培训课程
实践中的IS审计:弹性和监管——寻找可持续发展的共同点
我每个月至少有一周的夜晚是被排满了社区会议和城市公开听证会。疫情可能影响了面对面的聚会,但政府和社区的活动通过线上的方式继续进行。一次参加一场关于气候变化的公开听证会时,我忽然好奇这些会议是如何实现的,谁在井井有条地安排并通知到所有人。这也让我想到了IS审计师 该内 容由 中 审 网 校所 属ww w. a ud itcn .com和风险专业人士在气候变化和可持续性发展讨论中所扮演的角色。
听证会标题是“根据波士顿规划和发展署(BPDA)的要求,由沿海分区管理局(CZM) 主办的关于马萨诸塞州东波士顿指定港口区 (DPA) 的决定”。尽管这个听证会可能会在波士顿港(美国马萨诸塞州)内海岸线产生重大影响,但出席人数不足50人。可能是听证会的标题让与会者望而生畏,也可能是因为正好是人们吃晚饭或帮助孩子做作业的周末聚会时间,但很可能是因为当下有太多关于气候变化立法工作,从《波士顿湿地条例》(该条例将规范波士顿水道沿线的发展),到多年来一直通过美国马萨诸塞州议会大厦的州级环境正义立法,再到覆盖城市和州级法规的美国联邦环境法。很难对所有条例和法规进行分类,以了解哪些优先事项会对在该地区生活和工作的人们产生实际影响。这种困惑和混乱的信息对于IS风险和审计专业人员来说是一个绝佳的机会,他们可以通过采取一些战略步骤来摆脱混乱,从而改变现状。
当人们想到风险评估、控制创建和测试/审计时,特别是在气候变化等热门话题的背景下,有四个战略点可以说明IS风险和审计专业人员如何为我们社区的更可持续和环境友好的目标做出贡献:
1. 清晰度促使专注和有效性。 2. 系统的可靠性为有影响的问题的证据提供了必要的准确性,并为气候行动提供了及时的数据可用性。 3. 意识促使对可持续性发展目标的优先排序。 4. 合规性的执行/积极认可产生可追溯性和持续改进。
图片来源于公共图片库
案例研究:波士顿海港清理
波士顿海港清理是一个现实的检查,预估采取环境可持续性行动后的几年后,而不是环保主义者所希望的几个月,会发生什么情况,谈到环境可持续行时,并且它为之前列出的四个战略点提供了可信度。波士顿是新英格兰的陆路和海上交通枢纽,常常被描述为坚韧不拔,充满工人阶级。自1800年代后期美国工业革命开始以来,波士顿的水道一直是工业的通道,“坚韧不拔”成为波士顿港和查尔斯河的越来越准确的描述,查尔斯河将波士顿和马萨诸塞州剑桥两市分开。环境保护需求意识的提高导致了1970 年代的几项立法,包括《美国联邦清洁空气法》和《美国清洁水法》。1970年12月美国环境保护署 (EPA) 的成立和同年的第一个美国地球日证明了舆论要求考虑生态,而不仅仅是经济,但波士顿市并未加入环保潮流。此外,马萨诸塞州科学和海洋学中心Woods Hole的研究指出,鱼体内的肿瘤源于倾倒在港口的未经处理的污水。公众的愤怒与日俱增,但马萨诸塞州继续寻求豁免《清洁水法》的要求,而不是研究委托下一步的深入检查。自1982年美国马萨诸塞州昆西市开始,三个实体对大都会区委员会 (MDC) 和其他机构提起诉讼,之后才采取行动。尽管有监管,尽管有诉讼,尽管法院命令禁止市政当局连接服务于41个城镇的下水道系统,但清理工作直到1985年才开始,并直到30年后才宣布胜利。
可持续发展和风险管理:还有很多工作要做
自1970年代美国启动环境法规和1980年代合规跟踪以来,发生了很大变化,主要是从技术的角度来看。在评估环境风险并将风险评估转化为有效监管的过程中,许多情况也保持不变。废水管理的跟踪技术启用了关键的监控控制,甚至提供了其他有价值的数据点(例如,波士顿的COVID发病率已使用从服务城市的水管理系统产生的数据进行基准测试)。法律的颁布仍可能需要数年时间,控制的有效性仍取决于数据完整性和执法资源。现在想比以往任何时候,致力于推广有效技术和自动化检测的 IS 专业人员对于实现环境可持续性更加至关重要。
图片来源于公共图片库
关于系统/数据可靠性、意识、清晰度和执行/认可这四个战略点的自然起点必须从建立清晰度开始。如案例研究所示,如果没有明确的范围目标,大量信息和不同意见会导致数据过载。这种过载培养了一种复杂感,鼓励人们脱离或选择自己的焦点,抓住任何看似有吸引力甚至是自私的见解。在仔细确定工作范围并与流程和运营所有者交谈之后,审核员多久进行一次审查都仍然面临业务对结果的阻力,因为这不是业务预期将被审查的确切过程?这不仅仅是发现的结果,而是对审计将涵盖的内容缺乏一致意见,以及对潜在审计结果的期望定义不明确。如果报告将被搁置而不是采取行动,那么执行审计或进行控制评估的意义何在?
“如果没有明确的范围目标,大量信息和不同意见会导致数据过载。”
界定范围是一个需要考虑的关键主题,并在我的其他专栏文章中有所提及,即“Relinquishing Privacy to Research5 ”和“Survival When You Are Small6”。当涉及到环境可持续性以及“绿色”一词对相关人员的众多含义时,准确的范围界定对于获得公众利益、立法利益、吸引商业利益相关者并赢得受影响社区支持的明确性至关重要。成功的IS审计专业人员必须审查大量材料以产生清晰的基石,即范围。审核员和合规性测试人员的常见闪回发生在未达到预期目标的审核上,或者更糟糕的是,由于审核员没有足够详细地调查正在审查的过程,因此不得不重新开始修改范围。每个审计范围都需要预先接受,环境可持续性工作也不例外。
“一旦定义了工作,审计的价值就取决于数据是否可信”。
范围明确对于既定立法和绿色业务同样重要。在这里,调查应该发现相关的流程,相关的监控控制和侦测控制,以及预防控制点。鉴于环境技术的快速发展,对范围的持续评估是确保过去的工作方法不会被误认为现在和未来应该采用的方法的关键。同样重要的是,环境可持续性审计很容易受到范围蔓延的影响,因为有很多事情要做,有很多充满激情的观点,但尽职的IS审计员可以避免返工,进行必要的前期研究以发现关键流程和相关依赖关系,坚持目标在手,而不是用太多的“东西”来淡化结果。
图片来源于公共图片库
数据的准确性和及时性是环境可持续性的基础。一旦定义了工作,审计的价值就取决于数据是否可信。想想当前废物处理设施可以准确检测COVID-19水平的案例研究结果。这些数据与环境可持续性无关,但可以检测到如此详细的颗粒物的系统属性至关重要。系统是否能够跟踪相关数据并为环境立法或业务流程修改提供证据?它是否依赖另一个系统来获取数据,这些数据是否准确且安全?数据流是否发现了额外的集成系统,因此是否应该在具有操作意义的结果范围内加以考虑?
发现或验证审核员应包括的系统确定了要流出的流程。对系统数据完整性的评估需要再次识别信息源,即所有上游系统和应用程序,并与业务同步。最后,系统和应用程序数据流的文档证明了准确性和完整性,从而建立了行动的可信度。
再一次,风险和审计学科可以通过仔细考虑范围、识别相关和关系的法规,特别是澄清与拟生效的监管控制相关的支持系统数据来解锁复杂性。这一切都是为了将范围和相关数据转化为可消化和可操作的东西。IS审计或风险专业人士如何将事情归结为促进意识的基本细节?考虑以下几点,无论您是受雇从事这项工作还是您是环境可持续性的倡导者:
了解监管的基线。就《波士顿市湿地条例》工作而言,与波士顿海港清理案例研究一样,研究《清洁水法》的关键方面是起点。
查找特定于范围的相关市政和州/省法规。就《波士顿湿地条例》而言,《清洁水法》和《湿地条例》的早期阶段是与《湿地条例》最终实施阶段正在考虑的新法规最密切相关的法规。
考虑拟议监管控制的潜在自动化。是否有系统支持可以提供准确及时的信息?如果信息准确但不及时,结果可能是要求豁免控制,就像波士顿港清理时发生的那样,以进一步研究情况,而不是立即采取行动,即使淤泥被冲上了海滩。
询问控制和系统数据是否提供了从运营角度来看可操作且合理的指标信息。如果从商定的范围内检查的控制不受系统支持,并且系统不提供有助于实现可跟踪的改进里程碑的数据,那么意识就会减弱,因为管理机构和他们所服务的受影响社区将失去兴趣。如果发生这种情况,对合规工作的强制执行甚至认可将被视为不重要,或者在最坏的情况下会引发对施加的“限制”的愤怒。
“环境影响是IS审计和风险界能够而且应该影响的东西”。
图片来源于公共图片库
所有审计专业人员都知道没有后果的控制不会控制太多。波士顿港清理案例研究是一个很好的例子,说明允许的延误增加了成本,并导致了本应避免的健康和经济问题。毫无疑问,由于所有海滩关闭和鱼类肿瘤的证据,公众受到了负面影响。公众是否关心或是否有一种强制控制本可以帮助避免的绝望感?1984年清楚的事实是,如果法院下令停止马萨诸塞州东部超过41个社区(包括波士顿市)的新建筑的下水道连接,除非有可用的清理证据,否则对马萨诸塞州联邦发展的影响将是毁灭性的。最后,在1988年,由于对当时被认为是北美最脏的港口不采取行动而引起的政治前景关注,后果更加一致。
如今,自动化审计工具、数据分析和监控系统(例如波士顿港现有的废物管理系统)使执法成为一项及时的工作,并且承认改进就像查看马萨诸塞州沿海餐厅菜单上的本地鱼类特价广告一样容易。
环境影响是IS审计和风险界能够而且应该影响的东西。讨论的各方都不乏热情,但很少有人能像我们作为一个专业人士那样拥有广泛的风险和控制经验。更重要的是我们能使审计工作切实可行,以便完成工作并产生可持续的利益。 为战斗做好准备,这不是一件容易的事。 但是,无论我们检查什么,收集相关数据、最终确定商定的范围并交付成果,鼓励合规,这些都绝非易事。我们一直在这样做,环境可持续性和正义是一个值得我们奉献技能和才能的事业。
下一篇:信息安全至关重要:隐私售卖
