(1)網路安全為經營風險之首而AI地位正在崛起
ICAEW在2024年 10月 2日報導,根據一份對總稽核(chief internal auditor, CIAs)的調查,網路安全在經營風險清單中持續位居主導地位。然而,憂慮人工智慧(AI)所帶來的風險比其他任何重大經營問題上升更快。
內部稽核協會(Chartered Institute of Internal Auditors,Chartered IIA)對橫跨20個歐洲國家的近1000位CIAs所進行的研究表示,深偽攻擊(deep-fake attacks)與越來越激烈的AI駭客攻擊,助長了網路安全及資料安全繼續維持其長期最大威脅的地位;83%的受訪者將其列為前五大風險。
最近讓全球資訊科技系統癱瘓的CrowdStrike事件顯現愈來愈多網路攻擊武器化的態勢,由於針對第三方供應商的攻擊造成營運中止,進而影響到幾個英國健保信託單位(NHS Trusts),而對倫敦交通局(Transport for London)之攻擊,則導致某些客戶的財務資料被駭客入侵。
網路攻擊日益複雜且頻繁
網路安全威脅預測仍是未來三年最主要的風險,反映出對網路攻擊日益複雜且頻繁的憂慮加深,網路攻擊會影響從客戶資料到病患安全的各方面。
人力資本、多元性、人才管理和留任則位居第二,超過一半(52%)的CIAs把它列為前五名的風險。在數位化程度提高的時代背景下,平衡因技能與預算短缺而轉移的人口趨勢是許多組織的一項關鍵挑戰。與此同時,法規變動排行第三名(46%)。
《聚焦風險》(Risk in Focus)這份Chartered IIA的旗艦報告提出警告,技術威脅的演變正在以前所未見的方式改變風險樣貌。尤其AI已興起為成長最快速的經營風險。
AI對企業而言是成長最快的風險
AI從一年前的第六大風險上升為今年的第四大風險,並且是上升最快的風險類別,40%的受訪者提到它為前五名的風險,高於前一年的33%。Chartered IIA說,組織受到越來越大的壓力要跟上競爭者,並且利用快速演變的技術滿足日益增長的消費者需求。
數位顛覆以及新技術和AI使用之爆發意味著AI風險預期會進一步增加,據受訪者說他們預期到2028年前AI將成為第二大風險。
Chartered IIA的執行長Anne Kiem OBE說,AI的快速崛起為重大經營風險,突顯了數位轉型前所未有的步伐:「雖然這些技術進步提供巨大的機會,一旦缺少適當的防衛機制,它們也會構成顯著威脅。內部稽核經過獨特配備以提供確信,證明網路、數位與技術相關的控制不僅備妥並且有效。」
良好的網路保健
主管ICAEW資料分析與技術的Ian Pay說,儘管AI風險狀況上升,網路安全帶來的風險(相較於AI,許多CIAs將網路風險列為前五大風險的人數超過兩倍)應該反映於組織風險策略內:「就組織營運基本能力的風險來說,網路安全恰如其分地維持第一名。這不僅關乎你自己虛擬牆的安全,同樣也要具備對你整個供應鏈網路控制和韌性的深入了解。」
「雖然AI與普遍的數位顛覆可能會改變組織運作方式,網路安全則更為普遍,若(或者更明確說是何時)網路攻擊發生時,網路風險對組織會有更大影響。招聘與留才是第二大風險的事實與我們經常聽到的一切吻合,包括最近我們中階實務研究的演進。」
Chartered IIA呼籲董事會和高階經理階層利用內部稽核團隊的專業知識來評估網路和數位控制的有效性。報告說,當發現控制不足時,內部稽核在建議改善方面可以扮演關鍵角色,以保護企業避免這些新崛起的威脅。
政策、流程與控制
Pay說,作為監督角色,Chartered IIA研究中所強調的風險與企業廣泛遭遇的許多風險吻合。「對整個企業和內部稽核團隊來說它是個挑戰―尤其是要跟上最新技術的速度,以及確保業務部門具備適當的政策、流程與控制以便緩和技術相關的風險比如AI,包括偏見、幻覺、資料保密等等。」
ICAEW公司治理與盡職治理總監Peter van Veen說:「這份報告突顯了內部稽核與董事會的審計委員會必須應對的風險越來越多。我們同意該報告採取行動的呼籲,運用內部稽核來評估網路和數位控制的有效性。然而,就董事會應對所有重大風險而言,這件事是重要的。一如報告所強調,內部稽核主管認為重大風險在人力資本、法規變動、宏觀經濟與地緣政治不確定以及永續性,所有這些都值得同等注意。」
39%的CIAs提出宏觀經濟與地緣政治的不確定性為前五大風險,主要是烏克蘭戰爭和中東衝突使然。同時,33% 的CIAs 強調氣候變遷、生物多樣性和環境永續為前五大風險,預期到了2028年監理壓力會推升此風險,特別是考慮到歐盟的企業社會責任指令(Corporate Social Responsibility Directive)伴隨其他氣候與環境法規。
前十大風險
1.網路安全與資料安全(83%)
2.人力資本、多元性、人才管理和留任(52%)
3.法規變動(46%)
4.數位顛覆、新技術和AI(40%)
5.宏觀經濟與地緣政治不確定(39%)
6.氣候變遷、生物多樣性與環境永續(33%)
7.持續經營、營運韌性、危機管理與災難因應(32%)
8.市場變動、競爭與消費者行為之轉變(32%)
9.供應鏈、外包和第n方風險(29%)
10.財務、流動性與失去償債能力的風險(27%)
(2)SEC核准PCAOB對會計師事務所的「品質控制標準」
JD Supra在2024年 9月 17日有這一則對SEC與PCAOB的報導。
上週,美國證券交易委員會(SEC)核准了公開發行公司會計監督委員會(PCAOB)新的品質控制標準QC 1000,該標準建立一個以風險為基礎的品質控制架構,供獨立會計師遵守。
以下是關於PCAOB這項新標準的四個要點,還有您現在需要做什麼的「底線」:
1.獨立會計師需自我監控—根據QC 1000,要求獨立會計師實踐及運作其自有的品質控制系統。
2.會計師需要每年向PCAOB報告—獨立會計師也必須針對其品質控制系統做年度評估,並經事務所重要人員驗證後向PCAOB提交報告。
3.較大的會計師需要外部監督—要求每年為超過100家公司出具查核報告的獨立會計師,建立一個由一名或更多名能對會計師品質控制系統履行獨立判斷的人員所組成的外部品質控制部門(external quality control function,EQCF)。
4.會計師對新標準並不滿意—自從14年前首次提出該標準以來,會計師一直強烈反對,特別是反對獨立外部人士以EQCF形式監督品質控制這部分的觀念。
底線:您的審計委員會應該瞭解此新標準並且在每年委員會對獨立會計師進行評估期間,可能想詢問你的獨立會計師關於品質控制系統與EQCF的問題。(例如,EQCF是否發現任何我們應該注意的問題?)審計委員會可以深入瞭解其會計師的控制,他們或許想要利用這個機會。
此外,隨著工時升高,會計師費用很可能上漲。一如PCAOB本身所認知,公司可能將因QC 1000而付費。就小公司而言,他們或許發現其獨立會計師可能會決定避免QC 1000的成本並且取消註冊登記為公開發行公司的會計師。跟這些小型會計師往來的公司應該詢問他們是否打算繼續擔任其會計師,以及未來的收費結構長什麼樣子。
公司也可能會發現他們的會計師不願像以前一樣做出那麼多的判斷,特別是當會計師更在意如何避免PCAOB檢查的負面後果時。
資料來源:https://www.jdsupra.com/legalnews/sec-approves-pcaob-s-quality-control-3562205/
沒有留言:
張貼留言