几年前,我在质疑内部审计和合规是否能够驯服日益新兴和复杂的技术时,曾简要提及过物联网。毫不奇怪,如今物联网已经成为每个人生活中不可或缺的一部分。
颠覆性创新可能需要十年或更长时间才能改变一个行业,但研究表明,颠覆性创新所需的时间已经大大缩短了。连网设备和系统的兴起为现代组织带来了新的机遇和风险,而内部审计作为最后一道防线,可以在识别和防范风险出现方面发挥重要作用。
物联网的定义随着时间推移而演变。TechTarget 将物联网描述为“一种场景,在这种场景中,物体、动物或人都具有唯一的标识符,并且能够在不需要人与人或人与计算机交互的情况下通过网络传输数据。” 福布斯对该概念进行了很好的简单描述,即“将任何带有开关的设备连接到互联网(和/或相互连接)”。
有多种因素导致了物联网的这场“完美风暴”。互联网协议版本6本质上支持看似无限量的网络连接;宽带互联网越来越普及,连接成本正在下降;正在创建更多具有 Wi-Fi 功能和内置传感器的设备;技术成本正在下降等等;我们已经从互联网发展到智能手机,再到无线传感器。
这种互联互通的意义何在?最近有很多关于物联网潜在价值的例子。常见例子包括您的汽车可以访问您的日程表,并在您参加会议时知道最佳路线。如果交通拥挤,您的汽车可能会发短信给对方,通知他们您将迟到;您的办公设备可以知道耗材何时供应不足,并自动重新订购更多;您的可穿戴设备可以告诉您何时何地最活跃、最高效,并与其他设备共享该信息。
更多奇特的例子包括微软与富士通合作部署了一个系统来监测牛群的健康问题和最佳繁殖时间,以提高受孕率。在更广泛的范围内,物联网正被应用于交通运输等项目,这些所谓的“智慧城市”可以帮助我们减少浪费,提高能源使用效率等。
麦肯锡公司(McKinsey&Co.)在分析了150多个使用案例后,预测到2025年,物联网每年将产生3.9万亿至11.1万亿美元的潜在经济影响。
但与任何重大技术变革一样,要想获得物联网的潜力将需要管理层的高度关注,不仅要关注新的技术需求,而且还需要关注组织问题。根据会计师事务所EisnerAmper的第六次年度董事会风险担忧调查显示,公司董事会成员将声誉风险列为最大的整体担忧点。此外,71%的上市公司董事表示,他们依靠内部审计来识别这些风险。
内部审计职能部门可以就物联网给企业带来的重要性、好处和竞争优势向管理层提供建议。审计员可以向管理层演示如何在销售分销和库存控制等流程中实施物联网。此外,借助风险管理职能,他们可以帮助促进与管理层的风险评估会议,并进行研究,以了解如何在组织的特定运营环境中使用物联网。
伴随着潜在回报而来的是可以预见的风险。需要认识到实施物联网对数据安全的影响,因为它不仅会带来与数据使用量增加相关的正常风险,而且还会随着组织连接到数百万个嵌入式传感器和通信设备而带来更大的系统性漏洞风险。它们每一个都是恶意黑客的潜在入口,入侵造成的破坏甚至可以威胁到生命——例如,破坏石油钻井平台或医院的机器控制系统。
与数据安全相关的是需要监控和管理的隐私风险
当您作为消费者使用互联网服务时,您即签署了一项法律协议并同意所有这些条款。这包括隐私政策,其中涵盖了公司如何收集、使用、共享和存储您的个人信息。使用物联网的组织将需要监控此类数据的使用并审核是否符合隐私政策,以确保消费者权利得到保护。隐私可能会继续成为主要问题,因为有关被黑客攻击的婴儿监视器、侵犯儿童在线隐私等新闻不时出现。除了隐私之外,用于健康和福利目的的数据可能会导致疏忽和医疗事故,以及关于数据准确性和完整性的问题。
来自内部审计和合规部门的支持
值得注意的是,在专业公司调查中,例如 Protiviti 的 2016 年内部审计能力和需求调查报告,物联网被列为今年最重要的内部审计优先事项。多项关于内部审计的期望和未来的调查表明,利益相关方期望获得更多前瞻性报告以及有关风险、战略规划、IT 和业务绩效的见解。必须解决某些技能(包括分析、IT 和通信)方面的关键差距,以提高影响力。
审计和合规专业人员面临的挑战
相关的风险和控制正在迅速变化和演变,内部审计师需要了解物联网的发展和进步,以便能够评估其组织中的风险和控制能力。
以下是在制定审计计划和考虑其在物联网中作用时需要考虑的关键问题:
- 如今,物联网在我们的组织中是如何部署的?
- 考虑与物联网相关的风险?这些风险是如何量化和控制的?
- 我们是否知道收集、存储和分析了哪些数据?我们是否评估了潜在的法律、隐私和安全影响?
- 我们是否有针对黑客攻击的应急计划?
- 第三方在多大程度上代表我们使用物联网?我们是否有适当的流程和协议来适当监控这些第三方?
- 物联网在我们当前的组织战略中扮演什么角色?我们如何衡量与战略目标相关的成就?
- 我们是否在充分利用数据分析?
内部审计和合规部门需要应对挑战,以确保与物联网系统风险相关的控制措施有效运行,并且不会失去机会。现实已经很清楚——为了保持领先于颠覆曲线,内部审计和合规必须快速识别变化的重要迹象,以及对其组织业务模式的相关影响。
