內部審計的視角來看，數字風險不是某種單一類型的風險，而是組織在數字化轉型和發展過程中，由于運用網絡和數字技術而遇到的一系列風險的統稱。數字風險與傳統風險相比，至少存在三個特點：一是數字風險廣泛存在于組織的方方面面。傳統風險往往與某些特定業務之間存在較強的關聯性，如果組織不開展這方面的業務，就無須在相關控制和防范措施上投入大量資源。但只要組織已經開始數字化轉型進程，就不可避免地會在戰略和各項具體業務層面遭遇數字風險。

　　二是數字風險的復雜性決定了應對風險的難度更大。由于數字風險涉及的業務類型多，產生影響的層次多、角度多，對這些風險進行管理所需的勝任能力同樣涉及多個領域的知識和技能，且對全局視野、戰略視角、溝通能力這類的“軟”技能的要求也更高。三是數字風險帶來負面影響的速度遠高于傳統風險。過去我們習慣于從發生的可能性和影響力兩個維度來對風險進行評價，但隨著新技術的廣泛運用，像數據泄露、網絡安全這類的問題可能在極短的時間內給組織在戰略和聲譽上造成沉重的打擊，這就意味著我們不能以傳統的眼光來審視數字風險。

　　既然應對數字風險的要求如此之高、難度如此之大，那么，是否還值得我們投入資源來對其進行管理和關注呢?答案顯然是肯定的。從字面意義就可以看出，談數字風險，首當其沖要考慮的就是對數據的保護和運用。隨著數字化轉型逐步深入，數據對組織的意義已發生根本性轉變——從過去的一項產品變為組織的一項關鍵資產。

　　運用數據的能力已成為組織在市場中脫穎而出的核心競爭力。除法律法規和監管規定的要求之外，提高對數據的保護和運用水平也已成為組織發展的自發需求和關鍵動力，而能否妥善應對數字風險在很大程度上決定了組織能否實現這一目標。國際內部審計師協會(IIA)通過與近百位知名企業的董事會成員、高級管理人員和內部審計負責人進行訪談，于近日發布了題為《聚焦風險2020》的研究報告，揭示了2020年最值得關注的11項風險，其中網絡安全、數據保護、業務連續性、數據和新技術、數據倫理等5項風險與網絡和數據技術直接相關，而其他6項分別是監管規定的變化、第三方風險、人才管理、組織文化、董事會對信息的獲取、可持續發展，也都與數字風險有著千絲萬縷的聯系。

　　內部審計職業的本質決定了我們的關注點必須永遠緊跟風險的動向。作為內部審計從業者，需要在組織的數字化轉型和發展過程中充分履行確認和咨詢職責，成為幫助組織應對數字風險的關鍵助力。要實現這一目標，首先需要吃透組織的數字化發展規劃，深入理解其中包含的關鍵舉措和涉及的相關技術，通過不斷提升在相關領域的勝任能力，為數字化轉型和發展的決策者提供富有價值的信息和建議，幫助組織及時應對出現的數字風險。同時，內部審計還要與組織內部的其他職能密切協作，整合資源，形成對風險的統一認識以及二三道防線聯動的工作機制。

　　具體來說，內部審計人員可以從以下方面著手：一是根據組織數字化戰略的需求，評估內部審計部門的整體勝任能力，對存在的缺陷通過招聘、培訓、輪崗、客座審計師、外包等方式予以彌補，確保在數字技術能力上能夠樹立起內部審計的權威性。二是在發揚審計傳統優勢的基礎上，熟悉和了解有關信息安全的框架和標準，如COBIT和ISO27001等，這些框架和標準不但能夠拓展審計人員的知識，還能夠為審計與信息安全部門建立對話和協作的基礎。

　　三是著眼組織數字治理環境，把對組織文化的關注融入審計項目，引導業務部門以合乎組織要求的方式管理和運用數據，確保組織的風險偏好得到遵循，價值得到保護和強化。四是提升審計職能自身的數字化程度和能力，持續監控有關數據的控制措施，利用持續審計手段和技術，實現對數據控制措施的實時關注。五是加強同業交流，關注行業數字化發展最佳實務，幫助組織了解有關數字化業務的最新理念和發展，將內部審計打造成為組織在應對數字風險時值得信賴的咨詢顧問和信息來源。

　　推薦閱讀：《中國審計信息與方法》主要版塊欄目：審計技術與方法財政審計、金融審計、企業審計、內部審計、注冊會計師園地等。