数字商业世界中的审计,本文主要内容关键词为:数字论文,商业论文,世界论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
19世纪早期,电报的发明使企业能够瞬间处理好存货订单以及与公司高管们进行跨国联系和沟通,随之而来的就是19世纪后期出现的电话,使商人们可以与客户进行实时通话。到了20世纪晚期,互联网的产生使公司可以在线营销他们的产品和服务,并随时可以和他们的客户进行交流,分享彼此的信息和观点。
但这些技术的发展也随之带来了风险。即时通讯能力越强,也就意味着信息的传播就越快。全球被新技术所覆盖则意味着信息越来越不受控制,通过更多的方式在更大的领域中传播。
正因为如此,今天的内部审计师面临着新技术的不断发展,为促进组织的发展,移动设备、云计算和社会媒体出人意料地用于各个方面,但同时他们也会带来那些必须加以管控的新风险,这些风险一旦不加管控就会抑制新技术的合理使用。然而,就像每年对各种有关“职业现状”的研究表明,技术专长一直以来都是内部审计职业的弱项。如果内部审计部门要想在虚拟化的商业环境中成功地提供确认服务,就必须克服这种知识上的屏障。
一、要了解虚拟技术
在内部审计师看来,所必需的工作就是要准确了解员工正在使用哪些虚拟技术,并成功消除因员工使用虚拟技术所带来的风险,使组织收益最大化。由于事先定好的事情并不一定会与实际结果一致,所以开展这些工作的难度往往会超出许多审计师的想象。
美国芝加哥国富浩华咨询公司的安全隐私团队负责人拉杰·乔杜里就提道,“无论各类技术的使用是否得到认可,但每个人都在使用”。这是因为“大多数人甚至可能都不知道或者不愿意去查找现行新技术的使用是否有相关的政策”。而一些缺乏有效资源实施风险管理战略的小规模组织可能就会走捷径,简单地限制员工访问虚拟技术。但是,“在那些大中型组织中,这些技术的使用却是无处不在”。
事实上,美国休斯敦市惠普公司的IT审计经理弗雷德里克·布朗已经注意到,技术公司已建立了大量的虚拟架构支持自身的业务经营,他也认为虚拟架构带来的风险需要加以管理。因此,他指出,“云计算是我们明确的战略,它已经包括了公众、个人和混合交付模型,还包括了提供基础架构服务、平台服务、软件服务等”。就像提供普通的云计算服务,数据存储也是惠普首要核心云解决方案之一。“提供给私人和公众的云模型”。他说,“我们的许多核心流程都正在向第三方的云软件即服务供应商转变”。
惠普公司几乎每个员工都有一部移动电话,其中大多数人都已经通过公司移动管理登录公司局域网。事实上,移动性和“自带设备”(BYOD)的观念已被用于提升员工生产力和客户参与度。布朗认为,移动技术“使我们能够保持与内外部的有效沟通”,“另外,我们使用网络电话进行合作,也就是桌面共享,这种方式极其稳定,符合成本效益原则并且也受到用户的欢迎”。他说,惠普公司也是通过社会媒体开展业务活动,由于其发展速度之快,并能覆盖上千万的潜在客户,所以也是关键的市场营销战略之一。
技术精通的机遇
对于年轻人、通常更多的是对于精通技术的内部审计师而言,云计算、移动设备和其他新技术的进步都代表着一种机遇。美国玛氏公司的信息系统内部审计总监梁柳真就认为,对于一名热衷于技术知识的内部审计师,这是一个极好的机会。他说,“总的来讲,新一代内部审计师在技术知识方面更新潮,就像他们个人生活中应用的社会媒体、移动通信设备和云计算,与这些新技术相关的风险以及审计实践中获得的都是一种全新观点”。
HP公司的IT审计经理弗雷德里克·布朗也认为,具备这些能力会使年轻的审计师们脱颖而出。他说,先进的数据分析是另一种重要技能,“如果审计师能够具有超越现有低水平的数据分析技术,他们就能探索出新的审计方式,即不用持续性的监督或持续性的审计,甚至在实施审计阶段中都不用和审计客户进行交往”。
德勤咨询公司的高级咨询师迈克尔·利维也说,事实上,对年轻的审计师从事内审职业而言,技术不仅是一个专业领域内的机会,它更是一种激励。内部审计师需要具备一些技术层面的知识,熟知业务并且精通技术的审计师更能够识别组织中存在的风险,并帮助组织创建新的解决方案。
二、虚拟技术带来的风险难以控制
听起来就像虚拟技术,对于他们能带来的所有收益很难捕捉。这也正好是内部审计部门所面临的问题:技术给企业带来的风险常常很难量化,更不用说对风险进行充分的评估并帮助减缓风险。
乔杜里认为,一般而言,那些受严格监管的行业,如银行、公共事业、保险和医疗保健机构,由于虚拟技术使用不当将会面临由此形成的风险,而这种风险要比监管较弱的行业,如制造业所面临的风险要大得多。他说,“这些机构中常常会有很多敏感数据”,就像个人健康信息和个人身份信息等。“因此,对于他们而言,存在的这些风险要比他们受到监管机构的潜在处罚要大得多”。他还说,一旦虚拟技术的使用疏于管理,公司可能会因技术使用不当而导致竞争失利。
乔杜里强调道,当然,特定的风险会因“公司不同的部门而有所不同”,也就是说“在使用基于云提供的服务时,用户并未认识到该服务会带来风险”。具体地讲,就是一名员工可能会因疏忽在财务信息正式披露之前泄露了财务结果。
美国华盛顿玛氏公司的信息系统内部审计总监,同时也是彰显COSO思想精髓的文章——“云计算的企业风险管理”的作者之一梁柳真就指出,云计算所带来的便利是有代价的。他说,“最大的风险就是那些具有吸引力的云计算解决方案使重要系统或程序在改进和改变前绕开了许多传统风险评价的管理控制和机制”。
梁柳真解释道,管理层通常注意那些影响企业经营活动的项目和重要的财务变化或业务活动,而大多数公司都将资本性支出或采购支出列为重要的支出,所以,云计算经常低于管理层的雷达检测区而不被探测到。例如,云解决方案不需要有重大的前期投入,因此,实施中存在的风险就不可能得到正确认识。同时,他还指出,云计算提供商的解决方案通常不需要公司内部的IT部门介入,所以,组织也就不可能评价云计算方案是否符合公司内部标准或要求。
在美国休斯敦曾为三家大型能源公司工作的IT审计经理和安全分析师杰米·杜布雷认为,还有另外一种风险包含了使用社会媒体所带来的不利影响。员工可能会有这样那样的评论,特别是对公司本身的评论,由于他们没有任何说明哪些是自己的观点和信念,因此,这样的评论可能很容易使外部用户误以为是公司的对外声明。为此,她建议道,“我们真的需要一套训练方案对员工进行行为方面的教育,当他们进行评论时,他们需要说明他们是员工,所说的一切都是他们自己的观点”。
杜布雷还指出,另一种有风险的行为就是员工将公司的数据拿到组织之外。数据的移动性对于现代营销和业务流程可能是一个关键要素,那些做法会增加公司在声誉、竞争力以及战略方面存在的风险,而这些风险也是内部审计需要予以重视的。她说,对于什么信息需要严格控制以及什么信息可以公开,组织需要适当的利用协议加以管理。
三、风险管理中“人的因素”
任何减缓因技术使用不当所带来的风险的努力都会因一个不可避免的因素而受到阻碍,那就是“人”。杜布雷认为,“你在任何时候关注一个风险或一项控制时都必须要考虑到流程、技术和人”,“从技术上讲,一个公司能够限制员工可以做什么或不可以做什么,但仍然要考虑人的因素。所以,你必须要确保组织的政策已经得到大家的理解并且进行了很好的沟通”。同时,她也指出,最棘手的一个考虑就是对于“自带设备”的政策,因为他们常常要求员工和公司层面在哲学观念上要有一个彻底的变化,而这种变化不可能被某些管理者所接受。
她还说,即便如此,有些组织“在新技术采用方面最积极”,并且“也创建了相应的建立标准和协议。其他人虽然看到了其中的价值,但面对全新的风险却犹豫不前”。“自带设备”的使用可以通过控制加以管理,但是不同于我们现在的控制措施。她认为,“公司需要重视数据分类以及对特定数据的严格限制,即使对技术和设备的控制把握性不强,但对于技术和设备的使用协议却要更加的严格”。
布朗对杜布雷的看法表示赞同。他说,“按‘自带设备’的方式走下去容易。”但是,我们面临的更大挑战是确保对风险的识别并进行有效管理”。就像所有虚拟技术,如果完善的公司治理、政策、流程和控制在放洪闸开启之前还没有发挥作用,那么,访问组织网络的移动设备数量就会以指数形式增长,随之便会形成一大堆的问题。“围绕销售、收益和利润方面的经营活动,进入市场的速度和路径成为其战略的重要部分”。他认为,“虚拟技术的利用和开发会无意中将公司置于风险中,特别是当集中治理缺失的情况下更是如此”。当组织发展的越复杂,对每项技术的治理结构和检查监督职能的建立和完善就变得更为必要。“因此,必须要有一个自上而下、具有凝聚力的企业战略,否则,IT建设在安全控制方面就不能得到必要的投入”。
在惠普公司,云计算治理战略包含对云计算能力的规划、架构设计、数据采集、资源配置、系统运行和管理过程中的决策流程、标准和政策。布朗解释道,这是一个分层混合云架构。治理领域包括战略和计划、架构设计和开发、数据采集和供应商选择、资源供应和管理以及操作和支持。他又说,惠普的社会媒体治理战略也是由这四个方面组成,该战略“涵盖了公司现存的社会媒体和员工个人对社会媒体的使用,即组织、技术、信息或数据和人员”。当应用于移动设备和自带设备时,治理战略包含了三个“基本”要素,即战略和治理、移动设备管理、移动应用管理。主要方面包括了一个企业的战略、政策和流程、认知和培训、资产管理、设备安全、数据保护、移动应用开发和资源配置实务,以及基于面向网页模式下的应用安全以及应用支持。
布朗也注意到,与“自带设备”BYOD相关联的主要法律难题必须作为战略的一部分予以关注。他的问题是:“公司对员工个人设备需要进行多大程度的控制”?“沟通和认知方案是否有效和充分,并足以克服员工的质疑?这是必须要做到的,要不然就是方案失败”。另外,对于移动应用开发必须要有一个单一标准软件开发生命周期,并总是不断增强在移动设备/自带设备方面的经验。他预测道,“与公司提供的任何PC设备相比,移动设备上公司数据会有更高的风险,特别是在那些个人设备上。而从安全管理方面讲,PC设备平台的安全状况通常更为成熟”。
在美国西雅图的华盛顿联邦有限公司,信息安全官兰斯·赛莫就是通过灵活运用可接受的政策对新兴技术进行管理,如员工使用自有移动设备可根据授权访问公司的电邮。这些政策使赛莫的团队有权检查员工的设备,确认他们的做法是否符合银行的信息安全政策,其中包括PIN个人识别码的设定和不活动超时特征。他认为,“这是一个教育和既定政策的结合体”。“如果员工没有遵循这些政策,就不能进行访问公司的电子邮件系统,除非他们按照规定使用他们的移动设备”。
内部审计准备好了吗?
大多数的内部审计部门是否都有资源和员工以一种有意义的方式采用虚拟技术?以下是专家们的说法:
HP公司的IT审计经理弗雷德里克·布朗认为:我们的专家都是来自公司内部,无论如何,他们都有足够的专长识别风险和建立审计程序。对一个特定的审计范围,在标准IT审计和虚拟技术审计之间不大可能会有一个很大的飞跃。而不断了解与网络应用、数据中心、服务交付(包括第三方供应商)、软件开发生命周期以及访问控制等相关的风险,将会为如何开展审计提供坚实的基础。
IT审计经理和安全分析师杰米·杜布雷认为:“IT在内部审计中并没有得到充分重视。我希望看到在行业会议中能提出更多的IT审计方案,并在更多的审计工作中得到应用。内部审计职业现在正处于发展以及重视与这些技术相融合的时期。世界上各种事物的技术含量会变得越来越多,所以,我们需要在他们一出现时就要接受它并尽可能地控制它”。
华盛顿联邦有限公司的信息安全官兰斯·赛莫认为:“我们现有员工都有很强的胜任能力,我们总能够调用更多的资源。大多数部门是不是都具备他们所需要的资源?答案是肯定的,但是不是还有很多方面需要改进?答案也是肯定的。所以我们还要不断追赶形势的发展,因为那些坏人正想着利用新开发的技术和社会工程技术危害系统”。
国富浩华咨询公司的安全和隐私团队负责人拉杰·乔杜里认为:“总的来说,IT 风险在大多数公司中都是最高的风险,但是,除非你是一个很大的、且受高度监管的公司,那么你可能需要有来自外部的帮助远离这种风险。内部审计人员常常都知道,除无法确定相应的范围外,防范风险就需要进行审计”。
四、逐渐成为虚拟技术顾问
当然,对于内部审计部门的基本问题是:(1)是新技术的冲击还是评价新技术实际带来的风险的需要改变了内部审计程序;(2)仅仅增加对新的风险进行评估还是提出风险减缓战略的建议;(3)内部审计师是否能精通技术并成为这方面具有公信力的专家。不出人意料的是第一个问题的答案是二者兼而有之,费城德勤咨询公司的资深咨询师迈克尔·利维指出,组织希望的是得到内部审计师建议以及“帮助并引导他们走向成功”。而当一种新的虚拟技术进入消费市场,对于内部审计师们而言,这种新技术代表的是一个机会,即帮助“确认一个组织的技术是否与其整体规划和战略相一致,反过来技术的应用也有利于组织的长期成功”。
布朗说,现在在惠普公司,“由于这些虚拟技术具有较高的固有风险和投入,所以最高管理层特别重视内部审计对这些领域中未被管理的风险或风险敞口的意见”。不仅如此,虚拟技术风险常常会推动内部审计和信息安全团队更紧密地合作。赛莫也指出,“我与内部审计之间经常会互相分享彼此的信息”,“我们每天都要开会讨论这些不断增长的威胁以及减缓风险的策略,从而保护银行的信息资产以及客户非公众信息的安全性,帮助我们的机构遵循监管要求”。
布朗认为,组织中虚拟技术的出现并不会改变内部审计的整体过程,但它会要求审计师们要考虑组织经营活动中的新业务,以及与此相关的固有风险数量。他还说,“组织经营活动中大多数新业务都是重要的变革或重大的落实,所以他们在每年风险评估中几乎总是被评为高风险”。幸运的是,技术性公司拥有各类技术专家,所以,布朗所在的部门就能够依靠不同类型的技术专家开展工作。
然而,并不是每个内部审计部门都会这么幸运。事实上,在许多组织中,审计工作人员还是需要充实自身的技术和技能,只有具备了这些技能,才能在虚拟技术应用的环境中增强其公信力,也才能确保管理层认可他们的意见。赛莫说,为保持这种相关性,内部审计部门需要对审计工作人员的技术技能进行持续性的培训,并进行风险和减缓风险战略的培训。同时,他还提醒道,“对内部审计师进行持续性的教育和培训不只是一种选择,而是必需的”。
对此,咨询师乔杜里也建议,内部审计部门要寻找组织外部经验丰富的外援参与对新技术的审计。这样的安排不仅使员工在实际审计工作中获得了实践经验,而且在今后的审计工作中还能复制这些经验。
所以,没有什么可以阻挡审计人员为达目标而不断学习虚拟技术的知识和技能。这一点是很重要的,因为对那些不断从世界各地实验室产生出来的新技术进行有效管理则会变得越来越难。只有内部审计师掌握了这些技术的发展,才能帮助组织充分利用新技术并发挥其最大的潜力。
(来源:IA《内部审计师》2013年第8期)
标签:云计算论文; 内部审计论文; 虚拟技术论文; 审计计划论文; 审计软件论文; 审计职业论文; 技术与管理论文; 审计流程论文; 管理审计论文; 审计目标论文; 商业战略论文; 信息安全论文;