以风险为导向的审计

1）面向风险的审计（RBA）的本质)

• 在概率和影响组合最大的情况下，优先级。
• 评估固有风险（无控制）和残余风险（包括控制）。
• 随着风险格局（产品、市场、监管、事件）的变化,不断修订评估。

2）术语和框架

大学校审计-可能要审核的流程，系统，位置，供应商和监管职责目录。
风险热图-按优先级分级渲染"概率×影响"。
Risk Appetite/Tolerance-公司已宣布愿意在规定的范围内承担风险。
控制级别-预防/侦探/纠正；设计和运营效率。
保护线-第一（业务和运营），第二（风险/合规性），第三（内部审计）。

3）构建审计通用

• 流程：付款，KYC/KYB，AML监视，事件管理，DSAR，回避。
• 系统：事务核心，DWH/datalijk，IAM，CI/CD，云，DLP/EDRM。
• 司法管辖区和许可证，主要供应商和外包商。
• KPI/KRI，事件/违规历史，外部Findings/制裁。
• 金钱和声誉效应，对监管者的关键（GDPR/PCI/AML/SOC 2）。

4）风险评估方法

1.固有风险（IR）：流程复杂性、数据量、现金流量、外部依赖性。
2.控制设计（CD）：可用性、覆盖范围、策略代码成熟度、自动化。
3.操作效率（OE）：执行稳定性，MTTD/MTTR度量，漂移水平。
4.残余风险（RR）："RR=f（IR，CD，OE）"-按比例进行配给（例如1-5）。
5.修改因素：监管变化，最近的事件，过去审计的结果，员工轮换。

影响量表的示例：财务损失，监管处罚，SLA停机，数据丢失，声誉影响。
概率量表的示例：事件频率，曝光，攻击/滥用的复杂性，历史趋势。

5）优先级和年度审计计划

按剩余风险和战略重要性对审计单位进行排序。
分配频率：每年（高），每年2次（平均），监测/主题（低）。
启用主题检查（例如,删除和匿名数据、职责隔离（SoD）, PCI分段）。
规划资源：技能，独立，避免利益冲突。

6）RACI和角色

(R — Responsible;A — Accountable;C — Consulted)

7）控制测试方法

Walkthrough：追踪"端到端交易"/数据流。
设计效率：检查策略/控制的可用性和适当性。
Operating effectiveness：选择性执行检查。
再性能：根据CaC规则播放计算/信号。
CAATs/DA（计算机辅助审计技术/数据分析）：SQL/蟒蛇脚本、 Compliance店面的控制查询、IaC ↔实际配对的比较。
连续审核：将校验测试嵌入事件总线（stream/batch）。

8）采样（采样）

统计：随机/分层,根据信心水平和允许的错误来确定大小。
目标（judgmental）：高价值/高风险、近期变化、例外（waivers）。
异常：从分析（outliers），近似事件，"顶级入侵者"的结论。
端到端（100%）：在可能的情况下,使用自动检查整个阵列（如SoD、TTL、制裁筛选）。

9）分析和证据来源（evidence）

访问逻辑（IAM），更改跟踪（Git/CI/CD），基础架构configs（Terraform/K8s），DLP/EDRM报告。
"Compliance"店面，法律期刊，DSAR注册表，AML报告（SAR/STR）。
Dashbords快照、CSV/PDF导出、哈希捕获和WORM/immutability。
访谈协议，支票单，提示/升级文物。

10）进行审计： SOP

1.初步评估：澄清目标、标准、界限、业主。
2.数据查询：上载、访问、configs、采样周期列表。
3.现场工作：步行道，对照测试，分析，访谈。
4.导线校准：与Risk Appetite、法规和策略匹配。
5.Findings的形成：事实→标准→影响→原因→建议→所有者→期限。
6.闭幕会议：协调事实、地位和再教育计划。
7.报告和后续：发布、评级、截止日期、重新验证。

11）Findings分类和风险评级

Severity： Critical/High/Medium/Low（带来对安全、合规、财务、运营、声誉的影响）。
Likelihood：常见/可能/稀有。
风险得分：矩阵或数字函数（例如1-25）。

Theme tags: IAM, Data Privacy, AML, PCI, DevSecOps, DR/BCP.

12）风险审计指标和KRI/KPI

Coverage：年度覆盖的审计普遍性份额。
时间恢复：%的补丁到期（severity）。
Repeat Findings： 12个月内重播的比例。
MTTR Findings：关闭前的时间中位数。
控制效率趋势：按时间段分列的Passed/Failed测试份额。
审核准备时间：收集事件的时间。
风险减少指数：重整后的总风险争夺∆。

13）Dashbords（最低设置）

风险热图：过程×概率/影响×残余风险。
Findings Pipeline：状态（Open/In progress/Overdue/Closed） ×所有者。
顶级主题：频繁的违规类别（IAM/Privacy/PCI/AML/DevSecOps）。
Aging&SLA：延迟和即将到来的截止日期。
Repeat Issues：按命令/系统重复。
控制测试结果：通行率，趋势，侦探规则的FPR/TPR。

14）工件模板

审计区域（审计范围）

目标和标准（标准/政策）。
范围：系统/时期/地点/供应商。
方法：采样、分析、访谈、步行。
例外和限制（如果有）。

Finding卡

ID/主题/Severity/Likelihood/Score。
事实描述和不匹配标准。
风险和影响（业务/监管/安全）。
建议和行动计划。
所有者和截止日期（尽职调查）。
证据（链接/哈希/档案）。

审计报告（结构）

1.行政摘要。
2.上下文和范围。
3.技术和数据源。
4.控制结果和评估。
5.Findings和优先事项。
6.重建计划和执行控制。

15）与连续监测（CCM）和法规遵从性的通信

使用CCM结果作为风险评估和审核计划的输入。
代码策略允许审核员重新编写测试，从而提高可重复性。
针对高风险和可访问的遥测区域实施连续审核。

16）反模式

不考虑风险的"均匀"审计→失去重点和资源。
报告没有可衡量的建议和所有者。
不透明的风险评级方法。
忽略供应商和服务链。
缺乏后续控制（follow-up）-问题又回来了。

17）RBA成熟度模型（M0-M4）

M0文档：一次性检查，手动采样。
M1目录：审计大学和基本健康地图。
M2政策和测验：标准化支票单和核对要求。
M3集成：与CCM通信,SIEM/IGA/DLP数据,半自动收集事件。
M4连续：连续审核,实时优先级,自动复制。

18）实用提示

校准涉及业务和合规性的风险量表-风险的单一"货币"。
保持透明度：记录方法和权重,保存更改历史记录。
将审计计划与战略和Risk Appetite联系起来。
嵌入流程所有者培训-审核以节省未来的事件。
通过分析降低"噪声"：分层，排除规则，损害优先级。

19）相关文章wiki

连续合规性监控（CCM）

编译和报告自动化

法律保留和数据冻结

数据存储和删除时间表

DSAR： 用户的数据请求

PCI DSS/SOC 2： 控制和认证

业务连续性计划（BCP）和DRP

结果

以风险为导向的审计将注意力集中在最重要的威胁上，衡量控制的有效性，并加快采取纠正行动的速度。它的力量在于数据和透明的方法：当优先级是可以理解的，测试是可复制的，建议是可测量的，并且按时结束。