幾年前�����,我在質(zhì)疑內(nèi)部審計和合規(guī)是否能夠馴服日益新興和復雜的技術時,曾簡要提及過物聯(lián)網(wǎng)����。毫不奇怪,如今物聯(lián)網(wǎng)已經(jīng)成為每個人生活中不可或缺的一部分���。
顛覆性創(chuàng)新可能需要十年或更長時間才能改變一個行業(yè)����,但研究表明,顛覆性創(chuàng)新所需的時間已經(jīng)大大縮短了����。連網(wǎng)設備和系統(tǒng)的興起為現(xiàn)代組織帶來了新的機遇和風險,而內(nèi)部審計作為最后一道防線�,可以在識別和防范風險出現(xiàn)方面發(fā)揮重要作用。
物聯(lián)網(wǎng)的定義隨著時間推移而演變����。TechTarget將物聯(lián)網(wǎng)描述為“一種場景,在這種場景中��,物體����、動物或人都具有唯一的標識符,并且能夠在不需要人與人或人與計算機交互的情況下通過網(wǎng)絡傳輸數(shù)據(jù)��。”福布斯對該概念進行了很好的簡單描述����,即“將任何帶有開關的設備連接到互聯(lián)網(wǎng)(和/或相互連接)”。
有多種因素導致了物聯(lián)網(wǎng)的這場“完美風暴”����?����;ヂ?lián)網(wǎng)協(xié)議版本6本質(zhì)上支持看似無限量的網(wǎng)絡連接;寬帶互聯(lián)網(wǎng)越來越普及,連接成本正在下降;正在創(chuàng)建更多具有Wi-Fi功能和內(nèi)置傳感器的設備;技術成本正在下降等等;我們已經(jīng)從互聯(lián)網(wǎng)發(fā)展到智能手機�����,再到無線傳感器��。
這種互聯(lián)互通的意義何在?最近有很多關于物聯(lián)網(wǎng)潛在價值的例子��。常見例子包括您的汽車可以訪問您的日程表�����,并在您參加會議時知道最佳路線�����。如果交通擁擠�����,您的汽車可能會發(fā)短信給對方�����,通知他們您將遲到;您的辦公設備可以知道耗材何時供應不足,并自動重新訂購更多;您的可穿戴設備可以告訴您何時何地最活躍�、最高效,并與其他設備共享該信息����。
更多奇特的例子包括微軟與富士通合作部署了一個系統(tǒng)來監(jiān)測牛群的健康問題和最佳繁殖時間,以提高受孕率����。在更廣泛的范圍內(nèi),物聯(lián)網(wǎng)正被應用于交通運輸?shù)软椖?���,這些所謂的“智慧城市”可以幫助我們減少浪費,提高能源使用效率等���。
麥肯錫公司(McKinsey&Co.)在分析了150多個使用案例后����,預測到2025年�,物聯(lián)網(wǎng)每年將產(chǎn)生3.9萬億至11.1萬億美元的潛在經(jīng)濟影響。
但與任何重大技術變革一樣����,要想獲得物聯(lián)網(wǎng)的潛力將需要管理層的高度關注����,不僅要關注新的技術需求�,而且還需要關注組織問題。根據(jù)會計師事務所EisnerAmper的第六次年度董事會風險擔憂調(diào)查顯示����,公司董事會成員將聲譽風險列為最大的整體擔憂點��。此外���,71%的上市公司董事表示����,他們依靠內(nèi)部審計來識別這些風險���。
內(nèi)部審計職能部門可以就物聯(lián)網(wǎng)給企業(yè)帶來的重要性�����、好處和競爭優(yōu)勢向管理層提供建議���。審計員可以向管理層演示如何在銷售分銷和庫存控制等流程中實施物聯(lián)網(wǎng)���。此外,借助風險管理職能����,他們可以幫助促進與管理層的風險評估會議,并進行研究����,以了解如何在組織的特定運營環(huán)境中使用物聯(lián)網(wǎng)。
伴隨著潛在回報而來的是可以預見的風險�����。需要認識到實施物聯(lián)網(wǎng)對數(shù)據(jù)安全的影響����,因為它不僅會帶來與數(shù)據(jù)使用量增加相關的正常風險,而且還會隨著組織連接到數(shù)百萬個嵌入式傳感器和通信設備而帶來更大的系統(tǒng)性漏洞風險���。它們每一個都是惡意黑客的潛在入口����,入侵造成的破壞甚至可以威脅到生命——例如,破壞石油鉆井平臺或醫(yī)院的機器控制系統(tǒng)�����。
與數(shù)據(jù)安全相關的是需要監(jiān)控和管理的隱私風險
當您作為消費者使用互聯(lián)網(wǎng)服務時�����,您即簽署了一項法律協(xié)議并同意所有這些條款��。這包括隱私政策����,其中涵蓋了公司如何收集��、使用����、共享和存儲您的個人信息。使用物聯(lián)網(wǎng)的組織將需要監(jiān)控此類數(shù)據(jù)的使用并審核是否符合隱私政策�����,以確保消費者權利得到保護�����。隱私可能會繼續(xù)成為主要問題,因為有關被黑客攻擊的嬰兒監(jiān)視器�����、侵犯兒童在線隱私等新聞不時出現(xiàn)���。除了隱私之外���,用于健康和福利目的的數(shù)據(jù)可能會導致疏忽和醫(yī)療事故,以及關于數(shù)據(jù)準確性和完整性的問題�。
來自內(nèi)部審計和合規(guī)部門的支持
值得注意的是,在專業(yè)公司調(diào)查中���,例如Protiviti 的2016年內(nèi)部審計能力和需求調(diào)查報告��,物聯(lián)網(wǎng)被列為今年最重要的內(nèi)部審計優(yōu)先事項����。多項關于內(nèi)部審計的期望和未來的調(diào)查表明�����,利益相關方期望獲得更多前瞻性報告以及有關風險、戰(zhàn)略規(guī)劃�、IT和業(yè)務績效的見解。必須解決某些技能(包括分析�����、IT和通信)方面的關鍵差距����,以提高影響力。
審計和合規(guī)專業(yè)人員面臨的挑戰(zhàn)
相關的風險和控制正在迅速變化和演變�,內(nèi)部審計師需要了解物聯(lián)網(wǎng)的發(fā)展和進步,以便能夠評估其組織中的風險和控制能力��。
以下是在制定審計計劃和考慮其在物聯(lián)網(wǎng)中作用時需要考慮的關鍵問題:
如今�,物聯(lián)網(wǎng)在我們的組織中是如何部署的?
考慮與物聯(lián)網(wǎng)相關的風險?這些風險是如何量化和控制的?
我們是否知道收集�、存儲和分析了哪些數(shù)據(jù)?我們是否評估了潛在的法律、隱私和安全影響?
我們是否有針對黑客攻擊的應急計劃?
第三方在多大程度上代表我們使用物聯(lián)網(wǎng)?我們是否有適當?shù)牧鞒毯蛥f(xié)議來適當監(jiān)控這些第三方?
物聯(lián)網(wǎng)在我們當前的組織戰(zhàn)略中扮演什么角色?我們?nèi)绾魏饬颗c戰(zhàn)略目標相關的成就?
我們是否在充分利用數(shù)據(jù)分析?
內(nèi)部審計和合規(guī)部門需要應對挑戰(zhàn)��,以確保與物聯(lián)網(wǎng)系統(tǒng)風險相關的控制措施有效運行���,并且不會失去機會?����,F(xiàn)實已經(jīng)很清楚——為了保持領先于顛覆曲線��,內(nèi)部審計和合規(guī)必須快速識別變化的重要跡象��,以及對其組織業(yè)務模式的相關影響�����。(轉自:物聯(lián)之家)
沃卡惠
