推动数字经济,展望数字世界:首届数字风险峰会 (DRS) 成功举办
星期一, 十月 28, 2019
当前,我国经济发展正在呈现出非常明显的数字化特征,并从最初的消费领域向几乎所有产业领域快速推进。数字化技术的深入应用已经成为中国经济提质增效、转型升级的重要驱动力。对企业而言,在数字化时代充满机遇和挑战。加强数字风险管理已成为数字经济时代企业提升核心竞争力的重要内容,应当引起企业管理层的高度重视。
10 月 26 日,由中国内部审计协会、北京国家会计学院、国际信息系统审计协会 (ISACA)、北京谷安天下联合举办的首届数字风险峰会 (DRS) 在北京友谊宾馆成功举办,会议邀请了信息化建设、企业风险管理以及内部审计领域的国际专家、权威学者及企业数值化转型的先行者,共同探讨了在企业数字化转型趋势下,如何构建有中国特色的数字风险管理应对之道。
当前,人类社会正由信息化向数字化演进,数字技术已成为社会快速发展的核心基础及创新原动力。而安全属于伴生技术,新技术的出现,必然会不断带来新的安全挑战与风险。数字化的过程,一定伴随着新的安全过程,而 “安全过程” 不单是数据安全,数据安全仅是安全的细分领域。数字化依赖于平台,平台可靠性和稳定性的不足使企业的数字化进程不得不面临着各种各样的脆弱和不确定性,进而演变为数字风险。如何有效控制、管理风险是现在企业面临的主要问题,需要安全、业务、管理、审计等多个部门,加强协作、共同探索。
在数字化时代,企业需要采取各种方法消除风险,但这并不意味着企业要避免所有的风险,因为风险也会为企业带来机会。因此,风险应该管理,而不是消除。风险管理就是要帮助企业在接受一定风险的前提下,帮助企业扩大业务目标,在此过程中为客户和利益相关者带来更大的价值。专注目标,让通往有效风险管理的道路更加清晰。
50 年来,ISACA 致力于成为世界级的学习型组织,为个人和企业提供所需的培训、知识以及资源,使他们成为各自领域的佼佼者。ISACA 即将正式发布《2020年企业风险管理状况》报告,通过分析来自 140 个国家的逾 4,600 名应答者的数据,来决定最高风险、风险成熟等级、风险关注等。
数字风险已成为一项影响组织目标实现的关键风险,数字风险与传统风险相比主要具备三方面特点:第一,数字风险广泛存在于组织的方方面面;第二,数字风险的复杂性决定了应对风险的难度更高,对风险的管理也会涉及到多个领域的知识和技能;第三,数字风险可能会在极短时间内给组织在战略和声誉上造成沉重的打击。
因此,这对企业内部审计人员提出了更高的要求,需要不断提升在相关领域的业务能力,首先需要熟知组织的数字化发展规划,深入理解其中包含的关键举措和涉及的相关技术。同时,内部审计还要与组织内部的其他职能密切协作,整合资源,形成对风险的统一认识以及二三道防线联动的工作机制。此外,还需要通过不断提升在相关领域的业务能力,为数字化转型和发展的决策者提供富有价值的信息和建议,成为帮助组织应对数字风险的关键助力。
数字化是一种趋势,是数字技术被广泛使用并由此带来了社会环境、经济活动和生活的根本变化。在数字化时代,数字安全已经不只是一种基础能力,还是产业发展、社会正常运转的驱动力。数字安全已成为所有 0 前面的 1,没有了 1,所有 0 都失去了意义。我们应以全新视角去理解数字安全问题,因为数字安全问题未必出现在组织原有的体系内,也可能是发生在体系外。数字安全以前都是个人、组织的问题,现在,数字安全已经成为国家、社会乃至全人类的问题。传统安全观以攻防为主体,面对新的数字生态,应该跳出攻防概念,以协作为基础,推动政府、组织、个人联动,共同提高防护措施,构建数字安全的整体体系。只有从根本上转变安全观念,提升安全认知维度,才能真正地以安全为驱动力,构建真正意义上的数字安全新生态。
数字化不再是企业锦上添花的一个工具,而是已经成为了企业核心战略,数字化转型已经不是选择,而是必然。埃森哲统计数据显示,早期接纳数字化转型的企业生产率提高了 70%,相比之下,后续仿效的企业生产率仅提高了 30%。不过任何事情都具有两面性,数字化在给我们带来机会的同时,也必然带来许多前所未有的新的风险。在企业数字化应用环境下,风险管理相关部门(风险、内控及审计)将很难沿用传统 “先找监管规范,再建内控体系,后进行审计” 的方法,技术的快速发展、市场的快速变化将使传统风险管理逐步进入无 “规” 可依的境地,“鼓励创新” 与 “风险控制” 未来将是一对矛盾体,对风险管理相关部门将是一个需要长期面对的挑战。
数字化时代,“风控体系建设” 已经成为数字银行建设的重中之重,风险防护能力已经成为衡量一家商业银行金融科技创新能力的首要标准。中国建设银行在风险防控能力建设上主要突出三部分。第一,安全与体验平衡,在防控风险的同时兼顾客户体验;第二,实施动态调整策略,针对不同等级账户采取差异化的安全管控策略;第三,主动防御措施,通过监测外部泄漏数据、风险传播渠道、暴力猜解行为以及主动识别钓鱼网站等手段,主动出击应对交易风险。通过利用大数据分析技术及人工智能手段,中国建设银行已成功做到风险看得见、风险理的清、风险控得住。
随着政务大数据与安全 “同步” 进入新的发展阶段,大数据技术在电子政务中得到广泛应用。数据资产权益就是现实资产在网络社会中的投影,数据资产权益保护也显得愈发重要。数据化的物质和意识,大数据就有可开拓的市场;人类只要还有未被云化的生产、生活方式,互联网应用就有创新的动力;社会只要还有未被完整描述和转化的人与人、人与物的关系,信息安全就有发展的方向,总而言之,即 “数据暨世界、应用暨生活、安全暨社会”。
万物互联时代,技术改变着生产和工作方式,也改变着安全业态。与此同时,国家层面的高度重视和相关法律法规的出台,影响着网络安全的变革。由此,基于云计算的系统思维可以将数字化时代的安全体系分成管理体系、运维体系和技术体系,从而进一步持续改进、更新。对于大型政企单位,可以逐渐建设成围绕数据的安全保护系统,将内外组件化,达到快速响应,使安全赋能企业、保障业务安全且有效的进行。
数据驱动需要内控、内审团队共同推动,协调长期资源,整合线上信息,将数智化之后的数据作为决策依据并给出最后的判断。产品建设要抓具体业务场景,解决具体问题,赋予 COSO 方法论完成数据化平台建设,最终形成全经济多业态数据风控解决方案。最终,希望形成数据驱动、产品助力、专家服务三位一体的模式,使风控融合在业务全链路中:决策预判风险,事前布控事中监控,事后检查和复盘,让风险无处可逃。
今天,数据正在从传统静态的、被动的变迁成动态、流动的,已成为一种重要资产。同时,数据也正在从单纯的物理结构,转变成和场景有关的内容。因此,在数字化时代,我们对数据有三个 (3A) 基本要求:准确、可用、可获得,并且数据必须同企业的业务成果相互联系。为了应对复杂数字化环境下的风险管理需求,我们正基于数据分析、快速识别、衡量以及监控客户和产品风险,构建一个数据管理成熟度模型 DMM。该模型不仅可以作为一个测量工具,更是一种能够衡量企业数据管理能力的最佳实践框架。
现在网络安全态势和日常生活越来越紧密结合,网络攻击、数据欺诈和盗窃成为世界前五大威胁。企业面对有组织的攻击,显得十分脆弱,网络安全需要 “内生安全”。以往传统的安全防护手段局限在外部的互联网,现在必须把安全能力构建在内部的业务系统上,从而保证信息化系统能生长出安全能力。内生安全实现的四要素:新机制、技术集合、数据聚合、人的聚合,强调了在信息化建设的方方面面,充分考虑引入并融合安全能力,以应对数据集中之后内部威胁日益增长的挑战。
随着当前数字化发展的快速推进,数据质量的提升将会变得更加重要。只有能够提炼数据之间的关联和趋势,数据的效用才能大大增加。企业要善用大数据,赋能业务发展。审计技术应用的演变,从数据分析到人工智能的过程中存在很多机遇和挑战。在普华永道,我们已经实现了多维度数据分析,全面提升了企业对于特定领域的洞察能力。对于如何合理使用大数据技术,建议重点关注以下四点:1、善用内部数据;2、寻找可实现增值的数据源;3、搭建数据治理体系,强化数据安全保护和合规;4、不断测试、学习、调整。