第二部分：掌握組織技術(shù)應(yīng)用的最新情況

術(shù)已然成為各行業(yè)組織的血脈，幾乎在所有職能中發(fā)揮著重要作用。技術(shù)帶來了新的益處，但對技術(shù)的依賴也帶來了相應(yīng)威脅，而且隨著技術(shù)應(yīng)用變得愈發(fā)關(guān)鍵和普遍，這些威脅也變得更加嚴(yán)峻，其中就包括了與技術(shù)應(yīng)用方式相關(guān)的風(fēng)險。內(nèi)部審計能夠幫助組織確定并實(shí)施最佳的技術(shù)應(yīng)用策略，將風(fēng)險降至最低，并提升新技術(shù)的價值。報告的第二部分將重點(diǎn)探討內(nèi)部審計如何在這個領(lǐng)域為組織增加價值。

新技術(shù)總會帶來新的風(fēng)險要素。例如，生成式人工智能技術(shù)雖然為這一變革性技術(shù)的諸多創(chuàng)新應(yīng)用提供了啟發(fā)，但它在隱私、嵌入式偏見以及所接收信息的透明度和準(zhǔn)確性等方面也帶來了新的風(fēng)險。與此同時，新技術(shù)會推動組織業(yè)務(wù)運(yùn)營的變革，進(jìn)而導(dǎo)致組織面臨新的運(yùn)營風(fēng)險。

鑒于上述原因，組織在采用新技術(shù)時，首先應(yīng)當(dāng)制定一個健全的項目治理框架，充分考慮如何將新工具融入組織業(yè)務(wù)，與組織戰(zhàn)略保持一致，并助力組織實(shí)現(xiàn)目標(biāo)。普華永道會計師事務(wù)所組織的調(diào)查結(jié)果顯示，被列為“風(fēng)險先行者”的組織中，有73%可能制定了全組織范圍的技術(shù)戰(zhàn)略和路線圖，而在較落后的組織中這一比例僅為57%。因此組織需要擴(kuò)大框架的風(fēng)險評估范圍，采取應(yīng)對新風(fēng)險的控制措施。

內(nèi)部審計可以為項目治理及其運(yùn)行效果提供確認(rèn)，并就技術(shù)采用提供一般性建議。內(nèi)部審計可以在開始階段，也就是技術(shù)實(shí)施前進(jìn)行審查，評估技術(shù)的適用性，針對相關(guān)風(fēng)險和控制方面需要做出的必要改變提供意見和建議。新工具投入使用后，內(nèi)部審計還可以就技術(shù)采用的實(shí)施情況以及新工具在整個組織內(nèi)產(chǎn)生的影響提供意見。在實(shí)施之后，內(nèi)部審計可以評估該技術(shù)是否如預(yù)期那樣發(fā)揮作用，如果沒有，還可以分析原因，針對如何達(dá)到預(yù)期效益提供建議。

內(nèi)部審計還能夠發(fā)現(xiàn)可能影響技術(shù)運(yùn)用的障礙。職能劃分非常細(xì)致的組織可能會存在“筒倉思維”，即各職能部門的專業(yè)人員對其他領(lǐng)域的情況完全不了解。一個部門可能對另一個團(tuán)隊正在探索同樣的技術(shù)但發(fā)現(xiàn)了不同用途，或者第三個部門在使用該技術(shù)時遭遇了一些失敗但吸取了寶貴教訓(xùn)等情況一無所知?！巴矀}思維”容易造成職能部門之間的分歧，影響職能部門之間的相互協(xié)作。內(nèi)部審計處于獨(dú)特的位置，能夠全面了解組織的各方面情況，有助于打破這些“筒倉”，避免重復(fù)工作。憑借對組織內(nèi)部情況的了解，內(nèi)部審計能夠提供新的觀點(diǎn)和看法，從而促使技術(shù)得到更有價值的運(yùn)用。此外，內(nèi)部審計還可以對組織運(yùn)營控制措施是否運(yùn)行得當(dāng)以及能否確保技術(shù)使用安全可靠提供確認(rèn)。由于資金投入有限，組織將十分看重關(guān)于技術(shù)支出是否得到最佳利用的意見和建議。

其次，組織需要處理戰(zhàn)略風(fēng)險、運(yùn)營風(fēng)險與相關(guān)技術(shù)之間相互作用、相互影響的關(guān)系。新技術(shù)改變了組織的運(yùn)營方式，帶來新的風(fēng)險，而新的風(fēng)險也會反過來推動運(yùn)營的變革，進(jìn)而產(chǎn)生更多風(fēng)險。因此，關(guān)鍵在于要清楚了解組織的目標(biāo)，新興風(fēng)險對組織目標(biāo)的影響，進(jìn)而產(chǎn)生哪些更新的風(fēng)險，以及該采取什么樣的控制措施來應(yīng)對這些問題。

在技術(shù)影響不斷擴(kuò)大的背景下，優(yōu)良的風(fēng)險文化會令組織受益。即便組織有著強(qiáng)有力的控制理念和框架，仍然需要依靠人來實(shí)施控制措施，或者在缺乏控制措施時采取正確的行動。因此組織必須建立強(qiáng)大的風(fēng)險自律意識以及對新技術(shù)風(fēng)險的恰當(dāng)理解。組織文化應(yīng)確保組織能夠識別新工具的潛在威脅以及組織對這些工具使用的期望，并讓每個人都清楚知曉相關(guān)信息。

一旦有新技術(shù)產(chǎn)生，組織往往會希望能夠盡快引入并實(shí)現(xiàn)應(yīng)用，近年來各個組織急于部署生成式人工智能技術(shù)的應(yīng)用就是例證。由于新工具存在潛在風(fēng)險，組織需要在速度和安全之間找到恰當(dāng)?shù)钠胶?。生成式人工智能技術(shù)是一種精密的工具，有著多層次的復(fù)雜屬性。不法分子很容易利用它來達(dá)到惡意目的。未接受過生成式人工智能風(fēng)險相關(guān)培訓(xùn)的員工，可能會在不經(jīng)意間將機(jī)密或敏感數(shù)據(jù)載入系統(tǒng)，這些數(shù)據(jù)可能會被納入生成式人工智能工具的訓(xùn)練內(nèi)容中，從而被外部人員獲取。組織應(yīng)該在決策前考慮，是要率先進(jìn)入市場，面臨來自難以預(yù)料的風(fēng)險以及潛在的業(yè)務(wù)或聲譽(yù)損害，還是采取快速跟進(jìn)的策略，從他人的經(jīng)驗和錯誤中學(xué)習(xí)。

鑒于當(dāng)前技術(shù)快速發(fā)展，所涉系統(tǒng)越來越復(fù)雜，內(nèi)部審計要對管理層是否實(shí)施了恰當(dāng)?shù)陌踩渲没蚩刂拼胧┻M(jìn)行評估。

此外，組織還需要確定其現(xiàn)有的基礎(chǔ)設(shè)施能否應(yīng)對新的技術(shù)工具。在采用新技術(shù)時，由于時間、成本因素的影響，組織有時會片面追求盡快完成任務(wù)，或者因為其他影響因素導(dǎo)致新技術(shù)的應(yīng)用無法實(shí)現(xiàn)最佳效果。如果組織未能在技術(shù)應(yīng)用之前對自身的軟件和硬件進(jìn)行升級或是安裝補(bǔ)丁，或是未采取其他關(guān)鍵的維護(hù)措施，那么隨著時間的推移，技術(shù)債務(wù)就會不斷累積。隨著組織不斷采用新的臨時應(yīng)對措施來維持系統(tǒng)運(yùn)轉(zhuǎn)，其技術(shù)靈活性也會愈發(fā)落后。

技術(shù)債務(wù)可能會妨礙組織充分利用現(xiàn)有軟件，甚至使其無法有效采用新技術(shù)。而信息技術(shù)團(tuán)隊可能難以察覺到這些問題，或抗拒討論系統(tǒng)的缺陷，或是認(rèn)為相關(guān)技術(shù)太過復(fù)雜，難以向非技術(shù)專業(yè)人員解釋清楚，造成無法正確反映這一問題，從而導(dǎo)致內(nèi)部審計也難以意識到技術(shù)債務(wù)及其對組織采用新技術(shù)能力的影響。

盡管內(nèi)部審計并不需要具備與技術(shù)團(tuán)隊同等水平的專業(yè)知識，但仍需具備能夠與信息技術(shù)團(tuán)隊進(jìn)行高效溝通的技能，掌握組織各項系統(tǒng)的最新情況，以此來幫助解決技術(shù)債務(wù)問題。

即便一個組織的技術(shù)基礎(chǔ)設(shè)施足夠完善，也可能會存在難以駕馭技術(shù)的情況。如果組織想要實(shí)現(xiàn)技術(shù)升級，卻沒有采取措施來提高員工隊伍的技術(shù)水平或改善業(yè)務(wù)流程，就可能出現(xiàn)這類問題。組織采用相關(guān)技術(shù)或許是為了提高效率，但卻沒有花時間去了解業(yè)務(wù)流程將會受到的影響或需要做出哪些改變。如果員工不知道如何使用技術(shù)，就會造成時間、精力和金錢的浪費(fèi)，使組織失去機(jī)會，無法實(shí)現(xiàn)實(shí)質(zhì)性的變革。因此，內(nèi)部審計需具備必要的知識，從而提出恰當(dāng)?shù)膯栴}，以確保技術(shù)與組織的目標(biāo)及實(shí)際情況相匹配。

為了幫助組織更加準(zhǔn)確地識別技術(shù)債務(wù)并采取糾正措施，內(nèi)部審計在提供確認(rèn)或咨詢服務(wù)時需要就以下事項進(jìn)行詢問。

1.這項新技術(shù)將對組織及其業(yè)務(wù)流程產(chǎn)生何種影響？如潛在的風(fēng)險、收益以及新機(jī)遇等。

2.該技術(shù)如何融入組織的風(fēng)險管理以及治理、風(fēng)險和合規(guī)工作？

3.該技術(shù)應(yīng)如何與現(xiàn)有控制措施相結(jié)合？是否已經(jīng)評估過這項技術(shù)對內(nèi)部控制的影響？如果評估過，那么在控制措施和流程方面應(yīng)當(dāng)做出哪些改變？內(nèi)部審計是否應(yīng)該與各業(yè)務(wù)部門合作，重新評估相關(guān)的風(fēng)險與控制情況，并對新的風(fēng)險和控制措施做好記錄？

4.內(nèi)部審計自身是否需要進(jìn)行技術(shù)升級、調(diào)整業(yè)務(wù)流程或者對員工開展技能提升培訓(xùn)？

5.新技術(shù)會帶來哪些新風(fēng)險（包括對隱私、客戶數(shù)據(jù)、商業(yè)機(jī)密等方面構(gòu)成的威脅）？

6.新系統(tǒng)的應(yīng)用范圍和對象分別是什么？

7.如何處理新技術(shù)工具收集和產(chǎn)生的數(shù)據(jù)，這些數(shù)據(jù)存儲在哪里，又是如何加以保護(hù)的？

8.組織現(xiàn)在是否會共享本不應(yīng)共享的數(shù)據(jù)，新技術(shù)是否會讓組織面臨新的數(shù)據(jù)隱私風(fēng)險？

隨著技術(shù)飛速發(fā)展，人們可能很容易忘記人為因素的價值，但人工審查和評估在這一過程中仍然至關(guān)重要。像生成式人工智能這樣的工具不僅有時會出錯或編造內(nèi)容，而且如果將其用于與客戶或其他人互動，可能會遺漏員工本來能夠理解的信號，或者給出一些不可行的答案，而熟悉客戶的員工本可以避免這些情況的出現(xiàn)。

生成式人工智能技術(shù)剛推出時受到了人們的狂熱追捧，其存在的不足之處也引發(fā)了人們的擔(dān)憂。只要使用得當(dāng)，它就可以成為解決組織內(nèi)技術(shù)應(yīng)用問題的一個有價值的工具。內(nèi)部審計人員可以采取以下兩種途徑來推動組織內(nèi)生成式人工智能技術(shù)的應(yīng)用。

1.在某些情況下，生成式人工智能如果無法回答某個問題，它就會編造答案，也就是產(chǎn)生“幻覺”，又或者受限于所接受訓(xùn)練的內(nèi)容而出現(xiàn)錯誤。檢索增強(qiáng)生成（RAG）技術(shù)可以解決這一問題，這是一種能夠提供準(zhǔn)確、及時的數(shù)據(jù)以擴(kuò)充生成式人工智能系統(tǒng)現(xiàn)有內(nèi)容的技術(shù)。RAG技術(shù)在給出答案之前，會通過參考生成式人工智能訓(xùn)練數(shù)據(jù)源之外的權(quán)威知識庫，對生成式人工智能這類大型語言模型的輸出進(jìn)行優(yōu)化。而且，鑒于生成式人工智能的信息來源一直存在缺乏透明度的問題，RAG技術(shù)可能能夠幫助識別原始數(shù)據(jù)的來源。

2.要從生成式人工智能中獲得最佳結(jié)果，在一定程度上取決于是否能夠給出正確的指示，也就是所謂的提示詞。提示詞應(yīng)當(dāng)詳細(xì)說明回復(fù)的篇幅長度、受眾群體、文字風(fēng)格以及語氣等細(xì)節(jié)。舉例說明，假設(shè)您是一位經(jīng)驗豐富的內(nèi)部審計經(jīng)理，在金融服務(wù)行業(yè)的技術(shù)風(fēng)險管理方面頗有專長，可以通過下述方法，基于對業(yè)務(wù)運(yùn)營的影響以及風(fēng)險發(fā)生的可能性來評估技術(shù)風(fēng)險。

（1）以表格形式，列出一家大型銀行采用新技術(shù)的十大風(fēng)險。

（2）表格要包含“風(fēng)險名稱”“風(fēng)險描述”“依據(jù)”等內(nèi)容，其中“依據(jù)”欄需說明該風(fēng)險為何屬于需優(yōu)先關(guān)注的事項。

（3）把表格中的風(fēng)險種類按等級從高到低進(jìn)行排序。

綜上所述，雖然采用新技術(shù)可能會帶來風(fēng)險，但若未能及時跟進(jìn)新工具，組織可能會錯失新技術(shù)帶來的發(fā)展機(jī)遇，在競爭對手從數(shù)字化轉(zhuǎn)型中獲得優(yōu)勢時，無法跟上對手的步伐，難以推出新的產(chǎn)品和服務(wù)，失去潛在的或現(xiàn)有的客戶、重要的商業(yè)合作伙伴，或是那些更愿意在技術(shù)更為先進(jìn)的機(jī)構(gòu)工作的優(yōu)秀員工。技術(shù)是組織日常所有工作的基礎(chǔ)。內(nèi)部審計要充分作為，確保新技術(shù)工具在組織發(fā)展過程中發(fā)揮積極作用。