审计行业的新兴风险：环境、社会与治理的重要性提升

关键要点

• 环境、社会与治理（ESG）在审计行业的新兴风险中排名第二，仅次于网络安全。
• 71%的首席审计执行官（CAE）已在审计计划中纳入ESG评估。
• 内部审计部门正在将更多注意力转向预防性和战略性网络防御方法。
• 数据安全和隐私在董事会和高管层面具有高度优先级。

据杰斐逊·韦尔斯（JeffersonWells）的调查显示，环境、社会与治理（ESG）的重要性迅速上升，已成为审计专业人士关注的第二大新兴风险，仅次于网络安全。

随着ESG关注度的提高，71%的首席审计执行官（CAE）开始在其审计计划中包括ESG评估。同时，随着勒索软件及其他攻击的频率和强度急剧增加，内部审计部门逐渐将更多焦点转向网络防御的预防性战略方法。

“网络安全仍然是许多高管最关心的问题，他们看到审计团队在扩大信息技术治理的覆盖范围，”人力资源集团的首席审计执行官吉姆·古西奇（Jim
Gusich）表示。“但今年的调查也显示出越来越多的组织在2023年及以后，致力于制定全面的ESG战略。”

在数据安全和隐私方面，这两个领域在董事会和高管层面都被视为顶级优先任务，高管们期望审计团队提供足够的信心，以确保组织的数据保护和网络安全控制能够应对当前的威胁。施马特系统（SymmetrySystems）数据安全首席布道者克劳德·曼迪（Claude Mandy）指出：

“考虑到收集、使用和存储的数据的复杂性和规模，审计职能需要更复杂的工具，以确保保护数据的控制措施在组织最重要的资产——数据——中得以充分实施。这应该包括能够提供组织数据安全状态的连续审计能力的工具，也称为数据安全状态管理。”

Pathlock首席执行官皮尤什·潘德（PiyushPandey）补充道，对审计部门而言，缺乏人力资源突显出自动化控制测试的紧迫需求，尤其是与职责分离和数据安全相关的控制。

“延迟审计会导致风险的复合，这会增加欺诈、收入损失以及重大弱点的发生几率，这对公司（尤其是受监管和/或上市公司）来说是非常难以恢复的，”潘德解释道。

深度本能（Deep Instinct）竞争情报分析师杰罗德·皮克（JerrodPiker）补充说，由于网络安全依旧是最大的风险，即使预算在缩减，组织依旧意识到需要解决方案和服务，以提前应对网络攻击。

皮克表示，内部审计团队也开始将重点转向预防性技术，以应对勒索软件及其他灾难性网络威胁的上升。

“对于安全团队而言，这意味着他们也应该考虑将预防作为第一道防线，”皮克说。“有效的预防意味着，安全团队在后续工作中要减少检查IoC（入侵指示）和IoA（攻击指示）数据并优先响应的时间。大多数预防性解决方案还包含自动响应功能，这不仅可以减少攻击面，还能降低确定根本原因和进行事件后缓解与清理所需的人力资源。”

通过这一系列措施，审计行业正在向更综合和前瞻性的方向发展，以应对不断变化的风险局势。