十年前,内审职能发生演变是为了适应信息技术(IT)在商业运作各方面日益重要的作用。如今,内审职能再次面临调整,则是为了应对与网络安全相关的关键风险。虽然网络安全起初只是公司内部一个孤立、神秘的技术领域,但在短短几年时间内,迅速发展成为几乎所有组织面临的最重要的风险管理挑战之一。内审能否与这一迅速变化的风险领域同步?为回答这一问题,国际内部审计师协会(IIA)审计执行中心与IIA研究基金会、Crowe Horwath合作,联合对内审和网络安全专业人员开展调查,调查对象包括不同行业、不同规模组织、不同职位的相关人员,主要是首席审计执行官、审计主任、高级经理、经理和内审人员,了解当前网络安全政策和实践进展,以及内审如何适应网络安全环境,从而帮助内审部门通过建立关系、识别和调整角色、开发或获取所需的专业知识来应对网络风险挑战。 该调查报告分为三大部分(见表1),即网络安全中的关系管理、网络安全审计计划的目标、内审在网络安全中的角色。
一、网络安全中的关系管理 内审必须了解组织内部的关系范畴,以便更好地保护组织。与组织内的其他部门保持有效关系,始终是发挥内审职能的关键。同时,内审还必须与外部组织(如监管机构、行业标准制定机构、专业组织及相关执法机构)建立并保持良好关系。与被审计单位的积极关系可以加快审计进程,提高审计质量。但内审必须小心,不能让这种关系损害自身的独立性。不过,虽然独立性必不可少,但对抗性关系也会妨碍内审的效力。因而,要保持各种关系的适当平衡,而决定和实现这种平衡的方式将因组织的不同而有所不同。在网络安全方面,由于需要专业技术知识,因而实现适当平衡可能会更加复杂化。 为评估内审人员与网络安全领域人员之间沟通的有效性,要求受访者对内审与4个特定部门,即IT、信息安全、风险管理和其他合规部门的合作经验并按合作程度进行评分。其中,0代表目前未对该领域进行审计,或彼此之间无任何关系;1代表很少沟通或事先商量评估的责任;2代表与审计部门有正式的沟通,但仅限于评估要求;3代表沟通频繁,超越了审计请求和评估的关系;4代表部门之间的沟通是优先、频繁的,包括分享想法和资源;5代表审计与其他部门之间有高度的信任,包括持续的优先咨询(尽管是独立的合作伙伴)。调查显示,一方面,内审部门更可能与IT和信息安全部门进行正式的审计和沟通,与风险管理、其他合规部门的正式审计和沟通则较少(见图1)。同时,受访者更多报告内审与合规和风险管理部门有密切关系。另一方面,内审与IT和信息安全部门保持资源共享及高度信任关系的占比最低,这说明内审部门与IT和信息安全部门之间的关系仍然存在实质性障碍。
(一)信息技术 审计与信息技术部门之间的良好关系对于保障网络安全很重要。这种关系可以为解决网络风险提供良好基础,而这需要各部门之间更多的协作。通过协作,内审和IT团队可以通过联合评估以更清楚地了解组织风险和业务目标。但审计和IT团队之间的关系在许多组织中并不是完全协作的,这既可能源于IT团队成员对其构建的工具、系统和流程具有天生的优越感,也可能是IT审计师对网络安全特征不甚了解,从而使IT部门对内审部门缺乏信任感。调查显示,93%的内审部门与IT建立了工作关系,但仅28%的内审部门与IT部门有协作关系。 (二)信息安全 除了IT功能外,信息安全部门通常还要承担评估整个组织风险的重大责任。虽然信息安全部门和IT部门有时合署办公,有时单独运行,但事实上,越来越多的监管机构开始要求将这两项职能分开。 网络安全通常被视为更广泛信息安全功能的一个子集,它涉及许多靠技术以外因素驱动的领域。在一个拥有无限资源的理想世界中,应将信息安全职能和网络安全职能区分开来。但现实中,两者经常存在较大重叠,信息安全部门通常关注涉及履行网络安全职责的事项。此外,许多组织将部分网络安全计划外包给第三方供应商,包括托管安全服务提供商(MSSPs)和渗透测试提供商。内审审查这些第三方提供的服务至关重要,这意味着审计必须首先了解这些服务的目标、范围和结果,以确定这些服务是否满足预期、是否防控了相关风险并为组织提供了价值。 调查显示,87%的内审部门与信息安全部门建立了工作关系,但仅26%的内审部门与信息安全部门有合作关系。该结果与IT部门的调查结果相似,而且是预料之中的,因为IT部门和信息安全部门的职责通常是重叠的。 信息安全部门与内审部门的关系相较于其他部门通常更强、更积极,因为信息安全部门更关注风险的监测,而更少关注运行的基础设施或维护访问的能力。因此,信息安全团队能更直观地理解内审的功能和价值。当审计团队试图构建其功能时,信息安全团队可以帮助审计团队获得对IT基础结构所面临风险的更广阔视角。 内审、信息安全和网络安全等团队应采取积极措施来加强彼此之间的关系,如共同赞助联合研究项目或共同主办与网络安全有关的培训课程。此类活动除了能提高亟需的技术专业知识以及对网络安全问题的全面认识,还有助于最直接参与网络安全风险管理的个人之间建立更密切的私人和专业关系。而影响这种关系的一个复杂因素是内审人员必须保持必要的独立性。例如,IT审计人员通常必须使用外部安全框架(如银行法规)作为审计的基线。当发现重要问题时,审计人员必须将此问题报告给首席信息安全官(CISO)和信息安全部门。此时,无论IT审计师和CISO多么希望维持积极关系,都难以一直维持协作的和谐关系。