2015年内部审计能力与需求调查报告(精编版)

作 者:

作者简介:

原文出处:
中国内部审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2016 年 01 期

关 键 词:

字号:

      2015年会重蹈2014年的覆辙,成为数据泄露事件泛滥的一年吗?不同规模的组织机构都正经历许多因网络安全问题所带来的挑战和入侵等麻烦事,信息技术(IT)部门对此显然承担主要职责。同时,内部审计人员通过与执行管理层和部门负责人紧密合作,确保日常业务流程中包含网络安全管理,也能够在保证组织运营安全方面扮演十分重要的角色。

      

      在今年的内部审计能力和需求调查报告中,我们对网络安全风险的现状进行了专题阐述。调查结果发现,网络安全是企业内部审计计划中一个主要的关注点,但它远不止是内部审计职能中唯一紧迫的问题。

      ●董事会的参与以及审计计划是有效网络安全管理的关键。提到网络安全,表现最为出色的企业同时具备两个特点:董事会的高度参与和年度审计计划中定义了网络安全的措施。

      ●内部审计职能的优先级事项进一步增多。网络安全问题,与新技术相关的风险(如社交媒体、云计算和移动应用),不断增加的监管合规需求,国际内部审计师协会、ISO和COSO的新指引和新标准——这些和其他优先事项要求内部审计部门在帮助组织机构日益增长的发展需求时能更加灵活应变。

      ●技术促使审计工作效率提高。从冗长的事项清单上,优先处理紧急事项促使更多内部审计部门加大审计方法和工具的投入和利用。

      ●更多关注于市场和合作。内部审计主管和员工比之前更加关注于向组织机构内其他部门传递职能任务、价值以及与风险有关的关注点。他们也欲作为战略伙伴加强与执行管理层、其他职能部门主管和董事会的合作,从而帮助组织机构明白他们的风险并实现其战略目标。

      我们真诚地感谢参与今年调研课题的800多名首席审计官和内部审计专业人士。我们也十分感激他们为此所付出的宝贵时间。最后,我们再次鸣谢国际内部审计师协会为推动当今商业环境下内部审计职能角色的发展所做出的贡献。

      网络安全和审计程序专题报告

      

      ●只有少于三分之一的组织机构,判断其在网络安全风险管理上达到“十分有效”的可接受水平。由此可见,网络安全风险管理的改进需求非常明显。

      ●那些将识别网络安全风险列入审计计划,并且董事会能够积极参与到网络安全风险管理的企业被评为“表现突出”。

      ●公司信息的安全性问题、品牌和声誉的损害、监管合规以及员工个人信息泄露等,这些事项均表明网络安全存在重大风险。

      网络安全所引发的事件,所产生的影响和发生的频率都在持续攀升。实际上,那些被公开报道的网络攻击事件只是冰山一角。因此,首席审计官和内部审计专业人士需要考虑的一个重要问题是:内部审计人员就网络安全问题应扮演的角色和承担的责任到底有哪些?

      致首席审计官和内部审计专业人士关于网络安全管理的10条运动措施建议

      1.与管理层和董事会共同商定网络安全战略和相关政策。

      2.寻求企业“十分有效”的能力,以识别、评估和降低网络安全风险到可接受水平。

      3.确认由于员工或商业伙伴的行为导致网络安全风险的威胁。

      4.增进与董事会的关系:a)加强董事会对网络安全风险的知识和意识;b)确保董事会始终高度参与网络安全工作,并且不断更新网络安全风险的内容变化和战略意义。

      5.确保审计计划中正式包含网络安全风险的内容。

      6.应与时俱进地理解新兴的技术和未来发展趋势,以及如何对公司和网络安全风险产生影响。

      7.根据美国国家标准与技术研究的网络安全基础框架,评估企业的网络安全项目。一旦确认基础框架未能达到控制层级,则需要通过更多的诸如ISO27001和ISO27002的合规评估来加强保护。

      8.认识到关于网络安全的最强防范能力,是需要人力和技术安全方面的整合:包括教育、认知、警觉性、技术工具的互补融合。

      9.执行管理层需要优先考虑监控网络安全与网络事件响应,而一个明确的自下而上的逐级汇报机制有助于实现这个优先级。

      10.IT审计人员资源的短缺,代表了许多组织机构所面临的一个最重要的技术挑战,同时也成为有效应对网络安全风险的障碍因素。

      网络安全风险日益上升的重要性在今年的调查报告结果中得以佐证。内部审计主管和专业人士认为加强数据安全,遵循美国国家标准与技术研究院网络安全基础框架(NITS Cybersecurity Framework)提高网络安全的关键基础设施,掌握数据分析的新方法和审计技术应放在最优先的地位。我们在与首席审计官和内部审计主管的持续沟通中收到类似的反馈,意料之中的是,他们表示对网络安全和数据保密的议题有极大的兴趣。甫瀚咨询近期的其他研究表明,同时美国董事协会亦强调,网络安全已是董事会、执行管理层和内部审计部门议程上一项重大风险。

      在本报告中,从网络安全和团队领导角度,我们评估了组织机构中网络安全风险的现状,识别了有效的网络安全风险管理能力的关键组成,同时揭示出一些区别和差异。我们总结了10条首席审计官和内部审计专业人士应考虑如何加强网络安全的行动措施建议。

相关文章: