蓝色粒子线向外扩散.
合规金融税 & 会计2022年3月14日,

IT审计的未来:内部审计与新兴技术

By: 队友

技术既是救世主,也是令人头疼的问题. In the past couple of years vast numbers of office workers adopted remote working during Covid lockdowns, 各种组织开始在网上推销他们的产品. 虚拟会议成为常态. 世界各地的每个人都学会了在一个更遥远的世界生活和工作.

而有些人则发现技术带来的机遇令人兴奋不已, 其他人(通常是负责监控的人), 控制并保证其安全使用, ethically and in a way that conforms to regulations) find it incomprehensible and threatening. 许多内部审计团队多年来一直在努力寻找具有IT审计专业知识的人,现在正面临越来越大的使用更多技术的压力, 更有效地, 在他们的审计. The rapid emergence of new developments in technology, from AI to blockchain, adds to their concerns.

审计的复杂性在新数字时代出现, 然而, 不应该被夸大吗. 经过试验和测试的内部审计流程和方法并没有过时. 内部审计人员需要了解现有和新兴技术在他们的组织中做什么,以及它们在未来将做什么. 他们还需要意识到潜在的风险和保障漏洞.

然而, they can do much of this without specialist IT skills – as in all internal 审计 engagements, 好奇心, 想象力, 向正确的人提出正确的问题的能力是关键. 可以为专家领域引入外部支持, 但所有内部审计团队都可能会以某种形式接触新兴技术,现在应该花时间思考这对他们的业务和审计意味着什么.

新兴技术

大多数内部审计团队正在逐渐熟悉审计技术,这些技术支持远程工作和完善的企业IT系统, 许多公司开始使用数据分析和大数据来为审计提供信息. 然而, 现在重要的是关注那些相对不常见但可能迅速发展的新兴技术. Internal 审计 needs to stay one step ahead of any 风险s or assurance gaps these create.

在最近的一个关于新兴技术的网络研讨会上,一项对与会者的调查发现,20%的人说他们的组织正在使用 机器人学过程自动化, 12 percent were using artificial intelligence (AI) and 3 percent were using blockchain technology. 显著, 一半的与会者表示,他们的组织目前还没有使用任何一种,尽管15%的人表示他们使用了一种以上. 考虑到技术进步的速度, this indicates that it is essential for internal 审计 to understand what these mean for their business, 但大多数人仍有时间采取行动.

“有无数新兴技术, 有些是很新的,有些已经有一段时间了, some that will become widespread and others that are likely to be relevant primarily in particular sectors, 比如自动驾驶汽车,Oh Jae Yeon解释道, 售前顾问, 英国和爱尔兰的Wolters Kluwer队友, 谁主持了这次网络研讨会.

其他例子包括虚拟现实, 互联网的行为, 物联网, 生物信息学, 以及自然语言处理到量子计算和5G. 最常用和建立最好的是RPA, AI, 和区块链, so these are the ones that internal 审计ors are most likely to have to 审计 in the near future.

当组织采用一种新兴技术时,内部审计师可能需要评估战略决策过程, 但这种审计工作与其他大型企业的决策类似. 审计的主要挑战是评估一项新兴技术一旦被采用后给组织带来的任何新的风险, 以及管理层如何监控和控制这些风险. 内部审核组, 因此, 需要了解这些技术的用途, 它们将如何使用, 以及由谁.

RPA的常见风险

就RPA而言, which is used to automate frequently repeated processes that are vital for everyday business, 风险包括不适当过程的选择, 不正确的配置, 意想不到的费用, 安全, 性能不足, 和变更管理.

For example, one use of RPA could be a chatbot designed to filter common questions from customers. 不正确的配置可能导致bot延迟传递客户, 需要进一步帮助的人, 对人类的接触, 疏远客户. 不恰当的过程可能意味着机器人被用于处理可能表明欺诈或涉及敏感信息并需要个人思考和关注的问题.

类似的, RPA系统可能会产生意想不到的成本,如果, 例如, 一个机器人取代了呼叫中心的工作人员, but then requires specialist maintenance and more skilled and expensive people to 管理 it. 内部审计的其他考虑因素还包括,机器人是否处理隐私或其他监管规定下的敏感数据,以及它是否定期连接到企业防火墙以外的组织, 造成数据泄露或被滥用的新风险.

The sheer volume of data passing through an RPA system may require new safeguards and checks. 和, 在光谱的另一端, 重要的是要监控系统是否有效工作——如果想要有意义,它能否连接到所有需要的内部系统, 准确回答问题. 内部审计还可以查看IT团队是否有足够的经验,是否有培训和资源来管理它.

RPA系统的管理也可能是一个风险. 如果它用于实现频繁更改的领域的自动化,那么每次发生这种情况时,就可能需要额外的流程层, 增加了时间, 复杂性和人们偷工减料的风险.

人工智能面临的常见风险

人工智能带来了另一系列新的风险. 系统使用的数据越多,安全性就越重要, 更多的来源, the more entry points and connections are formed and the greater the potential 风险s. 也可能有身体风险,如果, 例如, 一家组织在自动驾驶汽车等产品中使用了人工智能, 或识别重型机械何时需要维修. 人工智能也可用于诊断医疗状况. If it is badly configured or malfunctions, it could harm people before the problem is spotted.

一些风险与其他新兴技术的风险重叠——数据隐私, 例如, 在使用人工智能时很重要吗. Internal 审计 should check that the data used and shared has the necessary explicit consent from data providers. 这是正确配置和充分控制吗?

There have also been cases where AI systems have been primed with data that leads to inherent bias. 如果一个系统是使用长期收集的数据设计的,并根据之前的基本原理进行配置以做出决定, it is likely to make like decisions which may reflect observed human biases from across this period. 这种风险不仅会让公司选出错误的候选人,还会导致声誉受损,可能还会导致法律成本. Internal 审计 should check how this is being monitored and whether bias is identified, 管理, 并纠正.

内部审计还应询问,如果外部环境发生根本变化,人工智能系统将如何适应. AI is designed to evolve and adapt, but it will do so within the original parameters. If the world changes quickly, as it did when the pandemic began, it may need new parameters.

蓄意的滥用和意外的失败都需要被考虑. 系统的功能越强大,连接越紧密, 如果被滥用,就会造成更大的破坏, 这可能会危及商业机密或工厂运营和安全.

区块链技术的常见风险

区块链的优点也可能是它的缺点. The inability to reverse transactions and to access data without the required keys make the system secure, 但这也意味着,组织需要具体的协议和管理流程,以确保它们不会被拒之门外,并拥有清晰的应急计划.

Blockchain depends on interoperability – it must be able to interface with multiple internal and external systems. Internal 审计 needs to gain assurance that it can do this and that it is 因此 working properly. Operating through network nodes could also expose the organisation to cyber-attacks and data hacks, 所以安全问题很重要.

内部审核员还应确保组织有必要的数据管理流程,并符合规定. 区块链的监管环境仍在演变, 因此,审计团队应该检查合规管理人员是否在不断地跟踪开发,并相应地调整流程.

更大的风险来自于这样一个事实,即该组织正在与自己不了解的外部组织进行交易——审计机构应询问,这是否会让他们接触到这些交易, 例如, 违反反洗钱立法.

围绕新兴技术确定审计方案的范围

All emerging technologies rely on connections and interactions with internal and external systems. 新的联系会带来新的风险. This is an evolution of 风险s that internal 审计 already considers when 审计ing existing IT systems, 但数据量和系统的复杂性都是新的.

除了, 内部审计应该意识到围绕加密和密钥的充分安全性和应急流程的至关重要性.

一些新兴技术受到现有法规的约束, 例如, 在隐私, 但很多地方仍未得到监管或监管不力. 内部审计应该期待法规的迅速演变.

去年, 但并非最不重要的, 内部审计应该继续像往常一样监控组织中其他IT部门的整体js06金沙登录大厅状况,而不是被他们对新兴技术的关注分心. It’s important to find ways to blend the way that old and new IT 风险s are constantly monitored.

When asked for the most important consideration when planning and scoping an 审计 of emerging technology, 62 percent of attendees at the 队友 webinar cited awareness of the 风险s introduced by technology. Their next most important consideration was the alignment of new technology with enterprise strategy (23 percent), 而10%的人担心缺乏专业专家.

Jae Yeon哦 建议新兴技术审计的规划和范围不应与其他审计有重大区别, 和其他地方一样, 基于风险的审计过程是最佳实践. “重要的是要有一个整体的视角——整个审计领域的覆盖是否充分为所有已识别的风险提供保证,以及这是否符合该机构的风险偏好?”她说. “Planning and scoping an emerging technology 审计 is not fundamentally different from other engagements, 但它可能带来新的问题,并导致一些资源问题.”

在网络研讨会的参与者中, 36 percent said they currently outsourced or co-sourced support for emerging technology 审计s. 吴宰延(Jae Yeon哦)认为,共同采购的好处是,审计团队可以从与经验更丰富的人一起工作中学习. 只有11%的参与者有审计新兴技术的经验,23%的参与者承认他们根本没有审计新兴技术. 

For 审计ors who are challenged to improve 审计 productivity while delivering strategic insights, 队友提供专家解决方案, 提供优质的专业服务, 对全球各行各业的审计师来说.
回到顶部