内部审计的转型已是大势所趋?首选信息安全审计!
2018-05-31
有人说,内部审计的工作容易开展,因为审计团队主要针对已经发生的事情进行检查,自然可以站着说话不腰疼地俯视被审计单位的工作,评价一番后提交管理层交差。然而,随着行业、环境的变化的持续加速,如今的商业环境对内审人员的要求已不再仅局限于关注过去发生的事情了。对于内部审计而言,内审人员必须从幕后走到台前,升级为能为组织提供真知灼见的人。
事后看见:“确认”是内部审计的两大职能之一,这也使内部审计成为人们眼中的事后诸葛亮。长久以来,内部审计的作用是通过确认活动揭示组织已经发生的问题,并避免今后发生同样的错误。尽管内部审计的后见之明有助于帮助经营层沉淀管理经验,但很多揭示的错误已无法挽回,而身处变幻莫测的商业环境中,内部审计滞后性的后见之明无法在组织战略实施前沿为经营层提供前瞻性建议。因此,内部审计需要意识到除了向组织提供“确认”服务外,必须向全面风险导向开展工作的必要性,这使内部审计从事后向事前、事中转型成为必然。
事中观察:内部审计的事后看见有助于使组织避免重蹈覆辙,而事中观察则能使内部审计的时间节点前移,更为有效地为所在组织提供增值的服务。一方面,内部审计身处组织战略实施的最前沿,在组织实施重大投资等重大事项时对其合法性、合规性、效益性进行实时监督,及时补偏救弊,对症下药;另一方面,通过观察公司经营层的决策过程,更好的理解经营层作出重大战略决策时权衡利弊的过程,以内部审计顾问的独特视角提供可信赖的专业建议,为组织实现价值增值。从事后看见到事中观察,内部审计为所在组织发挥的作用和价值将实现质的飞跃。
事前预见:大部分的内审机构的工作计划服从于上级单位和公司经营层的相关要求,缺少主动思考意识,这使内部审计工作的开展长期处于被动地位,忽略了内部审计应具有的预警功能。对于内部审计而言,事前预见是一种对未来的前瞻能力,这种能力并不是内审机构与生俱来的,而需要通过事后看见、事中观察不断地沉淀审计经验、积累业务知识,培养前瞻性思维才能获取的能力。通过战略性预见,内部审计把组织长远目标的达成与可能发生的风险联系起来,帮助组织在面临挑战和机会之前更为充分地做好准备,最大化地发挥内部审计的咨询作用。
从事后看见,到事中洞察,再到事前预见,大多数内审团队在面临机遇的同时也越来越无法忽视一个问题——你是组织可信赖的顾问吗?想要成为组织可信赖的顾问,内审团队自身必须满足两个条件,一是认知转变,二是技能提升。
内审团队的认知需要转变。内审人员需要意识到自己的身份不仅仅是公司的“检察官”,向公司经营层提出问题,还要成为管理层的“顾问”,识别并分享最佳实践,将行业内外的优秀做法和先进经验进行分享、传承。想要顺利实现两个身份的转换,内审人员必须摆脱从前井底之蛙看待问题的局限性思维,培养眼睛向外看的思维习惯,通过拓宽内审人员的视野,有意识、自觉地思考未来,为组织战略计划和执行落地提供前瞻性分析,以内部审计的独特视角来为组织增加价值。
内审团队的技能需要提升。想要为组织经营层提供真知灼见和前瞻思想,内审人员的专业知识就不能仅仅局限于财务、内控等基础类技能,内审团队应该考虑配备不同专业、行业背景的内审人员,使内部审计机构能够更为深刻地理解公司经营的业务特点、所处行业的风险及组织整体战略部署情况。然而,依靠外部招聘提升内审技仅能暂时满足公司内部审计工作的需要。内审团队必须加强自身对内审人员技能的培养,通过建立良好的学习机制、调动员工学习的积极性,确保内审团队胜任能力的持续提升,实现成为公司战略咨询顾问的目标。
内部审计从幕后走向台前,是整个内审行业的大势所趋,也是每个组织经营层希望看到的转变。身处不断发生变化的组织和行业,内部审计作为组织积极变革的推动者,必须学会适应这些变化和挑战,最终实现为组织持续提供价值的终极目标。
内审转型首选
随着高科技的迅猛发展,全球社会经济发展迎来了新机遇和新挑战,或许不久的将来,大数据时代会悄悄过去,人工智能时代将缓缓到来。在这样的一个新时代下,不仅仅是体量的扩充,更是数据思维的转变。面对这样的改变,各行各业都将受到一定的影响,想要生存也必须与时俱进以适应新时代的技术、模式与方法变革。当然,内部审计也无法置身事外。
长期以来,内部审计的职能被定义为“监督纠偏”,可就是这个最基础最根本的职能给内部审计工作带来很大的障碍与不便。无论是内部审计还是外部审计,都免不了要和形形色色的人打交道。可是对于“监督主导”下的内部审计来说,天性“不服管”的人们未必会全力配合内部审计人员的工作,甚至在“反叛精神”的引导下拒绝配合调查。久而久之,内部审计无法发挥其真正作用,逐渐在很多企业内形同虚设。另外,随着组织结构与经济业务活动的复杂化,单一监督职能的内部审计已经无法满足企业全面发展的需求。
在这样一个大环境下,内部审计的转型已是大势所趋,信息安全审计便是转型的一个重要方面。今天就跟大家来聊一聊信息安全审计。
案例
这是一个依托计算机与网络的信息生产时代,云计算、物联网、大数据,互联网+、智能化等新型应用层出不穷并不断升级进步,这些应用皆是以大量信息为载体,使人们高效便捷快速获取信息的同时也产生了新的问题:信息安全问题(例如:内网泄露、黑客攻击、病毒、非法使用等)。
造成信息安全问题的主要原因包括:
(1)信息系统本身脆弱,存在漏洞
(2)信息系统处理技术太过复杂,操作过程中不可控因素多
(3)信息管理部门对内网安全保护意识薄弱,保障系统的设计不足
(4)信息安全保护系统运行效果不佳
信息安全关系着社会中的每一个成员,更不用说是依赖信息生存发展的企业公司。这时,一个独立于信息系统管理部门的、来评价信息系统安全性的机构就显得尤为重要了,而内部审计机构作为企业中最具有独立性的部门,便成为信息系统安全管理监控、减少信息安全潜在风险的不二选择。于是,信息安全审计应运而生。
信息安全审计,顾名思义,为保障信息安全而诞生的审计形式,通过对信息系统风险进行事前防范、事中控制、事后审计,来达到保障系统无漏洞、信息无泄露的目标。信息安全审计的具体内容包括:
(1)信息安全审计的重点应是根据系统提供的运行统计日志,及时发现系统运行的异常,排除非法访问、数据库以及数据平台被入侵的潜在风险,以保障硬件、软件和数据存储的安全性。
(2)信息安全审计运用计算机辅助审计工具对数据进行测试和检查,为信息系统管理员定期提供有价值的系统使用日志,以帮助管理员尽可能早地发现系统漏洞。
(3)通过审计跟踪,建立适配的责任追究机制,对内网人员以及外部入侵者的恶意行为进行警告和追责。
总结
在数据信息仍然占据主流的当代环境下,信息安全审计适用于各种类型、各种规模的组织,特别是对IT依赖度高的组织,如金融、电力、航空航天、军工、物流、电子商务、政府部门等。各个行业和部门可以单独实施信息安全审计,也可以将信息安全审计作为其它审计与信息安全相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。而我国银监会、证监会等多个行业监管部门均已出台相关政策,要求建立信息安全审计制度,定期实施信息安全审计。
想要转型吗?或许信息安全审计是一个不错的选择哦~~
转自:注册风险管理师
《陈立彤律师培训《合规管理体系 指南》、《合规风险的识别与评价》 及新反法下的《商业贿赂风险管理》》