数字经济时代的数字风险管理

陈伟

一、数字经济时代的数字风险

在当前全球经济遭受新冠肺炎疫情沉重打击的背景下，数字经济成为变局的突破口，数字技术、数字服务和数字产业发挥了重要作用，催生了各种新模式与新应用。据中国信通院2020年的研究与统计，2019年全球数字经济规模达到31.8万亿美元;2019 年发达国家数字经济在GDP中占比达到51.3%，我国2019年数字经济GDP占比为36.2%。当前数字经济已成为全球经济发展的新动能。

数字经济在蓬勃发展的同时也带来了许多风险。世界经济论坛发布的《2020年全球风险报告》预测了各种未来可能性最高和影响最大的风险，其中大规模网络攻击、数据诈骗或数据盗窃、关键信息基础设施故障、技术进步的负面影响等数字风险依然是世界各国和组织最为关注的问题;国际信息系统审计协会（ISACA）开展联合调查并发布研究报告《2020年企业风险管理状况报告》，把网络安全列为企业头号风险。

当前企业如何在数字化转型的关键时期，结合信息安全及业务风险现有管控机制，规划跨越信息通讯技术、企业运营技术、万物互联、数字业务的数字风险控制机制，是我们不得不面对的重要问题。

二、数字风险定义与数字风险管理

数字风险是组织在数字化过程中，由于数字化战略缺失、管控措施薄弱、新技术应用不到位、数字技术对业务支持不足等造成的各类业务和技术风险。数字风险无处不在，各行各业都面临各种数字风险的冲击，如IT治理风险、网络安全风险、数字化应用风险、数字化转型风险等，这些风险的存在将严重影响组织数字化进程，因此，应当对数字风险进行有效管理。

数字风险已深入数字经济的各个层面，成为数字业务生命周期各个环节中基本属性，数字风险管理越来越得到组织高级管理层的重视。然而当前我们针对数字风险却缺乏有效的管理方法，据Gartner针对CEO的一项调查表明：“77%的CEO认为，数字业务将引入新的风险类型与等级”，“65%的CEO认为，对风险管理的研究与投资已经滞后于实际需求”。

数字风险管理是针对数字化转型过程的各类风险，在持续开展风险评估基础上，执行相关风险管理制度与流程、部署技术控制措施，建立健全安全运行体系，从而为实现风险管理的总体目标提供合理保证的一系列过程和方法。

未来数字风险管理与将是网络安全的重要延伸，网络安全的发展也将与数字风险管理走向融合。根据Gartner 2020年9月的一份有关网络安全的新兴技术和趋势的研究报告预测，未来网络安全将产生许多新的应用领域，其中“数字风险管理DRM”和“数字风险保护服务DRPS”将是重要的新领域。

三、数字风险管理的方法

要开展有效的数字风险管理，首先要建立适宜的数字风险管理框架（见图1）。

该数字风险管理框架由数字风险治理、数字化转型控制、数字风险控制、新技术安全、数字安全机制、数字安全中台及数字业务安全等内容组成。

（一）数字风险治理

数字化转型是当前企事业单位为适应数字经济时代而进行的一种生产力变革。数字化转型涉及组织的各个方面，需要强有力的治理机制去支撑数字转型过程中的决策、协调和支持的职能。

数字化转型分为尝试期、发展期和深入期三个阶段，三个阶段在数字治理机制（决策、控制和支撑）方面各有其特点，应提前进行规划与调整（见表1）。

（二）数字化转型控制

从本质上说，数字化转型其实是业务转型，是信息技术驱动下的一场业务、管理和商业模式的深度变革重构，技术是支点，业务是内核。数字化转型是使数字技术成为赋能模式创新和业务突破的核心力量，推动传统产业、企业转型升级，从而促进整个社会转型发展。

数字化转型方法因行业、业务、技术、环境的不同而不同，组织可自行选择适宜的转型方法，但风险管理人员一般可以从转型战略、保障条件、基本原则、关键行动、价值实现等方面把握其中的关键控制点并进行风险评判（见表2）。

（三）数字风险控制体系

国际内部审计师协会（IIA）于2020年7月发布了全新的“三线模型”，新增了六项原则，对新时期数字风险体系的建立具有指导意义。

在“三线模型”中，第一线是组织为客户提供产品和服务的前沿职能，包含支持性部门;第二线的职能部门负责协助开展风险管理工作;第三线是内部审计，对所有与实现目标相关的事务提供独立和客观的确认和建议。

“三线模型”适用于数字化转型组织建立数字风险管理体系，它重点关注风险管理在完成组织目标、创造价值，以及在“防御风险”和保护价值方面作出的贡献。该模型中，第二线的职能未被限定为某些职能部门，而是描述为“为风险相关的事务提供专业知识、支持、监督并提出合理质疑”。因此，“三线模型”更适用于当前数字化转型环境下规模不同、复杂性各异以及监管程度不同的组织。通过确定适合的、实用的风险管理的三线结构，分配并定义风险管理及控制的具体职能，动态且高效地协调各职能群体，即使是那些没有IT安全、风险合规团队的小企业也同样可以操作。

数字化转型期的组织，根据实际情况也可把数字风险管理扩展到合规管理、绩效评价、数字安全保险等领域。

（四）新技术与业务风险体系

数字化是指通过万物互联、大数据、人工智能、区块链等新兴技术，把物理世界与虚拟世界紧密结合起来，利用数字技术对组织的总体战略、业务运营、生产管理、市场营销进行系统化、整体性的变革，构建新型数字业务，给组织提供创造收入和价值的新机会。

因此，新技术应用在数字化转型中已经成为新的生产要素，新技术安全与数字业务安全等应当成为数字风险管理中的重要内容。

1.新技术安全。云计算、大数据、移动互联、物联网、区块链、人工智能、5G、IPv6等新技术、新场景已经广泛应用在政企环境中的数字化业务中，对其风险进行控制的方法，应当是在符合国家网络安全法、等级保护要求，以及国际网络安全最佳实践的基础上，在新技术平台和应用的建设过程中确保其来源可信性、架构安全性、部署合规性和数据安全性。

2.数字安全机制。在新技术建设安全的基础上，通过建立风险评测、态势感知、智能运维、零信任、攻防演练、安全可控、IT外包安全等安全运维机制，持续保障新技术平台和应用的安全。

3.数字安全中台。通过服务目录、服务编排、服务接口等形式向组织提供安全即服务，如主动安全防护、动态安全监控、自动应急響应、威胁情报、数据防泄露、业务风险预警等服务。

4.数字业务安全。在业务设计、研发、生产、营销和服务等方面，通过数字风险保护和管理与技术措施，确保数字业务的信息安全、运行安全、身份安全、内容安全和活动安全，从而保障数字业务的正常运行。