內(nèi)部審計的視角來看，數(shù)字風險不是某種單一類型的風險，而是組織在數(shù)字化轉(zhuǎn)型和發(fā)展過程中，由于運用網(wǎng)絡和數(shù)字技術而遇到的一系列風險的統(tǒng)稱。數(shù)字風險與傳統(tǒng)風險相比，至少存在三個特點：一是數(shù)字風險廣泛存在于組織的方方面面。傳統(tǒng)風險往往與某些特定業(yè)務之間存在較強的關聯(lián)性，如果組織不開展這方面的業(yè)務，就無須在相關控制和防范措施上投入大量資源。但只要組織已經(jīng)開始數(shù)字化轉(zhuǎn)型進程，就不可避免地會在戰(zhàn)略和各項具體業(yè)務層面遭遇數(shù)字風險。

　　二是數(shù)字風險的復雜性決定了應對風險的難度更大。由于數(shù)字風險涉及的業(yè)務類型多，產(chǎn)生影響的層次多、角度多，對這些風險進行管理所需的勝任能力同樣涉及多個領域的知識和技能，且對全局視野、戰(zhàn)略視角、溝通能力這類的“軟”技能的要求也更高。三是數(shù)字風險帶來負面影響的速度遠高于傳統(tǒng)風險。過去我們習慣于從發(fā)生的可能性和影響力兩個維度來對風險進行評價，但隨著新技術的廣泛運用，像數(shù)據(jù)泄露、網(wǎng)絡安全這類的問題可能在極短的時間內(nèi)給組織在戰(zhàn)略和聲譽上造成沉重的打擊，這就意味著我們不能以傳統(tǒng)的眼光來審視數(shù)字風險。

　　既然應對數(shù)字風險的要求如此之高、難度如此之大，那么，是否還值得我們投入資源來對其進行管理和關注呢?答案顯然是肯定的。從字面意義就可以看出，談數(shù)字風險，首當其沖要考慮的就是對數(shù)據(jù)的保護和運用。隨著數(shù)字化轉(zhuǎn)型逐步深入，數(shù)據(jù)對組織的意義已發(fā)生根本性轉(zhuǎn)變——從過去的一項產(chǎn)品變?yōu)榻M織的一項關鍵資產(chǎn)。

　　運用數(shù)據(jù)的能力已成為組織在市場中脫穎而出的核心競爭力。除法律法規(guī)和監(jiān)管規(guī)定的要求之外，提高對數(shù)據(jù)的保護和運用水平也已成為組織發(fā)展的自發(fā)需求和關鍵動力，而能否妥善應對數(shù)字風險在很大程度上決定了組織能否實現(xiàn)這一目標。國際內(nèi)部審計師協(xié)會(IIA)通過與近百位知名企業(yè)的董事會成員、高級管理人員和內(nèi)部審計負責人進行訪談，于近日發(fā)布了題為《聚焦風險2020》的研究報告，揭示了2020年最值得關注的11項風險，其中網(wǎng)絡安全、數(shù)據(jù)保護、業(yè)務連續(xù)性、數(shù)據(jù)和新技術、數(shù)據(jù)倫理等5項風險與網(wǎng)絡和數(shù)據(jù)技術直接相關，而其他6項分別是監(jiān)管規(guī)定的變化、第三方風險、人才管理、組織文化、董事會對信息的獲取、可持續(xù)發(fā)展，也都與數(shù)字風險有著千絲萬縷的聯(lián)系。

　　內(nèi)部審計職業(yè)的本質(zhì)決定了我們的關注點必須永遠緊跟風險的動向。作為內(nèi)部審計從業(yè)者，需要在組織的數(shù)字化轉(zhuǎn)型和發(fā)展過程中充分履行確認和咨詢職責，成為幫助組織應對數(shù)字風險的關鍵助力。要實現(xiàn)這一目標，首先需要吃透組織的數(shù)字化發(fā)展規(guī)劃，深入理解其中包含的關鍵舉措和涉及的相關技術，通過不斷提升在相關領域的勝任能力，為數(shù)字化轉(zhuǎn)型和發(fā)展的決策者提供富有價值的信息和建議，幫助組織及時應對出現(xiàn)的數(shù)字風險。同時，內(nèi)部審計還要與組織內(nèi)部的其他職能密切協(xié)作，整合資源，形成對風險的統(tǒng)一認識以及二三道防線聯(lián)動的工作機制。

　　具體來說，內(nèi)部審計人員可以從以下方面著手：一是根據(jù)組織數(shù)字化戰(zhàn)略的需求，評估內(nèi)部審計部門的整體勝任能力，對存在的缺陷通過招聘、培訓、輪崗、客座審計師、外包等方式予以彌補，確保在數(shù)字技術能力上能夠樹立起內(nèi)部審計的權威性。二是在發(fā)揚審計傳統(tǒng)優(yōu)勢的基礎上，熟悉和了解有關信息安全的框架和標準，如COBIT和ISO27001等，這些框架和標準不但能夠拓展審計人員的知識，還能夠為審計與信息安全部門建立對話和協(xié)作的基礎。

　　三是著眼組織數(shù)字治理環(huán)境，把對組織文化的關注融入審計項目，引導業(yè)務部門以合乎組織要求的方式管理和運用數(shù)據(jù)，確保組織的風險偏好得到遵循，價值得到保護和強化。四是提升審計職能自身的數(shù)字化程度和能力，持續(xù)監(jiān)控有關數(shù)據(jù)的控制措施，利用持續(xù)審計手段和技術，實現(xiàn)對數(shù)據(jù)控制措施的實時關注。五是加強同業(yè)交流，關注行業(yè)數(shù)字化發(fā)展最佳實務，幫助組織了解有關數(shù)字化業(yè)務的最新理念和發(fā)展，將內(nèi)部審計打造成為組織在應對數(shù)字風險時值得信賴的咨詢顧問和信息來源。

　　推薦閱讀：《中國審計信息與方法》主要版塊欄目：審計技術與方法財政審計、金融審計、企業(yè)審計、內(nèi)部審計、注冊會計師園地等。