關于全球技術趨勢與相關風險管控的探討

Tracey Dedrick

大家好，我是Tracey Dedrick，目前擔任 ISACA董事會主席。ISACA是一個全球信息安全行業組織，在220多個國家擁有超過14.5萬名會員。

今天我將主要介紹新冠疫情和全球技術趨勢正在如何改變和推動風險格局，專家對明年數字風險趨勢的看法及其對風險專業人士的影響，以及我們關注到的近期中國在數據和風險領域的監管動態以及數據治理的重要性。

新冠疫情對風險格局的影響

2020年初，風險專業人士在制訂全年工作計劃時，很少有人考慮到大流行病的影響。我在銀行業工作多年，制訂風險計劃始終會將大流行病的可能性包含其中，但并非所有組織都是如此。通過這次新冠疫情可以看出，大多數組織在這方面的準備工作遠未達到預期。我認為，通過審視這次疫情得到的教訓是，需要對計劃進行測試，只有通過嚴格測試，才能驗證書面計劃是否合理可行。

ISACA最近對其成員進行的一項調查顯示，只有不到30% 的調查對象對其組織在大流行病暴發時的應急響應感到滿意。除受到嚴格監管的金融機構外，很多組織不得不擱置業務連續性計劃，然后在需要實施時重新使用。我們要吸取2020年的教訓，任何事情都有可能發生。

受疫情影響最大的風險領域是金融風險、運營風險（如網絡安全和技術）以及戰略風險。87%的調查對象表示，迅速過渡到遠程辦公引發了數據隱私保護問題;92%的調查對象認為，受到網絡攻擊將會增加;超過一半的調查對象對他們的團隊能否充分應對這些威脅缺乏信心。為了有效評估各種情況下的風險，需要評估風險的所有因素，風險的影響、發生的概率和傳播速度等。管理人員必須對公司可能面臨風險的傳播速度及其對人員、資產、運營、供應鏈和利潤的潛在影響進行評估，需要針對組織的風險進行思考并排列優先順序。不是所有組織都一樣，你必須評估什么是你公司的最大風險，并做出相應規劃。

在全球疫情暴發之前，IT外包和云服務托管就已呈上升趨勢。新冠疫情似乎正在加速這一轉變。這是一個全球性的趨勢，隨之產生了包括管理混合云環境和多云管理相關的新的風險。

業務連續性，可靠、客觀的數據，堅實的數據治理，這些是我們作為專業人士需要保持警覺的領域。但或許2020年的經驗告訴我們，再也不存在所謂的“異常事件”了，我們需要為任何情況做好準備。

近幾年，新的數字工具層出不窮，它們能夠幫助雇主讓員工重返工作崗位。中國已經很好地展示了這些工具的強大。隨著新工具的不斷采用，公司需要對這些數字工具的內在風險進行評估并找到應對之策。

全球技術趨勢和風險的未來

讓我們重新審視在應對此次疫情的挑戰中獲得哪些經驗教訓。一是縝密、經驗證的業務連續性計劃，這是非常關鍵的。二是數據，我們從這次疫情中收集到的關于哪些措施有效或無效的數據，將使我們在面對下一次危機時變得更加強大。三是展望未來，進行想象和預測，借用夏洛克·福爾摩斯的一句名言：想象一切可能發生的情況，排除不可能的情形之后，剩下的即使再不合邏輯，也是真相。我們必須發揮想象力，思考未來，確保我們的公司已經做好準備。

世界萬物都處于變化之中，這是一個亙古不變的規律，也是我喜歡風險管理工作的原因。十年前，風險專業人士不必擔心有人通過某種工具惡意模仿公司CEO的聲音要求匯款;今天，廉價的數字變聲工具已經存在，類似的人工智能技術在飛速發展，專業人士需要考慮到這些風險。風險管理行業同樣在適應環境的需要而發展，以應對技術進步所帶來的更多風險。

Gartner在2019年底預測2020年十大戰略技術趨勢，包括超自動化、多重體驗、專業知識的民主化、人體機能增強、透明度和可追溯性、邊緣賦能、分布式云、自動化物件、實用型區塊鏈、人工智能安全。我相信，在未來幾年這些將是關鍵的技術趨勢，也將是風險管理專業人士關注的關鍵領域。

MIT在2020年初提出了十大突破性技術，其中包括無法入侵的量子互聯網、數字貨幣的興起、AI分子發現、量子霸權、微型AI等，這些突破性技術的影響將給風險管理人員帶來許多工作量，即使這些技術可能不會在2021年得到應用。

德勤公司認為，至少在可預見的未來，推動變革的技術力量很可能成為風險管理行業的重點領域，這些技術可分為基礎技術、賦能技術、破壞性技術和未來技術。德勤將風險視為一種基礎技術，是其他技術的一部分。這與我對風險和風險管理專業人士的看法相吻合。他們是企業使用這些技術的基石。

數字轉型正在成為風險管理的一個嚴峻挑戰，但只有不到10%的預算被用于支持這些轉型，這遠遠不夠。必須將數字轉型的風險評估納入數字轉型的計劃中。董事會的最佳實踐應該包括對戰略計劃做出的風險評估。

如果有人懷疑風險專業人士日益增長的重要性，我們只需要看看新興技術在中國的重要性。在強調風險管理的同時，為風險管理專業人士培養技能、提供培訓和完善教育渠道，對于應對新興技術的影響至關重要。不僅在中國，在世界各地均是如此。當前，大學教育的重點正在隨著技術發展而變化。人工智能和數據科學專業學生人數的增長表明，在這一專業領域，尋求風險管理教育的學生人數正在增加。但全球經培訓的專業人士的人數無法滿足需求。ISACA對此有著充分的認識，并且我們正在與教育機構合作，開展人力開發計劃。該計劃的目的之一是給員工再培訓并提高技能水平，增加這些關鍵領域的員工人數。

中國對國有企業的規劃是使這些企業更具抗風險能力。我認為，這是全球大多數企業都應該采取的方法和共同努力的目標。將風險管理和風險韌性作為企業戰略目標的關鍵因素，對于企業的長期和短期成功都至關重要。

在新的立法趨勢中利用新的“數字石油”（數據）

我們有必要將不斷變化的監管和法律環境納入風險管理，中國也不例外。隨著新法律的出臺，特別是在數據安全等領域，風險管理專業人士將更加需要關注。

過去，保護個人數據的責任由直接相關的雙方承擔：數據處理方和大眾。數據處理方和大眾均被認為有能力實施數據安全保護且有足夠能力了解數據安全的重要性。然而，問題在于數據處理方和用戶都被證明不能或不愿意主動保護他們的客戶或他們自身。《中華人民共和國數據安全法（草案）》填補了數據保護方面的缺口，通過自上而下的、政府頒布的命令要求數據處理方保護其客戶的數據。在該法案出臺之前，能夠獲得個人身份數據包括出生日期、地址、電話號碼和信用卡購買記錄等信息的組織和個人，可以通過非法買賣這些信息獲得巨額利潤。該法律通過后，當消費者或個人數據被盜、被濫用或以其他方式被破壞時，公民將有權依法進行追索。數據安全法一旦頒布，意味著在中國經營的國際企業也需要了解相關要求，否則會面臨違法風險。中國政府可能會以受害者和國家利益的名義，依據這部法律實施懲罰。

中國國務委員兼外交部部長王毅在2020年9月召開的“抓住數字機遇，共謀合作發展”國際研討會上，提出了《全球數據安全倡議》。這是一個很好的倡議，預示著中國將更多地參與到有關數據治理等領域的全球討論中。隨著全球數據安全格局的形成，風險管理的未來也隨之形成。

構建風險和治理的文化

最后我想談談數據治理。回到我最喜歡的話題：數據。數據在當今充滿競爭的世界中非常重要，在商業世界被稱作“桌面籌碼”。數據治理在一些組織中是其風險管理的組成部分，領導者需要制定有效數據管理所需的政策和標準，同時指定專人負責并明確其職責。在現代數字化環境中，所有業務交易或活動都會留下數據痕跡。企業對數據的使用最終確定了數據的用途。反過來看，在開展業務時創建的數據有它自己的預期商業目的，為決策提供支持。

在中國的一個熱門話題是，由阿里巴巴引入的用于數據治理的業務中臺和數據中臺架構方法。這種方法建立了可以從數據洞察中獲益的業務范式以及從業務中產生并影響業務的數據范式。這種架構使阿里巴巴能夠獲得使其業務在行業領先的數據洞察，并有助于確保業務創建、分析和使用優質數據。

建立全面數據治理的基礎涉及四個問題：

● 需要定義數據分類和數據分類學;

● 需要為組織量身定做一個協調一致的、能夠映射到數據管理活動的數據生命周期模型;

● 需要定義數據治理結構，明確所有者、管理者和托管者的職責;

● 數據管理政策、實施標準、所需技術和指標需要形成文件。

在現代企業中數據、治理和風險交織在一起，在今后一段時間內將是風險管理專業人士最關心的問題。

風險格局正在繼續演變，并影響著我們世界的方方面面。隨著技術和軟件的發展，隨著企業、政府和國家受到大流行病、氣候變化等外界因素的影響，制訂全面風險管理計劃的需求從未改變。我們需要預測組織的需求，采取積極的措施幫助組織取得成功。有時候，我們的工作伙伴認為我們說了太多的“不行”“不可以”，這并非實情。我們應該以協商的方式與業務部門合作，以確保組織取得最佳成果。