从人工智能到网络安全——解构复杂的技术风险格局

评估12的结果th来自Protiviti和内部审计师协会的年度全球内部审计对顶级技术风险的看法调查 目录 09 03执行摘要和关键发现 顶尖技术威胁、组织准备状态和IT审计能力 21使用技术工具 18为什么网络安全和数据成为最重要的关切 28我们针对技术审计领导者和团队的行动号召。 24对人工智能和IT审计的深入探讨 31附录—完整全球结果 39人口统计 执行摘要和关键发现 未来12个月内，网络安全感知到的威胁水平较高。* 在关键发现中提到，网络安全被视为最重大的技术威胁。数据泄露被认为是感知到的网络安全相关威胁之首，这主要归因于对勒索软件攻击的关注加剧。此外，我们的研究表明，与人工智能相关的最大感知风险显著为安全和隐私问题，这突显了网络安全作为关键挑战的主导地位。 网络安全。数据隐私与治理。人工智能（AI）。第三方风险。 At first glance, the results of this year’s全球内部审计对顶级技术风险的观点调查描绘出全球组织面临的主要技术威胁及其应对准备的情况。然而，深入分析揭示了更细微的层次，这些层次以不同的色调和维度描绘了今天和明天的挑战。更重要的是，研究结果表明了技术审计师为应对这些挑战而证明最为有效的策略和工具。 68%所有组织 76%在技术审计中使用人工智能工具的组织 超越网络安全问题，人工智能正迅速成为技术审计师的一个关键领域。尽管人工智能的影响力日益增长，但与人工智能相关的审计能力仍然较低，这凸显了审计团队迫切需要加强对人工智能风险的认知，包括道德、运营和声誉方面的挑战。 76%在技术审计中采用网络安全工具的组织 ：在调查结果中，审计频率等因素尤为突出。那些每年执行六次或更多技术审计的内部审计职能，被称为高频,感知威胁格局及其IT审计组从截然不同的角度审视整体准备情况——我们在分析中对此进行进一步探讨。 这些结果不仅巩固了前几年的某些趋势，而且揭示了技术审计师必须预见以保持相关性的新兴风险趋势。对应对不断变化的风险环境的新方法产生了更大的兴趣，并且某些组织的成熟度有了显著提升，这预示着技术审计职业将迎来怎样的未来。 79%每年执行六次或更多技术审计的组织 审计频率是技术审计职能在应对由生成式AI等技术的指数级增长以及新兴安全、隐私和数据相关挑战不断塑造的动态商业环境时，需要关注的重要指标之一。 支持我们结论的分析。我们的行动号召（见第28页）总结了审计组应采取的关键活动，以确保其技术审计职能持续提供价值并与其组织保持相关性。最后，附录包含了全球调查结果的全面概述。 在接下来的页面中，我们呈现了调查的关键发现、风险和定义的完整集合，和 我们的主要发现 数据担忧普遍存在 —数据隐私和安全合规以及数据治理和完整性均位列组织面临的主要技术风险之中，52%的人认为数据泄露和敏感信息泄露构成了最大的网络安全相关威胁。 网络安全是首要的技术威胁—不仅是网络安全问题凸显为首要威胁，而且在进 全球内部审计标准TM 行更频繁技术审计的组织以及使用网络安全和人工智能工具支持技术审计部门的组织中，这些担忧更为严重。这些更为成熟的组织还表达了最高水平的准备度来应对这一风险（标准9.1 了解治理、风险管理和控制流程）。 2024年1月，内部审计师协会发布了《全球内部审计标准™》（“标准”）的更新版本。这些标准是国际专业实务框架（IPPF）的强制性组成部分，有助于内部审计知识的统一开发、解释和应用，从而提升该专业。本出版物中引用了适用的标准，更多信息可通过内部审计师协会网站获取：www.theiiia.org/NewStandards。 更高频率的技术审计推动更好表现 —每年进行更多技术审计（出于分析本次调查结果的目的，定义为六次或以上——参见第8页）有助于更清晰地了解威胁态势，并有助于提升组织应对这些威胁的准备工作和技术审计能力。相反，审计频率较低的组织可能在风险管理方面存在盲点，这凸显了定期进行全面审计的重要性（标准9.4内部审计计划；13.2项目风险评估）。 人工智能开始影响技术审计——虽然人工智能不被视为一个重要的短期技术担忧，但大多数受访者（59%）认为先进的AI系统将在未来两到三年内对其组织构成重大风险。此外，在技术审计中使用基于人工智能的工具与对各种威胁（包括网络安全和数据隐私）的担忧加剧相关联，同时也提高了组织应对此类威胁感知到的准备水平（标准10.3 技术资源）。 关于我们的调查 Protiviti与内部审计师协会（IIA）合作，在2024年第二季度开展了其第十二届全球内部审计对顶级技术风险的观点调查。这项年度调查的目的是探讨技术审计负责人和专业人员所认为的组织面临的前沿技术风险。此外，该调查还研究了企业用于帮助识别、评估、管理和减轻这些风险所采用的实践、流程和工具。今年共有1,246名高管和专业人士，包括首席审计执行官（CAE）和信息技术（IT）审计总监，完成了该调查。 数据治理与完整性 —与维护准确、一致和可靠的企业级数据相关的风险。 物联网（IoT）—来自互联设备和网络漏洞的风险，可能导致潜在的安全突破。 IT管理—与在全组织中吸引、留住和发展熟练IT人员相关的风险，影响运营效率和创新能力。 监管合规 —与遵循管理技术使用的特定行业法规相关的风险。 调查评估的技术风险定义 在本年度的调查中，我们评估了组织面临的13项技术风险。以下是这些技术风险及其各自定义的列表。 软件开发—与现代化软件开发和部署相关的风险，例如DevOps、持续集成和持续交付（CI\\CD）以及容器化。 AI & 机器学习（包括生成式 AI）—来自AI/ML应用中的道德问题、安全漏洞和操作问题的风险，包括像GPT这样的大型语言模型。 技术债务与陈旧的基础设施—来自过时系统带来的风险导致效率低下、漏洞存在以及未来昂贵的更新成本。 云计算 —数据泄露风险、数据控制丧失风险以及基于云的解决方案的非合规风险。 技术韧性—与在IT中断或停机面前保持适应性和恢复能力相关的风险。 Cybersecurity —来自未经授权访问、信息、系统或网络的中断或破坏的风险。 第三方/供应商 —与第三方相关的安全、可靠性和弹性风险。 数据隐私与合规 —在保护个人数据和跟上不断变化的数据保护法规方面的风险。 转型与系统实施 —涉及主要业务或IT变更的风险，包括中断、未满足的需求、数据丢失等。 评估技术审计频率 类似于2023年研究中所进行的分析，今年调查中考察的一项指标是组织进行技术审核的频率。调查反馈被划分为两组： 高频IT审计——每年进行六次或更多技术审计的组织 低频IT审计——每年进行五次或更少技术审计的组织 这些高低频IT审计小组在整个报告中都有提及。如图2所示，大多数（71%）受访者表示他们的组织每年执行五次或更少的科技审计。 59% 预计在未来两到三年内，许多组织将认为先进的人工智能系统（包括生成式人工智能）将带来重大风险。 顶尖技术威胁、组织准备状态和IT审计能力 *在未来12个月内感知到的技术风险威胁（所有受访者） 网络安全和数据突出：技术审计师应熟悉今年调查中的顶级技术风险，这些风险包括网络安全、数据隐私和治理、第三方以及云计算。 威胁程度有所下降，准备程度有所提高……对于某些人：年度趋势表明，感知到的与科技相关的威胁有所适度下降，而组织在管理这些风险方面的准备程度有所提高，仅有两个领域——数据隐私和合规性，以及监管合规性——显示出感知威胁水平同比增加。鉴于过去一年对与科技相关的威胁的广泛关注，许多公司很可能已经成熟了其风险管理计划。这包括加强网络安全措施，从而感知到威胁水平下降和组织准备程度提高。此外，越来越多的组织正在采用先进技术来支持威胁检测与响应（见图16）。 感知未来12个月内技术风险的威胁 —高频IT审计小组的视角 深入挖掘：然而，如表1所示，未来12个月内技术风险的可感知威胁水平并未提供完整图景。通过对特定受访群体（例如使用网络安全检测或基于AI工具的群体，以及代表高频IT审计职能的组织）的结果进行评估，揭示了有趣的差异。这些群体通常感知到更广泛和更显著的威胁格局，同时认为其组织更能有效缓解这些风险。这表明技术审计团队相对落后的群体可能感知到范围更窄或更有限的技术相关风险。 第三方差距：有趣的是，第三方和供应商风险对技术审计团队来说是一个显著差距，因为感知到的威胁水平相对较高，而IT审计团队在此问题上评估的技能水平明显较低。此外，在评估这项风险方面的技术审计能力存在显著的逐年下降（见表3）。 评论 我们的研究揭示了几项IT审计职能提升绩效并向企业创造更大价值的关键差异因素。如去年研究所示，年度技术审计的频率显示出IT审计领导者和团队在感知威胁及评估组织应对这些威胁的准备程度方面存在显著差异。这在网络安全、合规监管、数据隐私与合规、以及数据治理与完整性等领域尤为明显。这些差异表明，高频次IT审计的团队可能对这些风险及其对组织的潜在威胁有更深入的理解。 对领导力的担忧，组织正投入更多资源与关注以增强其防御能力，从而形成了更强大的整体安全态势。 此外，在使用网络安全工具（或由企业评估其使用效果）以及人工智能和机器学习工具来支持其IT审计活动的组织中，观察到显著的差异。这表明这些工具有助于IT审计团队识别具体的技术威胁，并了解组织管理这些威胁的准备程度。通过利用这些工具，IT审计团队可以扫描整个网络，并近乎实时地识别出差距。因此，他们变得更加安全意识并提高警觉性，从而能够更好地理解所有威胁。然而，技术审计团队与IT部门合作，了解这些工具在整个企业中的使用情况，并优化内部审计职能利用这些工具的方式至关重要（标准13.4评估标准；13.5项目资源，13.6工作计划）。 其中大部分是可以理解的。进行更频繁的技术审计的内部审计职能自然被期望对技术风险状况有更多关注。然而，这些差异并非跨越所有技术风险都可见。 如前所述，数据隐私与合规性、以及监管合规性这两项技术风险在组织感知威胁方面呈逐年上升趋势（参见表1）。导致这一增长的因素可能包括不断演变的法规以及数据治理日益复杂化。商业领袖需要持续升级其数据隐私与治理框架，以确保合规性始终是首要任务。 这些发现当然引发了几个重要的问题。例如，那些不使用网络安全或人工智能工具，或不经常进行技术审计的组织，在他们的技术审计和风险覆盖方面可能会错失什么？ ：关于第三方风险管理，感知威胁水平与组织应对该风险的准备能力之间存在显著差距，这表明公司认识到第三方和供应商风险是一项重大威胁，但认为他们尚未做好有效管理它们的准备。这可能是由于管理第三方关系所涉及的复杂性，以及供应商漏洞对组织可能产生的级联效应所致。此外，至少在一些组织中，可能没有明确界定第三方风险管理的负责人。 此外，网络安全仍然是一个重要的技术威胁，这在很大程度上是由对勒索软件攻击的担忧加剧所驱动的。然而，对网络安全的准备程度感知正在提高，63%的受访者表示他们的组织已准备好应对网络威胁（参见表格2）。这一进展不仅反映了先进网络安全工具（如漏洞扫描仪和威胁情报平台）的日益普及，也体现了网络安全在董事会层面的优先级不断提高。随着网络安全成为战略 这些是组织面临的时代，不仅由于市场条件迅速变化，也由于持续的技术转型，特别是生成式AI的快速崛起所驱动。内部审计团队需要跟上其组织持续经历的变化。更重要的是，他们需要在其内部审计实践中采用新兴技术，如生成式AI和高级分析，因为这些技术有助于识别和应对组织面临的最关键的技术风险。 未来12个月内感知到的技术风险威胁——使用网络安全工具的IT审计小组的观点* *感知未来12个月内技术风险的威胁 —在使用人工智能工具的信息技术审计小组之间的观点 百分比值反映在5分制量表上，将威胁评为4分或5分的受访者数量，其中1表示“完全没有威胁”，5表示“重大威胁”。请参阅第35页，了解有关使用工具、技术和交付方式的全调查结果。 百分比反映在5分制