如果审计停止向后看并开始塑造未来怎么办?抛弃清单 - 真正的风险领导始于信任,而不是控制。
当审计停止保护过去并开始指导未来时会发生什么?风险永远不会是静态的。但是很长时间以来,审计将其作为控制的东西,而不是要导航的东西。
创新正在快速发展,但治理常常不是。尽管CIO驱动数字变化和CISO抗击不断发展的威胁,但审计团队过去可能会陷入困境,与传统控制和过时的清单有关。我看到它发生了。但是我也看到了打破这个周期需要什么。
当我与衰老搏斗时,我亲眼目睹了萨班斯·奥克斯利(Sox)流程,出现的AI风险以及领先的跨境团队的挑战。这个故事与修复控件无关。这就是将审计重新想象为有助于指导转型的战略合作伙伴。我们不只是审核控件。我们正在审核信任文化。这种心态的转变帮助我们减少了噪音,减少审计疲劳并建立跨团队的信任。”
如果您是CIO,CISO或审计领导者,希望与创新保持一致,这也是您的故事。
不久前,我深深地陷入了450 IT Sox控制的迷宫中:许多重复性,有些过时,最不再反映我们的系统的真正操作方式。同时,AI蔓延到业务的每个角落。云平台在传统控制之前竞争。我们的全球团队正在通过巨大不同的镜头管理风险。没有剧本 - 只是创新与监督之间的紧张关系。
所以,我问自己:如果审核不跟上,但加紧努力怎么办?
接下来发生的事情没有大幅度大修。这是我们思考,交谈和出现的方式的转变。我们停止追逐清单,开始询问实际重要的事情。什么对业务有帮助?我们在哪里可以倾斜并使其变得更好?
这是那段旅程的窥视 - 不是最佳实践列表,而是在混乱中真正发挥的作用。他们对现场测试的见解,艰难的权衡以及只有在理论与现实世界复杂性相撞时出现的经验教训。
如果您觉得治理可以跟上步伐,或者希望审计可能是一种战略力量,而不仅仅是看门人,这是给您的。
当审计谈话时,技术应该听
早期,我们与IT和Infosec的互动充其量是正式的,最坏的情况令人沮丧。审核带有清单。工程以速度反击。我们说的是不同的语言,既旨在进行安全性,却以不同的方式定义它。
当我们停下来了解他们的现实时,情况发生了变化:冲刺周期,建筑决策和他们不断导航的消防演习。我们意识到我们的审计是像封锁者一样降落的,而不是推动者。所以我们翻转了脚本。
我们提供了上下文,而不是发出发现。我们将定时与更改窗口对齐。我们在设计过程中预览了控制意图,而不是部署后。我们将安全建筑师带入计划会议,而不仅仅是演练。
结果?摩擦变成了协作。我们最大的胜利之一是将我们的季度访问评论与工程的身份审核合并,从而减少了重复的工作,同时又提高了控制清晰度。审计停止成为检查站,并成为合作者。
简化了Sox:从450到132个控件
当我第一次将所有450 IT Sox控制在白板上时,很明显我们已经漂移了。许多是遗产文物 - 从过去的审计中诞生,通过收购或不再存在的系统重复。我们花费的时间比改善风险姿势的时间更多。
我们没有从巨大的合理化工作开始。我们首先问:真正的风险在哪里,现在谁拥有它?
这个单一的问题有助于将我们的控制与环境的现实进行了调整。身份成为骨干。如果像Azure AD,Okta或Cyberark这样的工具已经管理访问权限,我们是否真的需要三层手动评论?如果Snowflake具有内置角色可见性,为什么我们仍将CSV导出以进行点数检查?
我们还质疑控件背后的意图。这是用于实际缓解还是仅仅是文档?从保持控制量到提高控制质量,这迫使思维方式发生了变化。通过流程所有者,应用团队,合规性和我们的外部审计师的支持,我们通过以基于风险的理由代替历史习惯来重新定义“足够的状况”。
通过与Infosec,Engineering和我们的Sox测试人员合作,我们创建了一个共享的控制映射,该图合并了重叠的评论,删除了工具级的冗余,并替换了清单,并替换了实际重要的证据。在纸上看起来像是减少控制的是实践中的明确提高。
这不是关于切割的。这是关于重新标记所有权。我们将决策推动更接近系统,授权控制所有者具有可见性,并建造了仪表板,以取代了陈旧的跟踪器。甚至我们的季度访问评论也从PDF疲劳到工具驱动的问责制。
结果:
- 控制量减少了70%
- 减少测试时间50%
- 而不是一个关键的发现
更重要的是,它使我们退缩了带宽,将重点放在AI,云,网络安全和变化的风险地形上。
回收时间:Sox合理化的真正投资回报
修剪Sox的控制不是减少监督。这是关于重定向能量。通过从450个控件缩小到132个控件,我们将测试时间削减了一半,并给了审计师和控制所有者的一些无价的东西:呼吸空间。
我们没有浪费它。
在那段时间里,我们探索了AI等高风险区域。我们回顾了Genai工具如何用于供应商选择和客户通信。在大多数团队甚至制定了AI政策之前,我们先进行了算法透明度的审核。
我们也对人进行了重新投资。该团队具有带宽,可以了解网络安全工具,使用数据驱动的仪表板和共同开发风险寄存器。合理化并不只是干净的房子,这使我们未来就准备就绪。
审核没有剧本的人工智能
当AI刚开始在我们的环境中浮出水面时,它不带有危险信号或策略警报。它悄悄地出现:通过第三方工具,SaaS功能和一次性业务实验。没有正式的库存。没有集中治理。我们以前没有经过审核的决策,预测和工作流程的缓慢蔓延。
首先,我们试图将旧框架应用于新问题。但是AI只是另一个系统 - 这是一个移动的目标。风险只是技术性的;他们是道德的,植根于解释性,通常是看不见的,直到发生了什么。
我们意识到,试图改造传统控件就像将护栏放在变化的沙子上一样。相反,我们需要的是灵活的原则,例如信任,透明度和可追溯性,可以随着技术的发展而发展。
因此,我们做了很少做的审计:我们帮助构建了剧本。
我们与数据科学,工程,法律和合规团队合作,绘制使用或计划的AI的位置。我们共同开发了摄入过程,以在部署前评估Genai风险。我们标记了嵌入SaaS工具的AI功能,并与采购合作将AI披露与供应商的尽职调查联系起来。
更重要的是,我们创建了一个生活登记册:一个真实的来源,该登记源跟踪已知的AI资产,其功能,模型类型,所有者和风险敞口。这不是完美的,但这是可行的。
我们问的不是等待AI的审核,我们问:是什么使它值得信赖?
我们测试了针对偏见,透明度和业务逻辑的AI模型输出。我们对解释性和验证提出了挑战。我们确保审计委员会没有从头条新闻来听取AI的听证会。
这种转变不仅仅是运作。这是文化的。我们从对AI风险的反应转变为塑造企业对AI问责制的看法。审计不仅可以通过评估控制差距来引导审计,还可以通过影响创新的方式来领导。
事后看来,这不是控制AI。这是关于在风险成为头条新闻之前对系统建立信心。
桥接大洲,建立信誉:来自美国和印度团队的经验教训
当我第一次担任全球领导职务时,这是测试我的时区。这是信任区。
作为一名移民网络安全负责人在美国和印度的管理团队,我必须在唯一具有口音,背景或风险镜头的房间里赢得信誉。技术技能让我受邀。但是同理心,清晰和一致性使大门打开了。
挑战不仅仅是语言。这是上下文。在纽约感到紧急的政策更新可能会在诺伊达(Noida)摘要。除非我们能够将其与业务影响联系起来,而不仅仅是合规性复选框,否则斯坦福德(Stamford)标记的控制不足可能与浦那无关。”
因此,我停止使用控件。我开始好奇地领导。
我听了更多。我问实际使用系统是如何使用的,而不仅仅是它们应该如何使用。我为共同的发现带来了当地的潜在客户。我将审计变成了一个对话 - 建造了信任的假设。
随着时间的流逝,我的角色发生了变化。我不仅是负责的审计师。我成为文化,期望和风险观点之间的连接器。我们不总是同意,但我们保持一致。这种一致性使我们的发现更加清晰,我们的补救速度更快,我们的关系更加牢固。
跨境领导层并非无处不在。这是关于到处都被理解的
这首先要使人们感到被看见,而不仅仅是评估。
粘长的教训
审计的工作不仅是评估信任。它可以帮助设计它。
当我们减少Sox对照时,我们不仅仅是切割。我们正在创造清晰度,并回馈人们。这为实际上推动了业务前进的更智能审计,更强大的伙伴关系和风险对话打开了大门。
审计AI并不是关于赶上的。这是关于在头条或法规迫使我们的手之前塑造组织如何思考风险。
领导整个大洲的领导告诉我,影响并非始于权威。它是从好奇心开始,提出正确的问题并使其他人感到被看见的,而不仅仅是评估。”
如果审计想要在战略表上席位,我们需要带来更多的清单。我们需要带来勇气,背景和一种接受改变作为工作的一部分而不是敌人的心态。
本文作为Foundry专家贡献者网络的一部分发表。
想加入吗?
订阅我们的新闻通讯
从我们的编辑直接到您的收件箱
通过在下面输入您的电子邮件地址开始。