內部稽核如何迎擊資訊科技新浪潮

內外在環境改變之影響

回顧過去十年，新興科技之崛起及跨領域之資訊科技整合及應用，成為銳不可擋的趨勢。緊接著Covid-19，除了定調遠距辦公之工作模式，也催化資訊科技之蓬勃發展－數位支付與物聯網、Big Data、AI等先進IT技術的快速發展，也讓我們認知不論是工作與生活，都離不開資訊科技之影響。然而這幾年層出不窮之資安事件，也讓企業或主管機關開始意識到，若未妥善管理資訊科技相關之風險，將對企業造成災難性之影響。如南韓Kakao集團數據中心因慘遭祝融，旗下包括通訊軟體、電子支付、叫車平台在內等多項功能服務中斷，讓民眾生活陷入一片混亂，且系統遲至五天後才恢復大部分功能。除執行長下台負責外，事件發生後，隔週一股價暴跌，市值蒸發2兆韓元（約13.9億美元）。而宏碁做為PC大廠，近兩年遭遇多次駭客入侵事件，其中一次屬於勒索病毒攻擊，被要求支付5,000萬美元（約台幣 15.4 億美元），才能贖回運營數據。

主管機關之態度與監管力道

從臺灣證券交易所最近修訂「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序」之內容，可以確定的是，現行瞭解資安事件之評估，已無法像過去僅限於對資訊環境之影響。主管機關認為一旦發生重大資安事件，公司營運必然有發生損失之可能，因此須發布重大訊息，以保障投資人權益。而從這兩年發布之法令或指引，也可觀察到主管機關對於此議題之重視，如「公開發行公司建立內部控制制度處理準則」第九條之一，內部控制制度除涵蓋所有營運活動外，應提升對資訊安全之重視，訂定相關控制作業；進一步發布「上市上櫃公司資通安全管控指引」，以做為強化資通安全防護及管理機制之參考。此外，也將資通安全管理納入公司治理評鑑指標，將資通安全定義為「治理」議題，董事會須瞭解及掌握其相應之風險，以指引企業內部建立資通安全之風險管理機制，以確保營運目標及策略有效執行。

今年在不確定性及挑戰性之總體經濟環境下，上述影響仍在繼續發酵。疫情的影響和地緣政治變化，驅使企業之商業模式變得更加靈活和創新；而隨著時空環境變遷演進，主管機關加大監管力道，並明確法令遵循之要求。內部稽核應如何扮演其被賦予之角色，透過全方位商業視角，檢視企業可能之漏洞或是鬆脫的螺絲，以風險角度出發，守住最後關口，降低企業蒙受損失之可能性。

2023 內部稽核應關注之資訊科技議題

而哪些是內部稽核需要關注之資訊科技議題？除考量企業所屬產業特性、規模大小及面臨之內外在風險外，透過借鏡海外經驗，以瞭解先進國家對於相關議題之分析，掌握趨勢、關注熱門議題。Deloitte UK自2012年開始，每年透過問卷調查方式，以瞭解英國當地針對資訊科技稽核議題之發展趨勢。而根據Deloitte UK發布之《Riding the wave 2023 Hot Topics for IT Internal Audit》顯示，2023年前十大議題整理如下：

_{表1 - 2023資訊科技內部稽核熱門議題IT Internal Audit Hot Topics 2023
「資訊安全」在過去近十年中持續位居榜首，而「雲端」、「數位轉型」、「第三方風險」、「營運和IT韌性」仍皆屬持續關注議題。}

報告摘要重點說明

1. 延續過去幾年趨勢，「資訊安全」仍然是排名第一的熱門話題。隨著資訊安全風險格局廣泛、越驅成熟且多樣化，企業在管理這類型風險之思維，也在不斷演進；包含資料竊取、帳號盜用、勒索病毒、社交工程攻擊等形式的網路攻擊仍然是所有產業認為重中之重、需要被關注之議題。而在我們的調查中，勒索病毒及資安事件之應變機制，也是各產業關注之議題；而金融服務業也提出預防資料外洩、威脅情資之蒐集和內部威脅偵測等議題。
2. 後疫情時代的數位變革及轉型，雖然提升企業的營運效率，卻也可能帶來新的風險領域，相關產品／服務之提供、策略和規劃方面之風險，日益加劇。因此，內部稽核需要在初期即參與討論，持續協助專案團隊適當且主動地管理風險。此外，此時企業營運活動與資訊策略之整合，比以往任何時候都更加重要，內部稽核如何協助簡化相關治理和控制之流程，也是重要課題。
3. 金融服務業的監管力道仍持續加強，並且已觸及關鍵之技術領域，例如資訊安全、雲端、IT韌性和第三方風險。因此，探究如何將這些風險融合至企業之控制環境，既是關鍵的熱門話題，也需要進行適當的風險評估及提出合理之確信。因此，內部稽核應密切關注可能受高度監管之領域，且也應確保自身具備相應之專業技能，以跟上風險議題討論之步伐。
4. 最後，此份報告也突顯出企業營運關鍵IT控制之議題，對於非金融服務產業而言，至關重要；這也反映出國際潮流與趨勢－唯有強而有力之內部控制環境，始能有效降低發生重大舞弊和非預期倒閉之情況。隨著資訊科技環境的普及和複雜化，內部稽核將需確保高階管理階層瞭解企業是否已設計相關之控制機制，這些關鍵控制如何嵌入現行之資訊基礎架構及營運流程活動；並要求企業建立監督機制，以確保相關控制機制維運之有效性和適當性，以滿足合規要求。

內部稽核面臨之主要挑戰

1. 人員、技能和人才：專業人才之供給仍是具有挑戰性的領域，尤其在現今競爭激烈之人力市場，更是難以找到和留住具備一定專業技能之人才。隨著企業之資訊環境日益複雜，若無熟悉資訊科技暨相關控制之稽核人員，在執行資訊科技稽核業務時，將面臨莫大之挑戰。從與企業內部稽核長之對話中不難發現，現行市場上很難找到且成功聘用具備關鍵資訊科技技術和數位技能之人才，同時也難以留住現有人才。與此同時，內部稽核單位也在思考及評估其他可行方案，例如將資訊科技稽核業務委外由第三方執行（Outsourcing），或是透過合作式委外（Co-sourcing）方式，與第三方合作共同執行，以彌補現行內部稽核在專業知識、技能或人手等資源可能不足之處。
2. 適時掌握企業「改變」節奏：在不確定和不斷變化的經濟環境下，企業往往透過轉型和創新，以期可站穩腳步，逆風前進。在資訊科技和數位化領域下努力，透過自動化、數據分析等技術，改變營運、服務提供方式；甚至透過導入風險評估機制，考量風險之因應措施，以現代化其核心流程。而對於內部稽核而言，仍然是增加其在各自企業中的影響力，須能適時點出管理階層於管理風險時須面對之挑戰及優先處理之風險項目，同時也能提示主管機關之監管重點及可能之合規風險。

內部稽核之下一步

內部稽核身為三道模型之最後一道角色，本就希望借重其獨立性，在不受任何阻礙和偏見下，針對企業面臨之風險可以客觀且不受限制地獲取資源和必要的訊息，並透過訪談權責人員及執行必要稽核作業，以提供其建議。然而，對於傳統之內部稽核而言，如何快速瞭解並掌握IT重點領域、克服任何關鍵挑戰與質疑，以提出自身對於這些新興IT風險的見解，是個不可避免之挑戰。下一期我們將進一步參考《Riding the wave 2023 Hot Topics for IT Internal Audit》內容，針對IT重點議題，提出各議題發展之新趨勢，及內部稽核應如何將新興議題納入稽核計畫，進行介紹。