已知和未知. 在一个单词联想游戏中, 有些人可能会想到美国国家航空航天局(NASA). 是NASA安全与任务保证办公室的副管理员 提高对已知/未知风险的认识 在2003年关于安全和任务成功的演讲中. 然而,这可能是美国前国务卿 唐纳德·拉姆斯菲尔德真正提升了已知/未知风险范式. 他说:“有已知的已知. 这些都是我们知道的事情. 有已知的未知. 也就是说,有些事情我们知道我们不知道. 但也有未知的未知. 有些事情我们不知道我们不知道.“这两个例子是最近才出现的, 但这种范式(基于Johari Window模型)实际上是由两位心理学家(Joseph Luften和Harry Ingham)在1955年创造的 作为一种自我意识和沟通模式. 有趣的是, 这一模式不仅适用于航天工业和政治, 还有风险管理.
在 IT审计对2021年主要技术风险的看法 研究, Protiviti和ISACA评估了全球IT审计和风险领导者对技术风险问题调查项目的反应. 在调查中, 受访者被要求对其组织的数字化成熟度进行评级:然后使用这些评级来定义数字化成熟度的级别. 这些级别包括组织中的“数字怀疑论者”,他们的数字计划和倡议还处于起步阶段,而另一端的“数字领导者”则有将数字方面纳入其战略计划的经验. 在研究中, Protiviti和ISACA指出,“数字领导者小组之外的组织可能对他们不知道的事情不太了解.”
这项研究的见解非常重要,因为作为一个值得信赖的组织顾问, 内部IT审计员努力避免不知道可能对组织产生不利影响的事情. 那么,审计师有什么不知道的呢? 从Johari窗口模型的角度来看这个问题, 审计师可能面临已知-未知的问题. 这是, 注册会计师意识到威胁,但相关风险的大小或其他要素可能不明显. 另一方面, 未知风险-未知风险是注册会计师不知道风险存在的风险.
对于尚未达到数字化领导者成熟度的组织, 他们无法获得基于经验教训和预测指标的持续改进的好处. So, 随着这些组织不断走向数字化领导者的成熟, IT审计人员可以采取一些步骤来减少被未知事件打个措手不及的机会. 这些包括:
- 执行持续的技术风险评估. 随着组织不断采用新技术, 审计部门应确保风险评估过程是动态的. 这将有助于识别新的风险,并将其纳入现有的风险管理程序. 持续的技术风险评估还确保在当前风险环境中呈现较小风险的长期基础风险不会演变成高速风险,因为它们没有被监控.
- 利用框架来处理计划外的风险和事件. 一个框架,例如 COBIT 2019® 支持战略规划, 当与持续的技术风险评估相结合时, 允许组织提出问题, “哪些技术威胁可能延迟或阻碍我们实现目标?“这种综合方法可能会让组织更好地为未知风险做好准备.
IT审核员可以监控已知的未知因素,并提供关于如何减轻未知因素(例如.g., 哪些业务领域可能受到影响,以及对影响程度的估计). 但令人不安的是未知的未知,因为, 最终, 未知的未知是一种不可避免的风险. IT审计人员可以通过在持续的技术风险评估过程中集成对澳门赌场官方下载需求的考虑,来最大限度地减少组织被未知因素影响的可能性. 乔哈里窗口模型最初可能是作为培养自我意识和沟通技巧的框架, 但是IT审计人员可以利用其原则来集中考虑未知的未知, 然后增加他们的组织所不知道的事情的可见性.
