安全性和环境、社会与治理(ESG

审计行业的新兴风险:环境、社会与治理的重要性提升

关键要点

  • 环境、社会与治理(ESG)在审计行业的新兴风险中排名第二,仅次于网络安全。
  • 71%的首席审计执行官(CAE)已在审计计划中纳入ESG评估。
  • 内部审计部门正在将更多注意力转向预防性和战略性网络防御方法。
  • 数据安全和隐私在董事会和高管层面具有高度优先级。

据杰斐逊·韦尔斯(JeffersonWells)的调查显示,环境、社会与治理(ESG)的重要性迅速上升,已成为审计专业人士关注的第二大新兴风险,仅次于网络安全。

随着ESG关注度的提高,71%的首席审计执行官(CAE)开始在其审计计划中包括ESG评估。同时,随着勒索软件及其他攻击的频率和强度急剧增加,内部审计部门逐渐将更多焦点转向网络防御的预防性战略方法。

“网络安全仍然是许多高管最关心的问题,他们看到审计团队在扩大信息技术治理的覆盖范围,”人力资源集团的首席审计执行官吉姆·古西奇(Jim
Gusich)表示。“但今年的调查也显示出越来越多的组织在2023年及以后,致力于制定全面的ESG战略。”

在数据安全和隐私方面,这两个领域在董事会和高管层面都被视为顶级优先任务,高管们期望审计团队提供足够的信心,以确保组织的数据保护和网络安全控制能够应对当前的威胁。施马特系统(SymmetrySystems)数据安全首席布道者克劳德·曼迪(Claude Mandy)指出:

“考虑到收集、使用和存储的数据的复杂性和规模,审计职能需要更复杂的工具,以确保保护数据的控制措施在组织最重要的资产——数据——中得以充分实施。这应该包括能够提供组织数据安全状态的连续审计能力的工具,也称为数据安全状态管理。”

Pathlock首席执行官皮尤什·潘德(PiyushPandey)补充道,对审计部门而言,缺乏人力资源突显出自动化控制测试的紧迫需求,尤其是与职责分离和数据安全相关的控制。

“延迟审计会导致风险的复合,这会增加欺诈、收入损失以及重大弱点的发生几率,这对公司(尤其是受监管和/或上市公司)来说是非常难以恢复的,”潘德解释道。

深度本能(Deep Instinct)竞争情报分析师杰罗德·皮克(JerrodPiker)补充说,由于网络安全依旧是最大的风险,即使预算在缩减,组织依旧意识到需要解决方案和服务,以提前应对网络攻击。

皮克表示,内部审计团队也开始将重点转向预防性技术,以应对勒索软件及其他灾难性网络威胁的上升。

“对于安全团队而言,这意味着他们也应该考虑将预防作为第一道防线,”皮克说。“有效的预防意味着,安全团队在后续工作中要减少检查IoC(入侵指示)和IoA(攻击指示)数据并优先响应的时间。大多数预防性解决方案还包含自动响应功能,这不仅可以减少攻击面,还能降低确定根本原因和进行事件后缓解与清理所需的人力资源。”

通过这一系列措施,审计行业正在向更综合和前瞻性的方向发展,以应对不断变化的风险局势。

Leave a Reply

Your email address will not be published. Required fields are marked *