首頁 » GRC&BA » 內部稽核 » 現在有五項重要風險應該顯示在內部稽核雷達上!

現在有五項重要風險應該顯示在內部稽核雷達上!

Richard Chambers, CIA, CGAP, CCSA, CRMA , Global President and CEO of The Institute of Internal Auditors (IIA)曾經強調內部稽核人員可用評估風險及發展以風險為導向的稽核計畫來做好本身的工作,但總是還有一些危險發生在不熟悉的風險可能被忽略或是迅速爆發的風險,將可能導致精心製作的稽核計畫過時,假如你只是正常地一年做一次到兩次的風險評估,你可能沒有納入那些突然出現在主管或組織董事會雷達上的若干風險。下面是在2014年應該納入您的風險準星的事項:

1,網路安全框架-我們都瞭解大家在之前有聽過,網路安全是值得關注的一個巨大的領域,在大約十年期間幾乎都列在每項營運風險列表的前幾名,因為危險因素正迅速增長,今年的風險影響程度比以往任何時候都高,許多人認為,國家標準技術研究所(NIST)的網路安全架構和其他類似框架很快將成為所有的公司實際執行的標準。

Kroll’s Cybersecurity Forecast 2014 指出,隨著新的法律演變,反映了NIST的指導方針,就像是歐洲的隱私權的規範一樣,一些美國公司會發現他們自己並沒有準備對這項規定做出好有效的回應,即使監理要求沒有改變,壓力卻是一致,根據Kroll的意見,公司組織若不進行有效的風險管理,可能會發現自己受到股東訴訟等法律問題。

審計委員會了解到網路安全系統可能在任何地方或任何時間發生故障,但是,如果你的公司尚未採用具有權威性、嚴謹的網路安全架構,不要感到驚訝,總有一天,你的審計委員會委員會問你,為什麼內部稽核從來沒有建議的適當的執行框架。這僅僅只是一個邏輯的程序而已。

2,充分瞭解 COSO 2013  – 即使COSO在你的組織仍是維持現狀,管理當局仍可能發現自己尚未準備好回應就COSO2013年所帶來的變化,在新舊COSO制度之間的核心區別在於擴大框架的使用範圍和適用性,你的管理團隊可能會致力於充分認識新的需求或重要的聲明。

如果我們真正相信與管理階層的合作關係,我們必須確保移轉到COSO 2013是無縫接軌,我們都知道,內部控制是管理階層的責任,但在許多組織中,管理階層對COSO的施行相當仰賴諮詢內部稽核人員的稽核工作,所以,最好能夠事前就阻止問題的發生,而不是後來才發現管理階層沒有做好準備。

在2013年秋季所進行的一項專業研究調查顯示,國際內部稽核協會的審計行政中心指出,有45%的稽核主管受訪表示有評估和進行內部控制稽核報告,以及42%預期他們將會移轉/採用COSO 2013 新框架。此外,38%被調查者表示他們會專案管理負責組織的移轉/採用COSO 2013年內部控制 – 整合框架。

3,第三方風險 – 內部稽核人員應關注第三方風險,一個公司的供應商或合作夥伴是位於同一條街道或鎮上彼此熟悉和生意上相互信賴的日子已經成為遙遠的記憶。

對於那些在高度監理管制的產業,第三方風險可能較高列在待辦事項列表中,這是因為監理機構,如監察長辦公室(OIG)、貨幣監理局(OCC)和聯邦金融機構檢查委員會(FFIEC)(我們台灣是金融監督管理委員會、中央銀行、財政部等政府監理機構),正專注在這些風險上,與此同時,其他各種監督團體開始期待企業能夠主動判別潛在的第三方挑戰,您的企業組織可能需要驗證,不僅業務提供者是否符合規定,但供應商和合作夥伴是否具備有效的風險管理和堅固的事件報告系統。

沒有被監督管理在顯微鏡之下,並不意味著公司的第三方風險較少,監督管理部門可能根本​​不會指出風險。

許多稽核人員認為,應付第三方稽核曠日費時,實際上,即使是有限範圍的稽核仍是出奇地有效,承包過程的簡要回顧可以快速確定其是否有足夠的風險評估和盡職調查(Due Diligence)第三方的選擇都依常規進行,無論是採行稽核權利的條款及其他重要保障中被建置在標準的合同範本中,是否持續監督執行?和董事會是否隨時了解第三方的顯著風險。

請記住,管理階層不能因為將責任轉移到外部公司就好像移除掉所有有關作業的風險一樣,所以,如果你最近還沒有評估這塊區域,它可能是你值得花時間的地方。

4,雲端運算 – 雖然我們前面提到網路安全和第三方風險越來越高,但是雲端運算更值得特別關注,因為它涉及到這兩方面的風險 – 甚至更多,在雲端運算環境裡,資料透過網際網路在第三方進行的儲存和處理,這些外部供應商面臨著不斷增加的壓力,提供即時存取數據資料,並建立強大的附加功能,很不幸的是,提供新特性、透明性、瞬間存取特性與使用一個高度安全的雲端環境的發展相衝突。

5,行動科技 – 對於本篇所提的所有風險,行動科技可能會是發展最快的,雖然行動化所得到的便利性非常好,相對地風險更是出奇地高,我們想一下,簡單如智慧型手機,我們可以用許多不同方式,在許多類型的設備上,隨身攜帶數據資料,每一種方式都會創造不同類型的挑戰,它們是無法在典型的傳統科技和系統中找到。

智慧型手機和其他手持設備很容易讓數據資料被竊取,因為它們依賴無線網路,不過,這還不是全部,無線頭戴耳機、麥克風、以及其他設備,它們不處理或儲存訊息,但卻可能帶來風險,即使是一個簡單的紅外線設備,如無線電腦鍵盤或滑鼠也可能被利用來竊取資料。

我們知道這些只是少數基於新科技的風險,我們要如何繼續營運,以及我們如何進行每一天的工作,可能還有許多沒有放在我們的「風險雷達」上,所以,要改善我們所有的風險評估的問題,就必須讓我們先知道應該將我們的注意力集中在哪些地方。

關於 David Chuang

CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員