洞燭機先 內部稽核不得不知的資訊科技議題

延續前一期文章內容，我們提出2023年前十大資訊科技議題及內部稽核面臨之挑戰後，下方我們參考Deloitte UK發布之《Riding the wave 2023 Hot Topics for IT Internal Audit》針對資訊稽核重點議題進行分享，說明各議題發展趨勢及內部稽核應關注之重點。

資訊科技議題與發展趨勢

資訊安全（Cyber Security）

• 勒索軟體仍然對所有產業構成重大風險，除了造成營運中斷外，還會洩露機敏資訊。一般係透過加密受害者網路後，透過多重威脅，以進行勒索。包含（1）威脅公開竊取之資料（2）中斷訪問連線（3）將事件告訴受害者之客戶、員工、合作夥伴或供應商
• 利用人工智慧技術以協助監測與及時識別身分詐騙、身份盜竊和其他可疑活動之情形顯著
• 社交工程仍然是常見的滲透方式。員工、客戶和供應商越來越容易成為攻擊目標
• 人們越來越關注深度偽造技術（Deepfake）的潛在用途，以進行身份盜竊
• 近幾年許多公司已有很大程度係依賴遠端工作技術和能力，包括使用 BYOD（Bring Your Own Device），但公司對於這些設備之管理，並非使用與企業資產相同之安全標準限制，因而增加遭受駭客和其他威脅的風險

數位轉型和變革（Digital Transformation and Change）

• 轉型計劃的主要驅動力不僅是為了降低營運成本，而是通過新的數位化服務以吸引新客戶並增加現有客戶之黏著度
• 由於人才的高度競爭，公司正在尋求與最佳合作夥伴（包括具有新技術、靈活度高之非傳統服務廠商），以支持內部所需之專業知識和技能
• 引入和使用數據分析工具，以擁有解讀數據之能力並可基於數據做出決策

數據管理和治理（Data Management and Governance）

• 受限於傳統系統之功能，許多公司已經採用雲端和大數據平台等機制
• 遠端工作之需求持續增加，尤其是使用者從不同國家連線存取公司資料，使得資料之使用、存儲和安全成為更普遍的關注點
• 除政府機關透過法規之訂定以驅使公司重視數據治理，管理階層也已意識到數據隱私和安全的重要性，而不再僅係採用標準以確保符合法規要求
• 企業（特別是金融服務業）正在努力透過流程自動化以降低人為錯誤之可能性，且透過平台之建立，允許對數據異常或問題進行即時監控，提高資料品質、安全性和法規遵循性。

雲端虛擬主機環境（Cloud Hosted Environments）

• 雲端服務已經被廣泛應用於各個行業；與此同時，雲端服務之使用也面臨主管機關之監管壓力
• 一般在採行新的雲端服務前，已對於雲端環境中面臨之風險及應有之控制進行充分評估，卻忽略在資訊系統遷移之過程中所暴露之風險

營運和IT韌性（Operational and IT Resilience）

情境壓力測試、第三方風險管理及如何將營運韌性嵌入至日常營運活動中，將是董事會和高階管理層未來三年的關鍵重點和挑戰。其中，對於第三方之依賴，將對公司之韌性構成了重大威脅。因此，充分瞭解和管理第三方及委外服務之風險，至關重要。董事會和高階管理層不能外包其對於營運韌性之最終責任。

企業營運關鍵IT控制（Business Critical IT Controls）

• 許多公司已開始規劃強化內部控制機制，並由內部稽核單位啟動評估活動，以辨識及分析流程自動化甚至是業務及系統整合之可能性
• 除執行主題性之IT內部稽核評估，更是發展與關鍵業務相關之IT控制，並透過IT控制之執行，及時發現問題並解決，避免潛在業務失敗。
• 採用業界標準框架例如COSO、COBIT、ITIL、ISO27001和NIST，來推動其關鍵流程和控制之設計及執行，並進行報告

第三方風險管理（Third-Party Risk Management）

• 公司已認知需要提高供應鏈的韌性，尤其是針對關鍵第三方和第三方之生態圈，如何確保若發生重大營運中斷事件，公司可以立即採取因應措施而不影響日常營運，以提升管理第三方的韌性
• 管理階層和董事會期待建立全面性之管理機制，以有效利用第三方之間的協同效應
• 管理階層仍持續表達對於TPRM之關注，並透過投資以推動數位轉型

IT策略和治理（IT Strategy and Governance）

• 因IT和具備數位技能的需求增加，公司吸引和保留資訊人才變得困難，卻也驅使市場上需要IT支援之需求
• 公司已將數位化及資訊科技之支持視為策略發展之重要核心元素之一
• 越來越多公司正在重新審視現行企業營運架構，以確保IT建立在與營運活動一致之基礎上
• IT風險整體管理，包括「shadow IT」、關鍵風險指標（KRI）和報告，以及IT相關之控制權責劃分等，仍然存在挑戰

身份和存取管理／特權存取（Identity and Access Management/Privileged Access Management）

數位轉型正在擴大特權被攻擊之面向，涵蓋物聯網（IoT）、DevOps和雲端環境等。例如：

• 儘管IoT已普及，但IoT裝置通常存在嚴重的安全缺陷，如默認密碼以及無法更新韌體
• DevOps帶來許多特權管理挑戰和風險，例如缺乏對於部署工具之瞭解而不熟悉相關密碼管理之機制，或是過度授權
• AWS、Microsoft 365、Google Cloud等提供超級使用者權限，用戶能夠自由地配置和刪除伺服器

數位風險：人工智慧（Digital Risk: Artificial Intelligence）

• 採用AI技術之情況增加；AI演算法也變得更加複雜
• AI技術之使用，可能降低成本並增加系統之可用性。但卻也可能產生或存在 「Shadow AI」
• 大眾對於AI相關的道德風險意識增加
• AI的監管環境已逐漸成形。歐洲預計在未來一年內定稿《AI Act》，可能將成為AI監管的新全球標準

資訊科技議題與內部稽核關注領域

資訊安全（Cyber Security）

• 檢視公司針對資安事件之緊急應變能力
• 評估公司偵測及降低發生重大資安事件或違規行為之能力
• 評估並提出管理階層和董事會整體對於資訊安全之意識及態度
• 檢視公司之網路安全策略及政策
• 檢視公司現行是否執行適當且足夠之網路安全相關之盡職調查，並且應考量納入其合作之代理商和供應商（即子承包商或「第四方」服務）
• 評估公司執行網路安全事件演練之應對能力，持續追蹤必要之改善活動

數位轉型和變革（Digital Transformation and Change）

• 主動檢視公司提出之創新和數位化轉型策略及方法，而不僅限於單個產品或交付品之討論，以確保其對公司長期發展有顯著之效益
• 評估敏捷式交付之適當性，除評估公司之控制環境外，需確認是否針對敏捷式之計畫交付，已建置適當之控制措施
• 密切地與風險三道模組中之第一和第二道風險角色合作，並從轉型計劃之初期開始參與，帶入相關風險管理意識

數據管理和治理（Data Management and Governance）

• 檢視評估現有之數據策略基礎，瞭解數據將如何實現業務目標，且是否有與之相應的治理和管理流程
• 確認公司建立適當之資料治理文化（Data Culture）。公司應提供教育訓練以確保同仁對於關鍵資料之使用原則進行理解，進而設計相關控制措施
• 發展資料治理框架，清楚定義資料之內容、擁有者及責任、存儲位置、存取權限等，並提出提升資料品質之管理機制
• 隨時注意既有系統是否需升級或是更換，以適當地管理和留存關鍵資料

雲端虛擬主機環境（Cloud Hosted Environments）

• 應將雲端服務視為持續進化之技術與資訊環境，而不僅是單獨查核之應用系統或模組
• 納入定期稽核計畫以對雲端之資訊環境或議題進行評估
• 應針對雲端服務之使用情況及服務提供之流程或方式進行評估
• 應全面評估使用雲端服務可能產生過度依賴委外服務機構之風險以及公司如何管理系統營運之韌性和相關相容度之潛在影響
• 完整瞭解在雲端環境中面臨之風險，進而評估應如何設計有效之控制。例如，評估擁有存取正式環境權限之合理性係透過檢視對雲端管道的配置以及相關存取代碼之管理機制

營運和IT韌性（Operational and IT Resilience）

• •   對情境測試之方法及結果進行檢視，以評估是否完整識別漏洞進行修復
• 評估管理階層管理及監督之能力，包含重要業務服務表現及可容忍範圍之評估及決定
• 檢視及評估韌性文化之實現程度

企業營運關鍵IT控制（Business Critical IT Controls）

• 參酌法規要求或業界最佳做法以識別應納入評估攸關控制有效性之IT系統有哪些，並進行IT環境複雜性評估，如是否存在‘shadow IT’、系統仰賴度及對於第三方服務之依存度等
• 有鑑於現行多數業務流程高度仰賴IT，作業流程之自動化或自動控制之建立，如設計放行門檻、透過權限設計完善職能分工等，內部稽核除檢視相關控制機制之有效性外，應檢視公司資訊短中長期計畫，以確認IT發展計畫已將關鍵業務流程之設計及整合納入考量
• 建立風險基礎之內部稽核計畫，以確保涵蓋完整之企業關鍵系統

第三方風險管理（Third-Party Risk Management）

• 檢視公司是否已經在商業活動中辨識相關風險並設計相應之控制活動以遵循第三方風險管理 （TPRM） 框架
• 評估公司是否定期審視第三方業務連續性計劃並評估其與公司業務連續性之一致性；如有異常狀況，是否能及時獲取訊息以評估是否需啟動其他因應計畫
• 檢視公司是否建立及執行完善之盡職調查，並且建立穩健之監控機制

IT策略和治理（IT Strategy and Governance）

• 持續檢視IT策略之實踐和相關治理及監督機制，是否與業務需求相符。
• 評估IT是否擁有穩健的基礎架構，以支援業務需求和變化。

身份和存取管理／特權存取（Identity and Access Management/Privileged Access Management）

• 檢視PAM（Privileged Access Management）政策及相關控管流程
• 檢視並評估所有特權帳號之管理，且針對閒置之帳號必須瞭解是否有可能成為潛在攻擊入口
• 評估公司是否定期監控特權帳號之使用情況。且若有可疑活動時，是否立即提出警訊

數位風險：人工智慧（Digital Risk: Artificial Intelligence）

• 檢視公司是否發展AI策略，並確認是否有適當之治理機制以識別和管理相關風險，並符合監管要求
• 與AI技術單位和風險單位合作，針對AI之使用及相關用於支持AI之任何基礎工具和技術，設計適當之控制
• 若公司評估AI屬於高風險範疇者，內部稽核應開始將此議題納入稽核宇宙。透過定期稽核以評估AI之使用是否符合業界標準與倫理標準

隨著數位時代的來臨，商業模式、工作方式以及數據環境產生巨變，而越趨保守之監管態度及法令規定，都使得企業所面臨之的風險日益加劇，因此，內部稽核身為風險三道模組之獨立角色，要如何在最低標之法令遵循前提下，向管理階層和公司治理單位提出客觀之確認及建議，以支持公司目標之達成，進而充分展現內部稽核之價值，則係內部稽核不得不面對的課題。上述列示之議題，希望有助於快速掌握應關注重點並及時反饋予管理階層及公司治理單位進行討論。