根据Gartner, Inc.的数据,随着组织不断收集客户和员工数据,首席审计执行官(cae)越来越关注如何管理和保护这些数据。高德纳在其全球客户组织网络中进行了访谈和调查,以确定董事会、审计委员会和高管在2020年面临的最大风险。
根据Gartner的年度报告审计计划热点报告在去年的报告中,数据治理已取代网络安全准备,上升至cae审计关注的首位。监管审查的加强推动了治理风险,以及第三方生态系统、网络漏洞和数据隐私等相关数据管理挑战,成为审计部门的主要关注点。
Gartner审计业务副总裁马尔科姆·默里(Malcolm Murray)表示:“尽管数据具有战略重要性,但组织在采用数据治理框架方面一直进展缓慢,这使他们面临巨额罚款、糟糕的战略决策和关键资源分配不当的风险。”“数据管理的失败已经引起了监管机构和公众的监督,导致组织及其数据使用的监管负担和压力增加。”
2020年审计高管必须防范的三大风险包括:
- 数据治理:近80%的高管认为,如果不能有效利用数据,公司将失去竞争优势,49%的高管表示,数据可以用来减少开支,并为创新开辟新的途径。然而,超过一半的组织缺乏正式的数据治理框架和专门的预算。
在cae审计其数据管理实践时,审计团队应特别注意围绕数据资产、数据迁移计划和关键数据资产备份的安全控制。确保遵守法规等欧洲的GDPR,组织还应该审查他们关于收集和保留的控制和规则,并确保存在删除策略。
- 第三方生态系统:53%的高级领导人表示,他们越来越依赖第三方,在某些情况下,甚至是第四方和第五方。尽管这些外部方拥有对重要业务数据的大量访问权限,但组织通常处于管理它们的不利地位。只有53%的企业有降低风险的策略只有28%的企业持续监控第三方.
持续监测和审计权合同条款有助于确保第三方遵守组织关于数据使用和行为的协议。如果任何第三方遭遇数据泄露,组织还必须考虑合同报告要求。
- 网络漏洞:网络犯罪分子现在利用各种低成本、唾手可得的黑客工具运营着高度复杂的组织。缺乏相关技能和低网络安全预算意味着企业在应对日益增多的网络攻击方面落后于人。如果不增加资源,组织将继续无法做到这一点减轻网络攻击的威胁,导致潜在的数据泄露、知识产权损失和监管风险。
至少,组织应该有基本的安全措施,例如对敏感资产的特权访问控制和成熟的漏洞识别。同样重要的是,不仅要评估员工网络安全培训和访问管理政策,还要评估组织的整体网络安全机制和运营技术资产。最后,组织应确保其针对网络物理攻击(以控制组织的物理基础设施为目标)的响应计划在事件发生时解决其所有漏洞。
虽然组织可以采取许多步骤来解决上述风险,但要为2020年的挑战做好准备除此之外,一切都从评估的充分性开始风险管理策略并确保这些策略具有适应性
高德纳审计业务研究主管莱斯利•麦克奈特(Leslee McKnight)表示:“风险管理对于识别、减轻和应对潜在中断至关重要。”“不持续努力加强风险管理和弹性实践的组织会阻碍他们从不可避免的业务中断中恢复和反弹的能力。”
cae也在关注组织复杂性增加、数字化业务转型、地缘政治和监管波动性等风险。2020年的十大“热点”还包括数据隐私、风险文化和决策、项目管理、IT治理、监管发展、组织弹性和供应链。
Gartner通过整合来自全球客户组织和专家网络的访谈和调查,编制了年度审计计划热点报告。Gartner的客户可以阅读更多审计计划热点报告.
非客户端可以在以下网站上找到更多信息并下载报告摘要2020年审计计划热点执行摘要.
关于高德纳审计业务
高德纳审计实践帮助审计主管及其团队制定计划,推动结果,加强部门能力,并最大限度地减少欺诈和风险。欲知详情,请浏览//www.ownfullhouse.com/en/risk-audit/audit-leaders.