编者按:进入2026年，ISACA Now博客开启新一年“数字信任”系列专题，聚焦塑造未来的关键议题。在本周的系列文章中，我们将目光投向风控从业者——以下五个问题，将在接下来的几个月里深刻影响你的工作方向。更多风险资源，请参见ISACA官网。

规划2026年，并不是要防范某一种压倒性的威胁，而是要同时应对多重压力：数字中断已成常态；供应链不仅依赖物流，更受政策左右；人工智能（AI）以不易察觉的方式影响决策；地缘政治波及能源与技术获取；预算日益紧张，但各方期望却不断攀升。

这些问题本身并不新鲜，真正变化的是“随时待命”的必要性。能在2026年从容应对挑战的组织，并非那些预测最准的，而是那些反应迅速、能守护价值并维系信任的。对治理、风险与鉴证专业人士而言，这意味着职责清晰、能力经过演练、决策充满信心。

在此背景下，以下五个风险问题将深刻影响组织如何有效驾驭新的一年：

01 当“中断”成为日常，我们的韧性够强吗？

如今，网络事件已是日常运营的一部分。《2025年数据泄露成本报告》显示，全球单次数据泄露平均成本达444万美元，但许多组织指出，最大损失并非来自泄露本身，而是服务中断带来的连锁反应。

中断往往始于看似普通的操作：一次配置变更、一个云地域故障，或一次软件更新。2024年CrowdStrike事件就表明，当众多组织依赖同一技术栈时，一次例行更新也可能引发全球性震荡。尽管技术和业务功能最终恢复，但客户服务、运营效率和用户信心数日都未能复原。

对治理、风险与鉴证专业人士来说，韧性是一种需要反复演练的能力——恢复必须协调有序，角色分工明确，沟通快速透明。如今，管理层会问：

• 出现中断时，谁负最终责任？

• 信息不全时，如何做决策？

• 我们做过哪些演练来确保响应有效？

关键启示： 曾开展桌面推演或模拟演练的组织，在真实中断发生时反应更快、协作更顺畅。

02 当地缘政治冲击技术供应链，风险该如何管理？

技术供应链如今高度政治化——涵盖云可用区、海底光缆、开源库、芯片制造乃至AI模型托管。任一环节出问题，都可能波及全局。制裁、出口管制和国家政策不仅影响实体商品，也左右算力资源、数据存放位置以及高端芯片的获取。

这种影响早已超越国界。例如，某些国家要求AI模型及其训练数据必须本地部署，迫使企业重新设计架构或迁移工作负载。随着各国竞相打造“主权 AI”，算力获取本身已成为战略风险。关注点已从“成本”转向“控制”：谁拥有技术？在哪里可用？受什么规则约束？

领导者现在提出的问题远超采购范畴：

• 哪些云可用区和供应商不可或缺？

• 一级供应商之外，依赖链延伸多远？

• 合同是否支持替代方案、可移植性和业务连续性？

对专业人士而言，这属于三、四级供应商风险。他们通过提供鉴证与可视性，帮助组织在环境突变时仍能做出可靠决策。

关键启示：对供应链的可见性、韧性预期和连续性安排，如今已是战略核心。

03 能否把AI当作系统而非工具来治理？

AI正在渗透组织各个角落：办公软件帮你润色措辞，客服平台自动生成回复，开发者直接采纳AI编写的代码。这些看似微小的行为，实则悄然塑造最终结果。

据AI事件追踪数据库显示，多数已报告的事故并非源于模型失效，而是未经审查的决策所致。例如，AI生成的合同条款引用了一条根本不存在的法规，却仍被批准执行。真正的风险在于“未经质疑的确信”。

对此，管理层开始追问：

• 谁批准了这项决策？

• 有何证据表明它经过审核？

• 我们如何判断结果合理？

监管机构也在同步行动。《欧盟AI法案》强调问责、可解释性与文档记录——不要求高管理解模型细节，但要求他们对AI的使用方式负责，并提供决策已受审查的证明。

对科技风险专业人士而言，将AI视为系统治理，意味着关注其在整个工作流中的使用方式，而非孤立评估每个工具。控制措施应确保合理使用、有效监督和审查留痕，例如设置“人在环路”检查点、决策日志和审计轨迹。

关键启示： AI风险本质上是治理风险。权责清晰比算法本身更重要。

04 数字化雄心不减，预算却在收紧——缓冲在哪里？

组织仍在推进数字化转型，但财务环境已不容试错。在增长放缓的背景下，每一项战略投入都必须证明其价值。

领导者越来越常问：

• 这到底解决什么问题？

• 预期成果是什么？

• 如何衡量成功？

这正是COBIT框架中的“价值治理”。有些投入（如网络安全）无法推迟——拖延只会放大风险、推高长期成本；而另一些则可暂缓。例如，面向客户的聊天机器人虽有用，但如果身份认证机制已过时，那么优先加固身份验证才是正解。核心原则是：先保障组织安全运转，再考虑新增功能。

风险控制专业人士将技术提案与风险、成果及运营影响挂钩，协助管理层判断哪些项目该推进、哪些可延后、哪些必须保护。

关键启示： 战略取舍至关重要。优先投资夯实核心能力，暂缓非关键功能。

05 在“数字优先”时代，风险专业该如何进化？

自动化正在接管曾需人工完成的风险任务：仪表盘自动更新，阈值触发实时告警，甚至能在风险显现前就发出预警。这些进步虽减轻了操作负担，却也抬高了期待。

高管们如今要的不再是信息堆砌，而是洞见——他们想知道：

• 什么最重要？

• 为什么重要？

• 接下来该做什么？

这一趋势在多项调研中均有体现，包括《2024年普华永道全球风险调查》，其中大多数高管表示，他们希望风险团队提供指导，而不仅是报告。

这一转变正在重塑专业工作。风险与鉴证团队如今需将数据置于业务语境中，预判风险间的联动效应，并阐明不同选择如何影响结果。沟通能力、系统思维和伦理判断正成为核心技能。角色正从“描述风险”转向“在信息不全时，帮助领导者做出更好决策”。

关键启示：风险管理的未来是决策支持——助领导者在不确定中做出明智选择。

未雨绸缪，灵活应变，方能致胜

在2026年的风险图景中，准备决定成败。那些已演练过应急响应的团队，清楚谁做决策、如何沟通、如何在突发状况下维持服务运转。当权责明确、信息可靠、关键依赖关系清晰可见时，领导者便能在事态发展过程中果断行动。一旦具备这些条件，“中断”就只是需要管理的挑战，而非让业务停摆的危机。