Tracey Dedrick

大家好，我是Tracey Dedrick，目前擔(dān)任 ISACA董事會主席。ISACA是一個全球信息安全行業(yè)組織，在220多個國家擁有超過14.5萬名會員。

今天我將主要介紹新冠疫情和全球技術(shù)趨勢正在如何改變和推動風(fēng)險格局，專家對明年數(shù)字風(fēng)險趨勢的看法及其對風(fēng)險專業(yè)人士的影響，以及我們關(guān)注到的近期中國在數(shù)據(jù)和風(fēng)險領(lǐng)域的監(jiān)管動態(tài)以及數(shù)據(jù)治理的重要性。

新冠疫情對風(fēng)險格局的影響

2020年初，風(fēng)險專業(yè)人士在制訂全年工作計劃時，很少有人考慮到大流行病的影響。我在銀行業(yè)工作多年，制訂風(fēng)險計劃始終會將大流行病的可能性包含其中，但并非所有組織都是如此。通過這次新冠疫情可以看出，大多數(shù)組織在這方面的準備工作遠未達到預(yù)期。我認為，通過審視這次疫情得到的教訓(xùn)是，需要對計劃進行測試，只有通過嚴格測試，才能驗證書面計劃是否合理可行。

ISACA最近對其成員進行的一項調(diào)查顯示，只有不到30% 的調(diào)查對象對其組織在大流行病暴發(fā)時的應(yīng)急響應(yīng)感到滿意。除受到嚴格監(jiān)管的金融機構(gòu)外，很多組織不得不擱置業(yè)務(wù)連續(xù)性計劃，然后在需要實施時重新使用。我們要吸取2020年的教訓(xùn)，任何事情都有可能發(fā)生。

受疫情影響最大的風(fēng)險領(lǐng)域是金融風(fēng)險、運營風(fēng)險（如網(wǎng)絡(luò)安全和技術(shù)）以及戰(zhàn)略風(fēng)險。87%的調(diào)查對象表示，迅速過渡到遠程辦公引發(fā)了數(shù)據(jù)隱私保護問題;92%的調(diào)查對象認為，受到網(wǎng)絡(luò)攻擊將會增加;超過一半的調(diào)查對象對他們的團隊能否充分應(yīng)對這些威脅缺乏信心。為了有效評估各種情況下的風(fēng)險，需要評估風(fēng)險的所有因素，風(fēng)險的影響、發(fā)生的概率和傳播速度等。管理人員必須對公司可能面臨風(fēng)險的傳播速度及其對人員、資產(chǎn)、運營、供應(yīng)鏈和利潤的潛在影響進行評估，需要針對組織的風(fēng)險進行思考并排列優(yōu)先順序。不是所有組織都一樣，你必須評估什么是你公司的最大風(fēng)險，并做出相應(yīng)規(guī)劃。

在全球疫情暴發(fā)之前，IT外包和云服務(wù)托管就已呈上升趨勢。新冠疫情似乎正在加速這一轉(zhuǎn)變。這是一個全球性的趨勢，隨之產(chǎn)生了包括管理混合云環(huán)境和多云管理相關(guān)的新的風(fēng)險。

業(yè)務(wù)連續(xù)性，可靠、客觀的數(shù)據(jù)，堅實的數(shù)據(jù)治理，這些是我們作為專業(yè)人士需要保持警覺的領(lǐng)域。但或許2020年的經(jīng)驗告訴我們，再也不存在所謂的“異常事件”了，我們需要為任何情況做好準備。

近幾年，新的數(shù)字工具層出不窮，它們能夠幫助雇主讓員工重返工作崗位。中國已經(jīng)很好地展示了這些工具的強大。隨著新工具的不斷采用，公司需要對這些數(shù)字工具的內(nèi)在風(fēng)險進行評估并找到應(yīng)對之策。

全球技術(shù)趨勢和風(fēng)險的未來

讓我們重新審視在應(yīng)對此次疫情的挑戰(zhàn)中獲得哪些經(jīng)驗教訓(xùn)。一是縝密、經(jīng)驗證的業(yè)務(wù)連續(xù)性計劃，這是非常關(guān)鍵的。二是數(shù)據(jù)，我們從這次疫情中收集到的關(guān)于哪些措施有效或無效的數(shù)據(jù)，將使我們在面對下一次危機時變得更加強大。三是展望未來，進行想象和預(yù)測，借用夏洛克·福爾摩斯的一句名言：想象一切可能發(fā)生的情況，排除不可能的情形之后，剩下的即使再不合邏輯，也是真相。我們必須發(fā)揮想象力，思考未來，確保我們的公司已經(jīng)做好準備。

世界萬物都處于變化之中，這是一個亙古不變的規(guī)律，也是我喜歡風(fēng)險管理工作的原因。十年前，風(fēng)險專業(yè)人士不必擔(dān)心有人通過某種工具惡意模仿公司CEO的聲音要求匯款;今天，廉價的數(shù)字變聲工具已經(jīng)存在，類似的人工智能技術(shù)在飛速發(fā)展，專業(yè)人士需要考慮到這些風(fēng)險。風(fēng)險管理行業(yè)同樣在適應(yīng)環(huán)境的需要而發(fā)展，以應(yīng)對技術(shù)進步所帶來的更多風(fēng)險。

Gartner在2019年底預(yù)測2020年十大戰(zhàn)略技術(shù)趨勢，包括超自動化、多重體驗、專業(yè)知識的民主化、人體機能增強、透明度和可追溯性、邊緣賦能、分布式云、自動化物件、實用型區(qū)塊鏈、人工智能安全。我相信，在未來幾年這些將是關(guān)鍵的技術(shù)趨勢，也將是風(fēng)險管理專業(yè)人士關(guān)注的關(guān)鍵領(lǐng)域。

MIT在2020年初提出了十大突破性技術(shù)，其中包括無法入侵的量子互聯(lián)網(wǎng)、數(shù)字貨幣的興起、AI分子發(fā)現(xiàn)、量子霸權(quán)、微型AI等，這些突破性技術(shù)的影響將給風(fēng)險管理人員帶來許多工作量，即使這些技術(shù)可能不會在2021年得到應(yīng)用。

德勤公司認為，至少在可預(yù)見的未來，推動變革的技術(shù)力量很可能成為風(fēng)險管理行業(yè)的重點領(lǐng)域，這些技術(shù)可分為基礎(chǔ)技術(shù)、賦能技術(shù)、破壞性技術(shù)和未來技術(shù)。德勤將風(fēng)險視為一種基礎(chǔ)技術(shù)，是其他技術(shù)的一部分。這與我對風(fēng)險和風(fēng)險管理專業(yè)人士的看法相吻合。他們是企業(yè)使用這些技術(shù)的基石。

數(shù)字轉(zhuǎn)型正在成為風(fēng)險管理的一個嚴峻挑戰(zhàn)，但只有不到10%的預(yù)算被用于支持這些轉(zhuǎn)型，這遠遠不夠。必須將數(shù)字轉(zhuǎn)型的風(fēng)險評估納入數(shù)字轉(zhuǎn)型的計劃中。董事會的最佳實踐應(yīng)該包括對戰(zhàn)略計劃做出的風(fēng)險評估。

如果有人懷疑風(fēng)險專業(yè)人士日益增長的重要性，我們只需要看看新興技術(shù)在中國的重要性。在強調(diào)風(fēng)險管理的同時，為風(fēng)險管理專業(yè)人士培養(yǎng)技能、提供培訓(xùn)和完善教育渠道，對于應(yīng)對新興技術(shù)的影響至關(guān)重要。不僅在中國，在世界各地均是如此。當前，大學(xué)教育的重點正在隨著技術(shù)發(fā)展而變化。人工智能和數(shù)據(jù)科學(xué)專業(yè)學(xué)生人數(shù)的增長表明，在這一專業(yè)領(lǐng)域，尋求風(fēng)險管理教育的學(xué)生人數(shù)正在增加。但全球經(jīng)培訓(xùn)的專業(yè)人士的人數(shù)無法滿足需求。ISACA對此有著充分的認識，并且我們正在與教育機構(gòu)合作，開展人力開發(fā)計劃。該計劃的目的之一是給員工再培訓(xùn)并提高技能水平，增加這些關(guān)鍵領(lǐng)域的員工人數(shù)。

中國對國有企業(yè)的規(guī)劃是使這些企業(yè)更具抗風(fēng)險能力。我認為，這是全球大多數(shù)企業(yè)都應(yīng)該采取的方法和共同努力的目標。將風(fēng)險管理和風(fēng)險韌性作為企業(yè)戰(zhàn)略目標的關(guān)鍵因素，對于企業(yè)的長期和短期成功都至關(guān)重要。

在新的立法趨勢中利用新的“數(shù)字石油”（數(shù)據(jù)）

我們有必要將不斷變化的監(jiān)管和法律環(huán)境納入風(fēng)險管理，中國也不例外。隨著新法律的出臺，特別是在數(shù)據(jù)安全等領(lǐng)域，風(fēng)險管理專業(yè)人士將更加需要關(guān)注。

過去，保護個人數(shù)據(jù)的責(zé)任由直接相關(guān)的雙方承擔(dān)：數(shù)據(jù)處理方和大眾。數(shù)據(jù)處理方和大眾均被認為有能力實施數(shù)據(jù)安全保護且有足夠能力了解數(shù)據(jù)安全的重要性。然而，問題在于數(shù)據(jù)處理方和用戶都被證明不能或不愿意主動保護他們的客戶或他們自身?！吨腥A人民共和國數(shù)據(jù)安全法（草案）》填補了數(shù)據(jù)保護方面的缺口，通過自上而下的、政府頒布的命令要求數(shù)據(jù)處理方保護其客戶的數(shù)據(jù)。在該法案出臺之前，能夠獲得個人身份數(shù)據(jù)包括出生日期、地址、電話號碼和信用卡購買記錄等信息的組織和個人，可以通過非法買賣這些信息獲得巨額利潤。該法律通過后，當消費者或個人數(shù)據(jù)被盜、被濫用或以其他方式被破壞時，公民將有權(quán)依法進行追索。數(shù)據(jù)安全法一旦頒布，意味著在中國經(jīng)營的國際企業(yè)也需要了解相關(guān)要求，否則會面臨違法風(fēng)險。中國政府可能會以受害者和國家利益的名義，依據(jù)這部法律實施懲罰。

中國國務(wù)委員兼外交部部長王毅在2020年9月召開的“抓住數(shù)字機遇，共謀合作發(fā)展”國際研討會上，提出了《全球數(shù)據(jù)安全倡議》。這是一個很好的倡議，預(yù)示著中國將更多地參與到有關(guān)數(shù)據(jù)治理等領(lǐng)域的全球討論中。隨著全球數(shù)據(jù)安全格局的形成，風(fēng)險管理的未來也隨之形成。

構(gòu)建風(fēng)險和治理的文化

最后我想談?wù)剶?shù)據(jù)治理?；氐轿易钕矚g的話題：數(shù)據(jù)。數(shù)據(jù)在當今充滿競爭的世界中非常重要，在商業(yè)世界被稱作“桌面籌碼”。數(shù)據(jù)治理在一些組織中是其風(fēng)險管理的組成部分，領(lǐng)導(dǎo)者需要制定有效數(shù)據(jù)管理所需的政策和標準，同時指定專人負責(zé)并明確其職責(zé)。在現(xiàn)代數(shù)字化環(huán)境中，所有業(yè)務(wù)交易或活動都會留下數(shù)據(jù)痕跡。企業(yè)對數(shù)據(jù)的使用最終確定了數(shù)據(jù)的用途。反過來看，在開展業(yè)務(wù)時創(chuàng)建的數(shù)據(jù)有它自己的預(yù)期商業(yè)目的，為決策提供支持。

在中國的一個熱門話題是，由阿里巴巴引入的用于數(shù)據(jù)治理的業(yè)務(wù)中臺和數(shù)據(jù)中臺架構(gòu)方法。這種方法建立了可以從數(shù)據(jù)洞察中獲益的業(yè)務(wù)范式以及從業(yè)務(wù)中產(chǎn)生并影響業(yè)務(wù)的數(shù)據(jù)范式。這種架構(gòu)使阿里巴巴能夠獲得使其業(yè)務(wù)在行業(yè)領(lǐng)先的數(shù)據(jù)洞察，并有助于確保業(yè)務(wù)創(chuàng)建、分析和使用優(yōu)質(zhì)數(shù)據(jù)。

建立全面數(shù)據(jù)治理的基礎(chǔ)涉及四個問題：

● 需要定義數(shù)據(jù)分類和數(shù)據(jù)分類學(xué);

● 需要為組織量身定做一個協(xié)調(diào)一致的、能夠映射到數(shù)據(jù)管理活動的數(shù)據(jù)生命周期模型;

● 需要定義數(shù)據(jù)治理結(jié)構(gòu)，明確所有者、管理者和托管者的職責(zé);

● 數(shù)據(jù)管理政策、實施標準、所需技術(shù)和指標需要形成文件。

在現(xiàn)代企業(yè)中數(shù)據(jù)、治理和風(fēng)險交織在一起，在今后一段時間內(nèi)將是風(fēng)險管理專業(yè)人士最關(guān)心的問題。

風(fēng)險格局正在繼續(xù)演變，并影響著我們世界的方方面面。隨著技術(shù)和軟件的發(fā)展，隨著企業(yè)、政府和國家受到大流行病、氣候變化等外界因素的影響，制訂全面風(fēng)險管理計劃的需求從未改變。我們需要預(yù)測組織的需求，采取積極的措施幫助組織取得成功。有時候，我們的工作伙伴認為我們說了太多的“不行”“不可以”，這并非實情。我們應(yīng)該以協(xié)商的方式與業(yè)務(wù)部門合作，以確保組織取得最佳成果。