19世纪早期,电报的发明使企业能够瞬间处理好存货订单以及与公司高管们进行跨国联系和沟通,随之而来的就是19世纪后期出现的电话,使商人们可以与客户进行实时通话。到了20世纪晚期,互联网的产生使公司可以在线营销他们的产品和服务,并随时可以和他们的客户进行交流,分享彼此的信息和观点。 但这些技术的发展也随之带来了风险。即时通讯能力越强,也就意味着信息的传播就越快。全球被新技术所覆盖则意味着信息越来越不受控制,通过更多的方式在更大的领域中传播。 正因为如此,今天的内部审计师面临着新技术的不断发展,为促进组织的发展,移动设备、云计算和社会媒体出人意料地用于各个方面,但同时他们也会带来那些必须加以管控的新风险,这些风险一旦不加管控就会抑制新技术的合理使用。然而,就像每年对各种有关“职业现状”的研究表明,技术专长一直以来都是内部审计职业的弱项。如果内部审计部门要想在虚拟化的商业环境中成功地提供确认服务,就必须克服这种知识上的屏障。 一、要了解虚拟技术 在内部审计师看来,所必需的工作就是要准确了解员工正在使用哪些虚拟技术,并成功消除因员工使用虚拟技术所带来的风险,使组织收益最大化。由于事先定好的事情并不一定会与实际结果一致,所以开展这些工作的难度往往会超出许多审计师的想象。 美国芝加哥国富浩华咨询公司的安全隐私团队负责人拉杰·乔杜里就提道,“无论各类技术的使用是否得到认可,但每个人都在使用”。这是因为“大多数人甚至可能都不知道或者不愿意去查找现行新技术的使用是否有相关的政策”。而一些缺乏有效资源实施风险管理战略的小规模组织可能就会走捷径,简单地限制员工访问虚拟技术。但是,“在那些大中型组织中,这些技术的使用却是无处不在”。 事实上,美国休斯敦市惠普公司的IT审计经理弗雷德里克·布朗已经注意到,技术公司已建立了大量的虚拟架构支持自身的业务经营,他也认为虚拟架构带来的风险需要加以管理。因此,他指出,“云计算是我们明确的战略,它已经包括了公众、个人和混合交付模型,还包括了提供基础架构服务、平台服务、软件服务等”。就像提供普通的云计算服务,数据存储也是惠普首要核心云解决方案之一。“提供给私人和公众的云模型”。他说,“我们的许多核心流程都正在向第三方的云软件即服务供应商转变”。 惠普公司几乎每个员工都有一部移动电话,其中大多数人都已经通过公司移动管理登录公司局域网。事实上,移动性和“自带设备”(BYOD)的观念已被用于提升员工生产力和客户参与度。布朗认为,移动技术“使我们能够保持与内外部的有效沟通”,“另外,我们使用网络电话进行合作,也就是桌面共享,这种方式极其稳定,符合成本效益原则并且也受到用户的欢迎”。他说,惠普公司也是通过社会媒体开展业务活动,由于其发展速度之快,并能覆盖上千万的潜在客户,所以也是关键的市场营销战略之一。 技术精通的机遇 对于年轻人、通常更多的是对于精通技术的内部审计师而言,云计算、移动设备和其他新技术的进步都代表着一种机遇。美国玛氏公司的信息系统内部审计总监梁柳真就认为,对于一名热衷于技术知识的内部审计师,这是一个极好的机会。他说,“总的来讲,新一代内部审计师在技术知识方面更新潮,就像他们个人生活中应用的社会媒体、移动通信设备和云计算,与这些新技术相关的风险以及审计实践中获得的都是一种全新观点”。 HP公司的IT审计经理弗雷德里克·布朗也认为,具备这些能力会使年轻的审计师们脱颖而出。他说,先进的数据分析是另一种重要技能,“如果审计师能够具有超越现有低水平的数据分析技术,他们就能探索出新的审计方式,即不用持续性的监督或持续性的审计,甚至在实施审计阶段中都不用和审计客户进行交往”。 德勤咨询公司的高级咨询师迈克尔·利维也说,事实上,对年轻的审计师从事内审职业而言,技术不仅是一个专业领域内的机会,它更是一种激励。内部审计师需要具备一些技术层面的知识,熟知业务并且精通技术的审计师更能够识别组织中存在的风险,并帮助组织创建新的解决方案。 二、虚拟技术带来的风险难以控制 听起来就像虚拟技术,对于他们能带来的所有收益很难捕捉。这也正好是内部审计部门所面临的问题:技术给企业带来的风险常常很难量化,更不用说对风险进行充分的评估并帮助减缓风险。 乔杜里认为,一般而言,那些受严格监管的行业,如银行、公共事业、保险和医疗保健机构,由于虚拟技术使用不当将会面临由此形成的风险,而这种风险要比监管较弱的行业,如制造业所面临的风险要大得多。他说,“这些机构中常常会有很多敏感数据”,就像个人健康信息和个人身份信息等。“因此,对于他们而言,存在的这些风险要比他们受到监管机构的潜在处罚要大得多”。他还说,一旦虚拟技术的使用疏于管理,公司可能会因技术使用不当而导致竞争失利。 乔杜里强调道,当然,特定的风险会因“公司不同的部门而有所不同”,也就是说“在使用基于云提供的服务时,用户并未认识到该服务会带来风险”。具体地讲,就是一名员工可能会因疏忽在财务信息正式披露之前泄露了财务结果。 美国华盛顿玛氏公司的信息系统内部审计总监,同时也是彰显COSO思想精髓的文章——“云计算的企业风险管理”的作者之一梁柳真就指出,云计算所带来的便利是有代价的。他说,“最大的风险就是那些具有吸引力的云计算解决方案使重要系统或程序在改进和改变前绕开了许多传统风险评价的管理控制和机制”。