国富全球视野 | 内部审计计划重点关注风险领域:AI、网络、经济不确定性、人力管理、战略创新和数字化转型
在识别和评估组织面临的最重大风险方面,内部审计团队发挥着重要作用。2025年,快速演变的风险格局可能会在以下关键领域带来新的挑战:日益复杂的网络威胁、财务复杂性、战略要务、劳动力市场变革以及数字化转型进程。
AI(人工智能)
AI既对增长战略的长期可行性构成威胁,也带来了机遇。随着数字化转型进程加速,人工智能已成为创新、效率和竞争优势的关键驱动力。
然而,AI技术与现有技术环境的快速融合也带来了显著挑战。AI的复杂性可能会给IT基础设施带来压力,导致运营效率低下、维护成本增加以及系统故障风险。传统系统通常难以与新的AI技术集成,这可能会由于输入数据不完整、不准确或有偏差而导致输出结果不准确或有偏差,从而引发业务流程中断和集成问题。
若没有明确的AI治理和控制措施,AI的实施和使用可能会与业务目标不一致,造成安全漏洞、知识产权流失、资源浪费等问题,并错失战略机会和效率。
内部审计工作重点:
AI治理评估:评估组织AI治理的设计和实施,包括相关政策、操作流程、培训体系、控制措施,及对未经授权的、公共的和不安全的AI工具使用的监控。确保符合战略目标、道德标准和监管要求。
数据管理:评估组织当前的数据管理流程和控制措施,以确认组织的IT环境中存有完整准确的数据供AI使用。
AI安全评估:评估AI系统特定的安全控制措施,包括对数据投毒、算法偏见、对抗性攻击及对AI模型和数据集的未经授权访问的防护措施。
AI模型评估:审查AI模型开发、测试、验证和部署的流程,以确认其符合质量、可靠性和公平性标准。持续监控是否存在偏差和性能下降。
网络风险
作为一项重大风险,网络安全长期以来都是管理层关注的焦点议题,我们预计网络安全在整体风险格局中的重要性将进一步凸显。
随着数字化程度的不断提升,组织对IT基础设施和第三方服务的依赖度持续加深,这使得网络威胁的演变速度不断加快。这种演变给安全驾驭复杂的威胁生态系统带来了挑战,这些威胁会影响运营、安全和财务状况。
面对日益复杂的网络威胁生态系统,企业需要建立更加完善的防护体系来保障运营安全、数据保护和财务稳健。其中,云安全、第三方漏洞以及恶意软件和勒索软件威胁是三大重要的网络安全风险领域,需要强有力的网络安全策略来保护敏感数据并保持运营韧性。
内部审计工作重点:
网络成熟度:使用一个或多个行业认可的框架,评估管理层预防、检测、响应和管理网络事件的流程和控制措施的成熟度。
云治理:评估组织的云治理框架、战略、政策、流程和治理委员会。
云服务提供商:评估遴选和监控云服务提供商时的风险评估和尽职调查流程、系统和控制措施,同时评估管理层对服务提供商安全控制措施、关键保密和数据安全条款合规性以及事件响应能力的监督是否充分。
事件响应审查:审查安全事件后事件响应的韧性和充分性。
安全意识:评估组织针对员工和第三方的安全意识培训计划。
攻击和渗透:进行独立的攻击和渗透评估,以识别组织安全控制措施中的关键漏洞。
经济不确定性
在2025年经济不确定性的背景下,各行各业可能会遇到运营成本上涨、竞争加剧以及环境、社会和治理(ESG)监管趋严等多重挑战。在这种复杂的经济环境下,组织更需要建立实时数据驱动的决策机制,提升运营韧性,增强战略灵活性,以前瞻性地应对各种不确定性。
内部审计工作重点:
数据分析和财务预测模型:审查财务规划和预算流程,评估其应对市场波动和资源需求变化的有效性,并确保其与组织和战略目标保持一致。
财务规划和预算审查:审查财务规划及预算流程,确保其能够有效规划并灵活调整资源需求与分配,使之与组织目标保持一致,同时适应预期但不断变化的市场、经济趋势及需求动态。
供应链韧性审计:评估组织供应链的韧性,以应对可能中断或严重延缓客户需求满足能力的关键风险。评估供应链运营体系及应急机制,验证其在遭遇突发中断时的抗压能力以及维持服务连续性的保障水平。
业务连续性和灾难恢复审计:评估业务连续性和灾难恢复计划及测试,以实现运营连续性,并避免在实现组织核心目标时出现中断。
治理、风险和合规审计:评估治理结构、风险管理实践和监管合规的有效性,以保障组织的完整性和稳健运营。
人力管理
在经济不确定性的背景下,如何管理一支积极进取且高水平的员工队伍,变得更加具有挑战性,同时也对保持竞争优势和确保运营效率尤为关键。
有效的团队管理应被视为各行业实现商业成功的关键决定因素。为应对编制压缩、预算受限和人才供需失衡等多重挑战,企业需前瞻性地制定战略方案,以有效吸引、保留和激励人才队伍。
内部审计工作重点:
人力资源规划:评估组织的人才战略规划,评估其与业务目标的匹配度以及对人力资源的管理效能。
人才保留:评估当前员工保留策略的有效性,并确定需要改进的领域,以保持一支稳定且高水平的人才队伍。
薪酬激励:检查薪酬激励计划的架构,确保其能够有效激励员工,同时符合道德规范和战略导向。
战略创新
由于快速的技术进步、不断变化的消费者预期和激烈的全球竞争,组织比以往任何时候都更需要创新。不断变化的经济格局和日益增加的地缘政治不确定性加剧了这些挑战,并进一步增加了战略决策的复杂度。由AI和物联网(IoT)技术推动的数字化转型将持续重塑市场格局和商业模式,这也要求企业必须具备更强的战略敏捷性和前瞻性。
为了保持竞争优势,组织需要应对这些技术变革,并适应可能影响全球贸易、监管环境和经济稳定的政治变化。组织应将创新作为战略重点,并培养一种支持持续演变、适应和应对外部不确定性的韧性文化。
内部审计工作重点:
战略规划和情景分析:评估组织的战略规划流程和情景分析能力,验证其对未来不确定性和市场变化的准备程度。
创新和开发投资:评估用于创新和开发的资源分配和有效性,以确认其与战略目标的一致性。
创新准备度评估:评估创新能力、实施创新和适应技术变革的能力。
战略合作伙伴和协作审查:分析与第三方的现有合作伙伴关系和联盟,以实现目标,同时降低风险。与第三方合作以获得创新和战略收益,并证明其支持创新和增长目标。
员工技能提升和发展审计:审查提升员工技能和能力的相关手段,以满足组织战略和创新优先领域中不断变化的业务和技术需求。
领导力实践和创新文化:评估领导力实践的有效性以及培养创新、构思和适应能力的文化环境和基调。
数字化转型
在推进数字化转型过程中,既要把握新兴技术带来的机遇,又要管理随之而来的固有风险。生成式AI、物联网安全和自动驾驶等技术创新将继续重新定义产业格局和商业模式,AI与现有IT环境的快速融合也带来了系统复杂性增加、基础设施负荷加重以及安全漏洞风险上升等重大挑战。
促进内部审计、IT和其他部门之间的协作也很关键,以支持全面的风险管理方法,并分享管理新兴技术风险的见解和最佳实践;内部审计团队需要持续跟踪技术发展趋势和监管要求变化,通过学习不断提升专业能力。
内部审计工作重点:
风险评估:进行全面风险评估,以识别和评估新兴技术对组织的潜在影响,包括了解每项技术的特定风险及其对业务运营的影响。
新技术的流程和控制设计:在实施前后评估控制措施,以确认从业务角度和IT风险管理角度都能有效减轻新技术的已识别风险。
培训和意识:组织开展专项培训计划,帮助组织人员了解与新兴技术相关的风险以及相关人员在缓解这些风险中的作用。
持续监控:建立持续监控机制,以实时检测和应对新出现的威胁,并使用高级分析和AI驱动工具增强监控能力。
