，數(shù)據(jù)質(zhì)量的提升將會(huì)變得更加重要。只有能夠提煉數(shù)據(jù)之間的關(guān)聯(lián)和趨勢(shì)，數(shù)據(jù)的效用才能大大增加。企業(yè)要善用大數(shù)據(jù)，賦能業(yè)務(wù)發(fā)展。審計(jì)技術(shù)應(yīng)用的演變，從數(shù)據(jù)分析到人工智能的過程中存在很多機(jī)遇和挑戰(zhàn)。在普華永道，我們已經(jīng)實(shí)現(xiàn)了多維度數(shù)據(jù)分析，全面提升了企業(yè)對(duì)于特定領(lǐng)域的洞察能力。對(duì)于如何合理使用大數(shù)據(jù)技術(shù)，建議重點(diǎn)關(guān)注以下四點(diǎn)：1、善用內(nèi)部數(shù)據(jù)；2、尋找可實(shí)現(xiàn)增值的數(shù)據(jù)源；3、搭建數(shù)據(jù)治理體系，強(qiáng)化數(shù)據(jù)安全保護(hù)和合規(guī)；4、不斷測(cè)試、學(xué)習(xí)、調(diào)整。