控制数字风险 保障数字安全

孙宝厚

[编者按] 2020年12月17日，由中国内部审计协会、北京国家会计学院、ISACA（国际信息系统审计协会）、北京谷安天下科技有限公司联合举办的DRS 2020·第二届数字风险峰会在北京召开。本次峰会，主题为“提升数字风险管控能力，保障新时期数字化转型”，汇聚了多名风险管理、内部控制、信息安全、信息系统审计、数字安全保护等领域的专家、学者及企业数字化转型的先行者，参会者一起探讨数字化转型及新技术发展方向，分析数字化转型可能引入的各种风险，讨论数字风险的控制策略和具体措施。在全球经济遭受新冠肺炎疫情沉重打击的背景下，数字经济成为变局的突破口，数字技术、数字服务和数字产业发挥着重要作用，催生出各种新模式与新应用。数字化在给我们带来机会的同时，也必然带来许多前所未有的新挑战，需要我们不断进行各种尝试和探索，提升数字风险管控能力，持续促进数字业务发展。现将出席会议的嘉宾致辞和部分专家的演讲报告予以刊登，供广大读者参考，共同探讨数字化转型的未来。

各位来宾：

大家上午好！

很高兴参加第二届数字风险峰会，非常感谢主办方为我提供此次参与的机会。

早在2017年12月8日，中共中央政治局就实施国家大数据战略进行集体学习时，习近平总书记就强调指出，要切实保障国家数据安全。今年9月，在“抓住数字机遇，共谋合作发展”国际研讨会上，中方提出了《全球数据安全倡议》。倡议指出，数据是数字技术的关键要素。据此，保障数据安全，也就是保障数字安全。有数字必有数字风险，数字风险与数字安全是此消彼长的关系。数字风险越低，数字安全性就越高;数字风险越高，则数字安全性就越低。因而今天的数字风险峰会，也是保障数字安全峰会，是贯彻习近平总书记指示的具体举措，也是落实中方《全球数据安全倡议》的实际行动，很具针对性，很有现实和长远意义。基于这一认识，同时也是按照邀请函显示的本次峰会主旨“提升数字风险管控能力，保障新时期数字化转型”，我今天发言的题目及中心思想是：控制数字风险、保障数字安全。主要讲三点。

一、正视现实：未来已来，无以逃避

每当提到数字，提到大数据、云计算、物联网、移动通信、人工智能、区块链等相关概念，有些人的观念还停留在与己无关，觉得那是少数专门人才、部分高科技领域的事情，或者认为，从与绝大多数人日常工作生活密切相关的角度，那些都是遥远的未来。其实不然，我们必须正视现实，未来已来，人们身处其中、无以逃避。现在是经济、社会诸多领域向数字化全面转型的时代，不论你有无意识到，也不管你是否愿意，更不顾你实际准备得如何，都将被数字化转型浪潮裹挟其中、席卷而去。

数字化浪潮涌来，是创新、是进步、是好事，必将有助于经济社会更快、更可持续、更高质量发展。但是，也不能不注意到，任何事物都有其两面性。经济领域工作者，更懂得收益与风险成正比的道理，收益越高风险越大。数字化带来创新、高效、方便、快捷、舒适、进步和发展等诸多益处的同时，相伴而生，必将潜伏着广泛、复杂、巨大、深刻、长远的风险。这同样是我们必须正视的严峻现实。鸵鸟政策不会奏效，数字风险无处不在，人们无以逃避，必须引起全社会高度重视。

二、面对风险：第一不怕，第二控制

面对无以逃避的数字风险，所谓高度重视，关键取决于抱持什么态度。对待风险的态度，决定在风险中能够生存或高质量生存的时间长度。无论企业单位还是个人，概莫能外。面对风险，正确的态度，第一是不怕，第二是控制。

具体讲，一是要迎难而上、积极拥抱数字化转型。在数字化转型面前，你不转型自然有别人或其他企业单位转型。转型越早越主动，转型越快越容易成功，转型越好带来的收益也越高。在推进数字化转型进程中，要勇于直面风险、敢于承担风险，而不能被数字化风险吓倒。要始终积极尝试、走在前列甚至创新引领，绝不能因畏惧风险而不尝试、不跟进、不去推进数字化转型。无限风光在险峰。只有迎难而上、百折不回，才能求得生存，才能生存得更长久、更美好、更精彩。数字化转型当然有风险，但不推进数字化转型，风险也不会小。从趋势看，终将失去生存能力，被边缘化，直到被时代淘汰。积极拥抱数字化转型，是必由之路、光明之路、辉煌之路。

二是要知难而进、善于并提前准备好控制数字风险。汽车不能不往前开，也不能停不下来，为此需要有油门，还得有刹车，二者缺一不可。必须油门和刹车兼具的汽车才能出厂上路、行稳致远。人类欲利用原子核裂变产生的能量，必须同时甚至首先研制控制核裂变的装置。只要推进数字化转型，不可避免数字风险，就意味着同时走上荆棘之路、艰辛之路、风险之路。数字风险客观存在，不可能彻底消除，只能做好控制。并且必须是知难而进、未雨绸缪，善于并提前做好控制准备，在数字风险与数字安全之间把握好动态平衡。

三、采取行动：控制风险，保障安全

把握好数字风险与数字安全之间的动态平衡，需要的不只是坐而论道，也不能仅仅止步于做好控制准备，更重要的是起而行之，投身实践、付诸行动，要在风险控制战中学习、战斗并坚决打赢风险控制战。这里重点提四点建议：

一是要切实采取数字风险控制的有效举措。不同企业、单位、部门或行业，各自数字技术水平、发展进程、所处环境等不同，应当立足实际，切实采取针对性强、能够取得实效的数字风险控制举措。为此需要解决一个认识问题，即成本开支问题，必须在人力、物力、财力包括技术等方面舍得投入。请记住：不付出数字风险控制的必要成本，必将付出数字风险失控的巨大代價。千万不能因小失大，有效举措必须有，该花的钱就得花，只有连续不断地进行数字风险控制投入，才能成为数字安全的最终赢家。

二是要加大控制数字风险问题的研究力度。各企业、单位和部门要立足自身需要，搞好务实性、操作性研究;有关专业机构更要加大基础性、前瞻性、长远性理论和技术方法的研发力度。各类研究都要坚持目标导向、问题导向和结果导向，要坚持事前、事中和事后相结合的动态研究，要坚持开发运用与控制风险一体化研究，要做好风险控制及不同等级风险出现后的响应机制、应对预案和实际处置等各环节问题的对策研究等。研究要与数字风险控制的实际紧密结合，并为增强控制能力和取得实际效果提供有用管用的引领、支撑和服务。

三是要加快风险控制标准和制度机制建设。各企业、单位、部门甚至个人，是数字风险控制主体责任的承担者。但由于数字风险的特殊性、广泛性、易传染性和巨大的潜在危害性，仅有各自主体责任的履行常常是不够的。相关专业研究机构、国家有关主管部门，还应当登高望远、贴近实际，在深入研究的基础上，进一步加快风险控制标准和制度机制建设步伐，以便有据可依、有章可循，从宏观上更好地防范和化解区域性系统性数字风险。

四是要加大数字风险控制交流和宣传力度。越来越多的经验和教训表明，没有数字安全，就没有经济、政治、文化、社会、生态环境诸多领域的安全，就没有国家安全，就没有人类安全。控制数字风险，涉及许多维度和层面，但最具重要性、基础性的还是在人。在依赖数字风险控制专家起关键作用的同时，即使做不到人人参与，也最好是为数众多的人能够参与到数字风险控制的人民战争中去。有关安全文明出行，很流行一句话，叫“知危险会避险”。同样道理，参与者最好都有一些数字风险控制的意识、理念、知识和技能，以便在数字风险面前能够做到知风险会避险。这就客观上需要进一步加强数字风险控制的交流和宣传，以利更好地分享经验、培养人才，造就一支包括倡导者、实干者、参与者、支持者、促进者在内的宏大的数字风险控制队伍，为数字风险控制奠定广泛而坚实的社会基础。举全社会之力，数字风险控制将积小胜为大胜，避免数字风险失控而积小败至大敗。

控制数字风险行动的内容和方式很多，举办数字风险峰会，是数字风险控制领域沟通信息、交流经验、把握前沿、推进研究、宣传群众的一项重要举措和方式。

本次峰会主办方之一是中国内部审计协会，参会者中有不少内部审计工作者。就内部审计与数字风险控制，我还要强调几句。内部审计致力于所在企业单位价值增值，站位高、视野宽、综合性强，注重谋求数字长远发展安全;内部审计专司监督职责，坚持问题导向，独立客观、公正权威、敏感性强，更擅长揭示数字风险隐患;内部审计与外部监督相比，内置其中、满足内在客观需要，能够随时感知并监控数字风险发展演变，更具有离得近、看得清、发现早、感受深、讲得准、报得实的独特优势。一句话，内部审计在数字风险控制中责无旁贷，更可发挥独特的、巨大的、不可替代的基础性作用。

本次数字风险峰会，精英云集、群贤毕至，将就广泛的议题进行深入研讨和交流。我相信，本次峰会必将对控制数字风险、保障数字安全起到积极的推进作用。希望大家连起心来、携起手来，共同控制数字风险，合力保障数字安全。

预祝第二届数字风险峰会圆满成功！

谢谢大家！