內部稽核常是人見人不愛的角色,員工多半認為稽核人員會向老闆打小報告,害他們挨罵,也讓原本的工作變得複雜、沒效率。
其實,內部稽核之所以加注這麼多內部控制在作業流程中,無非是希望能降低作業風險所造成的影響,試著想想,假設某工廠為了提高生產效率,省略了許多繁雜的檢查,因此每分鐘可產出100部個人電腦,但等到顧客投訴後,才發現平均每100部電腦中有70部是故障的。雖然在生產中減少覆核等的控制,可能有較好的生產效率,但生產出故障電腦的機率可能增加更多,也會因此增加許多維修與重工的成本,更可能影響公司的商譽。
內部稽核與資安有什麼關係?
由於推動資安工作主要所關注的重點在於資訊安全,往往在面對企業老闆問到:「為什麼要推動資安?推動資安對於企業的營運可以帶來什麼幫助?」時,總是很難提出具說服力的解釋,說是客戶要求,可能讓資安工作流於形式;提出為遵守法令規定之要求,必須得趕緊推動,但翻遍著名的「沙氏法案」,卻找不到任何有關於資訊安全的規定與條文;等待發生資安事件後,再來推 動資安,似乎又緩不濟急。
其實,內部稽核是企業資安活動的重要推手,如同資安的工作一樣,內部稽核的目的則是在於降低企業的整體營運風險,包含:策略風險、營運風險、財務風險以及資訊風險等,而資安的推動主要是希望能降低資安風險對企業所造成的衝擊;兩者的目的其實是一致的,只是稽核所應關注的範圍不僅包含資安,更需具備宏觀的角度,來審視企業的風險,多數的資安風險其實都會引發其他關於財務及營運上的風險,甚至可能與策略風險有關係,就如同沙氏法案內容沒有半句提到資安,但為何卻迫使資安工作者必須對沙氏法案負責,純粹是因為資安風險可能威脅到企業的財務報導,因而促使企業的資安控管成為沙氏法案重要的要求之一,而這些都有賴稽核人員的協助,將這些企業關鍵風險及其關聯性明確的指出。
企業風險導向的評估
資安的風險評估主要著重於「資訊資產的分類」,找出企業的關鍵資訊產,進而進行相關的管控,內部稽核導向的風險評估則是著重於「企業關鍵風險的掌握」,兩者都著重於找出風險因子並將其量化來進行評估,同時藉由風險評估的結果列出其重大性。
風險評估往往存在著主觀判斷的問題,許多量化的數據大多來自於評估者主觀的認定,對於資安的風險評估來說,可以藉由資訊資產區別出使用者、保管者以及擁有者,並個別來評估之,但對於整體企業的風險評估,可能就不能只單純考慮到資訊資產,還必須評估整體企業的流程與各業務的關連性。就如內部稽核來說,其所進行的查核作,其實就是企業風險評估的一環,藉由獨立客觀的內部稽核人員,針對8大循環、資訊作業以及各項管理作業的查核,並透過企業層級及作業層級的評估,個別指出設計面與執行面的風險。但儘管如此,內部稽核所進行的風險評估結果雖然客觀,但所能指出的風險仍非常有限,畢竟最清楚企業內部流程及各項作業可能存在之風險的還是各個業務單位的職員,也因此內部控制也必須仰賴「內控自評」,藉由使用者單位自行檢查與評估的方式,將其業務內的風險提出並進而改善,亦可能透過設定風險議題,藉由各業務單位互相討論的結果,逐步來探討出企業的關鍵風險。
以資訊安全為例,所應考慮的絕非僅是透過資訊系統輸入、輸出以及處理的這些資訊,單純由資訊部門來評估其風險,其所能找出的風險可能僅限於有藉由資訊部門協助處理的資訊,若能參考其他包含:財務、人資、營業、採購等單位,可能還可以指出資訊部門所忽略掉的風險,例如:人員攜帶存有所有員工薪資的未加密USB隨身碟至銀行辦理薪資轉帳的作業,便可能存在著敏感資訊洩漏的風險,但這些風險可能必須得藉由人資單位的自我評估以及出納等單位的評估才能進一步找出。
內部稽核除了必須得具備宏觀的思維與角度來進行獨立客觀的查核,更應該協助企業的資安人員,透過各個不同角度的風險評估,整合並協調所有相關業務單位,找出企業的關鍵資安風險。但無論評估結果如何,都必須經由企業經營者決定欲掌握的風險層級,相信選擇「合理」且「有效」的風險管理方式才是企業真正所需要的。
大處著眼,小處著手
「大處著眼」絕對是進行風險評估的重要基石,在進行資安風險評估時,具備宏觀的思維才能以20%的資源掌握80%的風險,同時也是說服老闆的重要關鍵。而除了要能由上而下掌握關鍵風險之外,凡事還是得從「小處著手」,由下而上佈建控制,如此才算有效降低資安風險所帶來的衝擊,而這些都有賴內部稽核與資安人員之間緊密的合作,才能「讓稽核替資安加分」。