信息化觀察網(wǎng)

隨著信息化進(jìn)程的加速，新技術(shù)的不斷革新深刻地影響著各行各業(yè)的運營模式，數(shù)字化正在逐漸改變中國的企業(yè)競爭格局。在時代和政策的驅(qū)動下，無論是初創(chuàng)公司還是成熟的企業(yè)，都在積極投身于數(shù)字化轉(zhuǎn)型，利用數(shù)字技術(shù)實現(xiàn)跨越式發(fā)展，以期利用數(shù)字化轉(zhuǎn)型占據(jù)競爭優(yōu)勢。

技術(shù)是數(shù)字化轉(zhuǎn)型必不可少的手段，企業(yè)利用信息技術(shù)為數(shù)字化轉(zhuǎn)型賦能。與此同時，業(yè)務(wù)與技術(shù)正在不斷地融合，企業(yè)的成功往往依賴于業(yè)務(wù)與技術(shù)以可信及可控的方式進(jìn)行有效整合。因此，在數(shù)字化轉(zhuǎn)型機遇下企業(yè)風(fēng)險管理迎來了新的挑戰(zhàn)，如何有效管理科技風(fēng)險，如何做到“可信可控”，尤為重要。

科技風(fēng)險受技術(shù)進(jìn)步、全球化擴張以及不斷健全的法律法規(guī)和標(biāo)準(zhǔn)等三大市場趨勢的驅(qū)動。這些趨勢是長期的，且趨勢的步伐正在不斷加快，最終將導(dǎo)致商業(yè)環(huán)境發(fā)生翻天覆地的變化。實施新技術(shù)、業(yè)務(wù)全球化以及應(yīng)對不斷更新完善的法律法規(guī)和專業(yè)準(zhǔn)則的合規(guī)要求將會是企業(yè)的新常態(tài)。

技術(shù)進(jìn)步

技術(shù)進(jìn)步影響著企業(yè)的各個領(lǐng)域，人工智能（AI）、區(qū)塊鏈（Blockchain）、云計算（Cloud Computing）、大數(shù)據(jù)（Big Data）以及物聯(lián)網(wǎng)（IoT）等技術(shù)正在以前所未有的速度持續(xù)發(fā)展。企業(yè)正在使用新技術(shù)：

●顛覆商業(yè)模式

●革新業(yè)務(wù)、產(chǎn)品和服務(wù)

●創(chuàng)新客戶互動方式

●與供應(yīng)商和合作伙伴溝通

●交易流程自動化

●為用戶提供數(shù)據(jù)自服務(wù)訪問

●加強內(nèi)部控制

當(dāng)企業(yè)實施新技術(shù)來優(yōu)化業(yè)務(wù)時，一般會引入更多的應(yīng)用程序、輔助支撐技術(shù)和工具、外包服務(wù)商和供應(yīng)商。雖然最終呈獻(xiàn)給用戶的可能看起來只是一個簡單的場景，但背后卻是復(fù)雜的業(yè)務(wù)處理流程和技術(shù)。這種復(fù)雜性結(jié)合著每個流程中涌現(xiàn)的大量數(shù)據(jù)，往往呈現(xiàn)出管理責(zé)任人分散的特點，在企業(yè)中很少會有一個人可以了解全部的業(yè)務(wù)流程。技術(shù)進(jìn)步作為主導(dǎo)力量，正在增加業(yè)務(wù)流程和相關(guān)數(shù)據(jù)流的復(fù)雜性，進(jìn)而導(dǎo)致風(fēng)險升級。

全球化擴張

全球化是一股強大的變革力量，其進(jìn)程加速得益于貿(mào)易自由化和新興市場增長。近年來，眾多企業(yè)開拓海外市場并實現(xiàn)收入迅猛增長。在良好的社會經(jīng)濟(jì)趨勢驅(qū)動下，經(jīng)濟(jì)增長為投資和收購創(chuàng)造了更多機會。

與技術(shù)進(jìn)步類似，全球化通過延伸范圍、增加客戶、定制和優(yōu)化業(yè)務(wù)流程、輔助支撐技術(shù)和工具使得業(yè)務(wù)復(fù)雜化。此外，全球化通常會增加外包流程，增加供應(yīng)商和數(shù)據(jù)中心的數(shù)量，并延伸或增加獨特的IT流程。很多國家和地區(qū)要求企業(yè)建立獨立的業(yè)務(wù)流程和支撐技術(shù)，因此，企業(yè)開拓海外市場，需要開發(fā)新的產(chǎn)品/服務(wù)或者修改現(xiàn)有的產(chǎn)品/服務(wù)，這意味著需要引入新的流程以及相關(guān)的支撐技術(shù)。全球化擴張加劇了企業(yè)管理的復(fù)雜度以及管理風(fēng)險，同時全球化增加了多方/多國的溝通，隨之而來的是更多合規(guī)性的考量。

不斷健全的法律法規(guī)和標(biāo)準(zhǔn)

新發(fā)布或修訂的法律法規(guī)和專業(yè)標(biāo)準(zhǔn)（例如，公司在向資本市場報告信息時必須遵守的會計準(zhǔn)則）通常要求企業(yè)變更其業(yè)務(wù)流程或?qū)嵤┬碌膽?yīng)用程序以收集、傳輸、修改及報告符合規(guī)定的信息。技術(shù)進(jìn)步、全球化和其他趨勢加快了商業(yè)步伐，隨之而來的還有新的法律、法規(guī)和專業(yè)標(biāo)準(zhǔn)。例如歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）、全國人大常委會頒布的《中華人民共和國網(wǎng)絡(luò)安全法》、證監(jiān)會頒布的《證券基金經(jīng)營機構(gòu)信息技術(shù)管理辦法》等等。

又如，隨著國家大灣區(qū)戰(zhàn)略的發(fā)展，香港大數(shù)據(jù)治理公會（Institute of Big Data Governance，IBDG）正在創(chuàng)建大灣區(qū)數(shù)據(jù)跨境計劃，利用香港作為國際大數(shù)據(jù)樞紐的優(yōu)勢，為各機構(gòu)數(shù)據(jù)的跨境傳輸提供單一認(rèn)證標(biāo)準(zhǔn)。IBDG正在與政府、監(jiān)管機構(gòu)、專業(yè)機構(gòu)、科研機構(gòu)、商界領(lǐng)袖等合作，該計劃的目標(biāo)是讓企業(yè)盡可能經(jīng)濟(jì)高效地獲得跨境數(shù)據(jù)流自由。在立法環(huán)境日益完善的時代背景下，企業(yè)管理層越來越關(guān)心立法、法規(guī)和合規(guī)相關(guān)話題。

這些新標(biāo)準(zhǔn)，以及新頒布的或修正的法律法規(guī)，可能需要企業(yè)重新規(guī)劃其業(yè)務(wù)流程，修改現(xiàn)有的應(yīng)用程序或?qū)嵤┬碌膽?yīng)用程序來滿足和遵守這些要求。這一過程會增加企業(yè)管理的復(fù)雜性，導(dǎo)致風(fēng)險升級。

技術(shù)進(jìn)步、全球化擴張和不斷健全的法律法規(guī)及專業(yè)標(biāo)準(zhǔn)增加了如新應(yīng)用系統(tǒng)、支持技術(shù)、工具、接口和服務(wù)提供商之間在業(yè)務(wù)和IT流程（包括外包流程）中的連接和相互依賴性，以及與法律實體、職能部門等監(jiān)管方面的互動。新出現(xiàn)的這些連接、相互依賴性及互動導(dǎo)致企業(yè)面對的各類風(fēng)險加劇，同時也對各利益相關(guān)方之間的信任度提出挑戰(zhàn)。

變革轉(zhuǎn)型：在新態(tài)勢下，安永為企業(yè)與各利益相關(guān)方搭建信任的橋梁

不斷革新的新技術(shù)、日益洶涌的全球化趨勢、日趨健全的合規(guī)環(huán)境所帶來的不確定性增加了企業(yè)數(shù)字化轉(zhuǎn)型過程中的科技風(fēng)險，以及對科技風(fēng)險進(jìn)行高效管控的需求。是否“可信可控”，成為企業(yè)與監(jiān)管機構(gòu)、投資機構(gòu)、客戶、服務(wù)商/供應(yīng)商等多方關(guān)注的焦點。在新態(tài)勢下，安永科技風(fēng)險咨詢服務(wù)致力于為企業(yè)與各利益相關(guān)方搭建信任的橋梁。

企業(yè)管理層：

針對企業(yè)數(shù)字化轉(zhuǎn)型過程中的各類場景，安永設(shè)計了新興技術(shù)應(yīng)用風(fēng)險管理解決方案，就企業(yè)應(yīng)用“ABCDI”等新技術(shù)給企業(yè)運營、風(fēng)險管理和內(nèi)部控制帶來的影響進(jìn)行評估，幫助企業(yè)管理層發(fā)現(xiàn)問題，繼而提出相應(yīng)的改進(jìn)措施建議，以夯實圍繞新科技應(yīng)用的科技風(fēng)險控制體系。

針對人工智能在數(shù)字化轉(zhuǎn)型中的應(yīng)用，幫助企業(yè)加強訪問控制和身份認(rèn)證，采取必要的驗證和升級措施，對服務(wù)器、客戶端、軟件配置、負(fù)荷管理等進(jìn)行實時監(jiān)控和安全測試；

針對區(qū)塊鏈技術(shù)的應(yīng)用，幫助企業(yè)識別區(qū)塊鏈應(yīng)用平臺、智能合約、節(jié)點接入、共識機制、用戶自身管理等方面的風(fēng)險，實施相應(yīng)控制以防止交易信息被篡改、私鑰丟失、隱私泄露；

針對云計算技術(shù)的應(yīng)用，幫助企業(yè)選型合規(guī)、可靠的云計算服務(wù)商，確保服務(wù)商在數(shù)據(jù)隔離、安全加密和可用保障等方面實施了適當(dāng)控制，從而幫助企業(yè)保證可用性及資源利用率，有效管理和監(jiān)控云服務(wù)商的服務(wù)質(zhì)量；

針對大數(shù)據(jù)的運用，協(xié)助規(guī)范數(shù)據(jù)提取及交易程序，明確大數(shù)據(jù)收集主體與交易主體，加強對系統(tǒng)內(nèi)針對數(shù)據(jù)的不法行為的規(guī)制，杜絕信息篡改、竊取，保護(hù)個人隱私，促進(jìn)信息流的良性循環(huán)，保證數(shù)據(jù)的真實可靠；

針對新興的物聯(lián)網(wǎng)基礎(chǔ)設(shè)施，通過檢查網(wǎng)絡(luò)身份驗證和訪問權(quán)限，鎖定外部到內(nèi)部網(wǎng)絡(luò)的連接，對物聯(lián)網(wǎng)設(shè)備制定安全標(biāo)準(zhǔn)并重新評估信息技術(shù)在整體安全中的作用，以防范可能發(fā)生的外部攻擊與業(yè)務(wù)失效等。

投資者：

在數(shù)字化時代，面對海量的運營數(shù)據(jù)及虛擬資產(chǎn)，傳統(tǒng)的審計程序已經(jīng)難以滿足投資者對投資對象的信任要求，安永針對性地設(shè)計了信息系統(tǒng)環(huán)境和數(shù)據(jù)評估核查框架及方案，幫助完善新興科技行業(yè)的內(nèi)部管理流程，積極響應(yīng)外部投資者對信息系統(tǒng)、數(shù)據(jù)及運營狀況的透明化需求，從核心運營指標(biāo)披露校驗、運營數(shù)據(jù)匹配性分析、核心數(shù)據(jù)的完整性和準(zhǔn)確性排查以及公司信息系統(tǒng)內(nèi)部控制等各個方面對企業(yè)的科技環(huán)境、管理現(xiàn)狀和多維度數(shù)據(jù)進(jìn)行評估核查，與時俱進(jìn)地針對互聯(lián)網(wǎng)相關(guān)產(chǎn)業(yè)和特定業(yè)務(wù)模式和場景進(jìn)行審核，更有效和高效地確認(rèn)和展現(xiàn)企業(yè)的業(yè)務(wù)發(fā)展現(xiàn)狀。

客戶/外包服務(wù)商：

在企業(yè)為其客戶提供服務(wù)、企業(yè)使用外包服務(wù)的場景下，安永通過完善的科技風(fēng)險鑒證服務(wù)方案為企業(yè)與客戶、企業(yè)與外包服務(wù)商之間構(gòu)建信任的橋梁。

SOC報告（System and Organization Controls Report）是由具有AICPA鑒證報告簽署資質(zhì)的會計師事務(wù)所出具的鑒證報告。通過SOC報告服務(wù)，企業(yè)與客戶、企業(yè)與外包服務(wù)商之間可借助獨立注冊會計師的工作建立“信任的橋梁”。SOC報告具備客觀性、持續(xù)性、高認(rèn)可度及詳細(xì)性等特質(zhì)，可為企業(yè)與服務(wù)機構(gòu)提供高質(zhì)量信息，越來越多的行業(yè)已認(rèn)識到SOC報告的價值：

對于志在實現(xiàn)數(shù)字化轉(zhuǎn)型的企業(yè)：提供服務(wù)商甄選過程中的有效依據(jù)；降低自身的合規(guī)成本和風(fēng)險；充分比較各服務(wù)商的內(nèi)控及信息安全水平風(fēng)險；減少對服務(wù)商定制化監(jiān)控活動的投入。

對于志在參與數(shù)字化轉(zhuǎn)型浪潮的服務(wù)機構(gòu)：滿足海外監(jiān)管要求；增強系統(tǒng)安全性，有效管理平臺風(fēng)險；更透明地展示自身可信賴性，增強用戶選擇本服務(wù)的信心；滿足服務(wù)合同中的合規(guī)要求；大量節(jié)省配合用戶審計需求的投入。

此外，安永亦可提供基于《國際鑒證業(yè)務(wù)準(zhǔn)則第3000號》（ISAE3000）等國際準(zhǔn)則針對企業(yè)為客戶提供的服務(wù)或企業(yè)使用的外包服務(wù)執(zhí)行科技風(fēng)險鑒證，為企業(yè)運營的可信需求提供專業(yè)的保障。

監(jiān)管機構(gòu)：

根據(jù)國家法律法規(guī)、海內(nèi)外行業(yè)監(jiān)管、自律規(guī)范、行業(yè)核心機構(gòu)等合規(guī)指引，安永設(shè)計了完善的合規(guī)管理解決方案，從企業(yè)IT管理、系統(tǒng)能力、IT支持的業(yè)務(wù)等角度進(jìn)行合規(guī)評估，并提供改進(jìn)方案建議，以滿足科技合規(guī)要求，提升IT抗風(fēng)險能力、加強信息安全保護(hù)、強化數(shù)據(jù)治理能力。在包括信息安全、信息系統(tǒng)生命周期管理、業(yè)務(wù)連續(xù)性管理、IT外包、數(shù)據(jù)治理等在內(nèi)的監(jiān)管重點關(guān)注領(lǐng)域，從科技風(fēng)險合規(guī)的角度為企業(yè)的數(shù)字化轉(zhuǎn)型保駕護(hù)航。

科技風(fēng)險咨詢服務(wù)

因此，針對企業(yè)管理層、投資者、客戶及外包服務(wù)商，以及監(jiān)管機構(gòu)，安永科技風(fēng)險咨詢服務(wù)分別基于如下解決方案為企業(yè)筑牢科技風(fēng)險防護(hù)壁壘：

新興科技風(fēng)險管理：就企業(yè)應(yīng)用新興科技所帶來的風(fēng)險和影響進(jìn)行評估，幫助企業(yè)發(fā)現(xiàn)問題，提供新興科技風(fēng)險管理解決方案，實現(xiàn)持續(xù)內(nèi)部提升；

信息技術(shù)環(huán)境和數(shù)據(jù)評估與核查：為滿足來自投資者、合作伙伴、監(jiān)管機構(gòu)及其他利益相關(guān)方對IT系統(tǒng)的運營管理狀況和數(shù)據(jù)的完整、透明、真實、準(zhǔn)確的需求，提供信息技術(shù)環(huán)境和數(shù)據(jù)評估與核查服務(wù)，滿足投資、合作、上市等過程中的調(diào)查需求；

信息科技風(fēng)險鑒證：就企業(yè)對依照相關(guān)準(zhǔn)則落實的內(nèi)部控制與安全措施系統(tǒng)進(jìn)行鑒證檢查，保障外部利益相關(guān)方的信心，建立企業(yè)與客戶、企業(yè)與外包服務(wù)商之間的信任橋梁；

合規(guī)管理解決方案：依照監(jiān)管要求對企業(yè)的IT流程、風(fēng)險和控制進(jìn)行評估，協(xié)助企業(yè)建設(shè)和加強合規(guī)體系，幫助企業(yè)管理監(jiān)管合規(guī)以及相關(guān)風(fēng)險。

隨著數(shù)字時代的發(fā)展，科技風(fēng)險已經(jīng)成為風(fēng)險管理領(lǐng)域越來越重要的部分和關(guān)注點。安永科技風(fēng)險領(lǐng)域的全方位服務(wù)，將助力企業(yè)董事會、管理層及市場參與各方依靠強有力的控制措施，更好地理解和掌控企業(yè)在數(shù)字化轉(zhuǎn)型中面臨的科技風(fēng)險和機遇，確保對企業(yè)成功實施數(shù)字化轉(zhuǎn)型的信念，與各利益相關(guān)方建立信任的橋梁，以“信”為本，化“險”為“宜”。