2024 审核计划热点

Objectives 审计计划热点报告确定并分析了审计部门的关键风险领域 expects focusing on during the next year. This research enables audit departments to do the following: 教育审计委员会 基准审计计划覆盖范围 对审计委员会进行风险趋势教育影响全球组织。 比较、验证和进一步检查审计计划覆盖范围。 推动审计团队讨论 评估关键风险 在审核之前启用审核团队的讨论参与规划和范围界定。 确定要问的适当问题风险评估期间的管理和审计范围确定。 行政摘要y 2024审计计划热点报告基于100多位首席审计执行官的量化数据，整个Gartner全球客户组织网络和广泛的二级文献综述。今年，12个热点有三个主题: 1.成本与增长压力 3.加强问责制 2.增加脆弱性 组织面临更高的对问责制的期望来自利益相关者，如董事会、投资者、监管机构和民间社会组织。以6比1的比例，人们期望企业会更多涉及气候等问题变化、经济不平等和劳动力重新培训。问责制期望也提高了在内部，因为组织面临减员从中层管理人员倦怠和缺乏员工联系。 各种多维压力正在使组织变得更加脆弱。组织必须调整和适应他们的增长战略、运营和治理框架要灵活并对短期和长期的反应术语漏洞。这些努力必须内部之间也有区别威胁，组织直接控制和外部威胁，他们只能缓解。 失控的通货膨胀2022年的特点已经放缓，但世界经济继续面临严峻的逆风。紧缩的信贷条件和低迷的需求，加上持续的地缘政治竞争威胁供应链，正在发挥向上的成本压力。组织正在向新的数字化过渡推动增长的战略，但复杂数字化转型项目成本高昂和一个缓慢的经济限制可用于项目的资源实施。 2024审核计划热门斑点 组织弹性 很少有组织将组织弹性作为高管赞助的战略重点，而让他们容易受到更频繁和代价高昂的破坏性事件的影响。努力发展和实施复原力能力往往受到人才稀缺、缺乏组织意识和资金有限的阻碍。弹性efforts will likely be further strict as organizations cut costs. Continuing to underinvest in resteness capabilities当不可避免的中断发生时，会增加组织的脆弱性。 组织弹性 紧急驱动因素 关键风险指标 气候变化引起的破坏 与气候和天气相关的事件正在加剧对组织的物理操作和员工福祉。2022年，极端天气造成的全球经济损失达到3130亿美元，因为这些事件继续更加频繁和更难预测。1气温上升和自然灾害不能只会扰乱运营和提高成本，还会创造艰难的工作条件。2极端高温和天气事件与员工心理健康恶化、工作紧张加剧、离职率上升、工作场所的敌意和降低的工作安全。370%的受访者对现有的全球风险调查率防止或准备气候变化的措施“无效”或“高度无效”，以及大多数组织未能进行气候情景分析。4这些未能充分缓解气候风险来了，因为50％的首席执行官认为气候变化对他们的组织的成本概况。5随着天气模式的变化，复原力策略不仅必须考虑到抵御气候相关破坏的能力，以及运营、人力资本的长期生存能力在特定地点的影响和第三方关系。 •商业中极端天气事件的频率地点(例如，供应商地点、仓库、工厂、办公地点和港口)气候变化情景测试的百分比及时完成•受气候影响的员工人数中断纳入战略项目的百分比预测中的气候考虑因素•预测与气候相关的收入损失中断•批准的业务连续性计划的数量(BCP)占BCP总数的百分比·给定时间内的业务中断次数period·未从事高级管理人员的百分比弹性规划工作·没有业务的部门百分比连续性协调员逾期关键任务恢复的百分比计划测试 碎片化所有权和对复原力努力的监督 建立组织弹性的努力往往因不明确或重叠的角色和职责和有限的跨职能协调。只有32%的参与组织有专注于组织弹性的集中式团队。6更常见的是，各种高管角色都有责任对于韧性的特定方面；很少有组织(20%)表示韧性是众所周知的或跨职能的以一种有效地准备他们抵御干扰的方式。7然而，在改进方面采取的关键步骤弹性也在整个组织中扩散。例如，大多数风险经理认为要加强弹性，组织需要改进风险文化和风险数据聚合，需要协调的任务整个组织。8总体而言，组织无法在弹性方面进行协调和协作他们很难战略性地准备和应对中断。 组织弹性 审计建议 评估战略中的气候考虑因素 审查组织弹性风险 审查业务连续性计划 应对极端天气事件： 项目:审查气候问题是否以及如何整合到战略计划中，确保组织的投资考虑未来举措的全部影响。考虑员工的身体风险和消费者，努力量化与气候相关的商业风险，以及如何减轻他们。 文化:审查组织如何评估弹性风险和地址任何风险差距。推荐组织维护弹性风险差距报告，并将弹性风险传达给管理层。 评估组织的业务是否连续性计划清楚地概述了职能职责以及极端天气后的责任事件。确认计划是最新的，并且经常刷新操作区域最暴露的，它考虑了广泛的极端天气情景，包括如何场景会影响混合劳动力，关键供应商和主要客户。 检查弹性相关活动的完整性和 评估管理层对组织弹性的理解： 协作：评估运营弹性的程度，组织弹性、业务连续性和危机管理计划考虑与所有风险相关的事件可能导致的中断企业风险登记册。评估负责的职能程度对于弹性的不同方面(例如，IT、通信)，协作与复原力相关的举措。 使用调查或访谈来评估不同业务的程度领导者和职能部门有共同的理解和承诺组织的弹性目标以及如何实现这些目标。 组织弹性 管理问题 你正在采取什么步骤与其他功能协调，具有目标是在面对更多的规则和极端天气事件? 你如何消除之间的孤岛各种功能或业务部门(例如，IT，人力资源，财务，采购)以调整组织的专注于连续性和韧性？ 什么类型的极端天气事件，以及在什么位置，将对你的业务部门? 您如何增加保理费用气候破坏成本计划和战略? 你多久合作一次其他职能的高管和你认为扮演关键角色的单位在组织弹性中的作用？ 你会说什么是最大的敏捷组织的障碍对破坏性事件的反应？ 第三条领带 组织越来越依赖第三方来提高盈利能力、效率和创新，但更多的依赖扩大第三方漏洞，加剧第三方风险管理(TPRM)战略的不足。尽管组织正在与更多高风险的第三方合作，但他们仍在努力有效地管理第三方风险。未能使TPRM战略适应不断上升的威胁会增加财务、监管和声誉风险暴露。 第三条领带 紧急驱动因素 关键风险指标 第三方漏洞增加 第三方网络的持续扩张创造了更高的第三方风险敞口和更频繁的第三方风险事件。随着组织增加对数字能力的投资，第三方越来越实现更多的核心业务运营，对组织的盈利能力比以前更重要大流行。9尽管有这些好处，第三方的可能性是组织本身的五倍整体安全性差，98%的组织经历过至少三分之一的入侵过去两年的派对。10组织的第三方网络的概况也转向风险更大的方向。合作伙伴。43%的人使用第三方来提供新的实物技术服务，44%的人组织的第三方网络越来越多地包括初创公司和创新者(其中许多人风险很高胃口和低风险治理)。11随着他们利用更多的第三方来推动增长和创新，组织必须解决他们对第三方控制的信心不足，并平衡第三方的利益提供更大的风险敞口。12 • Number of critical third parties with open critical risk监管机构的问题或不良报告•报告的第三方安全漏洞数量第三方中断的数量，如丢失收入、运营延误、监管罚款和关键数据丢失•第三方数量逐年增长关键服务或产品的关系•更新第三方风险分类的频率•拥有访问权限或潜在权限的第三方的百分比访问敏感的组织数据• Percentage of critical third parties classified as“高风险”•提供连续性的第三方数量计划外部建立的第三方合同数量指定的职能，如采购、IT或合法和合规•确定为初创企业或第三方的百分比创新者 拼凑第三方风险管理 过时和脱节的TPRM做法正在破坏组织有效监控和减轻第三方风险。虽然84%的组织认识到减轻这些风险的战略重要性风险，只有13%的人持续监控第三方安全风险，许多人仍然严重依赖人工流程，例如电子表格，以管理整个第三方生命周期的风险。13进一步复杂的努力是组织继续使用诸如新闻馈送之类的滞后方法来了解第三方违规行为。14To改进这些努力，组织正在使用技术来自动化或支持TPRM任务，但它们经常对功能不满意，并遇到与数据相关的问题。15这种碎片留下具有一组脱节的TPRM方法的组织因涉及的各种功能而进一步复杂化TPRM。几乎一半的功能负责人表示，他们与其他功能共享TPRM信息效率低下，并且只有44%的人将共享信息纳入他们的风险分析系统。16因此，很少有组织保持对第三方风险状况的准确描述(21%)，甚至更少的人同意他们有效地管理第三方风险(18%)。17未能补救模拟TPRM实践和不良内部信息分享有可能加剧第三方风险敞口的上升。 受限分布 第三条领带 审计建议 审查对第三方的持续监测 评估TPRM角色和职责: 回顾第三方危机沟通 关系:评估业务是否监控第三方及其行为，以及整个第三方生命周期的政策。审查风险状况的频率重新评估和更新以及如何管理层处理材料变更。 评估哪些职能负责第三方风险管理以及是否所有相关职能部门意识到自己的作用。识别以下项目的任何重叠、遗漏或混淆应该补救的责任。 协议:评估相关功能是否已经调查了合同报告第三方何时以及如何的要求将传达有关违反或失败。 评估第三方风险的分类：评估财务，组织用来识别和识别的战略和行为指标监控关键第三方，并评估监控之间的差异不同的风险状况。确认业务进行第三次抽查各方评估其风险分类是否准确反映了其风险水平。 审查TPRM实施技术的决策 做法:审查哪些利益相关者参与了决策TPRM技术投资以及参与的各方在多大程度上咨询TPRM。评估跨功能TPRM技术评估需求，以及技术可以在多大程度上实现交叉-功能协作和信息共享。 第三条领带 管理问题 什么监测和报告活动已经到位了解第三方的变化风险水平? 有哪些流程可以对第三方进行尽职调查在进入战略关系之前和他们? 如何识别关键第三方和优先考虑风险评估和监测? 生成AI 2022年11月，ChatGPT的高调发布引发了人们对GenAI（定义为AI）的兴趣激增从数据中学习工件表示的技术，并使用它来生成全新的、独特的工件，这些工件类似但不重复原始数据。但是，无论是公开可用的GenAI应用程序还是内置的-房屋为数据和信息安全，隐私，知识产权保护和版权创造了新的和更高的风险侵权，以及输出的信任和可靠性。18随着组织急于采用这些新技术，他们必须围绕可接受的用途和产出验证建立有效的护栏，以获得全部收益这些工具可以提供。 生成AI 紧急驱动因素 关键风险指标 治理和监测挑战 组织是否构建内部GenAI应用程序或访问公开可用的工具，如ChatGPT和Google Bard，监控和管理使用具有挑战性。近一半（46％）的专业人员使用聊天是他们工作日的一部分，但68%的人没有告诉他们的老板。19几起事件在GenAI应用程序中输入机密、敏感或专有信息的员工报告，但组织不知道这些信息是如何在模型中处理的，或者是否用于培训模型。20这些挑战延伸到试点GenAI的组织。许多应用程序仍然需要访问第三方服务，开辟了一系列潜在的隐私和数据保护风险。同时建立全组织的政策和教育员工围绕可接受的公共工具的使用可以帮助，大多数组织努力跟上技术的步伐。在Gartner的2023年IT领导者关于生成AI的民意调查中，36%的IT领导者表示，他们的组织还没有关于GenAI的指导，另有31%的人表示他们的组织在调查期间停止使用。随着组织开始获取GenAI的好处，他们必须确定他们的风险偏好，建立相应的治理。 •组织中LLM用例的数量•针对GenAI计划的支出金额以人为本的分析和决策• Number of employees