ISACA Journal | 信息系统审计实践:技术在实现多样性方面的优势
☝☝☝点击上方链接报名参加第二届数字信任峰会
米娜的审计小组得到了一个不寻常的要求,必须对他们将要审查的项目治理过程和支持软件中的包容性进行验证。新任首席信息官打算通过扩大参与取得更好的开发成果。他认为一些利益相关者选择不参与项目进程,不是因为他们认为这超出了他们的工作职责,而是因为他们觉得自己像是局外人。他希望通过审计来发现参与方面的差距,并找到导致一部分参与者被针对而其他参与者被劝退的因素。这位首席信息官不仅相信技术能够以积极的方式推动多样性,而且相信这一过程本身能够促进团队更好地合作。在开始界定范围之前,米娜认为必须对多样性和包容性有一个基本的了解,而这正是她想提出建议的地方。
为什么多样性需要努力才能实现
多样性的好处长期以来一直被管理学院所追捧。多样化的风格产生了广泛的想法和方法,这可以转化为一个更有凝聚力的工作环境,并创造一个降低成本的竞争优势。具有包容性思维的多元化工作团队可以弥合理解上的差距,有助于避免返工。典型的例子是IT部门和业务部门之间的紧密合作,使开发后的用户验收测试(UAT)产生令用户满意的上线结果。多元化的团队还可以通过创造具有广泛吸引力的产品和服务,更容易接触到更广泛的受众。技术有助于使这些产品和服务更加普遍。
如果多样性可以带来这样的优势,为什么它如此难以实现?"无意识偏见"、"男孩俱乐部"、"派系小团体"和"内部小圈子"等习语表明,工作和社会团体是围绕着熟悉的东西形成的,即物以类聚人以群分。人们更容易在一个已知的框架内工作,与那些感觉像是例行公事的人和风格一起工作。摆脱已知的和舒适的,包括新的方法和不同的人,可能会感到有风险,就像任何变化对那些习惯于在既定边界内运作的人来说一样。正如米娜的情况所显示的那样,实现最佳的结果不仅意味着要了解应该如何为一个项目定义多样性,而且还意味着要确保所使用的技术能够在上线时和稳定状态下获得多样性的优势。
米娜关于范围界定的想法
米娜非常喜欢她的工作,她并不介意作为EMEA(欧洲、中东和非洲)团队成员服务于一家美国企业。虽然有时她希望在组织做出一些关键决定时,特别是围绕组织的审计计划时,她能在场,但她喜欢在每天安静的早晨,在下午总部团队上线之前,她可以完成一些思考性的工作。事实上,纳入其他地区是她对这个具体项目的范围评估和流程规划的建议之一。她认为强调她的观点的最好方法是从一个关键属性的清单开始,这些属性将会是审计的目标:
需要界定多样性,避免完全同化。狭义的范围可能会忽视或阻碍非传统思维,从而有可能排除有价值的信息。米娜的观点是,在确定审计项目的范围时,要让团队预先定义多样性。为了正确地定义多样性,团队必须培养意识和理解,并在项目和软件如何吸引广泛的用户群体方面进行发散性思维。
范围应包括对控制措施的审查,以专门检测潜在的偏见。米娜认为,检测偏见只是挑战的一部分。她建议,在每一个里程碑上,审计团队都应该寻找缺失的东西--也许是地区包容性、文化包容性、技术专家包容性、年龄包容性或业务包容性。她一直对商业利益相关者对IT审计结果的半信半疑感到困扰,但她强烈认为这种反应是由于缺乏合作和相互理解造成的。
一个人必须通过与广大受众一起探索各种选择来为变革制定规则。米娜认为技术和软件开发可以探索和实施那种只有广泛多样的人群才能创造的独特计划。她的建议提倡采用一种假设监控的理念,在整个敏捷过程中使用上线后的检查点。
最后一点是实时、详实的建议。米娜相信这将与该组织对三道防线(译者注:现在应为新的三线模型)的承诺很好地结合起来,在信息实时和相关的情况下利用技术赋能的人工检查点。
技术在哪里为成为多样性的催化剂?
技术的优势有两个方面。首先,正如米娜的首席信息官所认为的那样,技术可以成为一种促进因素,增强对新想法的了解,允许以独特的方式看待问题,并改善对影响结果的因素的考虑。多样性从综合风险/审计方法开始,并努力利用每一个可行的想法。其次,通过协同工作空间计划和网络技术,技术使许多人而不是少数人能够参与进来。即使是通过最基本的视频协作,也能在所有参与者、利益相关者和客户之间建立更好的联系。
能增强构思和项目广度、实现全面的团队协作、甚至加强关系建设的技术,可以作为多样性的催化剂在各种行业和学科中使用。以下内容值得思考:
工作场所中技术赋能的多样性不仅意味着要考虑所有的可能性和优势,而且还意味着要注意和鼓励通过使用网络会议来参与。
技术通过使资源更容易获得来改善教育,并帮助技术专家满足所有年龄和背景的用户和学生的需求。
尽管有大量的数据,但政府的技术有助于建立运营框架。它提供了对网络犯罪的控制,并在国家和地方政府设法援助其公民时,实现了大量数据的关联。
医疗保健方面的技术有两个关键目的:保护隐私,同时识别和评估不同人群的潜在疾病和治疗方法。关键是如何定义"多样性",以便不遗漏任何一个人,并确保匿名性,鼓励研究参与,从而找出准确服务于各种人群的治疗方法。
技术被指责过度地影响了消费者的意见和购买决定,但这种风险是可以减轻的。重要的是,要牢固建立监督和治理,以避免这种过度影响。在多数情况下,如果治理到位并尽职尽责地进行监督,知情的消费者就可以通过适当地使用社交媒体和网络服务来获得广泛的产品和建议。
归根结底,多样性和包容性之所以重要,是因为它具有改善每个人的生活质量的潜力。不公平的现象总会存在,特别是在需要更新多样性定义的拐点。保持技术作为多样性的推动力,正是ISACA专业人员带来价值的地方。技术在促成多样性方面有哪些优势?以下领域将从专业贡献中受益:
识别不平等现象正在渗入的领域。在风险评估和审计评估中包含发现点。
避免同化所有数据。相反,要支持一个允许思想蓬勃发展的框架和范围。尽早让更多的参与者和利益相关者参与进来,以实现这一创造性目标。
实践包容。成为发展、业务和其他利益相关者之间的桥梁。风险和审计专业人员可以利用他们的客观角色,将包容性的要求付诸实施。在你自己的部门中通过把想法表达出来,开始实践包容。
广泛沟通,及时反馈。沟通时要考虑更广泛的受众,使用对不同群体有吸引力的媒体,满足人们的需要。通过征求反馈意见,确保你的信息不会在传递中丢失真意。在项目里程碑期间进行测试,评估早期建议是否被采用,如果没有,则检查沟通方法,看看是否需要改进。
你必须去做才能做好
重要的是,风险管理和审计最佳实践领域的专家以身作则采用技术。这可能是一个简单的事情,比如在适合跨时区的时间举行虚拟视频直播会议。或者是告诉别人你使用了什么技术来验证工作范围的多样性准确性。不管是什么项目,也不管最终的目标是什么,审计专业人员的一致行动都会增加多样性的结果,并实现技术的作为多样化推动力的潜力。更多的想法,准确的概念证明,加速增强了数字信任,产生了更好的结果。
报名开启 | 第二届数字信任峰会暨ISACA中国2023年度大会
编者注:本文出自ISACA Journal 2023年第3期。尾注略。文章内容仅代表作者本人观点。
作者:CINDY BAXTER,CISA, ITIL FOUNDATION,是What's the Risk, LLC的董事。她的工作重点是对网络安全、隐私和业务连续性/灾难恢复进行综合风险控制和流程评估。
翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员,德国商业银行信息安全经理