中国互联网协会：2020年度互联网企业信息科技风险治理现状调研报告（17页）.pdf

1、根据调研结果显示，超过 88.7%的受访者所在企业的主营业务受工业和信息化部监管（见图 3）。此外，受经营范围影响，部分互联网企业还同时受到国家广播电视总局、中国人民银行、银行保险监督管理委员会、国家广播总局等机构监管。 在受访者所在企业中，占比最大的是非上市公司，约为 54%。此外，美股上市公司占比 19.35%，港股上市公司占比 12.9%，国内上市公司占比 17.74%。 参与本次调研的互联网企业中约 43.5%已开展出海业务，涉及全球多个国家和地区（见图 4）。其中，在欧盟成员国开城的企业占比最多，超过了 66%。其次是美国（62.96%）和俄罗斯（55.56%）。

2、除此之外，还有部分互联网企业选择在日本、印度、新加坡、马来西亚、澳大利亚等国家开城。 治理组织架构 治理组织架构是企业开展信息科技风险治理工作的基础。根据调研我们发现，参与调研的大部分互联网企业设立了信息科技风险治理责任部门，其中， 68%的受访企业已明确信息科技风险治理的实体责任部门，主要由风险、安全、合规、内控、法务等部门承担。18%的受访企业以跨部门的工作委员会形式开展工作。此外，14%的受访企业反馈尚未设立明确的责任部门，根据统计分析我们发现，尚未设立明确的责任部门的企业普遍规模较小，且非上市公司。 调研结果显示，仅有 29.03%的企业设置了首席风险官（

3、CRO）。而在信息科技风险治理责任人方面（见图5），由首席信息官（CIO）、首席信息安全官（CISO）承担企业信息科技风险治理责任的情况较多（18.18%），此外，部分企业由公司法人（13.64%）、首席执行官（CEO）（15.91%）、业务条线负责人（15.91%）承担信息科技风险治理责任，首席风险官（CRO）、首席技术官(CTO)占比较少，另外少数企业尚未明确信息科技风险治理责任人。这体现出部分互联网企业仍未形成职责明确、相互制衡的信息科技治理组织架构，风险管理责任人同时承担经营管理和决策，对风险管理工作的独立性有一定影响。风险管理策略 问卷针对互联网企业信息科技风险治理目标进行

4、了调研。调研结果显示互联网企业开展信息科技风险治理活动最主要的目标是为了保障业务正常运营（83.87%）和防范信息科技风险事件（85.48%），其次是为了符合监管合规要求（82.26%）。对比以上，较少企业将承担社会责任（64.52%）和获取资质（46.77%）作为主要的风险治理目标。 从面临的主要风险*来源来看（见图 6），受访者所在互联网企业普遍认为来自合作伙伴、软硬件供应商、外包服务商和同业企业的生态风险最高（61.13%）。其次是来自于人员有意或无意的违规操作（56.45%）与不符合法律法规和监管要求（41.94%）的风险。来自信息系统软硬件缺陷和管理制度流程缺失的风险相对较少，分别为 32.26%和 35.48%。