从内部审计的视角来看,数字风险不是某种单一类型的风险,而是组织在数字化转型和发展过程中,由于运用网络和数字技术而遇到的一系列风险的统称。数字风险与传统风险相比,至少存在三个特点:
一是数字风险广泛存在于组织的方方面面。传统风险往往与某些特定业务之间存在较强的关联性,如果组织不开展这方面的业务,就无须在相关控制和防范措施上投入大量资源。但只要组织已经开始数字化转型进程,就不可避免地会在战略和各项具体业务层面遭遇数字风险。
二是数字风险的复杂性决定了应对风险的难度更大。由于数字风险涉及的业务类型多,产生影响的层次多、角度多,对这些风险进行管理所需的胜任能力同样涉及多个领域的知识和技能,且对全局视野、战略视角、沟通能力这类的“软”技能的要求也更高。
三是数字风险带来负面影响的速度远高于传统风险。过去我们习惯于从发生的可能性和影响力两个维度来对风险进行评价,但随着新技术的广泛运用,像数据泄露、网络安全这类的问题可能在极短的时间内给组织在战略和声誉上造成沉重的打击,这就意味着我们不能以传统的眼光来审视数字风险。
既然应对数字风险的要求如此之高、难度如此之大,那么,是否还值得我们投入资源来对其进行管理和关注呢?答案显然是肯定的。从字面意义就可以看出,谈数字风险,首当其冲要考虑的就是对数据的保护和运用。随着数字化转型逐步深入,数据对组织的意义已发生根本性转变——从过去的一项产品变为组织的一项关键资产。运用数据的能力已成为组织在市场中脱颖而出的核心竞争力。除法律法规和监管规定的要求之外,提高对数据的保护和运用水平也已成为组织发展的自发需求和关键动力,而能否妥善应对数字风险在很大程度上决定了组织能否实现这一目标。
内部审计职业的本质决定了我们的关注点必须永远紧跟风险的动向。作为内部审计从业者,需要在组织的数字化转型和发展过程中充分履行确认和咨询职责,成为帮助组织应对数字风险的关键助力。要实现这一目标,首先需要吃透组织的数字化发展规划,深入理解其中包含的关键举措和涉及的相关技术,通过不断提升在相关领域的胜任能力,为数字化转型和发展的决策者提供富有价值的信息和建议,帮助组织及时应对出现的数字风险。同时,内部审计还要与组织内部的其他职能密切协作,整合资源,形成对风险的统一认识,构建联动工作机制。具体来说,内部审计人员可以从以下方面着手:
一是根据组织数字化战略的需求,评估内部审计部门的整体胜任能力,对存在的缺陷通过招聘、培训、轮岗、客座审计师、外包等方式予以弥补,确保在数字技术能力上能够树立起内部审计的权威性。
二是在发扬审计传统优势的基础上,熟悉和了解有关信息安全的框架和标准,如COBIT和ISO27001等,这些框架和标准不但能够拓展审计人员的知识,还能够为审计与信息安全部门建立对话和协作的基础。三是着眼组织数字治理环境,把对组织文化的关注融入审计项目,引导业务部门以合乎组织要求的方式管理和运用数据,确保组织的风险偏好得到遵循,价值得到保护和强化。
四是提升审计职能自身的数字化程度和能力,持续监控有关数据的控制措施,利用持续审计手段和技术,实现对数据控制措施的实时关注。
五是加强同业交流,关注行业数字化发展最佳实务,帮助组织了解有关数字化业务的最新理念和发展,将内部审计打造成为组织在应对数字风险时值得信赖的咨询顾问和信息来源。