信息化觀察網(wǎng)

隨著信息化進(jìn)程的加速，新技術(shù)的不斷革新深刻地影響著各行各業(yè)的運(yùn)營模式，數(shù)字化正在逐漸改變中國的企業(yè)競爭格局。在時(shí)代和政策的驅(qū)動(dòng)下，無論是初創(chuàng)公司還是成熟的企業(yè)，都在積極投身于數(shù)字化轉(zhuǎn)型，利用數(shù)字技術(shù)實(shí)現(xiàn)跨越式發(fā)展，以期利用數(shù)字化轉(zhuǎn)型占據(jù)競爭優(yōu)勢(shì)。

技術(shù)是數(shù)字化轉(zhuǎn)型必不可少的手段，企業(yè)利用信息技術(shù)為數(shù)字化轉(zhuǎn)型賦能。與此同時(shí)，業(yè)務(wù)與技術(shù)正在不斷地融合，企業(yè)的成功往往依賴于業(yè)務(wù)與技術(shù)以可信及可控的方式進(jìn)行有效整合。因此，在數(shù)字化轉(zhuǎn)型機(jī)遇下企業(yè)風(fēng)險(xiǎn)管理迎來了新的挑戰(zhàn)，如何有效管理科技風(fēng)險(xiǎn)，如何做到“可信可控”，尤為重要。

科技風(fēng)險(xiǎn)受技術(shù)進(jìn)步、全球化擴(kuò)張以及不斷健全的法律法規(guī)和標(biāo)準(zhǔn)等三大市場趨勢(shì)的驅(qū)動(dòng)。這些趨勢(shì)是長期的，且趨勢(shì)的步伐正在不斷加快，最終將導(dǎo)致商業(yè)環(huán)境發(fā)生翻天覆地的變化。實(shí)施新技術(shù)、業(yè)務(wù)全球化以及應(yīng)對(duì)不斷更新完善的法律法規(guī)和專業(yè)準(zhǔn)則的合規(guī)要求將會(huì)是企業(yè)的新常態(tài)。

技術(shù)進(jìn)步

技術(shù)進(jìn)步影響著企業(yè)的各個(gè)領(lǐng)域，人工智能（AI）、區(qū)塊鏈（Blockchain）、云計(jì)算（Cloud Computing）、大數(shù)據(jù)（Big Data）以及物聯(lián)網(wǎng)（IoT）等技術(shù)正在以前所未有的速度持續(xù)發(fā)展。企業(yè)正在使用新技術(shù)：

●顛覆商業(yè)模式

●革新業(yè)務(wù)、產(chǎn)品和服務(wù)

●創(chuàng)新客戶互動(dòng)方式

●與供應(yīng)商和合作伙伴溝通

●交易流程自動(dòng)化

●為用戶提供數(shù)據(jù)自服務(wù)訪問

●加強(qiáng)內(nèi)部控制

當(dāng)企業(yè)實(shí)施新技術(shù)來優(yōu)化業(yè)務(wù)時(shí)，一般會(huì)引入更多的應(yīng)用程序、輔助支撐技術(shù)和工具、外包服務(wù)商和供應(yīng)商。雖然最終呈獻(xiàn)給用戶的可能看起來只是一個(gè)簡單的場景，但背后卻是復(fù)雜的業(yè)務(wù)處理流程和技術(shù)。這種復(fù)雜性結(jié)合著每個(gè)流程中涌現(xiàn)的大量數(shù)據(jù)，往往呈現(xiàn)出管理責(zé)任人分散的特點(diǎn)，在企業(yè)中很少會(huì)有一個(gè)人可以了解全部的業(yè)務(wù)流程。技術(shù)進(jìn)步作為主導(dǎo)力量，正在增加業(yè)務(wù)流程和相關(guān)數(shù)據(jù)流的復(fù)雜性，進(jìn)而導(dǎo)致風(fēng)險(xiǎn)升級(jí)。

全球化擴(kuò)張

全球化是一股強(qiáng)大的變革力量，其進(jìn)程加速得益于貿(mào)易自由化和新興市場增長。近年來，眾多企業(yè)開拓海外市場并實(shí)現(xiàn)收入迅猛增長。在良好的社會(huì)經(jīng)濟(jì)趨勢(shì)驅(qū)動(dòng)下，經(jīng)濟(jì)增長為投資和收購創(chuàng)造了更多機(jī)會(huì)。

與技術(shù)進(jìn)步類似，全球化通過延伸范圍、增加客戶、定制和優(yōu)化業(yè)務(wù)流程、輔助支撐技術(shù)和工具使得業(yè)務(wù)復(fù)雜化。此外，全球化通常會(huì)增加外包流程，增加供應(yīng)商和數(shù)據(jù)中心的數(shù)量，并延伸或增加獨(dú)特的IT流程。很多國家和地區(qū)要求企業(yè)建立獨(dú)立的業(yè)務(wù)流程和支撐技術(shù)，因此，企業(yè)開拓海外市場，需要開發(fā)新的產(chǎn)品/服務(wù)或者修改現(xiàn)有的產(chǎn)品/服務(wù)，這意味著需要引入新的流程以及相關(guān)的支撐技術(shù)。全球化擴(kuò)張加劇了企業(yè)管理的復(fù)雜度以及管理風(fēng)險(xiǎn)，同時(shí)全球化增加了多方/多國的溝通，隨之而來的是更多合規(guī)性的考量。

不斷健全的法律法規(guī)和標(biāo)準(zhǔn)

新發(fā)布或修訂的法律法規(guī)和專業(yè)標(biāo)準(zhǔn)（例如，公司在向資本市場報(bào)告信息時(shí)必須遵守的會(huì)計(jì)準(zhǔn)則）通常要求企業(yè)變更其業(yè)務(wù)流程或?qū)嵤┬碌膽?yīng)用程序以收集、傳輸、修改及報(bào)告符合規(guī)定的信息。技術(shù)進(jìn)步、全球化和其他趨勢(shì)加快了商業(yè)步伐，隨之而來的還有新的法律、法規(guī)和專業(yè)標(biāo)準(zhǔn)。例如歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）、全國人大常委會(huì)頒布的《中華人民共和國網(wǎng)絡(luò)安全法》、證監(jiān)會(huì)頒布的《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》等等。

又如，隨著國家大灣區(qū)戰(zhàn)略的發(fā)展，香港大數(shù)據(jù)治理公會(huì)（Institute of Big Data Governance，IBDG）正在創(chuàng)建大灣區(qū)數(shù)據(jù)跨境計(jì)劃，利用香港作為國際大數(shù)據(jù)樞紐的優(yōu)勢(shì)，為各機(jī)構(gòu)數(shù)據(jù)的跨境傳輸提供單一認(rèn)證標(biāo)準(zhǔn)。IBDG正在與政府、監(jiān)管機(jī)構(gòu)、專業(yè)機(jī)構(gòu)、科研機(jī)構(gòu)、商界領(lǐng)袖等合作，該計(jì)劃的目標(biāo)是讓企業(yè)盡可能經(jīng)濟(jì)高效地獲得跨境數(shù)據(jù)流自由。在立法環(huán)境日益完善的時(shí)代背景下，企業(yè)管理層越來越關(guān)心立法、法規(guī)和合規(guī)相關(guān)話題。

這些新標(biāo)準(zhǔn)，以及新頒布的或修正的法律法規(guī)，可能需要企業(yè)重新規(guī)劃其業(yè)務(wù)流程，修改現(xiàn)有的應(yīng)用程序或?qū)嵤┬碌膽?yīng)用程序來滿足和遵守這些要求。這一過程會(huì)增加企業(yè)管理的復(fù)雜性，導(dǎo)致風(fēng)險(xiǎn)升級(jí)。

技術(shù)進(jìn)步、全球化擴(kuò)張和不斷健全的法律法規(guī)及專業(yè)標(biāo)準(zhǔn)增加了如新應(yīng)用系統(tǒng)、支持技術(shù)、工具、接口和服務(wù)提供商之間在業(yè)務(wù)和IT流程（包括外包流程）中的連接和相互依賴性，以及與法律實(shí)體、職能部門等監(jiān)管方面的互動(dòng)。新出現(xiàn)的這些連接、相互依賴性及互動(dòng)導(dǎo)致企業(yè)面對(duì)的各類風(fēng)險(xiǎn)加劇，同時(shí)也對(duì)各利益相關(guān)方之間的信任度提出挑戰(zhàn)。

變革轉(zhuǎn)型：在新態(tài)勢(shì)下，安永為企業(yè)與各利益相關(guān)方搭建信任的橋梁

不斷革新的新技術(shù)、日益洶涌的全球化趨勢(shì)、日趨健全的合規(guī)環(huán)境所帶來的不確定性增加了企業(yè)數(shù)字化轉(zhuǎn)型過程中的科技風(fēng)險(xiǎn)，以及對(duì)科技風(fēng)險(xiǎn)進(jìn)行高效管控的需求。是否“可信可控”，成為企業(yè)與監(jiān)管機(jī)構(gòu)、投資機(jī)構(gòu)、客戶、服務(wù)商/供應(yīng)商等多方關(guān)注的焦點(diǎn)。在新態(tài)勢(shì)下，安永科技風(fēng)險(xiǎn)咨詢服務(wù)致力于為企業(yè)與各利益相關(guān)方搭建信任的橋梁。

企業(yè)管理層：

針對(duì)企業(yè)數(shù)字化轉(zhuǎn)型過程中的各類場景，安永設(shè)計(jì)了新興技術(shù)應(yīng)用風(fēng)險(xiǎn)管理解決方案，就企業(yè)應(yīng)用“ABCDI”等新技術(shù)給企業(yè)運(yùn)營、風(fēng)險(xiǎn)管理和內(nèi)部控制帶來的影響進(jìn)行評(píng)估，幫助企業(yè)管理層發(fā)現(xiàn)問題，繼而提出相應(yīng)的改進(jìn)措施建議，以夯實(shí)圍繞新科技應(yīng)用的科技風(fēng)險(xiǎn)控制體系。

針對(duì)人工智能在數(shù)字化轉(zhuǎn)型中的應(yīng)用，幫助企業(yè)加強(qiáng)訪問控制和身份認(rèn)證，采取必要的驗(yàn)證和升級(jí)措施，對(duì)服務(wù)器、客戶端、軟件配置、負(fù)荷管理等進(jìn)行實(shí)時(shí)監(jiān)控和安全測(cè)試；

針對(duì)區(qū)塊鏈技術(shù)的應(yīng)用，幫助企業(yè)識(shí)別區(qū)塊鏈應(yīng)用平臺(tái)、智能合約、節(jié)點(diǎn)接入、共識(shí)機(jī)制、用戶自身管理等方面的風(fēng)險(xiǎn)，實(shí)施相應(yīng)控制以防止交易信息被篡改、私鑰丟失、隱私泄露；

針對(duì)云計(jì)算技術(shù)的應(yīng)用，幫助企業(yè)選型合規(guī)、可靠的云計(jì)算服務(wù)商，確保服務(wù)商在數(shù)據(jù)隔離、安全加密和可用保障等方面實(shí)施了適當(dāng)控制，從而幫助企業(yè)保證可用性及資源利用率，有效管理和監(jiān)控云服務(wù)商的服務(wù)質(zhì)量；

針對(duì)大數(shù)據(jù)的運(yùn)用，協(xié)助規(guī)范數(shù)據(jù)提取及交易程序，明確大數(shù)據(jù)收集主體與交易主體，加強(qiáng)對(duì)系統(tǒng)內(nèi)針對(duì)數(shù)據(jù)的不法行為的規(guī)制，杜絕信息篡改、竊取，保護(hù)個(gè)人隱私，促進(jìn)信息流的良性循環(huán)，保證數(shù)據(jù)的真實(shí)可靠；

針對(duì)新興的物聯(lián)網(wǎng)基礎(chǔ)設(shè)施，通過檢查網(wǎng)絡(luò)身份驗(yàn)證和訪問權(quán)限，鎖定外部到內(nèi)部網(wǎng)絡(luò)的連接，對(duì)物聯(lián)網(wǎng)設(shè)備制定安全標(biāo)準(zhǔn)并重新評(píng)估信息技術(shù)在整體安全中的作用，以防范可能發(fā)生的外部攻擊與業(yè)務(wù)失效等。

投資者：

在數(shù)字化時(shí)代，面對(duì)海量的運(yùn)營數(shù)據(jù)及虛擬資產(chǎn)，傳統(tǒng)的審計(jì)程序已經(jīng)難以滿足投資者對(duì)投資對(duì)象的信任要求，安永針對(duì)性地設(shè)計(jì)了信息系統(tǒng)環(huán)境和數(shù)據(jù)評(píng)估核查框架及方案，幫助完善新興科技行業(yè)的內(nèi)部管理流程，積極響應(yīng)外部投資者對(duì)信息系統(tǒng)、數(shù)據(jù)及運(yùn)營狀況的透明化需求，從核心運(yùn)營指標(biāo)披露校驗(yàn)、運(yùn)營數(shù)據(jù)匹配性分析、核心數(shù)據(jù)的完整性和準(zhǔn)確性排查以及公司信息系統(tǒng)內(nèi)部控制等各個(gè)方面對(duì)企業(yè)的科技環(huán)境、管理現(xiàn)狀和多維度數(shù)據(jù)進(jìn)行評(píng)估核查，與時(shí)俱進(jìn)地針對(duì)互聯(lián)網(wǎng)相關(guān)產(chǎn)業(yè)和特定業(yè)務(wù)模式和場景進(jìn)行審核，更有效和高效地確認(rèn)和展現(xiàn)企業(yè)的業(yè)務(wù)發(fā)展現(xiàn)狀。

客戶/外包服務(wù)商：

在企業(yè)為其客戶提供服務(wù)、企業(yè)使用外包服務(wù)的場景下，安永通過完善的科技風(fēng)險(xiǎn)鑒證服務(wù)方案為企業(yè)與客戶、企業(yè)與外包服務(wù)商之間構(gòu)建信任的橋梁。

SOC報(bào)告（System and Organization Controls Report）是由具有AICPA鑒證報(bào)告簽署資質(zhì)的會(huì)計(jì)師事務(wù)所出具的鑒證報(bào)告。通過SOC報(bào)告服務(wù)，企業(yè)與客戶、企業(yè)與外包服務(wù)商之間可借助獨(dú)立注冊(cè)會(huì)計(jì)師的工作建立“信任的橋梁”。SOC報(bào)告具備客觀性、持續(xù)性、高認(rèn)可度及詳細(xì)性等特質(zhì)，可為企業(yè)與服務(wù)機(jī)構(gòu)提供高質(zhì)量信息，越來越多的行業(yè)已認(rèn)識(shí)到SOC報(bào)告的價(jià)值：

對(duì)于志在實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的企業(yè)：提供服務(wù)商甄選過程中的有效依據(jù)；降低自身的合規(guī)成本和風(fēng)險(xiǎn)；充分比較各服務(wù)商的內(nèi)控及信息安全水平風(fēng)險(xiǎn)；減少對(duì)服務(wù)商定制化監(jiān)控活動(dòng)的投入。

對(duì)于志在參與數(shù)字化轉(zhuǎn)型浪潮的服務(wù)機(jī)構(gòu)：滿足海外監(jiān)管要求；增強(qiáng)系統(tǒng)安全性，有效管理平臺(tái)風(fēng)險(xiǎn)；更透明地展示自身可信賴性，增強(qiáng)用戶選擇本服務(wù)的信心；滿足服務(wù)合同中的合規(guī)要求；大量節(jié)省配合用戶審計(jì)需求的投入。

此外，安永亦可提供基于《國際鑒證業(yè)務(wù)準(zhǔn)則第3000號(hào)》（ISAE3000）等國際準(zhǔn)則針對(duì)企業(yè)為客戶提供的服務(wù)或企業(yè)使用的外包服務(wù)執(zhí)行科技風(fēng)險(xiǎn)鑒證，為企業(yè)運(yùn)營的可信需求提供專業(yè)的保障。

監(jiān)管機(jī)構(gòu)：

根據(jù)國家法律法規(guī)、海內(nèi)外行業(yè)監(jiān)管、自律規(guī)范、行業(yè)核心機(jī)構(gòu)等合規(guī)指引，安永設(shè)計(jì)了完善的合規(guī)管理解決方案，從企業(yè)IT管理、系統(tǒng)能力、IT支持的業(yè)務(wù)等角度進(jìn)行合規(guī)評(píng)估，并提供改進(jìn)方案建議，以滿足科技合規(guī)要求，提升IT抗風(fēng)險(xiǎn)能力、加強(qiáng)信息安全保護(hù)、強(qiáng)化數(shù)據(jù)治理能力。在包括信息安全、信息系統(tǒng)生命周期管理、業(yè)務(wù)連續(xù)性管理、IT外包、數(shù)據(jù)治理等在內(nèi)的監(jiān)管重點(diǎn)關(guān)注領(lǐng)域，從科技風(fēng)險(xiǎn)合規(guī)的角度為企業(yè)的數(shù)字化轉(zhuǎn)型保駕護(hù)航。

科技風(fēng)險(xiǎn)咨詢服務(wù)

因此，針對(duì)企業(yè)管理層、投資者、客戶及外包服務(wù)商，以及監(jiān)管機(jī)構(gòu)，安永科技風(fēng)險(xiǎn)咨詢服務(wù)分別基于如下解決方案為企業(yè)筑牢科技風(fēng)險(xiǎn)防護(hù)壁壘：

新興科技風(fēng)險(xiǎn)管理：就企業(yè)應(yīng)用新興科技所帶來的風(fēng)險(xiǎn)和影響進(jìn)行評(píng)估，幫助企業(yè)發(fā)現(xiàn)問題，提供新興科技風(fēng)險(xiǎn)管理解決方案，實(shí)現(xiàn)持續(xù)內(nèi)部提升；

信息技術(shù)環(huán)境和數(shù)據(jù)評(píng)估與核查：為滿足來自投資者、合作伙伴、監(jiān)管機(jī)構(gòu)及其他利益相關(guān)方對(duì)IT系統(tǒng)的運(yùn)營管理狀況和數(shù)據(jù)的完整、透明、真實(shí)、準(zhǔn)確的需求，提供信息技術(shù)環(huán)境和數(shù)據(jù)評(píng)估與核查服務(wù)，滿足投資、合作、上市等過程中的調(diào)查需求；

信息科技風(fēng)險(xiǎn)鑒證：就企業(yè)對(duì)依照相關(guān)準(zhǔn)則落實(shí)的內(nèi)部控制與安全措施系統(tǒng)進(jìn)行鑒證檢查，保障外部利益相關(guān)方的信心，建立企業(yè)與客戶、企業(yè)與外包服務(wù)商之間的信任橋梁；

合規(guī)管理解決方案：依照監(jiān)管要求對(duì)企業(yè)的IT流程、風(fēng)險(xiǎn)和控制進(jìn)行評(píng)估，協(xié)助企業(yè)建設(shè)和加強(qiáng)合規(guī)體系，幫助企業(yè)管理監(jiān)管合規(guī)以及相關(guān)風(fēng)險(xiǎn)。

隨著數(shù)字時(shí)代的發(fā)展，科技風(fēng)險(xiǎn)已經(jīng)成為風(fēng)險(xiǎn)管理領(lǐng)域越來越重要的部分和關(guān)注點(diǎn)。安永科技風(fēng)險(xiǎn)領(lǐng)域的全方位服務(wù)，將助力企業(yè)董事會(huì)、管理層及市場參與各方依靠強(qiáng)有力的控制措施，更好地理解和掌控企業(yè)在數(shù)字化轉(zhuǎn)型中面臨的科技風(fēng)險(xiǎn)和機(jī)遇，確保對(duì)企業(yè)成功實(shí)施數(shù)字化轉(zhuǎn)型的信念，與各利益相關(guān)方建立信任的橋梁，以“信”為本，化“險(xiǎn)”為“宜”。