數字經濟時代的數字風險管理

陳偉

一、數字經濟時代的數字風險

在當前全球經濟遭受新冠肺炎疫情沉重打擊的背景下，數字經濟成為變局的突破口，數字技術、數字服務和數字產業發揮了重要作用，催生了各種新模式與新應用。據中國信通院2020年的研究與統計，2019年全球數字經濟規模達到31.8萬億美元;2019 年發達國家數字經濟在GDP中占比達到51.3%，我國2019年數字經濟GDP占比為36.2%。當前數字經濟已成為全球經濟發展的新動能。

數字經濟在蓬勃發展的同時也帶來了許多風險。世界經濟論壇發布的《2020年全球風險報告》預測了各種未來可能性最高和影響最大的風險，其中大規模網絡攻擊、數據詐騙或數據盜竊、關鍵信息基礎設施故障、技術進步的負面影響等數字風險依然是世界各國和組織最為關注的問題;國際信息系統審計協會（ISACA）開展聯合調查并發布研究報告《2020年企業風險管理狀況報告》，把網絡安全列為企業頭號風險。

當前企業如何在數字化轉型的關鍵時期，結合信息安全及業務風險現有管控機制，規劃跨越信息通訊技術、企業運營技術、萬物互聯、數字業務的數字風險控制機制，是我們不得不面對的重要問題。

二、數字風險定義與數字風險管理

數字風險是組織在數字化過程中，由于數字化戰略缺失、管控措施薄弱、新技術應用不到位、數字技術對業務支持不足等造成的各類業務和技術風險。數字風險無處不在，各行各業都面臨各種數字風險的沖擊，如IT治理風險、網絡安全風險、數字化應用風險、數字化轉型風險等，這些風險的存在將嚴重影響組織數字化進程，因此，應當對數字風險進行有效管理。

數字風險已深入數字經濟的各個層面，成為數字業務生命周期各個環節中基本屬性，數字風險管理越來越得到組織高級管理層的重視。然而當前我們針對數字風險卻缺乏有效的管理方法，據Gartner針對CEO的一項調查表明：“77%的CEO認為，數字業務將引入新的風險類型與等級”，“65%的CEO認為，對風險管理的研究與投資已經滯后于實際需求”。

數字風險管理是針對數字化轉型過程的各類風險，在持續開展風險評估基礎上，執行相關風險管理制度與流程、部署技術控制措施，建立健全安全運行體系，從而為實現風險管理的總體目標提供合理保證的一系列過程和方法。

未來數字風險管理與將是網絡安全的重要延伸，網絡安全的發展也將與數字風險管理走向融合。根據Gartner 2020年9月的一份有關網絡安全的新興技術和趨勢的研究報告預測，未來網絡安全將產生許多新的應用領域，其中“數字風險管理DRM”和“數字風險保護服務DRPS”將是重要的新領域。

三、數字風險管理的方法

要開展有效的數字風險管理，首先要建立適宜的數字風險管理框架（見圖1）。

該數字風險管理框架由數字風險治理、數字化轉型控制、數字風險控制、新技術安全、數字安全機制、數字安全中臺及數字業務安全等內容組成。

（一）數字風險治理

數字化轉型是當前企事業單位為適應數字經濟時代而進行的一種生產力變革。數字化轉型涉及組織的各個方面，需要強有力的治理機制去支撐數字轉型過程中的決策、協調和支持的職能。

數字化轉型分為嘗試期、發展期和深入期三個階段，三個階段在數字治理機制（決策、控制和支撐）方面各有其特點，應提前進行規劃與調整（見表1）。

（二）數字化轉型控制

從本質上說，數字化轉型其實是業務轉型，是信息技術驅動下的一場業務、管理和商業模式的深度變革重構，技術是支點，業務是內核。數字化轉型是使數字技術成為賦能模式創新和業務突破的核心力量，推動傳統產業、企業轉型升級，從而促進整個社會轉型發展。

數字化轉型方法因行業、業務、技術、環境的不同而不同，組織可自行選擇適宜的轉型方法，但風險管理人員一般可以從轉型戰略、保障條件、基本原則、關鍵行動、價值實現等方面把握其中的關鍵控制點并進行風險評判（見表2）。

（三）數字風險控制體系

國際內部審計師協會（IIA）于2020年7月發布了全新的“三線模型”，新增了六項原則，對新時期數字風險體系的建立具有指導意義。

在“三線模型”中，第一線是組織為客戶提供產品和服務的前沿職能，包含支持性部門;第二線的職能部門負責協助開展風險管理工作;第三線是內部審計，對所有與實現目標相關的事務提供獨立和客觀的確認和建議。

“三線模型”適用于數字化轉型組織建立數字風險管理體系，它重點關注風險管理在完成組織目標、創造價值，以及在“防御風險”和保護價值方面作出的貢獻。該模型中，第二線的職能未被限定為某些職能部門，而是描述為“為風險相關的事務提供專業知識、支持、監督并提出合理質疑”。因此，“三線模型”更適用于當前數字化轉型環境下規模不同、復雜性各異以及監管程度不同的組織。通過確定適合的、實用的風險管理的三線結構，分配并定義風險管理及控制的具體職能，動態且高效地協調各職能群體，即使是那些沒有IT安全、風險合規團隊的小企業也同樣可以操作。

數字化轉型期的組織，根據實際情況也可把數字風險管理擴展到合規管理、績效評價、數字安全保險等領域。

（四）新技術與業務風險體系

數字化是指通過萬物互聯、大數據、人工智能、區塊鏈等新興技術，把物理世界與虛擬世界緊密結合起來，利用數字技術對組織的總體戰略、業務運營、生產管理、市場營銷進行系統化、整體性的變革，構建新型數字業務，給組織提供創造收入和價值的新機會。

因此，新技術應用在數字化轉型中已經成為新的生產要素，新技術安全與數字業務安全等應當成為數字風險管理中的重要內容。

1.新技術安全。云計算、大數據、移動互聯、物聯網、區塊鏈、人工智能、5G、IPv6等新技術、新場景已經廣泛應用在政企環境中的數字化業務中，對其風險進行控制的方法，應當是在符合國家網絡安全法、等級保護要求，以及國際網絡安全最佳實踐的基礎上，在新技術平臺和應用的建設過程中確保其來源可信性、架構安全性、部署合規性和數據安全性。

2.數字安全機制。在新技術建設安全的基礎上，通過建立風險評測、態勢感知、智能運維、零信任、攻防演練、安全可控、IT外包安全等安全運維機制，持續保障新技術平臺和應用的安全。

3.數字安全中臺。通過服務目錄、服務編排、服務接口等形式向組織提供安全即服務，如主動安全防護、動態安全監控、自動應急響應、威脅情報、數據防泄露、業務風險預警等服務。

4.數字業務安全。在業務設計、研發、生產、營銷和服務等方面，通過數字風險保護和管理與技術措施，確保數字業務的信息安全、運行安全、身份安全、內容安全和活動安全，從而保障數字業務的正常運行。