全球視角和觀點：創新與科技第一部分：內部審計在提供技術確認中應關注的兩個因素

毫無疑問，科技已然成為變革和創新的主要驅動力。無論是影響廣泛的數字變革還是人工智能的興起與發展，新興技術正在以前所未有的速度發展，并不斷帶來新的機遇和風險。為了幫助內部審計人員深入了解新興技術帶來的影響，國際內部審計師協會（IIA）與威科集團（Wolters Kluwer）合作發布了《全球視角和觀點：創新與科技》研究報告。報告共分為三個部分，分別闡述了內部審計在對技術提供確認時發揮的作用、掌握組織技術應用的最新情況和內部審計技術人才挑戰。為方便中國內部審計人員了解報告的核心內容和專家的主要觀點，中國內部審計協會對報告進行了編譯，分三期在本刊連載，供廣大讀者參考。

在如今的商業環境中，對先進技術的應用已然滲透至組織的方方面面，內部審計人員自然也要將對這些技術開展確認工作視為工作的核心要素。由于技術為組織運營以及其他各項職能運轉提供支持，組織的運營和技術之間早已相互融合、密不可分。因此，對組織控制措施的評估和確認工作必須將流程中包含的所有技術要素納入其中。

隨著技術普及程度越來越高，內部審計人員在對組織運用的技術開展確認工作時需要考慮諸多因素。報告選取了若干高風險領域要素展開了探討。

第三方關系研究表明，全球98%的組織都至少與一個在過去兩年內經歷過數據泄露的第三方存在供應商關系。這些組織還可能會受到供應商下游關聯方的影響，有50%的組織至少與200個近期遭遇數據泄露的第四方供應商存在間接關系。

組織與第三方之間的依賴和關聯是一項重大風險。特別是在出現問題的時候，許多組織錯誤地認為供應商正在處理所有相關風險，以為無需進一步審查其工作，或者認為較寬松的監督就足夠了，此時組織與第三方的關系就會尤為脆弱。

第三方供應商提供的技術或相關服務包括網絡托管平臺、軟件運營服務（SaaS）、外包數據中心或網絡安全服務。雖然供應商要對其所提供的服務承擔責任，但使用這些服務的組織也必須確保自身具備恰當的管控措施和風險管理流程，以監督第三方履行其義務。

內部審計人員應當考慮其所在組織是否對第三方及相關風險進行了恰當評估。內部審計或許不負責開展此項評估工作，但應當考慮其所在組織是如何對與第三方關系及相關風險進行監督和管理的，還要核實第三方是否建立且遵循了恰當的控制措施。例如，可以在與供應商簽訂的合同中加入“有權審計”的條款，這樣內部審計就能根據需要（如在發生數據泄露事件后）對供應商的相關流程及控制情況進行審查。

數據治理

隨著數據量的快速增長，各行業組織在數據收集的基礎上，正在著手將數據應用于人工智能等新興技術領域。保護數據隱私至關重要，組織必須將數據視為關鍵風險領域。此外，如果組織的領導者依賴現有數據作出關鍵業務決策，那么組織還必須保護數據的完整性、準確性和可靠性，這就要求必須確保數據來源的可靠性，這一點在將數據用于生成式人工智能工具時尤為重要。

組織還需要保護數據免受黑客或其他不當使用的侵害，確保對數據的使用遵循適用的法律法規。如果組織已就數據的使用方式向客戶或業務合作伙伴作出了保證，那就要確保能夠履行承諾。雖然數據治理工作是由管理層負責的，但內部審計可以為數據治理控制措施的充分性提供確認。

歐盟委員會主張應最大限度縮短數據的存儲時間。這不僅是因為數據的存儲成本高昂，而且一旦發生數據泄露，數據儲存的時間越長，黑客能夠獲取的數據量就越大。組織應當為數據審核和清理進行適當的時間安排，妥善考慮組織各項業務、外部監管或是法律方面強制要求某些資料保留更長時間的情況。例如，一家企業將求職者的簡歷保存了20年，卻未采取措施對其進行更新。鑒于許多崗位人員流動很快，在很多情況下這些數據在較短時間后就過時了。如果組織未來因職位空缺而招聘員工時使用這些過時的信息庫，求職者就可能會錯失就業機會，公司也可能錯過優秀人才；又或者，如果該組織遭到黑客攻擊，求職者的個人信息可能會被盜取。

內部審計還可以通過對以下技術領域開展確認工作，確定組織是否實施了適當的監管或保護措施：

1.訪問控制。內部審計可以檢查是否進行了用戶訪問審查，以確保只有合法用戶有權訪問該組織技術系統的內部運作情況。《信息系統監控期刊》（ISACA Journal）認為，通過審查工作，內部審計可以查明是否存在前雇員或部門成員未經授權訪問應用程序或基礎設施的情況。該期刊指出：“這種漏洞可能會被惡意利用，進而給企業造成財務和/或聲譽方面的損失。”

2.網絡安全。《福布斯》雜志指出：“安全補丁、高強度密碼、資產管理以及員工安全培訓對保障網絡安全大有助益。”

3.影子IT。影子IT指的是員工在IT部門不知情或未授權的情況下購買并使用技術的情況。隨著遠程辦公模式的發展，通過個人設備處理工作的情況日益增多，影子IT現象也更加普遍，組織可能無法將其納入IT團隊的監管范圍，或是無法遵循組織的網絡安全、隱私協議及其他相關準則。

4.與生成式人工智能及其他新興技術相關的風險。員工可能會將組織、客戶或個人數據上傳至開源的生成式人工智能系統，從而產生重大隱患。

5.文化方面的考慮因素。內部審計人員要考慮員工參與度低下，或者對技術準則及安全保障措施溝通不暢是否會對組織構成威脅。

6.與技術相關的法律法規產生的影響。組織要及時跟進因新興技術給商業環境和社會帶來重大變化而出臺的新法律法規及標準所涉及的合規要求。

先進技術的應用和普及在帶來新機遇的同時，同樣可能造成負面的影響，我們在試圖充分理解技術并對相關情況提供確認服務時，可能會忽略一些特定的情況，從而給組織帶來風險。由于技術領域涉及的風險種類繁多，內部審計想要提高對技術引進和應用提供確認服務的工作效率，就必須充分利用一切資源，最大限度覆蓋所有高風險領域。

為了獲取更多資源，內部審計必須與組織的二線職能部門（如信息安全、內部控制、風險管理以及合規等）相互協作，更加全面地了解整個組織內技術保障以及關鍵技術風險的處理情況，從而滿足董事會和高級管理層對于風險識別的要求。

雖然內部審計必須保持自身的獨立性，但與二線職能部門相互協作能夠幫助內部審計確定風險覆蓋的范圍和程度。通過盡量減少工作重復，內部審計可以將自身資源集中到最重要的風險上。在此過程中，內部審計還可以對二線職能部門正在開展的與技術保障相關的確認工作進行評估。

二、三線職能部門之間的互動也有助于最大限度降低“確認疲勞”，當眾多職能部門向業務部門經理索要關于相同數據的報告或開展類似的檢查時，就會出現“確認疲勞”的情況。如果內部審計和二線職能部門能夠開展協作并共同收集所需的核心信息，就可以避免出現這種情況。內部審計可以發揮引領作用，協調整個組織內各個部門之間圍繞確認服務的相互協作，確保現有活動得以充分利用。首先，內部審計人員可以通過確定風險管理、合規、內部審計及其他部門是否各自建立了風險評估和評級的系統，來提高技術保障工作的協調性。在與董事會和管理層的討論中，這些部門之間意見不一致的情況可能會造成困惑或者不能完整地呈現事態的全貌。內部審計可以提出并牽頭使用各部門均認可的風險分類方法。如果內部審計和二線職能部門能夠在術語使用方面達成一致，哪怕各部門的評估結果不完全相同，向董事會和高級管理層傳達的有關風險的信息也會更易于理解。

在各項技術中，內部審計需要特別關注人工智能技術。美國公司董事協會的一項研究顯示，有94%的企業受訪者表示人工智能對組織短期內取得成功至關重要。但目前許多組織仍在艱難應對人工智能及生成式人工智能技術的使用問題，內部審計人員要利用這一機會，為組織提供更好的有關新興技術及其應用的監督服務。

德勤會計師事務所和美國公司治理協會于2023年合作開展了一項針對大中型企業的調查，結果顯示只有13%的組織已經建立了正式的人工智能監控框架，只有9%的組織對公司網絡安全、風險管理、記錄留存和其他涉及人工智能領域的政策進行了及時更新。盡管人工智能是非常重要的領域，但組織的董事會似乎尚未深入了解與之相關的各項問題。調查發現，48%受訪組織的董事會要么尚未開始考慮有關人工智能的問題，要么尚未為此指派人員或機構承擔有關責任。在那些已分配人工智能相關責任的組織中，最常見的做法是由審計委員會對有關人工智能的使用進行監管，而審計委員會通常又是首席審計執行官匯報工作的對象。內部審計能夠幫助組織認識人工智能的重要性并妥善處理應對舉措中存在的不足，從而創造可觀的價值。

內部審計已然將識別技術領域風險及障礙的確認工作納入了自身的職責范圍。除了要持續關注一些與技術相關的關鍵薄弱環節，內部審計還要加強與其他職能部門的協作，以便為風險管理從業者和利益相關者提供更全面、更準確的確認服務。報告的后續部分會進一步探討內部審計如何推動關鍵技術在組織內的合理運用，以及如何制訂能夠充分應對潛在技術風險的審計計劃。

（翻譯：徐天然，單位：中國內部審計協會）