內(nèi)部審計(jì)應(yīng)成為幫助組織應(yīng)對(duì)數(shù)字風(fēng)險(xiǎn)的重要力量

內(nèi)部審計(jì)的視角來(lái)看，數(shù)字風(fēng)險(xiǎn)不是某種單一類(lèi)型的風(fēng)險(xiǎn)，而是組織在數(shù)字化轉(zhuǎn)型和發(fā)展過(guò)程中，

由于運(yùn)用網(wǎng)絡(luò)和數(shù)字技術(shù)而遇到的一系列風(fēng)險(xiǎn)的統(tǒng)稱(chēng)。數(shù)字風(fēng)險(xiǎn)與傳統(tǒng)風(fēng)險(xiǎn)相比，至少存在三個(gè)特點(diǎn)：一是數(shù)字風(fēng)險(xiǎn)廣泛存在于組織的方方面面。傳統(tǒng)風(fēng)險(xiǎn)往往與某些特定業(yè)務(wù)之間存在較強(qiáng)的關(guān)聯(lián)性，如果組織不開(kāi)展這方面的業(yè)務(wù)，就無(wú)須在相關(guān)控制和防范措施上投入大量資源。但只要組織已經(jīng)開(kāi)始數(shù)字化轉(zhuǎn)型進(jìn)程，就不可避免地會(huì)在戰(zhàn)略和各項(xiàng)具體業(yè)務(wù)層面遭遇數(shù)字風(fēng)險(xiǎn)。二是數(shù)字風(fēng)險(xiǎn)的復(fù)雜性決定了應(yīng)對(duì)風(fēng)險(xiǎn)的難度更大。由于數(shù)字風(fēng)險(xiǎn)涉及的業(yè)務(wù)類(lèi)型多，產(chǎn)生影響的層次多、角度多，對(duì)這些風(fēng)險(xiǎn)進(jìn)行管理所需的勝任能力同樣涉及多個(gè)領(lǐng)域的知識(shí)和技能，且對(duì)全局視野、戰(zhàn)略視角、溝通能力這類(lèi)的“軟”技能的要求也更高。三是數(shù)字風(fēng)險(xiǎn)帶來(lái)負(fù)面影響的速度遠(yuǎn)高于傳統(tǒng)風(fēng)險(xiǎn)。過(guò)去我們習(xí)慣于從發(fā)生的可能性和影響力兩個(gè)維度來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，但隨著新技術(shù)的廣泛運(yùn)用，像數(shù)據(jù)泄露、網(wǎng)絡(luò)安全這類(lèi)的問(wèn)題可能在極短的時(shí)間內(nèi)給組織在戰(zhàn)略和聲譽(yù)上造成沉重的打擊，這就意味著我們不能以傳統(tǒng)的眼光來(lái)審視數(shù)字風(fēng)險(xiǎn)。

既然應(yīng)對(duì)數(shù)字風(fēng)險(xiǎn)的要求如此之高、難度如此之大，那么，是否還值得我們投入資源來(lái)對(duì)其進(jìn)行管理和關(guān)注呢？答案顯然是肯定的。從字面意義就可以看出，談數(shù)字風(fēng)險(xiǎn)，首當(dāng)其沖要考慮的就是對(duì)數(shù)據(jù)的保護(hù)和運(yùn)用。隨著數(shù)字化轉(zhuǎn)型逐步深入，數(shù)據(jù)對(duì)組織的意義已發(fā)生根本性轉(zhuǎn)變——從過(guò)去的一項(xiàng)產(chǎn)品變?yōu)榻M織的一項(xiàng)關(guān)鍵資產(chǎn)。運(yùn)用數(shù)據(jù)的能力已成為組織在市場(chǎng)中脫穎而出的核心競(jìng)爭(zhēng)力。除法律法規(guī)和監(jiān)管規(guī)定的要求之外，提高對(duì)數(shù)據(jù)的保護(hù)和運(yùn)用水平也已成為組織發(fā)展的自發(fā)需求和關(guān)鍵動(dòng)力，而能否妥善應(yīng)對(duì)數(shù)字風(fēng)險(xiǎn)在很大程度上決定了組織能否實(shí)現(xiàn)這一目標(biāo)。國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)（IIA）通過(guò)與近百位知名企業(yè)的董事會(huì)成員、高級(jí)管理人員和內(nèi)部審計(jì)負(fù)責(zé)人進(jìn)行訪(fǎng)談，于近日發(fā)布了題為《聚焦風(fēng)險(xiǎn)2020》的研究報(bào)告，揭示了2020年最值得關(guān)注的11項(xiàng)風(fēng)險(xiǎn)，其中網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)、業(yè)務(wù)連續(xù)性、數(shù)據(jù)和新技術(shù)、數(shù)據(jù)倫理等5項(xiàng)風(fēng)險(xiǎn)與網(wǎng)絡(luò)和數(shù)據(jù)技術(shù)直接相關(guān)，而其他6項(xiàng)分別是監(jiān)管規(guī)定的變化、第三方風(fēng)險(xiǎn)、人才管理、組織文化、董事會(huì)對(duì)信息的獲取、可持續(xù)發(fā)展，也都與數(shù)字風(fēng)險(xiǎn)有著千絲萬(wàn)縷的聯(lián)系。

內(nèi)部審計(jì)職業(yè)的本質(zhì)決定了我們的關(guān)注點(diǎn)必須永遠(yuǎn)緊跟風(fēng)險(xiǎn)的動(dòng)向。作為內(nèi)部審計(jì)從業(yè)者，需要在組織的數(shù)字化轉(zhuǎn)型和發(fā)展過(guò)程中充分履行確認(rèn)和咨詢(xún)職責(zé)，成為幫助組織應(yīng)對(duì)數(shù)字風(fēng)險(xiǎn)的關(guān)鍵助力。要實(shí)現(xiàn)這一目標(biāo)，首先需要吃透組織的數(shù)字化發(fā)展規(guī)劃，深入理解其中包含的關(guān)鍵舉措和涉及的相關(guān)技術(shù)，通過(guò)不斷提升在相關(guān)領(lǐng)域的勝任能力，為數(shù)字化轉(zhuǎn)型和發(fā)展的決策者提供富有價(jià)值的信息和建議，幫助組織及時(shí)應(yīng)對(duì)出現(xiàn)的數(shù)字風(fēng)險(xiǎn)。同時(shí)，內(nèi)部審計(jì)還要與組織內(nèi)部的其他職能密切協(xié)作，整合資源，形成對(duì)風(fēng)險(xiǎn)的統(tǒng)一認(rèn)識(shí)以及二三道防線(xiàn)聯(lián)動(dòng)的工作機(jī)制。具體來(lái)說(shuō)，內(nèi)部審計(jì)人員可以從以下方面著手：一是根據(jù)組織數(shù)字化戰(zhàn)略的需求，評(píng)估內(nèi)部審計(jì)部門(mén)的整體勝任能力，對(duì)存在的缺陷通過(guò)招聘、培訓(xùn)、輪崗、客座審計(jì)師、外包等方式予以彌補(bǔ)，確保在數(shù)字技術(shù)能力上能夠樹(shù)立起內(nèi)部審計(jì)的權(quán)威性。二是在發(fā)揚(yáng)審計(jì)傳統(tǒng)優(yōu)勢(shì)的基礎(chǔ)上，熟悉和了解有關(guān)信息安全的框架和標(biāo)準(zhǔn)，如COBIT和ISO27001等，這些框架和標(biāo)準(zhǔn)不但能夠拓展審計(jì)人員的知識(shí)，還能夠?yàn)閷徲?jì)與信息安全部門(mén)建立對(duì)話(huà)和協(xié)作的基礎(chǔ)。三是著眼組織數(shù)字治理環(huán)境，把對(duì)組織文化的關(guān)注融入審計(jì)項(xiàng)目，引導(dǎo)業(yè)務(wù)部門(mén)以合乎組織要求的方式管理和運(yùn)用數(shù)據(jù)，確保組織的風(fēng)險(xiǎn)偏好得到遵循，價(jià)值得到保護(hù)和強(qiáng)化。四是提升審計(jì)職能自身的數(shù)字化程度和能力，持續(xù)監(jiān)控有關(guān)數(shù)據(jù)的控制措施，利用持續(xù)審計(jì)手段和技術(shù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)控制措施的實(shí)時(shí)關(guān)注。五是加強(qiáng)同業(yè)交流，關(guān)注行業(yè)數(shù)字化發(fā)展最佳實(shí)務(wù)，幫助組織了解有關(guān)數(shù)字化業(yè)務(wù)的最新理念和發(fā)展，將內(nèi)部審計(jì)打造成為組織在應(yīng)對(duì)數(shù)字風(fēng)險(xiǎn)時(shí)值得信賴(lài)的咨詢(xún)顧問(wèn)和信息來(lái)源。

（摘自中國(guó)內(nèi)部審計(jì)協(xié)會(huì)副會(huì)長(zhǎng)兼秘書(shū)長(zhǎng)沈立強(qiáng)在2019年數(shù)字風(fēng)險(xiǎn)峰會(huì)上的講話(huà)）