數(shù)字經(jīng)濟時代的數(shù)字風險管理

陳偉

一、數(shù)字經(jīng)濟時代的數(shù)字風險

在當前全球經(jīng)濟遭受新冠肺炎疫情沉重打擊的背景下，數(shù)字經(jīng)濟成為變局的突破口，數(shù)字技術、數(shù)字服務和數(shù)字產(chǎn)業(yè)發(fā)揮了重要作用，催生了各種新模式與新應用。據(jù)中國信通院2020年的研究與統(tǒng)計，2019年全球數(shù)字經(jīng)濟規(guī)模達到31.8萬億美元;2019 年發(fā)達國家數(shù)字經(jīng)濟在GDP中占比達到51.3%，我國2019年數(shù)字經(jīng)濟GDP占比為36.2%。當前數(shù)字經(jīng)濟已成為全球經(jīng)濟發(fā)展的新動能。

數(shù)字經(jīng)濟在蓬勃發(fā)展的同時也帶來了許多風險。世界經(jīng)濟論壇發(fā)布的《2020年全球風險報告》預測了各種未來可能性最高和影響最大的風險，其中大規(guī)模網(wǎng)絡攻擊、數(shù)據(jù)詐騙或數(shù)據(jù)盜竊、關鍵信息基礎設施故障、技術進步的負面影響等數(shù)字風險依然是世界各國和組織最為關注的問題;國際信息系統(tǒng)審計協(xié)會（ISACA）開展聯(lián)合調(diào)查并發(fā)布研究報告《2020年企業(yè)風險管理狀況報告》，把網(wǎng)絡安全列為企業(yè)頭號風險。

當前企業(yè)如何在數(shù)字化轉(zhuǎn)型的關鍵時期，結(jié)合信息安全及業(yè)務風險現(xiàn)有管控機制，規(guī)劃跨越信息通訊技術、企業(yè)運營技術、萬物互聯(lián)、數(shù)字業(yè)務的數(shù)字風險控制機制，是我們不得不面對的重要問題。

二、數(shù)字風險定義與數(shù)字風險管理

數(shù)字風險是組織在數(shù)字化過程中，由于數(shù)字化戰(zhàn)略缺失、管控措施薄弱、新技術應用不到位、數(shù)字技術對業(yè)務支持不足等造成的各類業(yè)務和技術風險。數(shù)字風險無處不在，各行各業(yè)都面臨各種數(shù)字風險的沖擊，如IT治理風險、網(wǎng)絡安全風險、數(shù)字化應用風險、數(shù)字化轉(zhuǎn)型風險等，這些風險的存在將嚴重影響組織數(shù)字化進程，因此，應當對數(shù)字風險進行有效管理。

數(shù)字風險已深入數(shù)字經(jīng)濟的各個層面，成為數(shù)字業(yè)務生命周期各個環(huán)節(jié)中基本屬性，數(shù)字風險管理越來越得到組織高級管理層的重視。然而當前我們針對數(shù)字風險卻缺乏有效的管理方法，據(jù)Gartner針對CEO的一項調(diào)查表明：“77%的CEO認為，數(shù)字業(yè)務將引入新的風險類型與等級”，“65%的CEO認為，對風險管理的研究與投資已經(jīng)滯后于實際需求”。

數(shù)字風險管理是針對數(shù)字化轉(zhuǎn)型過程的各類風險，在持續(xù)開展風險評估基礎上，執(zhí)行相關風險管理制度與流程、部署技術控制措施，建立健全安全運行體系，從而為實現(xiàn)風險管理的總體目標提供合理保證的一系列過程和方法。

未來數(shù)字風險管理與將是網(wǎng)絡安全的重要延伸，網(wǎng)絡安全的發(fā)展也將與數(shù)字風險管理走向融合。根據(jù)Gartner 2020年9月的一份有關網(wǎng)絡安全的新興技術和趨勢的研究報告預測，未來網(wǎng)絡安全將產(chǎn)生許多新的應用領域，其中“數(shù)字風險管理DRM”和“數(shù)字風險保護服務DRPS”將是重要的新領域。

三、數(shù)字風險管理的方法

要開展有效的數(shù)字風險管理，首先要建立適宜的數(shù)字風險管理框架（見圖1）。

該數(shù)字風險管理框架由數(shù)字風險治理、數(shù)字化轉(zhuǎn)型控制、數(shù)字風險控制、新技術安全、數(shù)字安全機制、數(shù)字安全中臺及數(shù)字業(yè)務安全等內(nèi)容組成。

（一）數(shù)字風險治理

數(shù)字化轉(zhuǎn)型是當前企事業(yè)單位為適應數(shù)字經(jīng)濟時代而進行的一種生產(chǎn)力變革。數(shù)字化轉(zhuǎn)型涉及組織的各個方面，需要強有力的治理機制去支撐數(shù)字轉(zhuǎn)型過程中的決策、協(xié)調(diào)和支持的職能。

數(shù)字化轉(zhuǎn)型分為嘗試期、發(fā)展期和深入期三個階段，三個階段在數(shù)字治理機制（決策、控制和支撐）方面各有其特點，應提前進行規(guī)劃與調(diào)整（見表1）。

（二）數(shù)字化轉(zhuǎn)型控制

從本質(zhì)上說，數(shù)字化轉(zhuǎn)型其實是業(yè)務轉(zhuǎn)型，是信息技術驅(qū)動下的一場業(yè)務、管理和商業(yè)模式的深度變革重構，技術是支點，業(yè)務是內(nèi)核。數(shù)字化轉(zhuǎn)型是使數(shù)字技術成為賦能模式創(chuàng)新和業(yè)務突破的核心力量，推動傳統(tǒng)產(chǎn)業(yè)、企業(yè)轉(zhuǎn)型升級，從而促進整個社會轉(zhuǎn)型發(fā)展。

數(shù)字化轉(zhuǎn)型方法因行業(yè)、業(yè)務、技術、環(huán)境的不同而不同，組織可自行選擇適宜的轉(zhuǎn)型方法，但風險管理人員一般可以從轉(zhuǎn)型戰(zhàn)略、保障條件、基本原則、關鍵行動、價值實現(xiàn)等方面把握其中的關鍵控制點并進行風險評判（見表2）。

（三）數(shù)字風險控制體系

國際內(nèi)部審計師協(xié)會（IIA）于2020年7月發(fā)布了全新的“三線模型”，新增了六項原則，對新時期數(shù)字風險體系的建立具有指導意義。

在“三線模型”中，第一線是組織為客戶提供產(chǎn)品和服務的前沿職能，包含支持性部門;第二線的職能部門負責協(xié)助開展風險管理工作;第三線是內(nèi)部審計，對所有與實現(xiàn)目標相關的事務提供獨立和客觀的確認和建議。

“三線模型”適用于數(shù)字化轉(zhuǎn)型組織建立數(shù)字風險管理體系，它重點關注風險管理在完成組織目標、創(chuàng)造價值，以及在“防御風險”和保護價值方面作出的貢獻。該模型中，第二線的職能未被限定為某些職能部門，而是描述為“為風險相關的事務提供專業(yè)知識、支持、監(jiān)督并提出合理質(zhì)疑”。因此，“三線模型”更適用于當前數(shù)字化轉(zhuǎn)型環(huán)境下規(guī)模不同、復雜性各異以及監(jiān)管程度不同的組織。通過確定適合的、實用的風險管理的三線結(jié)構，分配并定義風險管理及控制的具體職能，動態(tài)且高效地協(xié)調(diào)各職能群體，即使是那些沒有IT安全、風險合規(guī)團隊的小企業(yè)也同樣可以操作。

數(shù)字化轉(zhuǎn)型期的組織，根據(jù)實際情況也可把數(shù)字風險管理擴展到合規(guī)管理、績效評價、數(shù)字安全保險等領域。

（四）新技術與業(yè)務風險體系

數(shù)字化是指通過萬物互聯(lián)、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新興技術，把物理世界與虛擬世界緊密結(jié)合起來，利用數(shù)字技術對組織的總體戰(zhàn)略、業(yè)務運營、生產(chǎn)管理、市場營銷進行系統(tǒng)化、整體性的變革，構建新型數(shù)字業(yè)務，給組織提供創(chuàng)造收入和價值的新機會。

因此，新技術應用在數(shù)字化轉(zhuǎn)型中已經(jīng)成為新的生產(chǎn)要素，新技術安全與數(shù)字業(yè)務安全等應當成為數(shù)字風險管理中的重要內(nèi)容。

1.新技術安全。云計算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)、區(qū)塊鏈、人工智能、5G、IPv6等新技術、新場景已經(jīng)廣泛應用在政企環(huán)境中的數(shù)字化業(yè)務中，對其風險進行控制的方法，應當是在符合國家網(wǎng)絡安全法、等級保護要求，以及國際網(wǎng)絡安全最佳實踐的基礎上，在新技術平臺和應用的建設過程中確保其來源可信性、架構安全性、部署合規(guī)性和數(shù)據(jù)安全性。

2.數(shù)字安全機制。在新技術建設安全的基礎上，通過建立風險評測、態(tài)勢感知、智能運維、零信任、攻防演練、安全可控、IT外包安全等安全運維機制，持續(xù)保障新技術平臺和應用的安全。

3.數(shù)字安全中臺。通過服務目錄、服務編排、服務接口等形式向組織提供安全即服務，如主動安全防護、動態(tài)安全監(jiān)控、自動應急響應、威脅情報、數(shù)據(jù)防泄露、業(yè)務風險預警等服務。

4.數(shù)字業(yè)務安全。在業(yè)務設計、研發(fā)、生產(chǎn)、營銷和服務等方面，通過數(shù)字風險保護和管理與技術措施，確保數(shù)字業(yè)務的信息安全、運行安全、身份安全、內(nèi)容安全和活動安全，從而保障數(shù)字業(yè)務的正常運行。