随着信息化进程的加速,新技术的不断革新深刻地影响着各行各业的运营模式,数字化正在逐渐改变中国的企业竞争格局。在时代和政策的驱动下,无论是初创公司还是成熟的企业,都在积极投身于数字化转型,利用数字技术实现跨越式发展,以期利用数字化转型占据竞争优势。
技术是数字化转型必不可少的手段,企业利用信息技术为数字化转型赋能。与此同时,业务与技术正在不断地融合,企业的成功往往依赖于业务与技术以可信及可控的方式进行有效整合。因此,在数字化转型机遇下企业风险管理迎来了新的挑战,如何有效管理科技风险,如何做到“可信可控”,尤为重要。
科技风险受技术进步、全球化扩张以及不断健全的法律法规和标准等三大市场趋势的驱动。这些趋势是长期的,且趋势的步伐正在不断加快,最终将导致商业环境发生翻天覆地的变化。实施新技术、业务全球化以及应对不断更新完善的法律法规和专业准则的合规要求将会是企业的新常态。
技术进步
技术进步影响着企业的各个领域,人工智能(AI)、区块链(Blockchain)、云计算(Cloud Computing)、大数据(Big Data)以及物联网(IoT)等技术正在以前所未有的速度持续发展。企业正在使用新技术:
●颠覆商业模式
●革新业务、产品和服务
●创新客户互动方式
●与供应商和合作伙伴沟通
●交易流程自动化
●为用户提供数据自服务访问
●加强内部控制
当企业实施新技术来优化业务时,一般会引入更多的应用程序、辅助支撑技术和工具、外包服务商和供应商。虽然最终呈献给用户的可能看起来只是一个简单的场景,但背后却是复杂的业务处理流程和技术。这种复杂性结合着每个流程中涌现的大量数据,往往呈现出管理责任人分散的特点,在企业中很少会有一个人可以了解全部的业务流程。技术进步作为主导力量,正在增加业务流程和相关数据流的复杂性,进而导致风险升级。
全球化扩张
全球化是一股强大的变革力量,其进程加速得益于贸易自由化和新兴市场增长。近年来,众多企业开拓海外市场并实现收入迅猛增长。在良好的社会经济趋势驱动下,经济增长为投资和收购创造了更多机会。
与技术进步类似,全球化通过延伸范围、增加客户、定制和优化业务流程、辅助支撑技术和工具使得业务复杂化。此外,全球化通常会增加外包流程,增加供应商和数据中心的数量,并延伸或增加独特的IT流程。很多国家和地区要求企业建立独立的业务流程和支撑技术,因此,企业开拓海外市场,需要开发新的产品/服务或者修改现有的产品/服务,这意味着需要引入新的流程以及相关的支撑技术。全球化扩张加剧了企业管理的复杂度以及管理风险,同时全球化增加了多方/多国的沟通,随之而来的是更多合规性的考量。
不断健全的法律法规和标准
新发布或修订的法律法规和专业标准(例如,公司在向资本市场报告信息时必须遵守的会计准则)通常要求企业变更其业务流程或实施新的应用程序以收集、传输、修改及报告符合规定的信息。技术进步、全球化和其他趋势加快了商业步伐,随之而来的还有新的法律、法规和专业标准。例如欧盟的《通用数据保护条例》(GDPR)、全国人大常委会颁布的《中华人民共和国网络安全法》、证监会颁布的《证券基金经营机构信息技术管理办法》等等。
又如,随着国家大湾区战略的发展,香港大数据治理公会(Institute of Big Data Governance,IBDG)正在创建大湾区数据跨境计划,利用香港作为国际大数据枢纽的优势,为各机构数据的跨境传输提供单一认证标准。IBDG正在与政府、监管机构、专业机构、科研机构、商界领袖等合作,该计划的目标是让企业尽可能经济高效地获得跨境数据流自由。在立法环境日益完善的时代背景下,企业管理层越来越关心立法、法规和合规相关话题。
这些新标准,以及新颁布的或修正的法律法规,可能需要企业重新规划其业务流程,修改现有的应用程序或实施新的应用程序来满足和遵守这些要求。这一过程会增加企业管理的复杂性,导致风险升级。
技术进步、全球化扩张和不断健全的法律法规及专业标准增加了如新应用系统、支持技术、工具、接口和服务提供商之间在业务和IT流程(包括外包流程)中的连接和相互依赖性,以及与法律实体、职能部门等监管方面的互动。新出现的这些连接、相互依赖性及互动导致企业面对的各类风险加剧,同时也对各利益相关方之间的信任度提出挑战。
变革转型:在新态势下,安永为企业与各利益相关方搭建信任的桥梁
不断革新的新技术、日益汹涌的全球化趋势、日趋健全的合规环境所带来的不确定性增加了企业数字化转型过程中的科技风险,以及对科技风险进行高效管控的需求。是否“可信可控”,成为企业与监管机构、投资机构、客户、服务商/供应商等多方关注的焦点。在新态势下,安永科技风险咨询服务致力于为企业与各利益相关方搭建信任的桥梁。
企业管理层:
针对企业数字化转型过程中的各类场景,安永设计了新兴技术应用风险管理解决方案,就企业应用“ABCDI”等新技术给企业运营、风险管理和内部控制带来的影响进行评估,帮助企业管理层发现问题,继而提出相应的改进措施建议,以夯实围绕新科技应用的科技风险控制体系。
针对人工智能在数字化转型中的应用,帮助企业加强访问控制和身份认证,采取必要的验证和升级措施,对服务器、客户端、软件配置、负荷管理等进行实时监控和安全测试;
针对区块链技术的应用,帮助企业识别区块链应用平台、智能合约、节点接入、共识机制、用户自身管理等方面的风险,实施相应控制以防止交易信息被篡改、私钥丢失、隐私泄露;
针对云计算技术的应用,帮助企业选型合规、可靠的云计算服务商,确保服务商在数据隔离、安全加密和可用保障等方面实施了适当控制,从而帮助企业保证可用性及资源利用率,有效管理和监控云服务商的服务质量;
针对大数据的运用,协助规范数据提取及交易程序,明确大数据收集主体与交易主体,加强对系统内针对数据的不法行为的规制,杜绝信息篡改、窃取,保护个人隐私,促进信息流的良性循环,保证数据的真实可靠;
针对新兴的物联网基础设施,通过检查网络身份验证和访问权限,锁定外部到内部网络的连接,对物联网设备制定安全标准并重新评估信息技术在整体安全中的作用,以防范可能发生的外部攻击与业务失效等。
投资者:
在数字化时代,面对海量的运营数据及虚拟资产,传统的审计程序已经难以满足投资者对投资对象的信任要求,安永针对性地设计了信息系统环境和数据评估核查框架及方案,帮助完善新兴科技行业的内部管理流程,积极响应外部投资者对信息系统、数据及运营状况的透明化需求,从核心运营指标披露校验、运营数据匹配性分析、核心数据的完整性和准确性排查以及公司信息系统内部控制等各个方面对企业的科技环境、管理现状和多维度数据进行评估核查,与时俱进地针对互联网相关产业和特定业务模式和场景进行审核,更有效和高效地确认和展现企业的业务发展现状。
客户/外包服务商:
在企业为其客户提供服务、企业使用外包服务的场景下,安永通过完善的科技风险鉴证服务方案为企业与客户、企业与外包服务商之间构建信任的桥梁。
SOC报告(System and Organization Controls Report)是由具有AICPA鉴证报告签署资质的会计师事务所出具的鉴证报告。通过SOC报告服务,企业与客户、企业与外包服务商之间可借助独立注册会计师的工作建立“信任的桥梁”。SOC报告具备客观性、持续性、高认可度及详细性等特质,可为企业与服务机构提供高质量信息,越来越多的行业已认识到SOC报告的价值:
对于志在实现数字化转型的企业:提供服务商甄选过程中的有效依据;降低自身的合规成本和风险;充分比较各服务商的内控及信息安全水平风险;减少对服务商定制化监控活动的投入。
对于志在参与数字化转型浪潮的服务机构:满足海外监管要求;增强系统安全性,有效管理平台风险;更透明地展示自身可信赖性,增强用户选择本服务的信心;满足服务合同中的合规要求;大量节省配合用户审计需求的投入。
此外,安永亦可提供基于《国际鉴证业务准则第3000号》(ISAE3000)等国际准则针对企业为客户提供的服务或企业使用的外包服务执行科技风险鉴证,为企业运营的可信需求提供专业的保障。
监管机构:
根据国家法律法规、海内外行业监管、自律规范、行业核心机构等合规指引,安永设计了完善的合规管理解决方案,从企业IT管理、系统能力、IT支持的业务等角度进行合规评估,并提供改进方案建议,以满足科技合规要求,提升IT抗风险能力、加强信息安全保护、强化数据治理能力。在包括信息安全、信息系统生命周期管理、业务连续性管理、IT外包、数据治理等在内的监管重点关注领域,从科技风险合规的角度为企业的数字化转型保驾护航。
科技风险咨询服务
因此,针对企业管理层、投资者、客户及外包服务商,以及监管机构,安永科技风险咨询服务分别基于如下解决方案为企业筑牢科技风险防护壁垒:
新兴科技风险管理:就企业应用新兴科技所带来的风险和影响进行评估,帮助企业发现问题,提供新兴科技风险管理解决方案,实现持续内部提升;
信息技术环境和数据评估与核查:为满足来自投资者、合作伙伴、监管机构及其他利益相关方对IT系统的运营管理状况和数据的完整、透明、真实、准确的需求,提供信息技术环境和数据评估与核查服务,满足投资、合作、上市等过程中的调查需求;
信息科技风险鉴证:就企业对依照相关准则落实的内部控制与安全措施系统进行鉴证检查,保障外部利益相关方的信心,建立企业与客户、企业与外包服务商之间的信任桥梁;
合规管理解决方案:依照监管要求对企业的IT流程、风险和控制进行评估,协助企业建设和加强合规体系,帮助企业管理监管合规以及相关风险。
随着数字时代的发展,科技风险已经成为风险管理领域越来越重要的部分和关注点。安永科技风险领域的全方位服务,将助力企业董事会、管理层及市场参与各方依靠强有力的控制措施,更好地理解和掌控企业在数字化转型中面临的科技风险和机遇,确保对企业成功实施数字化转型的信念,与各利益相关方建立信任的桥梁,以“信”为本,化“险”为“宜”。
