X

互联网企业风险治理的重要性日益凸显

文 / 本刊记者 益达

互联网企业业务模式的快速创新与信息技术的深度应用,在给互联网企业带来巨大机遇的同时也面临着各类风险的挑战,IT风险治理的重要性日益凸显。

为深入洞察互联网企业信息科技风险治理面临的主要风险、治理现状以及存在的痛点和挑战,中国互联网协会信息技术(IT)风险治理工作委员会(以下简称工作委员会)会发起了《互联网企业信息科技风险治理现状调查问卷》。参与本次调研的互联网企业中约43.5%已开展出海业务,涉及全球多个国家和地区。其中,在欧盟成员国开城的企业占比最多,超过了66%。其次是美国(62.96%)和俄罗斯(55.56%)。除此之外,还有部分互联网企业选择在日本、印度、新加坡、马来西亚、澳大利亚等国家开城。

科技法律体系逐步完善,数据信息保护增强

根据调研报告发现,参与调研的大部分互联网企业设立了信息科技风险治理责任部门,其中,68%的受访企业已明确信息科技风险治理的实体责任部门,主要由风险、安全、合规、内控、法务等部门承担。18%的受访企业以跨部门的工作委员会形式开展工作。此外,14%的受访企业反馈尚未设立明确的责任部门,根据统计分析报告发现,尚未设立明确的责任部门的企业普遍规模较小,且非上市公司。

调研结果显示,仅有29.03%的企业设置了首席风险官(CRO)。而在信息科技风险治理责任人方面,由首席信息官(CIO)、首席信息安全官(CISO)承担企业信息科技风险治理责任的情况较多(18.18%),此外,部分企业由公司法人(13.64%)、首席执行官(CEO)(15.91%)、业务条线负责人(15.91%)承担信息科技风险治理责任,首席风险官(CRO)、首席技术官(CTO)占比较少,另外少数企业尚未明确信息科技风险治理责任人。这体现出部分互联网企业仍未形成职责明确、相互制衡的信息科技治理组织架构,风险管理责任人同时承担经营管理和决策,对风险管理工作的独立性有一定影响。

法律合规管理领域。近年来,我国网络空间法治不断推进,互联网企业所面临的信息科技法律体系日趋完善,以《网络安全法》为代表的网络安全立法顶层设计已基本完成,随着《数据安全法(草案)》《个人信息保护法(草案)》的陆续发布,即填补了我国数据安全管理方面的空白,也进一步构建了网络安全管理框架。《网络信息内容生态治理规定》的出台、《未成年保护法》新增“网络保护”章节,标志着互联网执法、司法体系不断提高。另一方面,个人信息保护一直是全球的热点话题,已有超过140个国家和地区正在开展个人信息保护立法工作,大幅度提升了互联网企业出海的合规门槛。因此,法律合规工作是互联网企业不可或缺的重要组成部分。

调研结果显示,93.48%的受访企业已设立独立的部门承担法律合规工作。而剩余6.52%尚未设立法律合规部门的企业均为员工数量小于500的规模较小的企业。从调研结果来看,个人信息保护与数据安全方面的法律合规已经引起了互联网企业的高度重视,其中93.48%的互联网企业已将个人信息保护作为企业法律合规重点,其次是业务安全管理与数据管理,占比均超过了70%。在开展法律合规工作中,对法律、行业规范和准则的追踪不及时(32.61%)、解读不准确(32.61%)并不是互联网公司面临的主要困难。50%的受访者所在企业认为难以根据法律法规准确评估企业运营现状是否符合合规要求才是现阶段最大的痛点。

除此之外,与信息科技风险治理整体情况相同,互联网企业法律合规工作过程存在的困难仍以人员因素为主,认为“法律合规专业人员缺少信息科技相关专业知识”的受访者占比为50%。在合规工具方面,超过60%的互联网企业部署的合规工具仅用于收集汇总法律合规文件,39.13%的企业形成了法律知识合规知识库。仅有21.74%的企业运用了智能化合规风险监测工具。这表明互联网企业法律合规工具普遍停留在基础法律文件的收集和管理层面,距离自动化、智能化地监测、评估和处置企业合规风险还有一定发展空间。

业务安全管理领域。在需要开展业务安全风险治理的企业中,由安全部门开展业务安全管理的占比最高(60.98%),其次是法律合规部门(58.54%)与业务部门(51.22%),风险管理部门、内控部门和审计部门也都涉及业务安全管理。在业务安全管理工作开展过程中,大部分的受访者认为企业的主要挑战为难以有效地识别和防范业务策略漏洞,而在技术漏洞和管理漏洞的识别方面,受访者普遍认为企业表现较为良好。此外,业务安全管理通常依赖于业务风控平台,根据调研结果显示,73.17%的受访企业自行研发了风控平台,17.07%的企业采用外购的服务平台,另外还有9.76%的企业尚未应用平台技术来管控业务安全。这说明互联网企业拥有较强的研发能力,通过自动化、智能化技术手段开展业务安全风控是互联网企业的主要趋势。

个人信息保护领域。在关注个人信息保护领域的企业中,90.48%的受访者认为其所在公司已经明确了个人信息保护责任人。其中,26.19%的企业明确个人信息保护责任部门为法律合规部门,28.57%的企业为信息安全部门,14.29%为数据管理部门,跨条线的工作委员会占比16.67%。从企业开展个人信息保护活动来看,超过90%的企业已对个人信息处理活动进行了记录,然而其中约23%的受访者认为企业在定期维护和更新记录方面存在困难。此外,超过80%的企业已建立个人信息保护政策和个人信息泄露应急处置预案,76.19%的受访者表示企业已开展个人信息安全影响评估。整体来看,大多数互联网企业已积极采取活动开展个人信息保护。在组织架构、管理政策和流程方面已建立较为完善的解决方案,而在搭建自动化的工具平台和审计活动方面相对滞后。

数据管理领域。根据调研结果显示,在数据质量管理方面已有超过50%的企业制定了企业级数据标准,实现了采集阶段的数据校验,并认为对于发现的数据质量问题能够及时整改。然而,仅有约35%的受访者认为其所涉及企业的数据质量足够支持数据价值实现。这表明虽然大部分企业已认识到数据管理的重要性,采取了积极的应对措施,然而目前企业数据质量对于支撑数据价值的充分实现仍有进一步提升空间。在数据安全管理方面,超过80%的企业已开展数据生命周期安全管理。约90%的企业已制定数据分类分级方法,然而24.44%的企业尚未根据分类分级方法对数据进行标识。在数据安全技术工具方面,数据防泄漏工具、全站加密传输、敏感信息加密存储、运维堡垒机以及密钥管理系统等数据安全解决方案在互联网企业应用较多。

内容治理领域。在开展网络内容服务的企业中,74.19%已设立网络内容生态治理负责人。在网络信息内容审查人员规模方面,大部分企业审查人员团队维持在千人以下,但也有6.45%的企业配置了超过万人的审查团队,这体现出网络信息内容服务平台在内容管理方面非常重视,资源投入高。

调研结果显示,在内容治理措施方面,建立用户账号管理体系(占比90.32%)、实时巡查平台内容(占比87.1%)等方式较为普及,多级人员审核和技术审核也是目前企业普遍采取的内容审核机制(占比77.4%)。同时,超过90%的受访者反馈企业已在网络信息内容服务平台设立了投诉举报渠道。但是,针对未成年人的保护措施目前仍比较欠缺(仅48.39%)。应用管理领域目前敏捷开发已成为互联网企业应用开发的主要模式。在涉及应用管理领域的企业中,30.30%的企业已由公司统一制定敏捷开发政策和细则。此外,45.45%的企业已在公司层面制定政策,由各事业部基于政策制定可落地的管理细则。然而约有25%的受访者认为企业敏捷开发管理制度方面存在不足。根据调研结果显示,分别有超过90.91%和超过75.76%的受访者认为其所在企业已在软件开发需求阶段考虑到隐私和安全方面的要求。这表明互联网企业已逐步落实Privacy by Design 和Security by Design的管理思路。

平台管理领域。随着互联网企业管理架构不断地发展和调整,实现内部资源共享或集中化管理的平台服务也逐渐成为互联网企业建设的重点。根据调研结果显示,大部分受访者所在企业均涉及对于数据平台、风控平台、运维平台、云平台、开发平台的管理活动。

互联网企业应及时回头看,提高风险管理水平

从调研情况来看,互联网企业普遍已经在法律合规、业务安全管理、个人信息保护、数据管理、内容治理、应用管理、平台管理、基础设施运行、新技术应用等领域开展了信息科技风险治理活动。同时,调研也总结出互联网企业在开展信息科技风险治理活动的过程中存在若干具有行业共性的发展特征和关键挑战。

部分互联网企业尚未形成职责明确、相互制衡的信息科技治理架构。在互联网企业发展前期,业务发展迅速,风险治理往往相对滞后。根据调研结果显示,部分互联网企业尚未建立起权、责、利对等的治理组织架构,科技风险管理缺少独立性和管理层支持,使得工作推进存在重重困难。数据成为互联网企业信息科技风险治理的重点。随着线上业务飞速发展,网络用户数量和网络活动产生的数据量呈井喷式增长,数据资产已经成为互联网企业的基石与核心竞争力。

个人信息保护与数据管理既是监管合规重点关注的方向,也是行业风险集中的领域。调研结果显示,互联网企业普遍在数据相关领域投入资源最多,开展信息科技风险活动也最为迫切。

互联网企业是“以科技治科技”的领军者,人员和生态因素成为科技风险治理的主要挑战。互联网企业具有领先的技术优势和自研发水平,通常依赖技术管控措施的方式进行风险管理,因此对于能够利用技术方式管控的风险往往表现良好。然而根据调研结果显示,对于互联网企业来说,最常发生及难以防范的风险事件却并非来自于信息技术本身,而是来自于合作伙伴、供应商以及员工。缺少针对新技术的风险管理指引和标准。

互联网企业是创新的试验田,在业务和运营模式不断推陈出新的同时,也在积极探索大数据、人工智能、区块链等新兴技术的深度应用。新的技术不可避免地会带来新的风险,而对于企业如何调整机制有效地应对新风险,目前国内外均缺乏相关指引、标准和可落地的解决方案。综合来看,中国互联网行业已经度过业务高速发展的初始阶段,迈入了稳定发展状态,企业应当回头审视自身的内部控制和风险管理水平,建立更加有效的治理架构,积极参与打造良好的生态环境。