下载掌阅APP,畅读海量书库
立即打开
提要
· 持续审计应被视为一种持续风险管理方式,通过持续审计可以创造价值。然而,需要正确的认知才能识别和理解这种成果的增长。
· “审计”一词带有负面含义,但审计就像一面镜子,让我们看到可以做得更好的地方。
· 为了保证创造价值,持续审计必须被看作是消除和减轻风险的整体方法。
阅读指南
本节介绍了持续审计的背景和定义,然后基于特征性问题概述了经常发生的问题,并分析了持续审计提供解决方案的根本原因。
持续审计的目的必须是保证业务成果的增长。具体而言,它通过更快地向利益相关方反馈信息,帮助它们了解所识别的风险的应对措施在信息系统的行为、功能和信息质量方面是否能有效实现。提升业务成果的实际衡量标准通常在于信息安全领域的风险管理以及遵守法律法规,例如财务报告和个人数据处理的相关规定。这些方面是企业在制定TOM及其目标时所期望的成果的前提条件。
本节对持续审计的定义如下。
持续审计是针对一个包含人员、流程、合作伙伴和技术的价值链,持续进行全面评估,确保其处于受控状态。
这通过持续监控控制的设计、存在和运作的有效性,并利用反馈信息改进控制来实现。
控制是针对无法实现质量目标的风险所采取的应对措施。质量目标源于价值链的目标运营目标。
持续万物的每个应用都必须基于业务案例。为此,本节描述了信息系统持续控制方面的典型问题,这些问题隐含地构成了使用持续审计的业务案例。
1.有待解决的问题
需要解决的问题及其解释见表1.3.1。
表1.3.1 处理持续审计时的常见问题
2.根本原因
找出问题的原因的久经考验的方法是5个“为什么”。例如,如果不存在(完全)持续审计方法,则可以确定以下5个“为什么”。
(1)为什么我们没有实施持续审计?
因为没有人要求始终保持控制。
(2)为什么没有必要始终保持控制?
因为审计有负面的含义,被视为浪费,持续审计更是如此。
(3)为什么持续审计被视为浪费?
因为风险管理被认为非常耗时,会影响新功能的快速交付。
(4)为什么持续审计被视为耗时的?
因为没有价值体系(例如ISVS)或价值流(例如信息安全价值流),无法保证控制措施与信息系统共同设计,导致需要进行重构才能构建控制措施或手动监控控制措施。
(5)为什么没有价值系统或价值流专门用于控制?
因为管理层的风险偏好过高或为了达到目标而承担的工作量过少,这也可能取决于组织的成熟度或者组织高层的管理能力不足等,还有更多的原因可以列举。总的来说,总会有一种潜在的意识,这种意识通常被日常问题中确定的目标而不是质量目标所控制。通常情况下,如果整个组织因软件劫持事件而瘫痪,或所有公司机密被泄露到互联网上,或因竞争对手获得了所有客户和员工数据而陷入困境,那么组织更愿意投资于控制措施。
这种树形结构的5个“为什么”问题使我们有可能找到问题的根源。必须先解决根源问题,才能解决表面问题。因此,在没有资金进行改革或进行后续培训的情况下,我们开始评估是没有意义的。