【KPMG看審計委員會】(1)審計委員會與網路安全：新威脅、新工具及基本面；(2)審計委員會如何協助推動AI成功部署-2025/02/17

在KPMG網站上刊出了兩則與審計委員會有關的文章，一個是針對網路安全、一個是AI。過去一直以為審計委員會不就監督財報？其實公司所有事不都跟財報有關？那麼新興趨勢&風險不就也在裡面？

(1)審計委員會與網路安全：新威脅、新工具及基本面

"Audit committees and cyber security: New threats, new tools and the fundamentals"是2025年1月9日在KPMG網站刊載的文章。以下針對論述審計委員會部分進行介紹。

審計委員會越來越多要肩負網路安全管理監督任務，因此，他們需要瞭解新發展。這些發展從供應鏈及AI使用爆發而來的風險，到實施與對況攻擊，還有更瞭解網路安全的韌性必須更嚴格評估及管理。

當有多個飽受注目的第三方出問題，審計委員會在議程上更重視供應鏈安全—組織因承包商或供應商的IT系統而被入侵。由於這些攻擊之威脅加重，因此管理階層不能再視之為只是一個失靈事項而已。相對地，必須要更深入、更創意地思考，如何預測這些入侵，而且審計委員會應評估：是否組織有採取充足的措施以預防、辨識和減緩這些問題。

從一開始，管理階層就應該發展組織供應鏈全面性的地圖，以確定和供應商交錯的關鍵資料和系統元素。這會對供應商關鍵依賴點提供見解，並協助定位可能的失靈。藉此專家就可追蹤可能入侵的路徑、辨識組織過於仰賴供應商之處，並在必要時多元化供應商。

組織或許也需要重新審視他們如何分析第三方。這些使用年度、半年度確認表的方法（一張安全措施和最佳實務清單，說明如何保護其系統、資料與基礎設施免受網路威脅）應該考慮一個更全面、持續的方法。這會協助他們完全瞭解，第三方是否真正具備所報導的控制，以及他們是否達成組織的標準及期待。審計委員會應該要鼓勵管理階層定期審視：第三方評估是否以適當的嚴謹度進行。

內部管理事件偵測和第三方服務兩邊的缺陷，會讓組織無法看到某些攻擊。為協助減少這些風險，最重要的是審計委員會鼓勵管理階層落實：網路安全方面的攻擊團隊與防禦團隊作業，比如「紅隊」與「紫隊」。這些作業會模擬攻擊、偵測和回應，以促進合作和強化攻擊與防禦能力。審計委員會也須確保—管理階層會就威脅、事故和其回應提供全面、及時的報導。

雖然網路威脅越來越複雜，但基本的網路安全原則仍是確保組織安全之工具。重要的是，有堅固的基礎安全控制，比如漏洞管理、配置和遵循監控，以及良好治理。但是，許多組織並未完全包括。比如，某些公司仍難以及時管理安全修復。審計委員會應該詢問管理階層—組織在健全安全環境上是否有基本的要求。

在監督網路安全上，審計委員會越來越被要求擔任領導角色。為了有效達成，他們必須建立其自身的網路技能、挑戰管理階層以瞭解威脅者的新手法、以及對抗他們的新工具。他們也必須確保仍有基本的網路安全實務，藉此新工具和技術就能夠應用。

審計委員會應詢問的問題：

1.有全面地評估第三方風險嗎？

2.我們有使用AI防衛機制，而且它符合隱私標準嗎？

3.我們在組織內具備技能組合，以落實和管理AI解決方案嗎？審計委員會具備足夠知識，或者能接觸外部專家並進行評估嗎？

4.我們有嚴格地測試我們的事故回應，徹底檢查我們的MSSP(Managed Security Service Providers)嗎？

5.我們的網路安全報告是夠全面且及時的嗎？

資料來源：https://kpmg.com/ca/en/home/insights/2025/01/audit-committees-and-cyber-adapting-to-change.html 

(2)審計委員會如何協助推動AI成功部署

"How audit committees can help drive successful AI deployment"這篇是2025年1月9日在KPMG網站刊出的文章，以下分享裡面提到審計委員會的部分。

AI被廣泛應用到財報及審計，根據KPMG的AI in financial reporting and audit: Navigating the new era報告，加拿大組織有87％在嘗試或使用AI到財報，而100％計畫使用這項技術到至少一項財務報導流程。它已經用來增進資料品質、分析趨勢、預測以及做出更佳的資料導向決定。

演算法也被發展和使用到財報上，而且對於必須分析多年、許多子公司資料而言，十分有幫助。儘管眾多公司使用AI還是一個新的趨勢，但四分之三的組織相信，他們會計師會使用AI的狀況頗為重要。

審計委員會必須確保他們夠瞭解—AI是如何使用到財務及稽核部門的，並且確保—管理階層及會計師知道它是如何部署的。對於部署AI之有效性具備寶貴的架構，應該要有制度且受到監控，包括要有KPIs。這些需要定期向委員會報導，而且在董事會與委員會上，AI應該要是一項單獨的議題。

管理階層需要向審計委員會說明，他們是如何確保AI演算法之輸入是正確且可靠的，這些資料（及其後續之產出）都被適當地保護。委員會需要向管理階層提問—他們預先做了什麼準備以確保，當用生成式AI來取得資料時，會只會提供必要的資料，而且供給授權的使用者。

審計委員會也應該瞭解，他們的會計師是如何在審計中使用這些自動化工具，以及他們如何納入AI，包括AI演算法是如何訓練和測試而得出結論，還有會計師如何確保機密的公司資訊不會外洩。

許多組織正採用混合式的供應商以及內建平台，其發展是運用可取得的開源模型來部署AI。作者在審視中發現的主要落差之一是：對於供應商使用AI的第三方風險管理(third-party risk management (TPRM)不足。常見的實務作法是評估新供應商的風險，之後再根據風險程度定期進行再評估。比如，管理階層可要求系統與組織控制(System and Organization Controls (SOC)報導，補強其既有的第三方測試和審視流程，來瞭解是否具備正確的控制。SOC報告在AI領域仍不常見，原因是目前缺乏指導方針，但其使用預估未來會越來越多。

低風險的供應商或許會每幾年審視一次就好，但如果在SaaS 產品內使用AI、或變動其使用AI之方式，則當前的TPRM或許不會有觸發點警告客戶組織要變更或啟動審視。TPRM政策必須重新設計，納入觸發機制，讓組織在重新評估前可重新審視。審計委員會必須詢問管理階層：他們是如何調整關於供應商AI使用之TPRM政策。

雖然審計委員會對AI之監督是必要且重要的，但是另外再設立AI治理委員會也是好的實務。此委員會應包含熟知技術、法律、隱私和營運問題之成員，還有熟知行銷部門之成員，因為這個領域可能會因生成式AI、以及和客戶的互動而帶來巨大風險。

某些經理人與員工或許會感覺審計委員會的提問會阻礙創造力、創新和流程。但確保AI以受人信任的方式採用、符合即將通過的規定，以及供應商受到適當監控，會鼓勵整個組織的採用，並防範部署停滯或放棄。藉由履行其監督，審計委員會可協助確保AI的成功部署。

審計委員會應詢問的問題：

1.我們如何辨識及處理AI和生成式AI帶來的新風險？

2.我們如何確保AI架構是值得信任的？

3.我們如何評估AI部署之有效性？

4.我們如何確保第一線工作者、管理階層與董事會成員有受到適當的AI教育與訓練，以及如何部署相關方案？

5.我們有建立符合當前全球規範指引原則之AI架構嗎？

6.我們的會計師如何在其審計中使用AI技術，以及他們使用哪些工具（傳統或生成式AI）？

7.有什麼防護措施確保AI生成的審計證據是正確的？

8.我們的會計師受到什麼訓練，確保他們在審計時能適當使用AI工具，包括所有根據此結果所得出的結論？

資料來源：https://kpmg.com/ca/en/home/insights/2025/01/how-audit-committees-can-help-drive-successful-ai-deployment.html