在不断演变的数字环境中,企业IT部门发现网络安全是保护创新不可或缺的盾牌。许多组织已将网络安全职责从IT部门中分离出来,以便IT团队能够专注于技术支持。然而,网络安全与IT审计是一体两面,网络安全作为日常防御线,而IT审计则代表了一种更为可预见的部署策略。
以往,IT审计可能是内部控制审计的一部分,由内部审计部门执行。鉴于IT审计在当今数字环境中的重要性日益增长,越来越多的审计专业人士提倡将其作为独立的审计项目实施。
独立IT审计不仅能确保结果公正无偏,还帮助组织保持可信的做法和流程,并获取遵循标准化机构(如美国国家标准与技术研究院,NIST)及国际标准化组织(ISO)27001等标准所需的工具。
过去,网络安全、IT和IT审计通常是分开的部门,特别是在拥有更多财务资源的大企业、银行和保险公司中。如今,企业管理层会因以下几个因素而高度重视IT审计:
内部控制的重要性日益增加,特别是对于需向股东负责的企业而言。
近年来,对企业和公共部门攻击事件的报道直接影响了组织的声誉,可能导致长期建立的客户信任流失。
鉴于审计成本可能仅为遭受攻击后重建和赔偿损失成本的一小部分——低至5%,商界将其视为一项审慎的投资。
具有前瞻性的董事会可通过改进IT审计实践来减少企业风险,同时维护组织的声誉。此外,一个可持续发展的企业需要有与运营效率相匹配的合理预算,而非随意削减成本。通过降低运营成本来保护企业比在灾难恢复上投入额外资金更为有益。
IT审计与组织的未来
面对日益复杂的网络安全威胁,全面评估组织防御能力至关重要。仅依赖内部IT部门的报告可能不足以判断企业抵御网络安全威胁的能力。由于存在盲点,自我审计可能不是评估组织网络安全态势最有效的方式。
独立的IT审计确保了审计实体的结果公正无偏且实践与流程可靠。审计员配备必要的工具,遵循国家或全球合规方法,从而提供全面可靠的组织网络安全态势评估。此外,它们揭示潜在风险,使董事会能全面理解当前形势。
全面评估组织的现状对IT审计来说极为关键。内部IT部门与审计部门之间职责可能存在重叠和冲突,这给向董事会呈递一份全面且不偏不倚的报告带来了难度。尽管如此,为了董事会能够做出深思熟虑的决策,提供客观且全面的信息是必不可少的。因此,独立IT审计不仅是洞察企业真实状况的窗口,更是确保决策科学合理的基石。
行胜于言
无可否认,每个企业都不可避免地存在潜在风险。独立IT审计标志着风险管理过程的开始,是至关重要的第一步。董事会需要对独立IT审计提出的发现持开放态度,并认识到组织当前正面临或可能面临的风险,以便有效应对各种类型的风险。
幸运的是,处理风险有许多方式,比如减少风险、转移风险,甚至接受风险。例如,企业可以选择购买额外的安全解决方案来减少风险,购买网络保险来转移风险,或者通过使用应急响应计划来为风险做准备,以便在风险发生时能够有效应对。
随着董事会认识到独立IT审计的客观性价值,他们也意识到独立IT审计是决策过程中的一个重要基石。近年来,越来越多的中小型上市公司董事会将IT审计提升为一个独立且每年定期进行的环节。对组织所面临风险的透明化至关重要。董事会作为组织的指引灯塔,必须全面掌握已知与潜在风险,以便积极地做好应对准备。
总之,在当前的网络安全格局中,独立IT审计不再是一种选择,而是企业的关键策略。它不仅使董事会能够做出明智的决策,还帮助企业避免因暴露于风险而可能遭受的重大损失。要开始在您的组织中实施独立IT审计,组织的董事会必须立即行动,审查现有IT审计是否足够客观和独立。随后,应将独立IT审计纳入定期年度审计,并作为决策的重要参考。
编者按:本文于2024年7月12日首次发表于ISACA官网News and Trends的Industry News。文章内容仅代表作者本人观点。
作者:YUMAN CHAU,CISA, CISM, CRISC, CISSP, ACP, CHFI, PBA, PMP,ISO27001高级主任审核员及风险咨询副董事
