今年七月第十三屆 InfoSec Taiwan 國際資安組織大會的活動上,ISACA (國際電腦稽核協會)規劃三場主題演講分別為,第一場 ISACA 台灣分會副會長陳政龍,分享「ISACA 數位信任」,第二場兆益數位總經理莊盛祺分享「風險管理框架」,緊接著第三場「AI 時代稽核人員必懂的機器學習」由現任財金資訊(股)公司內部稽核林煒傑先生主講,演講內容的分為三個子題:提早發現新科技風險徵兆,稽核工作事半功倍、六大科技風險的稽核思維,以 ML 機器學習為例,以及稽核人員在 AI 時代扮演的角色。
提早發現新科技風險徵兆 稽核工作事半功倍
當科技進步,並且新科技工具被廣泛應用之際,除了企業內部 IT 人員外,稽核人員也不能忽略,因為稽核人員身為企業內部控制的第三道角色,具有監督第一道、二道角色之責任,更需針對風險意識具備敏銳度,並且主動出擊。
財金資訊內部稽核林煒傑表示,稽核人員可以從觀察日常工作的現象開始,提早察覺「風險的警訊」,以 AI 人工智慧或是 ML 機器學習為例,當新科技被使用時,尤其工具的使用範圍及使用率持續擴大在企業內重要業務上,此刻稽核人員的敏感度則需開啟,例如,是否有相關監管機關,開始制定新科技的指引方針或設立規範;外部是否有多方面關於新工具產生的效益與風險新聞,這些訊號均是企業使用新科技應用時需留意風險的蛛絲馬跡。
針對風險警訊出現後,林煒傑表示,雖然該風險尚未顯著影響企業營運,但如果企業已經正在使用新科技工具,稽核人員就需多注意,並於正式執行稽核之前,先了解企業的業務內容與流程,以及使用哪些新科技工具,且對於工具有一定的瞭解,例如辨認該工具的風險點,或是工具對應的控制點等,將會讓稽核進行中事半功倍。
六大科技風險的稽核思維 以 ML 機器學習為例
林煒傑以 ML 機器學習為標的從六大科技風險類別說明稽核的思維面向分享,六大科技風險分別為資料治理、資料工程、特徵工程、模型訓練、模型測試(評估)和模型部署,他強調六大科技風險的稽核面向主軸以稽核的方法論及框架為出發點,了解新科技工具的樣貌與邏輯,輔以風險管理的概念,並加以進行有效的稽核作業。
