IT审计的两条路:一条是业技融合审计,一条是信息科技审计。
当前面临的三个困难:
- 外部形势变化,在企业数字化之后,业务和技术的界限不清。
- 人员能力不足,智能化背景下,绝大部分审计人员不知道要怎么处理与业务的关系,不知道该审什么,审到什么程度,还在吃老本,妄图从终端、网安基线、数据泄露等角度找问题。
- 组织管理矛盾,在KPI压力下,业务审计和科技审计内容犬牙交错,但受制于能力,都达不到预期目标,造成极大的资源浪费和内耗。
业技融合审计
- 定义:有点像传统的应用控制审计,在企业数字化之后,业务和技术的界限早就变得很模糊了,业务都在线上运行,以前的业务规则现在全都变成了代码在服务区运行,代码里有程序漏洞,也有业务漏洞,要做业务审计,对程序的开发测试审计就绕不开。可以说业务审计和IT审计都发生了很大变化,都面临新的形势。这里着重要说明业技融合的审计只是IT应用层的审计,决不深入底层技术。
- 资源配置:审计是比较特殊的岗位,既要懂业务细节,又要掌握业务全貌,审计虽然是后台部门,但更像是高级专家岗位,素质要求很高。回到业技融合审计,不仅懂业务全貌和细节,又要懂技术全貌和细节,一个业务专家要同时掌握技术专家技能,试问有几人能达到。因此在具体组织实施上,要准备充足的业务审计和技术审计人员,比例三七开比较合适,毕竟业务问题浮于表面好发现,理顺技术问题不容易。但是这又带出来一个新问题,审计KPI怎么分,大家都出力了,最好是成立一个专门的业技融合审计部,成立后的第一项工作就是制定KPI体系。
信息科技审计
- 定义:传统的IT一般控制审计已经明确了7大领域,甚至具体审什么都明确了,运行了这么多年后,如果还能发现新问题,那只能说明审计履职有很大问题。所以在业技融合审计成熟起来后,就要明确信息科技审计的转型。传统的一般控制审计是在信息化基础上建立起来的,但现在企业都在数字化,甚至智能化,既然都到智能化这个阶段,终端、网安基线怎么可能还有大问题,数据还能怎么大量泄露?如果还能找出这些问题,那只能说明这个企业实际还在信息化阶段,先把信息化做好吧。说这么多,其实也能看出,智能化背景下,信息科技审计是一个更专业、护城河更深的审计学科。不是简单看终端、看网络配置、看那些浮于表面的科技管理环节,在高度规范的智能化阶段,科技管理还能出问题吗?所以未来信息科技审计应该由科技存量转向科技增量,针对智能化要素开展审计,以提高数据、算法、架构效能为目标的审计。比如说,建设的推荐系统精确度如何,是不是还有数据、线上线下结合的堵点,能否把推荐的AUC再通过流程的优化进行提升,减少算力投入,提高算力应用效率,在智能化背景下,审计如果能提升1%的推荐或风控精准度,就是非常大的成果。
- 资源配置:要求审计人员熟悉数据架构、推荐、风控底层算法原理、技术架构,以及新产品的运行原理。注意这里虽然出现产品字眼,但和业务关系不大,更多是从技术提升角度。有人会觉得这样的审计,科技部没有吗?正如前文说的,业务审计专家和技术审计专家不可兼得,业务专家和技术专家同理,我相信业务部门和科技部门肯定面临同样问题,推荐系统怎么优化提升,这个环节业务部门只能起到业务测试的作用,而需求、数据、算法的研发都是科技包圆,大家都有主责主业,科技又怎么会懂业务呢?所以就需要审计及时补位,也就是说,审计在这的角色,就是充当一个懂运营的科技架构师。