Tracey Dedrick

大家好，我是Tracey Dedrick，目前担任 ISACA董事会主席。ISACA是一个全球信息安全行业组织，在220多个国家拥有超过14.5万名会员。

今天我将主要介绍新冠疫情和全球技术趋势正在如何改变和推动风险格局，专家对明年数字风险趋势的看法及其对风险专业人士的影响，以及我们关注到的近期中国在数据和风险领域的监管动态以及数据治理的重要性。

新冠疫情对风险格局的影响

2020年初，风险专业人士在制订全年工作计划时，很少有人考虑到大流行病的影响。我在银行业工作多年，制订风险计划始终会将大流行病的可能性包含其中，但并非所有组织都是如此。通过这次新冠疫情可以看出，大多数组织在这方面的准备工作远未达到预期。我认为，通过审视这次疫情得到的教训是，需要对计划进行测试，只有通过严格测试，才能验证书面计划是否合理可行。

ISACA最近对其成员进行的一项调查显示，只有不到30% 的调查对象对其组织在大流行病暴发时的应急响应感到满意。除受到严格监管的金融机构外，很多组织不得不搁置业务连续性计划，然后在需要实施时重新使用。我们要吸取2020年的教训，任何事情都有可能发生。

受疫情影响最大的风险领域是金融风险、运营风险（如网络安全和技术）以及战略风险。87%的调查对象表示，迅速过渡到远程办公引发了数据隐私保护问题;92%的调查对象认为，受到网络攻击将会增加;超过一半的调查对象对他们的团队能否充分应对这些威胁缺乏信心。为了有效评估各种情况下的风险，需要评估风险的所有因素，风险的影响、发生的概率和傳播速度等。管理人员必须对公司可能面临风险的传播速度及其对人员、资产、运营、供应链和利润的潜在影响进行评估，需要针对组织的风险进行思考并排列优先顺序。不是所有组织都一样，你必须评估什么是你公司的最大风险，并做出相应规划。

在全球疫情暴发之前，IT外包和云服务托管就已呈上升趋势。新冠疫情似乎正在加速这一转变。这是一个全球性的趋势，随之产生了包括管理混合云环境和多云管理相关的新的风险。

业务连续性，可靠、客观的数据，坚实的数据治理，这些是我们作为专业人士需要保持警觉的领域。但或许2020年的经验告诉我们，再也不存在所谓的“异常事件”了，我们需要为任何情况做好准备。

近几年，新的数字工具层出不穷，它们能够帮助雇主让员工重返工作岗位。中国已经很好地展示了这些工具的强大。随着新工具的不断采用，公司需要对这些数字工具的内在风险进行评估并找到应对之策。

全球技术趋势和风险的未来

让我们重新审视在应对此次疫情的挑战中获得哪些经验教训。一是缜密、经验证的业务连续性计划，这是非常关键的。二是数据，我们从这次疫情中收集到的关于哪些措施有效或无效的数据，将使我们在面对下一次危机时变得更加强大。三是展望未来，进行想象和预测，借用夏洛克·福尔摩斯的一句名言：想象一切可能发生的情况，排除不可能的情形之后，剩下的即使再不合逻辑，也是真相。我们必须发挥想象力，思考未来，确保我们的公司已经做好准备。

世界万物都处于变化之中，这是一个亘古不变的规律，也是我喜欢风险管理工作的原因。十年前，风险专业人士不必担心有人通过某种工具恶意模仿公司CEO的声音要求汇款;今天，廉价的数字变声工具已经存在，类似的人工智能技术在飞速发展，专业人士需要考虑到这些风险。风险管理行业同样在适应环境的需要而发展，以应对技术进步所带来的更多风险。

Gartner在2019年底预测2020年十大战略技术趋势，包括超自动化、多重体验、专业知识的民主化、人体机能增强、透明度和可追溯性、边缘赋能、分布式云、自动化物件、实用型区块链、人工智能安全。我相信，在未来几年这些将是关键的技术趋势，也将是风险管理专业人士关注的关键领域。

MIT在2020年初提出了十大突破性技术，其中包括无法入侵的量子互联网、数字货币的兴起、AI分子发现、量子霸权、微型AI等，这些突破性技术的影响将给风险管理人员带来许多工作量，即使这些技术可能不会在2021年得到应用。

德勤公司认为，至少在可预见的未来，推动变革的技术力量很可能成为风险管理行业的重点领域，这些技术可分为基础技术、赋能技术、破坏性技术和未来技术。德勤将风险视为一种基础技术，是其他技术的一部分。这与我对风险和风险管理专业人士的看法相吻合。他们是企业使用这些技术的基石。

数字转型正在成为风险管理的一个严峻挑战，但只有不到10%的预算被用于支持这些转型，这远远不够。必须将数字转型的风险评估纳入数字转型的计划中。董事会的最佳实践应该包括对战略计划做出的风险评估。

如果有人怀疑风险专业人士日益增长的重要性，我们只需要看看新兴技术在中国的重要性。在强调风险管理的同时，为风险管理专业人士培养技能、提供培训和完善教育渠道，对于应对新兴技术的影响至关重要。不仅在中国，在世界各地均是如此。当前，大学教育的重点正在随着技术发展而变化。人工智能和数据科学专业学生人数的增长表明，在这一专业领域，寻求风险管理教育的学生人数正在增加。但全球经培训的专业人士的人数无法满足需求。ISACA对此有着充分的认识，并且我们正在与教育机构合作，开展人力开发计划。该计划的目的之一是给员工再培训并提高技能水平，增加这些关键领域的员工人数。

中国对国有企业的规划是使这些企业更具抗风险能力。我认为，这是全球大多数企业都应该采取的方法和共同努力的目标。将风险管理和风险韧性作为企业战略目标的关键因素，对于企业的长期和短期成功都至关重要。

在新的立法趋势中利用新的“数字石油”（数据）

我们有必要将不断变化的监管和法律环境纳入风险管理，中国也不例外。随着新法律的出台，特别是在数据安全等领域，风险管理专业人士将更加需要关注。

过去，保护个人数据的责任由直接相关的双方承担：数据处理方和大众。数据处理方和大众均被认为有能力实施数据安全保护且有足够能力了解数据安全的重要性。然而，问题在于数据处理方和用户都被证明不能或不愿意主动保护他们的客户或他们自身。《中华人民共和国数据安全法（草案）》填补了数据保护方面的缺口，通过自上而下的、政府颁布的命令要求数据处理方保护其客户的数据。在该法案出台之前，能够获得个人身份数据包括出生日期、地址、电话号码和信用卡购买记录等信息的组织和个人，可以通过非法买卖这些信息获得巨额利润。该法律通过后，当消费者或个人数据被盗、被滥用或以其他方式被破坏时，公民将有权依法进行追索。数据安全法一旦颁布，意味着在中国经营的国际企业也需要了解相关要求，否则会面临违法风险。中国政府可能会以受害者和国家利益的名义，依据这部法律实施惩罚。

中国国务委员兼外交部部长王毅在2020年9月召开的“抓住数字机遇，共谋合作发展”国际研讨会上，提出了《全球数据安全倡议》。这是一个很好的倡议，预示着中国将更多地参与到有关数据治理等领域的全球讨论中。随着全球数据安全格局的形成，风险管理的未来也随之形成。

构建风险和治理的文化

最后我想谈谈数据治理。回到我最喜欢的话题：数据。数据在当今充满竞争的世界中非常重要，在商业世界被称作“桌面筹码”。数据治理在一些组织中是其风险管理的组成部分，领导者需要制定有效数据管理所需的政策和标准，同时指定专人负责并明确其职责。在现代数字化环境中，所有业务交易或活动都会留下数据痕迹。企业对数据的使用最终确定了数据的用途。反过来看，在开展业务时创建的数据有它自己的预期商业目的，为决策提供支持。

在中国的一个热门话题是，由阿里巴巴引入的用于数据治理的业务中台和数据中台架构方法。这种方法建立了可以從数据洞察中获益的业务范式以及从业务中产生并影响业务的数据范式。这种架构使阿里巴巴能够获得使其业务在行业领先的数据洞察，并有助于确保业务创建、分析和使用优质数据。

建立全面数据治理的基础涉及四个问题：

● 需要定义数据分类和数据分类学;

● 需要为组织量身定做一个协调一致的、能够映射到数据管理活动的数据生命周期模型;

● 需要定义数据治理结构，明确所有者、管理者和托管者的职责;

● 数据管理政策、实施标准、所需技术和指标需要形成文件。

在现代企业中数据、治理和风险交织在一起，在今后一段时间内将是风险管理专业人士最关心的问题。

风险格局正在继续演变，并影响着我们世界的方方面面。随着技术和软件的发展，随着企业、政府和国家受到大流行病、气候变化等外界因素的影响，制订全面风险管理计划的需求从未改变。我们需要预测组织的需求，采取积极的措施帮助组织取得成功。有时候，我们的工作伙伴认为我们说了太多的“不行”“不可以”，这并非实情。我们应该以协商的方式与业务部门合作，以确保组织取得最佳成果。