這篇"Top Risks for Audit Committees To Consider in 2025"是Crystal Jareske與Richard Kloch, Jr.合寫、2025年4月4日在Crowe刊出的文章。以下分享一些內容。
在市場變動與不穩定仍是2025年主要考量之下,審計委員會關於制定優先事項有很多事要思考,包括如何處理新風險。最近Crowe的線上會議“Financial Services Audit Committee Overview”探討了一些2025年最主要的新風險,並分享審計委員會可如何準備以處理這些風險。
威脅領域
「雲端運算」已成為惡意者最主要的標的,尤其是搬往雲端的敏感資料。威脅像資料外洩、安全服務中斷以及未授權的存取,都會造成系統受損和智慧財產權被盜取,這些繼而會造成聲譽受傷、監理處理,甚至是財務損失。
減緩此威脅的保護措施有:
*制定雲端治理架構,列出雲端策略政策和流程。
*在選任雲端服務供應商時,進行充分的盡職調查,包括評估安全控制和遵循。
*定義與雲端服務供應商的契約協議,包含資料安全、保密及事件回應之條款。
「第三方關係」也會帶來巨大的網路安全風險。承包商生態體系裡孱弱的安全控制,會成為網路罪犯的入侵點,造成災難性後果,比如資料外洩、財務損失與聲譽受損。
減緩此威脅的保護措施有:
*針對所有第三方關係進行全面風險評估。
*對於現行承包商,制定一個健全的盡職調查流程。
*發展一個業務延續計畫,當承包商資料外洩或中斷時可以持續。
「勒索軟體攻擊」是一個持續、不斷變化的威脅,挾持組織關鍵資料和系統勒索金錢。
減緩此威脅的保護措施有:
*落實積極措施,包括:
**健全的安全意識計畫
**更新反病毒、反惡意軟體
**嚴格的修補程式管理
為協助這些問題並減緩風險,組織需要優先重視健全的AI治理架構,此架構會建立一個明確的政策和流程,以發展、部署及監督AI措施,同時讓營運目標、道德標準和法律要求維持一致。
要制定這些架構,組織應該考慮:
*內部稽核部門是否已注意IT基礎設施,判斷其能力可支持AI措施,而不會折損系統績效或規模擴張性,包括評估軟硬體、網路能力?
*AI安全是否已評估,包括專屬這些AI系統和保護之控制,可面對資料中毒、對手攻擊以及未經授權存取AI模型與資料組?
*從遵循角度看,組織審視了新的AI法規嗎?有評估維持遵循的機制了嗎,包括資料保護實務作法?
*內部稽核部門有注意相關模型了嗎,包括持續監控?
*組織有評估部署速度了嗎?治理架構如何平衡:AI快速發展或部署之需求,以及全面性風險管理與品質確信實務,以確保加速專案不會忽略關鍵控制?
關於消費者遵循風險,要回應監理機關升高的重點領域,內部稽核必須關注:
*全面審視機構公平借貸計畫的所有面向,包括但不限於:治理、測試監控、資料分析,以及(如果有用模型來定價及承保)模型驗證。
*全面審視對信用報告機構報導的所有面向,包括但不限於:資料準確性、直接與間接爭議,以及在減緩損失和破產時的報導流程。
以下是審計委員會與內部稽核部門討論關於信用與市場風險的主題:
*整個公司的內部稽核風險評估有更新,以充分反應變動中的利率及信用環境了嗎?
*最近一次執行資產責任管理內部稽核是什麼時候,有包括聚焦於模型驗證、情境分析、壓力測試和模型假設嗎?
*最近一次執行流動性風險管理內部稽核是什麼時候,以及,有充分涵蓋壓力測試情境及信用額度測試嗎?
*市場對當前貸款組合之影響為何,以及當前的組合管理實務夠充分嗎?
*組織有任何交易活動(包括衍生的),如果有,在內部稽核計畫內有考慮這些活動嗎?
審計委員會在培育風險意識文化及確認風險減緩策略符合組織策略優先性上,扮演關鍵角色。新的威脅像網路安全入侵、AI治理挑戰以及市場波動,都會快速中斷營運、侵蝕獲利,以及傷害聲譽。為鞏固風險韌性,組織必須讓其風險策略與總體策略目標一致,使他們有效預測並減緩潛在的顛覆。
資料來源:https://www.crowe.com/insights/top-risks-for-audit-committees-to-consider-in-2025
沒有留言:
張貼留言