ISACA Journal | 数字化转型时代,审计该何去何从?
☝☝☝点击上方链接报名参加第二届数字信任峰会
企业的规模和跨越的地域都在增长,部分原因是第四次工业革命(工业4.0)带来的技术,如人工智能(AI)、数字化制造、物联网(IoT)、数据科学和分析、机器学习(ML)和大数据。为了帮助企业维持这种高速增长,内外部审计和鉴证合作伙伴必须确保企业IT系统和控制的性能和弹性。作为鉴证合作伙伴,审计团队在支持全球范围内正在进行的数字化转型中发挥着重要作用。必须在内部控制的设计和运营有效性以及识别技术、运营、法律和监管、人力资源(HR)和环境治理风险的潜在来源等方面提供鉴证。应在确保信任的审计活动中提供有关IT如何保护组织免受此类风险影响的指导。在这个过程中,审计小组除了担任鉴证合作伙伴外,还将担任着咨询合作伙伴的角色。
内部审计职能可以通过识别数字化增长的潜在风险因素及其影响来为组织增加价值。内部审计团队应专注于为组织推动的数字化转型的有效治理提供鉴证,以实现业务目标。为了在快节奏的数字化转型中成为一个有效的鉴证合作伙伴,内部审计团队必须重新设计自己的运营模式并开发新的能力。全球组织正在使用新的、替代性的审计方法,帮助组织跟上与数字化转型工作相关的风险鉴证。
由于对鉴证的巨大需求,审计团队必须在一个日历年内进行多次审计。在此过程中,审计团队可能面临提供不充分或不准确鉴证的风险,原因是:
缺乏持续监测和持续审计---组织无法主动和频繁地识别风险,这将导致组织暴露在意想不到的、重大的严重风险中。
有缺陷的审计方法---不充分和不适当的职业怀疑、缺乏审计文档、过度依赖某些形式的审计证据以及薄弱的风险评估,这些都是可能导致审计失败的一些有缺陷的审计技术。
不熟练的审计团队---如果不具备足够的主题专业知识、技能和最新的审计技术知识,审计师就会成为单纯的检查表驱动的审计师,不能帮助规划和执行审计业务,从而无法为客户增加真正的价值。
不遵守全球审计标准---遵守全球审计标准将有助于审计团队确保审计结果的一致性、有效性和可信赖性。
无效、冗长的审计程序---当代大多数审计组织花费大量的时间,使用从外部购买的检查表来执行冗长的以标准为驱动的审计程序,这往往会大大延长审计周期。为了避免这个陷阱,审计组织应该根据其独特的审计业务的需要,开发他们自己的定制审计程序和检查表。
审计业务中缺乏技术使用---在审计业务中使用适当的技术可以使审计工作更加有效。例如,在审计业务中使用数据分析,可以消除与审计抽样有关的限制。审计业务中使用的流程挖掘技术有助于开发模型,展示企业流程在现实中如何运作。新兴技术,如人工智能、数据分析、数据可视化、机器人流程自动化(RPA)和其他技术,预计在未来也将成为内部审计部门使用的工具。然而,技能挑战依然存在。在最近的一项全球调查中,内部审计负责人表示,他们在人才和技能方面最大的差距是赋能技术,包括高级分析、自动化、机器学习、人工智能和流程挖掘。
审计实践的数字化转型可以提高内部审计团队为管理层量化审计意见的能力。
英国皇家特许内部审计师协会(CIIA)对基于风险的内部审计的定义是:
“一种将内部审计与组织的整体风险框架联系起来的方法。风险导向审计的显著特点是将风险领域置于审计规划的中心,重点解决组织面临的高度优先风险。”
基于风险的审计规划包括分析企业及其审计团队所面临的所有相关风险来源,并向首席审计执行官提出基于风险的审计方法。在制定年度审计计划之前,应彻底审查整个组织的风险登记册,以确定风险领域的优先级。根据优先考虑的风险领域,可以为年度审计计划确定当年的审计项目。基于风险的审计可以通过主动识别与数字化转型工作相关的潜在风险,帮助推动安全、可靠的数字化转型。此外,审计实践的数字化转型可以提高内部审计团队为管理层量化审计意见的能力。
借助数据分析、算法以及结构化和非结构化数据元素,内部审计团队可以有效分析大量匹配的数据集,并及时出具审计结果。
利用审计分析有几个好处,包括:
提高对企业运营和企业所面临的各种风险源的理解(例如,潜在的欺诈)。
发现重大错报的可能性增加,有助于解决审计抽样相关风险
改善与被审计客户的沟通
在过去,审计分析只是以描述性的方式进行,使用的是原始的预测方法(如线性回归)。由于机器学习的出现,当代审计师现在可以使用预测性审计分析解决方案。相较于关注已经发生的事情,审计师现在可以借助行业中可用的描述性和预测性审计分析解决方案来推断可能发生和将要发生的事情。
审计分析也可用于执行其他审计程序,如控制测试。美国注册会计师协会(AICPA)的分析程序AU-C第520节中涉及了公认审计准则(GAAS)所要求的分析程序。根据实际需要,还可以参考国际审计与鉴证准则委员会(IAASB)、美国2002年萨班斯-奥克斯利法案(SOX)或环境和社会治理(ESG)规定的审计准则和当前趋势。在对操作技术(OT)环境进行内部审计时,应收集由各种接触点产生的数据元素,其格式应允许审计团队在分析过程中应用定义明确的审计分析算法。在适当和方便的情况下,可以使用统计或非统计抽样方法来收集审计证据。此外,还应从安全角度对OT环境中产生各种数据元素的可用接触点进行审计,以确定相关安全风险。
审计部门的最高优先级事项应该是通过审计本组织中最关键的风险领域来支持管理层的目标。
组织拥有的信息资产的数量和复杂性随着数字化转型的深入而增加。因此,使用传统的审计技术可能已经无法有效地发现欺诈性交易和其他潜在的风险源,而这些风险恰恰是企业在新的和复杂的数字化转型中必然会面临的。为了克服这种风险,审计团队必须掌握包括人工智能、机器学习和数据科学等技术实践。
机器学习是人工智能实践的一个子集,旨在教机器以类似人类的方式学习。有两种主要的机器学习类型:监督学习和无监督学习。监督学习是一种基于使用标记的输入和输出的机器学习方法,旨在训练机器更准确地预测结果。使用标记的输入和输出,机器学习算法衡量其准确性,并随着时间的推移进行学习。通过结合使用机器学习与分析,审计团队可以在应用程序处理之前验证各种数据元素的完整性。在分析和机器学习技术的帮助下,审计团队可以清理数据元素,并通过将数据元素与其他数据群体进行比较来监测异常值。实施机器学习算法可以改善和改变审计行业,正如它有望在正在进行的工业4.0转型中改变其他行业一样。
当机器学习能力有效地用于内部审计时,可以从组织维护的不同系统中汇总大量的财务和运营相关数据元素,这些数据元素可以作为组织中成功实施预防和检测控制的潜在证据。
新的颠覆性技术正在改变全球组织的技术格局。由于信息源、大型数据库和数据存储/备份众多,各组织已经开始使用大数据环境。内部审计团队应利用数据分析解决方案支持的新方法,从数据质量和可靠性的角度持续监测和审计这些环境。内部审计的规划也应侧重于测试检测控制措施,以识别与数据及其相关的潜在风险。这可以通过识别预防性控制的设计和实施效果来实现。但这些审计应该有一个整体的目标,即识别所有存在的潜在风险因素,而不是识别孤立的风险。
由于在大数据环境中生成了大量数据,因此无法使用传统的审计方法来验证与数据质量和数据的准确性、可靠性和安全性相关的风险。为了持续有效地解决这个问题,需要采用敏捷审计方法。敏捷审计是一种用于在较短生命周期内规划和执行审计的审计方法,目的是识别和解决企业在数字化转型过程中面临的最紧迫的风险因素。敏捷方法可以有效地用于审计活动,如风险评估、审计规划、现场工作和报告。在规划和实施敏捷审计时,需要考虑的关键原则包括:
审计部门的最高优先级事项应该是通过审计本组织最关键的风险领域来支持管理层的目标。
即使在审计规划阶段,审计人员也应接受待审计领域的变更。
应定期向审计委员会提供见解,并持续向客户提供见解。
客户和审计师应在整个审计业务中通力合作。
应确定和支持审计业务责任人。
应经常与客户进行面对面的会谈。
在审计期间,应及时向高层领导提供与风险和控制环境状况有关的见解。
最好通过与企业内部各道防线(如风险管理和安全团队)保持无缝沟通来理解风险。
审计团队成员应努力不断提高他们的技能组合,以增强审计的敏捷性。
审计范围不应无节制地扩大。化繁为简就是关键。
应该组建和维护由积极主动和技术熟练的个人组成的自治团队。
审计团队成员应接受持续培训,使他们随时具备审计业务所需的技能(例如,欺诈分析培训,机器学习)。
敏捷审计本质上反映了敏捷软件开发团队所使用的流行的Scrum方法,该方法以项目管理活动为重点,在开发生命周期中实现卓越。Scrum实践可能包括指定一个敏捷教练,使用可视化仪表板和进行每日站会(daily stand-up meetings)。使用结构化的敏捷方法,如Scrum,有助于审计团队将其传统的审计实践过渡到敏捷审计实践。
精益审计是为审计业务增加更多价值和效率的一种有效方法。精益的概念起源于汽车巨头丰田公司及其庞大的丰田生产系统(TPS)。丰田公司将精益方法全面引入到丰田的供应链,旨在识别和消除汽车制造生命周期中的所有非增值活动。与通用汽车(GM)等全球竞争对手不同,丰田在小环境中以有限的投资使用精益生产方式制造大量的汽车。精益方法可以帮助审计部门实现多种效益:
所需的审计证据和控制测试较少。
更少的审计会议并减少审计意见的不准确性
更低的审计成本和更短的交付周期
提高客户满意度、生产力、审计人员能力的有效利用、审计业务的响应能力和质量
采用精益审计方法可以通过提高交付的价值和提高审计团队成员的生产力,帮助重新设计和改善审计职能的生产率。
工业4.0转型侧重于使用人工智能、机器学习、数据分析和机器人流程自动化(RPA)等变革性技术,所有这些技术都用于数据收集、通信和分析。审计4.0转型(图1)必须模仿工业4.0转型,来更好地实现审计职能在收集、分析、建模和可视化数据,并实时提供有效和高效的鉴证。审计4.0转型将增加自动化程序的使用,并提高审计员的技能。审计团队成员必须学会适应新兴技术所带来的重大变化,以扩大他们的审计业务范围,缩短审计持续时间,提高准确性,并向企业提供强有力的鉴证。为了实现这些目标,审计师必须接受技术培训,以支持数字化审计流程。需要对审计团队成员的适当专业发展战略进行相应的规划。
为了支持快节奏、动态的数字化转型和审计4.0,审计高管层在规划和执行审计时应采用持续审计的方法。持续审计是一种持续检查风险和控制环境、监管和规要求、IT生态系统和业务流程的审计方法。持续审计一般由技术驱动,旨在实时自动检查错误和数据验证,避免出错。通过持续审计方法,选定的关键业务交易或关键控制将根据预先确定的标准进行持续测试。这种方法有助于审计团队发现关键业务流程中动态新兴风险,并将其实时传达给客户。
首席审计官应持续审查其团队的现行做法,并在审计方法和审计章程中引入任何必要的改进,以提升绩效指标并加强客户反馈的循环。每项已完成的审计业务都应评估其对实现企业战略目标的价值交付。必须采用新的技术和方法,如审计分析、人工智能、机器学习、基于风险的审计、持续审计以及敏捷和精益审计,以确保审计团队提供最佳水平的鉴证。此外,审计团队应制定与工业4.0转型相一致的新价值主张。这有助于企业确保其风险和控制环境的有效性,以成功识别和解决因工业4.0和数字化转型而出现的新型风险。
报名开启 | 第二届数字信任峰会暨ISACA中国2023年度大会
趋势与观点 | 未来已来,你准备好了吗?——人工智能嵌入GRC与安全运营迫在眉睫
作者:Vimal Mani, CISA, CISM, 六西格玛黑带,沙迦银行信息安全部门的负责人。
翻译:王岩(Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC,ISACA微信公众号特邀通讯员,德国商业银行信息安全经理。