信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

數(shù)字風(fēng)險(xiǎn)是組織在數(shù)字化過程中，由于數(shù)字化戰(zhàn)略缺失、管控措施薄弱、新技術(shù)應(yīng)用不到位、數(shù)字技術(shù)對(duì)業(yè)務(wù)支持不足等造成的各類業(yè)務(wù)和技術(shù)風(fēng)險(xiǎn)。數(shù)字風(fēng)險(xiǎn)無處不在，各行各業(yè)都面臨各種數(shù)字風(fēng)險(xiǎn)的沖擊，如IT治理風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、數(shù)字化應(yīng)用風(fēng)險(xiǎn)、數(shù)字化轉(zhuǎn)型風(fēng)險(xiǎn)等，這些風(fēng)險(xiǎn)的存在將嚴(yán)重影響組織數(shù)字化進(jìn)程，因此，應(yīng)當(dāng)對(duì)數(shù)字風(fēng)險(xiǎn)進(jìn)行有效管理。

數(shù)字風(fēng)險(xiǎn)管理的4種方法

數(shù)字風(fēng)險(xiǎn)管理的核心就是識(shí)別、分析和因?qū)赡苡绊懡M織數(shù)字化運(yùn)營和發(fā)展目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)因素。它是企業(yè)整體管理戰(zhàn)略的關(guān)鍵組成部分，幫助組織從容面對(duì)不確定的外部環(huán)境，在保護(hù)數(shù)字資產(chǎn)的同時(shí)，也抓住不確定環(huán)境變化帶來的機(jī)會(huì)。

在實(shí)現(xiàn)數(shù)字風(fēng)險(xiǎn)管理的過程中，可以采用以下方法：

1

風(fēng)險(xiǎn)規(guī)避

風(fēng)險(xiǎn)規(guī)避是一種主動(dòng)式的風(fēng)險(xiǎn)管理方法，強(qiáng)調(diào)提前規(guī)避可能給組織帶來風(fēng)險(xiǎn)的行為或決策。雖然規(guī)避風(fēng)險(xiǎn)看上去似乎很簡(jiǎn)單，但實(shí)踐起來并不容易，需要認(rèn)真評(píng)估各種業(yè)務(wù)運(yùn)營的指標(biāo)參數(shù)，以確保不會(huì)阻礙業(yè)務(wù)增長(zhǎng)機(jī)會(huì)。同時(shí)，管理者需要思考決策在何時(shí)規(guī)避風(fēng)險(xiǎn)，以及采取穩(wěn)妥的行動(dòng)計(jì)劃。

組織可以采用徹底的風(fēng)險(xiǎn)評(píng)估和情景假設(shè)來權(quán)衡風(fēng)險(xiǎn)規(guī)避相比其他數(shù)字風(fēng)險(xiǎn)管理方法的成本和效益。這有助于確定風(fēng)險(xiǎn)規(guī)避是否符合組織的長(zhǎng)期數(shù)字發(fā)展戰(zhàn)略目標(biāo)和愿景，確保過于保守的方法沒有扼殺創(chuàng)新和進(jìn)步。

2

風(fēng)險(xiǎn)緩解

風(fēng)險(xiǎn)緩解是一種較常用的風(fēng)險(xiǎn)管理技術(shù)方法，需要實(shí)施一系列能夠降低風(fēng)險(xiǎn)發(fā)生概率或影響的措施。該管理方式強(qiáng)調(diào)在數(shù)字風(fēng)險(xiǎn)最小化風(fēng)險(xiǎn)和潛在效益最大化之間尋求平衡，確保組織的數(shù)字化進(jìn)程能夠保持彈性、靈活性和適應(yīng)性。

風(fēng)險(xiǎn)緩解已經(jīng)成為當(dāng)前企業(yè)數(shù)字風(fēng)險(xiǎn)管理的一個(gè)核心方面，旨在識(shí)別潛在風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)大小，并采取適當(dāng)?shù)男袆?dòng)來緩解風(fēng)險(xiǎn)。風(fēng)險(xiǎn)緩解旨在盡量減小不良事件發(fā)生的概率和發(fā)生后后果的嚴(yán)重程度。

3

風(fēng)險(xiǎn)接受

接受風(fēng)險(xiǎn)是組織數(shù)字風(fēng)險(xiǎn)管理過程中的一種戰(zhàn)略性選擇，管理者需要認(rèn)識(shí)到，在實(shí)現(xiàn)數(shù)字化業(yè)務(wù)目標(biāo)的過程中，一定程度的風(fēng)險(xiǎn)是不可避免的。這種方法表明了組織對(duì)其風(fēng)險(xiǎn)管理能力、準(zhǔn)備正面應(yīng)對(duì)挑戰(zhàn)的信心。

在選擇接受風(fēng)險(xiǎn)時(shí)，組織常常需要接受一些超出其風(fēng)險(xiǎn)承受能力的低概率風(fēng)險(xiǎn)，但是當(dāng)這種風(fēng)險(xiǎn)超出控制范圍時(shí)，組織就應(yīng)該提前規(guī)劃好應(yīng)對(duì)這些風(fēng)險(xiǎn)，即使其發(fā)生的概率很低。

如果有意識(shí)地接受某些風(fēng)險(xiǎn)，組織可以利用以前可能無法企及的機(jī)會(huì)。這可能會(huì)給企業(yè)帶來更大的回報(bào)和創(chuàng)新，從而建立數(shù)字化發(fā)展中的競(jìng)爭(zhēng)優(yōu)勢(shì)。然而，這個(gè)決定通常需要做些準(zhǔn)備，比如制定風(fēng)險(xiǎn)應(yīng)急計(jì)劃或預(yù)留儲(chǔ)備金，以便有效地應(yīng)對(duì)潛在的后果。

4

風(fēng)險(xiǎn)共擔(dān)（轉(zhuǎn)移）

風(fēng)險(xiǎn)共擔(dān)（轉(zhuǎn)移）是一種新型的數(shù)字風(fēng)險(xiǎn)管理方式，旨在將可能的數(shù)字風(fēng)險(xiǎn)潛在影響轉(zhuǎn)移給第三方，如網(wǎng)絡(luò)安全保險(xiǎn)機(jī)構(gòu)。另一種選擇是，作為轉(zhuǎn)移風(fēng)險(xiǎn)的合同條款，將數(shù)字化風(fēng)險(xiǎn)轉(zhuǎn)移給組織供應(yīng)鏈中的某家供應(yīng)商。這種風(fēng)險(xiǎn)管理方式的核心并非消除風(fēng)險(xiǎn)，而是在數(shù)字風(fēng)險(xiǎn)實(shí)際發(fā)生后，由第三方機(jī)構(gòu)或合作伙伴來一起分擔(dān)相關(guān)的影響和損失，以便組織將更多資源和經(jīng)歷關(guān)注到核心競(jìng)爭(zhēng)力的建設(shè)上。

有效的數(shù)字風(fēng)險(xiǎn)共擔(dān)（轉(zhuǎn)移）通常需要認(rèn)真地洽談和管理合同，以確保涉及的第三方能夠并愿意承擔(dān)指定的風(fēng)險(xiǎn)。此外，組織必須持續(xù)監(jiān)控和評(píng)估這些第三方的關(guān)系和績(jī)效，以緩解風(fēng)險(xiǎn)轉(zhuǎn)移策略可能帶來的任何新風(fēng)險(xiǎn)，比如合作伙伴不合規(guī)或財(cái)務(wù)不穩(wěn)定。

數(shù)字風(fēng)險(xiǎn)管理的關(guān)鍵技術(shù)

由于數(shù)字風(fēng)險(xiǎn)具有多面性，因此組織在開展數(shù)字風(fēng)險(xiǎn)管理時(shí)，也需要一系列廣泛的能力支撐，才能有效應(yīng)對(duì)各種特定的風(fēng)險(xiǎn)因素。

1

風(fēng)險(xiǎn)識(shí)別能力

管理數(shù)字風(fēng)險(xiǎn)的基礎(chǔ)就是要能夠有效識(shí)別潛在的風(fēng)險(xiǎn)。當(dāng)前，管理技術(shù)進(jìn)步大大加強(qiáng)了組織風(fēng)險(xiǎn)識(shí)別能力。通過使用數(shù)據(jù)分析、人工智能和機(jī)器學(xué)習(xí)，組織可以更準(zhǔn)確地預(yù)測(cè)和識(shí)別可能忽視的風(fēng)險(xiǎn)。

在識(shí)別數(shù)字分險(xiǎn)時(shí)，有幾個(gè)屢試不爽的方法，包括問卷調(diào)查、頭腦風(fēng)暴、專家咨詢和開展風(fēng)險(xiǎn)審計(jì)，這些措施都能夠很好地了解存在哪些風(fēng)險(xiǎn)以及需要緩解的風(fēng)險(xiǎn)。

•調(diào)查問卷

調(diào)查問卷對(duì)于識(shí)別風(fēng)險(xiǎn)至關(guān)重要。由于調(diào)查問卷可以在整個(gè)組織不同的利益相關(guān)者之間廣泛傳閱，因而更全面地洞察組織上下對(duì)面臨的許多風(fēng)險(xiǎn)的不同看法。這有助于風(fēng)險(xiǎn)管理團(tuán)隊(duì)更好地理解和識(shí)別風(fēng)險(xiǎn)以及如何有效地緩解風(fēng)險(xiǎn)。

•頭腦風(fēng)暴

如果讓利益相關(guān)者召開頭腦風(fēng)暴會(huì)探討潛在的風(fēng)險(xiǎn)，組織可以運(yùn)用第一手的經(jīng)驗(yàn)和新的想法，以完善組織的其他風(fēng)險(xiǎn)識(shí)別工作。頭腦風(fēng)暴有助于更好地理解不同的利益相關(guān)者如何看待業(yè)務(wù)風(fēng)險(xiǎn)，這樣組織可以更有策略地與組織目標(biāo)保持一致。

•專家咨詢

專家意見對(duì)于識(shí)別風(fēng)險(xiǎn)不可或缺。組織的風(fēng)險(xiǎn)識(shí)別流程可能存在偏見或缺口，外部專家?guī)砹瞬煌挠^點(diǎn)，有助于為風(fēng)險(xiǎn)管理流程的下幾步做好準(zhǔn)備。

•信息系統(tǒng)審計(jì)

開展信息系統(tǒng)審計(jì)是一種獨(dú)立的、客觀的確認(rèn)和咨詢活動(dòng)，包括鑒證、識(shí)別和分析問題以及提供管理建議和解決方案。有效地構(gòu)建和落地信息系統(tǒng)審計(jì)工作，需要從審計(jì)的定義、目標(biāo)、分類、范圍、內(nèi)容、組織、人員、方法、程序、工具、技能、系統(tǒng)和技術(shù)等方面綜合規(guī)劃。

2

風(fēng)險(xiǎn)評(píng)估能力

在識(shí)別風(fēng)險(xiǎn)以后，就應(yīng)該評(píng)估其潛在的影響和發(fā)生的概率。風(fēng)險(xiǎn)評(píng)估需要借助先進(jìn)的工具來實(shí)現(xiàn)，包括模擬模型和風(fēng)險(xiǎn)矩陣，這類工具可以深入洞察已識(shí)別風(fēng)險(xiǎn)的性質(zhì)和大小。若要進(jìn)行成功的IT風(fēng)險(xiǎn)評(píng)估，組織需要評(píng)估風(fēng)險(xiǎn)影響和概率，并分析內(nèi)部控制措施。組織的內(nèi)部控制措施可能是技術(shù)性的，也可能是非技術(shù)性的，因此評(píng)估必須涉及多方面。

3

風(fēng)險(xiǎn)整合能力

現(xiàn)代企業(yè)會(huì)存在大量的數(shù)字化風(fēng)險(xiǎn)，組織在管理和處置時(shí)，需要合并其中重復(fù)性的風(fēng)險(xiǎn)，剔除一些影響有限或者幾乎不可能實(shí)際發(fā)生的風(fēng)險(xiǎn)。通過合并風(fēng)險(xiǎn)，組織將擁有一套更清晰、更有效的風(fēng)險(xiǎn)管理流程。

4

優(yōu)先級(jí)評(píng)價(jià)

在數(shù)字風(fēng)險(xiǎn)管理工作中，組織需要就風(fēng)險(xiǎn)緩解的優(yōu)先級(jí)和策略達(dá)成共識(shí)。無論是所有人觀點(diǎn)一致，還是某一部分人同意風(fēng)險(xiǎn)和風(fēng)險(xiǎn)文檔，這需要視組織的具體管理情形而定。大多數(shù)風(fēng)險(xiǎn)管理框架都將風(fēng)險(xiǎn)優(yōu)先級(jí)設(shè)置作為一個(gè)正式要求，以避免在風(fēng)險(xiǎn)管理工作中引發(fā)不必要的沖突，并讓所有利益相關(guān)者就優(yōu)先事項(xiàng)達(dá)成一致。

5

集中管理能力

在這個(gè)環(huán)節(jié)，組織需要制作統(tǒng)一的風(fēng)險(xiǎn)管理目錄，以便于簡(jiǎn)化風(fēng)險(xiǎn)緩解流程，并防止過程中的混亂情況，因?yàn)橐磺卸技性谝惶?。這個(gè)流程可以使用流行的風(fēng)險(xiǎn)管理軟件實(shí)現(xiàn)自動(dòng)化和簡(jiǎn)化，這類解決方案可以監(jiān)控風(fēng)險(xiǎn)評(píng)估，并提供進(jìn)度快照，幫助組織及團(tuán)隊(duì)更有效地處理風(fēng)險(xiǎn)。

6

風(fēng)險(xiǎn)緩解能力

通過基于優(yōu)先級(jí)的風(fēng)險(xiǎn)評(píng)估，團(tuán)隊(duì)可以制定明確的風(fēng)險(xiǎn)緩解計(jì)劃和策略。風(fēng)險(xiǎn)緩解的實(shí)質(zhì)是對(duì)每個(gè)已確定的風(fēng)險(xiǎn)采取最適當(dāng)?shù)奶幹么胧?。先進(jìn)的風(fēng)險(xiǎn)緩解工具在這方面發(fā)揮著關(guān)鍵作用，它可以簡(jiǎn)化組織實(shí)施風(fēng)險(xiǎn)緩解策略的工作，并通過實(shí)時(shí)監(jiān)控和調(diào)整以改進(jìn)效果。此外，借助自動(dòng)化的測(cè)試手段，組織可以確保風(fēng)險(xiǎn)緩解措施實(shí)際起到了應(yīng)有的作用，并根據(jù)測(cè)試結(jié)果優(yōu)化當(dāng)前的風(fēng)險(xiǎn)管理計(jì)劃。

7

風(fēng)險(xiǎn)監(jiān)控能力

只有通過持續(xù)的監(jiān)控風(fēng)險(xiǎn)，組織才可以做到防患未然，隨時(shí)洞察數(shù)字化業(yè)務(wù)運(yùn)營中面臨的潛在威脅。這也需要使用先進(jìn)的監(jiān)控工具，實(shí)施控制持續(xù)監(jiān)控機(jī)制，才能有助于做到對(duì)風(fēng)險(xiǎn)管理計(jì)劃胸有成竹。實(shí)時(shí)的風(fēng)險(xiǎn)監(jiān)控也能夠讓組織確信當(dāng)前所采取的風(fēng)險(xiǎn)控制措施在發(fā)揮應(yīng)有的效果，因此可以將更多的時(shí)間花在緩解需要人工處理的數(shù)字風(fēng)險(xiǎn)上。