数字化转型中的风险治理:业内首提风控中台
作者: 日期:2019年11月04日 阅:35,997

10月25日,2019 年数字风险峰会 (DRS) 在北京友谊宾馆举行。

首届数字风险大会,其特别之处在于从风险管理的视角聚焦数字化风险,分享内容涵盖治理、管控、评价以及多家机构的风控实践。嘉宾方面,也是大咖云集。中国工程院院士、中国电子信息产业集团首席科学家方滨兴,中国内部审计协会副会长兼秘书长沈立强,北京国家会计学院院长秦荣生,ISACA 全球 CEO David Samuelson,以及谷安天下董事长、研究院院长陈伟等嘉宾,都带来了相关研究领域兼具深度和广度的内容。

此篇文章,详细介绍谷安天下研究院院长陈伟的分享《数据经济时代的数字风险治理》。陈伟作为长期在一线从事网络安全与 IT 风险管理咨询工作的专家,相较于其他嘉宾,他的分享内容对处在数字化转型不同阶段的数字风险管控工作更具 “实战” 意义。

谷安天下董事长、研究院院长 陈伟

数字化转型过程:风险与价值的对立统一

多项数据显示,近年各国数字经济的 GDP 占比正在稳步增长。组织高层已经不再仅把数字化作为一种工具,而是将其看做企业核心战略看待。数字化转型,作为发展数字经济的重要过程,已经不只是一种选择,而是大型企业的必然发展方向,

但同时,我们也应看到,数字化转型在给企业带来价值的同时,也带来了风险。而且,在数字化时代,这种风险与价值就像太极图中的阴阳鱼,如影随行,对立统一,永远存在。不能过分夸大,也不能视而不见。我们在享受数字化盛宴的同时,风险也正悄悄来临。例如,近期业内对大数据公司(比如风控、互金等)的整治(滥用爬虫技术,非法爬取数据并借此获利),就是忽视这种关系而招致严重后果的典型事例。

所以不难理解,CEO 为什么会越来越关注企业的数字风险管理。这点在 Gartner 近期的相关调研数据中也有佐证:65% 的 CEO 认为,对风险管理的研究和投资已经滞后于实际需求;77% 的 CEO 认为,数字业务将引入新的风险类型与等级;83% 的 CEO 认为敏捷方法越来越重要,对风险管理提出了新的要求。

此外,世界经济论坛 (WEF) 在其最新发布《全球风险报告 (2019) 》中,也明确提及了诸如网络攻击、技术进步的负面影响、数据欺诈或窃取、关键信息基础设施故障等数字风险,数字风险已经成为全球风险的重要组成部分。

面对新时期的数字风险,企业风险管理的思路与方法都面临着变革

首先,风险管理范围应在横向上,扩展到全方位的数字风险管理,不仅仅是安全风险、合规风险,还应包括数字战略风险、IT 治理风险、数字业务流程风险、数字业务数据风险,客户体验风险等;纵向上,设计新业务时,要同步规划、同步设计和同步运营内嵌必要的安全措施,以控制数字风险。

其次, “先找监管规范,再建内控体系,之后再进行审计” 这套风控流程方法已经不适用了。技术、市场的快速变化,风险与创新的矛盾,企业必须开始思考具有数字化思维,兼具风险控制和鼓励创新的数字风险管控模式。

再则,风险管控思路应有所调整。作为企业二、三道防线的内控合规、风险管理及审计部门,一方面,不能因为自身缺乏对数字化的了解,就对数字风险视而不见;另一方面,也不能完全沿用传统的风险管控思路与方法,将数字化转型过程中创新事物,因风控机制不完善而扼杀在摇篮中。而是多调查研究,多提管理建议,而不应当是开了一堆 “罚单”。

在二、三道防线对数字化业务不甚了解的情况下,建议二、三道防线从业人员把数字化业务看成是一个 “黑盒子”,把对数字风险的管控视角先放在数字业务的输入、输出及治理机制上。

这里,输入,指的是灵活、弹性、安全的数字化支撑能力,主要包括:战略迅速决策能力、需求有效把握能力、项目快速实施能力、系统部署与服务能力、数据分析支持业务的能力、自适应信息安全能力、IT 投资管理能力等;输出,指的是数字业务应具有数据分析、客户体系、数字营销、数字运营等方面的特征。而治理机制,则指数字化过程中的决策机构、控制体系和支撑能力。

数字化转型三个阶段的风险治理建议

陈伟认为,企业数字化转型,可以将其划分三个阶段:数字化尝试期、数字化发展期和数字化深入期。前两个阶段,是当前大部分数字化转型企业所处的位置。以下是不同阶段数字风险治理的建议。

1. 数字化尝试期

处在数字化尝试期的企业,对数字化的认知还不够深刻,数字化能力与原有业务的融合也不够充分,客户体验不连贯,是后续数字化发展期的基础。

数字化尝试期的风险治理,从 “决策” 角度,需要建立跨部门的协调机构(比如 IT 治理委员会);还应引入 IT 管理中常见的双模管理形式,从风险治理层面,充分认识到 IT 和业务创新融合型部门存在的合理性。

从 “控制” 角度,这个阶段的企业更多是合规&风险导向的治理,针对企业自身的数字化应用场景,提炼业务控制框架。

“支撑” 角度,则需要在组织结构不做过多调整的前提下,利用数字化能力,为创新型业务部门开绿色通道。例如更加敏捷、安全的 DevSecOps。

2. 数字化发展期

不同于数字化尝试期,处在数字化发展期的企业,最典型的区别就是数字化支撑能力已与业务有较为充分的融合。这表现在需要有强大的数字化共享服务中心(又称中台)来提供共享服务支持,并设有专门的数字化领导人,引入大规模数字化工具的使用等。此外,在企业文化层面,更加重视创新与协作。

数字化发展期的风险治理,从 “决策” 角度,企业对数字化领导力以及敏捷执行力有诉求。所以,相对数字化发展期之前较为松散的风险管理,企业需要跨部门的数字安全管理及数字风险管理负责人,也即数字风险官 (DRO),DRO 未来甚至将与 CRO 走向统一,与首席运营官 (COO) 与首席信息官 (CIO) 等 CxO 们一起,成为首席执行官 (CEO) 的得力干将。

“控制” 角度也和数字尝试期有明显区别,从合规转向了价值和风险导向。企业需要从多个维度,评价数字化业务的风险与价值。合规是最基础的,处在数字化发展期的企业,在风险分析时更多结合业务价值,并将价值评价体系细化。

“支撑” 角度,陈伟认为,数字化共享服务中心,不仅要包括业务中台、数据中台,从数字风险控制角度,也要形成符合企业自身业务发展、创新需求的风控中台。通过风控中台,快速向各业务部门提供风控措施与建议,保障数字化业务的健康运营。这点无论是对充分融合数字化能力的创新业务,还是传统业务,都将会是重要的基础支撑。

3. 数字化深入期

数字化深入期的特征,包括组织形成统一的数字化战略,数字化决策权回归业务一线,大量同时精通数字化和业务的人才团队等。随着增强智能、深度学习更加广泛、深入的应用,形成更智能化的服务中心,支撑动态决策。

因为处于数字化深入期的企业还寥寥无几,所以这部分风险治理内容,也有待后续补充。

安全牛评

数字风险管控是数字化转型过程中的必然选择。虽然目前企业数字化转型过程中的数字风险还未大范围显现,但无视或忽视的态度一定不是可取的。预防数字化转型中的 “灰犀牛”,内控、风险、审计作为企业风控的二、三道防线,有其独特、不可替代的价值。所以不只是业务和 IT 部门,二、三道防线的工作也要以积极、开放的态度,拥抱数字化转型所带来风险治理的变革。此次数字风险峰会上提出了 “风控中台” 的概念,将数字风险控制提提升到与业务中台、数据中台同样重要的高度,这样的声音也属业界首次。

相关阅读

 

推动数字经济,展望数字世界:首届数字风险峰会 (DRS) 成功举办

24小时内数千亿美元损失:网络攻击可摧毁全球经济

 

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章