几年前,当我质疑内部审计和合规是否可以驯服日益新兴和复杂的技术时,我简要地提到了物联网。如今,物联网已成为每个人生活中不可或缺的一部分也就不足为奇了。颠覆性创新可能需要十年或更长时间才能改变一个行业,但研究表明,颠覆性创新所需的时间已大大减少。互联设备和系统的兴起为现代组织带来了新的机遇和风险,而内部审计作为最后一道防线,可以在风险出现时识别和预防风险方面发挥重要作用。物联网的定义随着时间的推移而演变。TechTarget将物联网描述为“一种场景,其中物体、动物或人具有唯一标识符,并且能够通过网络传输数据,而无需人与人或人与计算机的交互。”福布斯有对这个概念的一个很好的简单描述是“通过交换机将任何设备连接到互联网(和/或相互连接)”。有多种因素促成了物联网的这场“完美风暴”。互联网协议版本6基本上实现了一个看似无限数量的网络连接;宽带互联网变得越来越普遍,连接成本正在下降;越来越多的设备被创造出具有Wi-Fi功能和内置传感器;技术成本正在下降,等等;我们已经从从互联网到智能手机再到无线传感器。这种互联性有什么意义?最近有许多物联网潜在价值的例子。常见的例子包括您的汽车访问您的日程安排le并知道开会时的最佳路线。如果交通拥堵,您的汽车可能会互相发短信,让他们知道您会迟到;您的办公设备可以知道耗材何时不足并自动重新订购;您的可穿戴设备可以告诉您什么时候它最活跃和最有效,并与其他设备共享该信息。更多奇特的例子包括微软与富士通合作部署一个系统来监控牛群健康问题和最佳繁殖时间以提高受孕率。在更广泛的范围内,物联网正在应用于交通等项目,这些所谓的“智慧城市”可以帮助我们减少浪费、提高能源效率等等。在分析了150多个用例后,麦肯锡公司预测,到2025年,物联网的潜在年度经济影响将达到3.9万亿至11.1万亿美元。但与任何重大技术变革一样,实现物联网的潜力需要高度的管理关注,不仅对新的技术要求而且对组织问题。根据会计师事务所EisnerAmper的第六次年度董事会风险担忧调查,公司董事会成员将声誉风险列为他们最大的总体担忧。此外,71%的上市公司董事表示他们依靠内部审计来识别这些风险。内部审计职能可以就物联网给企业带来的重要性、好处和竞争优势向管理层提出建议。审计师可以向管理层展示如何在销售分配和库存控制等流程中实施物联网。此外,借助风险管理功能,他们可以帮助促进与管理层的风险评估会议,并进行研究以了解如何在组织的特定运营环境中使用物联网。潜在的回报伴随着可预见的风险。需要认识到实施物联网对数据安全的影响,因为它不仅会带来与数据使用量增加相关的正常风险,而且还会在组织连接到数百万嵌入式传感器和通信设备时带来更多风险。存在大型系统漏洞的风险。它们中的每一个都是恶意黑客入侵并造成甚至危及生命的损害的潜在切入点——例如,通过破坏石油钻井平台或医院机器的控制系统。与数据安全相关的是需要监控和管理的隐私风险。当您作为消费者使用互联网服务时,您即签署了一份法律协议并同意所有这些条款。这包括隐私政策,其中涵盖公司如何收集、使用、共享和存储您的个人信息。使用物联网的组织将需要监控此类数据的使用并审核对隐私政策的遵守情况,以确保消费者权益得到保护。随着黑客入侵婴儿监视器、侵犯儿童在线隐私等新闻的出现,隐私可能会继续成为一个主要问题。除了隐私之外,将数据用于健康和福利目的可能会导致疏忽和医疗事故,以及对数据准确性和完整性的质疑。内部审计和合规部门的支持值得注意的是,在专业的公司调查中,例如Protiviti的2016年内部审计能力和需求调查报告,物联网被列为今年内部审计的首要任务。对内部审计的期望和未来的多项调查表明,利益相关者期望在风险、战略规划、IT和业务绩效方面获得更多前瞻性报告和见解。必须解决某些技能(包括分析、IT和通信)中的关键差距以增加影响。审计和合规专业人员面临着与快速变化和发展的风险和控制相关的挑战,内部审计师需要了解物联网的发展和进步,以便能够评估其组织的风险和控制能力。以下是制定审计计划并考虑其在物联网中的作用时要考虑的关键问题:今天我们的组织如何部署物联网?是否考虑了与物联网相关的风险?如何量化和控制这些风险我们是否知道正在收集、存储和分析哪些数据?我们是否评估了潜在的法律、隐私和安全影响?我们有针对黑客的应急计划吗?第三方在多大程度上代表我们使用物联网?是否有适当的流程和协议来正确监控这些第三方?物联网在我们当前的组织战略中扮演什么角色?我们如何衡量与战略目标相关的成就?我们是否在利用数据分析?内部审计和合规部门需要应对挑战,以确保与物联网系统风险相关的控制有效运作,并且不会错失良机。现实已经变得清晰——为了保持领先于颠覆曲线,内部审计和合规部门必须快速识别重大变化迹象,以及对其组织业务模式的相关影响。
