首页 / 资源 / ISACA杂志 / 问题 / 2023 / 卷4 / 应对新出现的审计挑战

应对新出现的审计挑战

人在键盘上打字-解决新出现的审计挑战
作者: 伊格内修斯·拉维,CISA
发表日期: 2023年8月4日
相关: 区块链框架审计程序|数字|英文

挑战的形式多种多样,包括个人的、学术的、专业的和社会的. 应对这些挑战可能是积极的,也可能是消极的,而且往往会提供成长的机会, 学习与发展. 挑战可以考验一个人的能力,培养韧性,走向成功.

随着科技的飞速发展, 每个领域都面临着各种各样的挑战, 审计领域也不例外.

审计在确保向利益相关者披露的财务信息公平和准确方面发挥着关键作用, 识别对澳门赌场官方下载的潜在威胁并确保符合法规要求. 澳门赌场官方下载的财务记录在审计期间进行评估,以确保它们符合会计准则, 规则和法律. 维护投资者信任, 协助决策过程和确保财务系统的完整性都取决于审计对财务报表的准确性和可靠性的独立评估.

The audit profession is facing new challenges related to the globalization of business operations; environmental, social and governance (ESG) expectations; the increasing complexity of data and the evolving business environment; and the emergence of new technology. 除了, 区块链和人工智能(AI)等尖端技术正在彻底改变审计的执行方式. 在这种环境下, traditional audit methods may no longer be adequate; auditors must keep pace with new developments and challenges and adapt their audit approaches as needed.

全球化的挑战

因为澳门赌场官方下载经营的可能性越来越大 在全球范围内,审计师必须了解会计 并提供其他国家的审计标准 相关可靠的保证服务 不同司法辖区.

每个国家都有自己的会计和审计制度 标准依据其具体的法律法规 需求. 美国一般依赖 公认会计原则(GAAP),但更多 全球有100多个国家需要澳门赌场官方下载 遵守《澳门赌场官方下载》 标准(IFRS).1 投资者和主要利益相关者 跨国澳门赌场官方下载必须有信心 这些实体财务报表的准确性和可靠性 审计人员在提供财务报表方面起着关键作用 ,保证.

数据质量的变化会增加 审计的复杂性,尤其是结构化审计 非结构化数据是从各种各样的地方收集的 的来源.

环境、社会和治理的挑战

对投资者和利益相关者来说,财务报表的准确性和完整性可能不是唯一重要的因素. ESG概念,如组织的道德实践, impact on climate change; ethical relationships with employees, 客户, 供应商, communities and other stakeholders; and governance structure and processes that guide decision-making and oversight within an organization may also need to be assessed. ESG信息对澳门赌场官方下载的财务报表可能并不重要, and reporting is often voluntary; however, ESG主题对全球投资者和利益相关者越来越重要.2

审计ESG信息可能是一项挑战,因为相关数据通常很复杂, 非结构化,难以收集和验证. 除了, ESG问题可能是主观的, 难以建立客观的审计标准. 然而, 审核员可以使用各种方法来评估主观信息的可靠性和准确性,包括:

  • 检查ESG数据所依据的文档, 包括可持续发展报告, 社会影响研究和环境影响研究. 检查数据收集和报告过程的充分性和完整性, 数据的准确性和可靠性.
  • 采访参与收集和报告ESG数据的关键人员, 包括可持续发展官员, 环境经理和人力资源人员. 他们可以向审计员提供有关数据准确性的信息, 使它更容易发现任何差距或不一致.
  • 检查ESG数据,找出任何可能导致不准确的意外模式或差异. 例如, 利用数据分析将ESG数据与行业基准进行比较, 历史模式或其他相关数据集.
  • 咨询外部专家,如环境工程师, 可持续发展顾问或社会影响分析师,以深入了解ESG数据. 这些专业人员可以帮助审计师确定 信息的可靠性、准确性和点向性 排除任何潜在的危险信号.

审核员可以通过识别风险因素来计划有意义的审核, 评估现有的控制措施, 记录控制差距或过程失败, 并与关键利益相关者分享他们的发现. 例如, 可以设计一种控制措施,以避免向使用不公平劳工做法的澳门赌场官方下载或排放不可接受的温室气体的澳门赌场官方下载提供贷款. 如果在控制测试期间发现任何异常, 这一问题应列入正式审计结果. 审计师必须运用其专业判断来评估ESG信息,并提供合理的保证,以确保信息的可靠性和准确性,并确保客户有足够的控制措施来管理与ESG相关的风险.3

复杂的数据挑战

近年来,随着组织变得越来越复杂,采用越来越复杂的技术,组织产生和处理的数据的数量和复杂性急剧上升. 结果是, 审计人员现在必须评估大量不同数据集的正确性和完整性, 这造成了新的障碍.

如果审计人员缺乏必要的技术技能,他们可能会发现很难有效地处理和分析大数据, 使用先进的分析工具, 以及专门的计算存储和处理能力. 如果审核员没有足够的带宽, 这严重限制了他们在短时间内分析数据的能力. 此外, 使用Excel等有限的工具无法从大数据中获得有意义的见解.

数据质量的变化会增加审计的复杂性, 特别是当从各种来源收集结构化和非结构化数据时. 大数据的质量可能是可变的, 数据可能包含错误或不准确, 影响审计结果的准确性和可靠性.

此外,大数据可能包含敏感和机密信息(如.g., 美国社会安全号码, 受保护的健康信息[PHI], 未提供给审核员以防止未经授权的访问或披露的支付卡信息. 例如, 审核员需要接受专门培训,并可能需要通过美国健康保险流通与责任法案(HIPAA)评估,然后才能访问PHI等敏感和高度保护的数据.4 HIPAA禁止在美国境外披露PHI,除非满足某些条件. 其中一个条件是,接收PHI的实体必须遵守与HIPAA类似的隐私和安全法规.

审核员必须很好地理解 数据质量的差异,如果他们要收集 相关、完整、准确的信息. 他们 还必须对隐私法有扎实的了解 以及确保他们遵守的法规.

审计人员应考虑采取以下措施 深潜了解 新兴技术,完整 风险评估,协作 与专家合作,并投资于 持续学习.

新兴技术挑战

新技术,比如人工智能,机器人流程 自动化(战),5 物联网(IoT); 区块链和量子计算可以快速 改变商业运作,但他们也摆姿势 审计师面临的新挑战. 新兴技术 可能会引入新的安全和隐私风险因素 比如黑客攻击、数据泄露和未经授权 访问,这可能会改变事务的方式 记录和跟踪,使它更难 建立清晰的审计跟踪. 新兴技术 需要专门的技术专长,这可能是 超出了传统审计技能的范围.

区块链的例子
区块链是一种数字分类账技术,它使安全, 公开和分散的交易记录.6 尽管它最初是为加密货币交易而创建的, 它现在被广泛应用于各种领域和情况. 区块链允许多方记录和验证交易,而不需要中央机构或中间人.

审计区块链交易涉及几个挑战,包括:

  • 区块链交易是匿名的, 这意味着用户是通过他们的公钥而不是实际身份来识别的. 这使得很难确定谁对某笔交易负责,以及该用户是否有欺诈历史.
  • 区块链是去中心化的, 这意味着没有一个单一的实体负责监管交易. 因此,很难确定谁应该为欺诈性交易负责.
  • 一些区块链是私有的,只有特定的方可以访问它们的数据. 这可能会阻止审核员收集完成彻底审核所需的数据.
  • 使用样品进行实质性测试的方法可能很快就会过时, 审计人员可能被要求在观察期内检查所有区块链交易.

在审计区块链时,从业者应遵循以下步骤:

  1. 在开始审计之前,了解区块链的目的和范围. 这有助于确定保留的数据类型以及与区块链相关的任何可能的威胁.
  2. 确定组成区块链的基本元素, 比如节点, 共识算法和智能合约.
  3. 通过检查链上的区块来确认区块链的完整性,以确保它们是真实的和未被更改的. 这可以通过检查区块的加密签名来实现.
  4. 验证区块链是否符合所有适用的法规.7
  5. 确保自动应用程序的智能合约按预期工作并且是安全的.
  6. 验证访问控制的设计和运行是否有效, 只允许授权人员进入.

审计人员如何准备?

组织正在大力投资于新的和强大的技术,以使他们的操作更有效,并增加他们的投资回报(ROI)。. 但他们是否投入了足够的资源来应对与新兴技术相关的风险?

审核员必须与IT专业人员密切合作 和其他利益相关者确保他们有 对新兴市场的全面理解 技术及其对财务报告的影响.

解决他们所面临的挑战 继续有效地履行职责,审核员 必须获得知识和技术专长 需要与新技术合作并确保 客户的内部控制和财务报告 方法准确、可靠、安全. 要做 因此,审计人员应该考虑深入研究 了解新兴技术,完成风险 评估,与专家合作,并投资于 持续学习.

完成“Deep Dive to Understand the Technology
深入研究新兴技术可能具有挑战性,因为它们通常很复杂,而且往往发展迅速. 而是通过深入研究新兴技术, 审计人员可以更好地理解它们是如何工作的以及如何使用它们. 这种理解可以帮助审计师识别可能威胁业务运营和资产的潜在漏洞和弱点. 当外部和内部技术出现时,理解它们是很重要的:

  • 第三方(外部)新兴技术-审计人员必须及时了解竞争对手正在使用的新技术. 这可以通过阅读已发表的文章和新闻报道来实现, 加入在线澳门赌场官方下载和讨论组, 观看教程视频, 并与行业专家或专家建立联系. 参加网络研讨会和会议是获得最新进展知识的另一种方式,同时与他人交流想法和经验. 用户指南, 技术手册和设计材料也有助于理解新技术的功能和底层体系结构.
  • 内部(内部)新兴技术-审核员应该检查架构, 数据流, security measures and user interfaces of new technologies to see how they were designed and implemented; analyze their performance and functionality; and observe any areas that need improvement. 开发商等相关方的参与也是有益的, 质量保证专业人员, 审计过程中的业务用户和流程所有者. 确保在审核过程中考虑到所有的观点, 应要求并纳入反馈意见.

进行风险评估
在审计计划阶段进行有效的风险评估可以识别重要的风险因素,并减少在无关紧要的威胁上花费的资源. 第一个, 审计人员应该确定哪些资产是最脆弱的,并评估威胁实现的可能性. 在风险评估期间,审核员应考虑:

  • 缺乏安全测试-如果新技术没有经过彻底的安全测试, 黑客可以利用这些漏洞获取敏感信息或系统.
  • 敏感数据-考虑到新兴技术收集的大量个人数据, 可能会出现有关数据隐私和可能被利用的问题. 由于监管环境的复杂和动态, 要保证新兴技术符合相关规则和法规,如欧盟通用数据保护条例(GDPR)或美国加利福尼亚州消费者隐私法案(CCPA),可能具有挑战性。.8 新兴技术对就业的影响, 社会不平等和人权只是可能出现的几个伦理问题.
  • 兼容性问题-新兴技术可能无法与现行系统和程序适当结合, 哪些会损害业务运营并导致停机.

识别潜在的风险因素,创建一个 有效的审计计划,合理分配资源 评估内部控制的效率 通过学习新兴技术和 进行有效的风险评估. 这就使得 审核员可能进行彻底的审核,即 给关键利益相关者合理的保证 现有的控制是设计和运行的 有效地管理任何重大风险 与新兴技术相关.

与专家合作
审计师必须与IT专业人员和其他利益相关者密切合作,以确保他们对新兴技术及其对财务报告的影响有全面的了解. 例如, 网络安全专家可以洞察与新技术相关的安全风险,并帮助评估旨在降低此类风险的政策的有效性. 他们还可以帮助审计人员找到程序和系统中潜在的安全漏洞,网络罪犯可以利用这些漏洞来为自己谋利.

同样,数据分析专家也可以帮助审计人员 分析产生的海量数据 尖端技术和识别趋势 可能表示威胁或虚弱的异常 点. 它们还可以帮助创建预测 在问题出现之前发现潜在的问题 发生. 内部审计团队应该与 数据分析师收集,分析和理解 产生的大量数据 澳门赌场官方下载的制度和程序. 数据分析师 能帮助发现异常,发现危险因素和 找出改进控制的机会. 使用 数据分析使内部审计团队能够 检测可能不容易发现的模式和趋势 显然通过传统的审计程序, 允许审核员提供更有洞察力和 为管理层提供增值建议. Data 分析还可以帮助审计人员测试大数据集 快速有效,减少时间和精力 需要完成审计.

人工智能和机器学习(ML)方面的专家可以提供帮助 审计人员评估人工智能系统的有效性 新兴技术中使用的算法. 此外,他们可以提供洞察道德和 人工智能和机器学习系统的社会影响 算法中的潜在偏差.

具有云计算专业知识的专业人员可以 帮助评估在新技术中使用的基于云的系统的安全性和可靠性. 他们 是否也能协助审核员定位任何风险因素 链接到数据和系统传输到基于云的设置.

投资于持续学习
审核员可以获得审核新兴技术所需的技术专长, 识别和评估风险, 并向涉众保证澳门赌场官方下载的技术和系统是安全的, 通过投资于ISACA等组织提供的培训,从而获得可靠和合规®. 证书通常会给审计师在就业市场上带来优势,并能提高他们的收入潜力.

审计人员可以有效地驾驭这些新的 挑战将处于提供价值的最佳位置 对他们的客户和利益相关者,并确保 数字时代财务信息的完整性.

结论

随着新兴技术不断改变 全球商业格局,审计师将面临新的挑战 挑战在努力确保准确性和 财务信息的可靠性. 快节奏 技术创新意味着审核员 必须跟上新的发展并适应吗 他们相应的审计方法. 主要挑战 包括理解相关的风险 新兴技术和确保审计 程序在检测和预防方面是有效的 数字时代的欺诈. 审核员必须持有 对新兴技术有深刻的理解 相关的会计准则和规定 进行有效的审核.

最终,审计人员能够有效地导航 这些新的挑战将是最好的定位 为客户和利益相关者提供价值 确保财务信息的完整性 数字时代.

尾注

1 帕克.; “The Globalization of Accounting and Auditing Standards,” Thomson Reuters, 26 July 2016, http://www.thomsonreuters.com/en-us/posts/tax-and-accounting/globalization-accounting-auditing-standards-ifrs/
2 《澳门赌场官方下载》, http://www.brightest.io/sustainability-reporting-standards
3 桑托斯,V.; “Thirteen Ways Internal Audit Can Play an Essential Role in ESG Reporting for Insurance Companies,“PKF奥康纳·戴维斯, 2022年3月9日, http://www.pkfod.com/insights/13-ways-internal-audit-can-play-an-essential-role-in-esg-reporting-for-insurance-companies/
4 美国疾病控制和预防中心, 1996年健康保险流通与责任法案(HIPPA),2022年6月27日, http://www.cdc.gov/phlp/publications/topic/hipaa.html
5 Nallasivam,.; “Boosting RPA Security: Concerns, Solutions, and Best Practices,” CiGen, 28 January 2022, http://www.cigen.com.au/security-risks-robotic-process-automation-rpa-how-prevent-them
6 海耶斯,.; “Blockchain Facts: What Is It, How It Works, and How It Can Be Used,” Investopedia, 23 April 2023, http://www.investopedia.com/terms/b/blockchain.asp
7 民间,E.; “How 新兴技术 Creates 问题 for Compliance,” Datafloq, 23 March 2020, http://datafloq.com/read/how-emerging-technology-creates-issues-compliance/
8 梅农年代.; “Solving Security and 隐私 Concerns in 新兴技术,” ISACA® 2022年11月7日, http://ksmu.svztur.com/resources/news-and-trends/isaca-now-blog/2022/solving-security-and-privacy-concerns-in-emerging-technology

伊纳爵·拉维

是亚马逊内部审计部门的高级IT审计员,过去8年在财富500强公司从事审计和风险领域的工作. 拉维是ISACA的教育和项目主管® 犹他州(美国)分会,并参与了ISACA认证信息系统审计师® (中钢协® )考试项目写作组. 他曾担任多个奖项的评委,如史蒂夫,全球和CODiE奖. 他是克里米亚的一部分, 经过严格审查的科技行业专业人士圈子, 是信息系统安全协会(ISSA)犹他州分会的成员.