科技既是救世主,也是令人头疼的问题. 在过去的几年里,在疫情封锁期间,大量办公室工作人员采用了远程工作, 各种各样的组织都开始在网上推销他们的产品. 虚拟会议成为常态. 每个人,每个地方,都学会了在一个更遥远的世界里生活和工作.
而有些人发现技术创造的机会令人兴奋不已, 其他人(通常是负责监控的人), 控制并保证其安全使用, 在道德上和在某种程度上符合法规)发现它不可理解和威胁. 多年来,许多内部审计团队一直在努力寻找具有IT审计专业知识的人员,现在他们面临着越来越大的压力,需要使用更多的技术, 更有效地, 在他们的审计中. 从人工智能到区块链等新技术的迅速发展加剧了他们的担忧.
新数字时代审计新兴技术的复杂性, 然而, 不应该言过其实吗. 久经考验的内部审计流程和方法并没有过时. 内部审计人员需要了解现有的和新兴的技术在他们的组织中做了什么,以及他们将来会做什么. 他们还需要意识到潜在的风险和保障缺口.
然而, 他们可以在没有专业IT技能的情况下完成大部分工作——就像在所有内部审计业务中一样, 好奇心, 想象力, 向合适的人提出合适问题的能力是关键. 专业领域可以引入外部支持, 但所有内部审计团队都可能以某种形式使用新兴技术,现在应该花时间思考这对他们的业务和审计意味着什么.
新兴技术
大多数内部审计团队正逐渐熟悉支持远程工作和完善的公司IT系统的审计技术, 许多人开始使用数据分析和大数据来为他们的审计提供信息. 然而, 现在重要的是要关注那些仍然相对不常见但可能迅速发展的新兴技术. 内部审计需要在这些风险或保证漏洞之前保持领先一步.
在威科集团(Wolters Kluwer)关于新兴技术的网络研讨会上,最近对与会者进行的一项民意调查发现,20%的人表示他们的组织正在使用 机器人过程自动化(RPA)在美国,12%的人使用人工智能(AI), 3%的人使用区块链技术. 显著, 一半的与会者表示,他们的组织目前还没有使用这些工具,尽管15%的人表示他们使用了不止一种. 考虑到科技发展的速度, 这表明,内部审计必须了解这些对其业务意味着什么, 但大多数人仍有时间迈出第一步.
“有无数的新兴技术, 有些是很新的,有些已经存在一段时间了, 其中一些将变得普遍,另一些可能主要与特定部门有关, 比如自动驾驶汽车,吴宰妍解释道, 售前顾问, 英国和爱尔兰的威科队友, 谁主持了网络研讨会.
其他的例子包括虚拟现实, 行为网络, 物联网, 生物信息学, 从自然语言处理到量子计算和5G. 最常用和最成熟的是RPA, AI, 和区块链, 因此,这些是内部审计人员在不久的将来最有可能审计的公司.
当组织采用新兴技术时,内部审计师可能需要评估战略决策过程, 但这项审计工作将与其他大型公司决策的审计工作类似. 审计面临的主要挑战是评估一项新兴技术一旦被采用后给组织带来的任何新风险, 以及管理层如何监视和控制这些风险. 内部审计小组, 因此, 需要了解这些技术的用途, 它们将如何使用, 是谁干的.
RPA的常见风险
在RPA的情况下, 哪一个用于自动化频繁重复的对日常业务至关重要的流程, 风险包括选择不适当的过程, 不正确的配置, 意想不到的费用, 安全, 性能不足, 改变管理.
例如,RPA的一个用途可以是设计用于过滤客户常见问题的聊天机器人. 不正确的配置可能导致机器人延迟经过的客户, 谁需要进一步的帮助?, 与人接触, 疏远客户. 不适当的流程可能意味着机器人被用来处理可能表明欺诈或涉及敏感信息的问题,需要个人思考和关注.
类似的, RPA系统可能会产生意想不到的成本, 例如, 一个机器人取代了呼叫中心的工作人员, 但这需要专业的维护和更熟练、更昂贵的人来管理. 内部审计的其他考虑因素包括,机器人是否处理受隐私或其他法规保护的敏感数据,以及它是否定期连接到企业防火墙之外的组织, 造成新的数据泄露或滥用风险.
通过RPA系统的大量数据可能需要新的保护和检查. 和, 在光谱的另一端, 重要的是要监控系统是否有效地工作——它是否能连接到所有它需要的内部系统,如果它要提出有意义的, 准确回答问题. 内部审计还可以查看IT团队是否有足够的经验,是否有足够的培训和资源来管理它.
RPA系统的管理也可能是一种风险. 如果将它用于实现频繁更改的领域的自动化,那么每次发生这种情况时都可能需要额外的流程层, 这会增加时间, 复杂性和人们偷工减料的风险.
人工智能的常见风险
人工智能带来了另一个新的风险清单. 安全性很重要——系统使用的数据越多, 从更多的来源, 形成的入口点和连接越多,潜在的风险就越大. 也可能有身体上的风险, 例如, 一个组织在自动驾驶汽车等产品中使用人工智能, 或者识别重型机械何时需要维修. 人工智能还可用于诊断医疗状况. 如果配置不当或出现故障,可能会在发现问题之前伤害到人.
一些风险与其他类型的新兴技术——数据隐私——的风险重叠, 例如, 在使用人工智能时可能很重要吗. 内部审计应检查使用和共享的数据是否得到了数据提供者必要的明确同意. 这是正确配置和充分控制吗?
在某些情况下,人工智能系统被灌输了导致固有偏见的数据. 如果系统是使用长期收集的数据设计的,并且配置为根据先前的基本原理做出决策, 它很可能做出类似的决定,这些决定可能反映了这一时期观察到的人类偏见. 这样做的风险不仅在于公司将错误的候选人列入候选名单,还在于公司声誉受损,可能还要承担法律费用. 内部审计应该检查这是如何被监控的,以及是否发现了偏见, 管理, 并纠正.
内部审计还应该询问,如果外部环境发生根本变化,人工智能系统如何进行调整. 人工智能被设计为进化和适应,但它将在原始参数范围内这样做. 如果世界像大流行开始时那样迅速变化,它可能需要新的参数.
需要考虑故意的误用以及意外的失败. 系统越强大,联系越紧密, 如果被滥用,它的破坏性就越大, 这可能会危及商业机密或工厂运营和安全.
区块链技术的常见风险
区块链的优势也可能是它的弱点. 在没有所需密钥的情况下,无法逆转事务和访问数据使系统安全, 但这也意味着组织需要特定的协议和管理流程,以确保它们不会被封锁,并有明确的应急计划.
区块链依赖于互操作性——它必须能够与多个内部和外部系统进行交互. 内部审计需要获得保证,确保它能够做到这一点,并因此正常工作. 通过网络节点操作也可能使组织暴露于网络攻击和数据黑客, 所以安全问题很重要.
内部审核员还应确保组织具有必要的数据管理流程并符合法规. 区块链的监管环境仍在不断发展, 因此,审计团队应该检查合规经理是否在不断地跟踪发展,并相应地调整流程.
进一步的风险源于这样一个事实,即组织正在与他们不知道的外部组织进行交易——审计师应该问一问,这是否会让他们暴露在风险之下, 例如, 违反反洗钱法例.
围绕新兴技术确定审计方案的范围
所有新兴技术都依赖于与内部和外部系统的连接和互动. 每次新的连接都会带来新的风险. 这是内部审计在审计现有IT系统时已经考虑的风险演变, 但这些系统的数据量和复杂性都是新的.
除了, 内部审计应该意识到围绕加密和密钥的充分安全和应急流程的重要性.
一些新兴技术属于现有法规的管辖范围, 例如, 在隐私, 但很多地方仍未受到监管或监管不力. 内部审计应该预料到法规会迅速演变.
最后的, 但重要的是, 内部审计应该像往常一样继续监控组织中其他IT部门的整体js06金沙登录大厅状况,不要因为关注新兴技术而分心. 重要的是要找到一种方法,将不断监控新旧It风险的方式混合在一起.
当被问及在计划和确定新兴技术审计范围时最重要的考虑因素时, 在队友网络研讨会上,62%的与会者提到了技术带来的风险意识. 第二重要的考虑因素是新技术与企业战略的一致性(23%), 而10%的人担心缺乏主题专家.
吴宰妍 建议新兴技术审计的规划和范围界定不应与其他审计有显著区别, 和其他地方一样, 基于风险的审计流程是最佳实践. “重要的是要有一个整体的观点——整个审计领域的覆盖范围是否充分地为所有已识别的风险提供保证,这是否符合组织的风险偏好?”她说。. “规划和确定新兴技术审计的范围与其他业务没有本质上的不同, 但这可能会带来新的问题,并造成一些资源问题.”
在网络研讨会的与会者中, 36%的受访者表示,他们目前将新兴技术审计的支持外包或共同外包. 吴宰妍认为,共同外包的好处是,审计团队可以从与经验更丰富的人一起工作中学习. 只有11%的与会者有审计新兴技术的经验,23%的人承认他们根本没有审计新兴技术.
