以風險為導向的審計

1）面向風險的審計（RBA）的本質)

• 在概率和影響組合最大的情況下，優先級。
• 評估固有風險（無控制）和殘余風險（包括控制）。
• 隨著風險格局（產品、市場、監管、事件）的變化,不斷修訂評估。

2）術語和框架

大學校審計-可能要審核的流程，系統，位置，供應商和監管職責目錄。
風險熱圖-按優先級分級渲染「概率×影響」。
Risk Appetite/Tolerance-公司已宣布願意在規定的範圍內承擔風險。
控制級別-預防/偵探/糾正；設計和運營效率。
保護線-第一（業務和運營），第二（風險/合規性），第三（內部審計）。

3）構建審計通用

• 流程：付款，KYC/KYB，AML監視，事件管理，DSAR，回避。
• 系統：事務核心，DWH/datalijk，IAM，CI/CD，雲，DLP/EDRM。
• 司法管轄區和許可證，主要供應商和外包商。
• KPI/KRI，事件/違規歷史，外部Findings/制裁。
• 金錢和聲譽效應，對監管者的關鍵（GDPR/PCI/AML/SOC 2）。

4）風險評估方法

1.固有風險（IR）：流程復雜性、數據量、現金流量、外部依賴性。
2.控制設計（CD）：可用性、覆蓋範圍、策略代碼成熟度、自動化。
3.操作效率（OE）：執行穩定性，MTTD/MTTR度量，漂移水平。
4.殘余風險（RR）：「RR=f（IR，CD，OE）」-按比例進行配給（例如1-5）。
5.修改因素：監管變化，最近的事件，過去審計的結果，員工輪換。

影響量表的示例：財務損失，監管處罰，SLA停機，數據丟失，聲譽影響。
概率量表的示例：事件頻率，曝光，攻擊/濫用的復雜性，歷史趨勢。

5）優先級和年度審計計劃

按剩余風險和戰略重要性對審計單位進行排序。
分配頻率：每年（高），每年2次（平均），監測/主題（低）。
啟用主題檢查（例如,刪除和匿名數據、職責隔離（SoD）, PCI分段）。
規劃資源：技能，獨立，避免利益沖突。

6）RACI和角色

(R — Responsible;A — Accountable;C — Consulted)

7）控制測試方法

Walkthrough：追蹤「端到端交易」/數據流。
設計效率：檢查策略/控制的可用性和適當性。
Operating effectiveness：選擇性執行檢查。
再性能：根據CaC規則播放計算/信號。
CAATs/DA（計算機輔助審計技術/數據分析）：SQL/蟒蛇腳本、 Compliance店面的控制查詢、IaC ↔實際配對的比較。
連續審核：將校驗測試嵌入事件總線（stream/batch）。

8）采樣（采樣）

統計：隨機/分層,根據信心水平和允許的錯誤來確定大小。
目標（judgmental）：高價值/高風險、近期變化、例外（waivers）。
異常：從分析（outliers），近似事件，「頂級入侵者」的結論。
端到端（100%）：在可能的情況下,使用自動檢查整個陣列（如SoD、TTL、制裁篩選）。

9）分析和證據來源（evidence）

訪問邏輯（IAM），更改跟蹤（Git/CI/CD），基礎架構configs（Terraform/K8s），DLP/EDRM報告。
「Compliance」店面，法律期刊，DSAR註冊表，AML報告（SAR/STR）。
Dashbords快照、CSV/PDF導出、哈希捕獲和WORM/immutability。
訪談協議，支票單，提示/升級文物。

10）進行審計： SOP

1.初步評估：澄清目標、標準、界限、業主。
2.數據查詢：上載、訪問、configs、采樣周期列表。
3.現場工作：步行道，對照測試，分析，訪談。
4.導線校準：與Risk Appetite、法規和策略匹配。
5.Findings的形成：事實→標準→影響→原因→建議→所有者→期限。
6.閉幕會議：協調事實、地位和再教育計劃。
7.報告和後續：發布、評級、截止日期、重新驗證。

11）Findings分類和風險評級

Severity： Critical/High/Medium/Low（帶來對安全、合規、財務、運營、聲譽的影響）。
Likelihood：常見/可能/稀有。
風險得分：矩陣或數字函數（例如1-25）。

Theme tags: IAM, Data Privacy, AML, PCI, DevSecOps, DR/BCP.

12）風險審計指標和KRI/KPI

Coverage：年度覆蓋的審計普遍性份額。
時間恢復：%的補丁到期（severity）。
Repeat Findings： 12個月內重播的比例。
MTTR Findings：關閉前的時間中位數。
控制效率趨勢：按時間段分列的Passed/Failed測試份額。
審核準備時間：收集事件的時間。
風險減少指數：重整後的總風險爭奪∆。

13）Dashbords（最低設置）

風險熱圖：過程×概率/影響×殘余風險。
Findings Pipeline：狀態（Open/In progress/Overdue/Closed） ×所有者。
頂級主題：頻繁的違規類別（IAM/Privacy/PCI/AML/DevSecOps）。
Aging&SLA：延遲和即將到來的截止日期。
Repeat Issues：按命令/系統重復。
控制測試結果：通行率，趨勢，偵探規則的FPR/TPR。

14）工件模板

審計區域（審計範圍）

目標和標準（標準/政策）。
範圍：系統/時期/地點/供應商。
方法：采樣、分析、訪談、步行。
例外和限制（如果有）。

Finding卡

ID/主題/Severity/Likelihood/Score。
事實描述和不匹配標準。
風險和影響（業務/監管/安全）。
建議和行動計劃。
所有者和截止日期（盡職調查）。
證據（鏈接/哈希/檔案）。

審計報告（結構）

1.行政摘要。
2.上下文和範圍。
3.技術和數據源。
4.控制結果和評估。
5.Findings和優先事項。
6.重建計劃和執行控制。

15）與連續監測（CCM）和法規遵從性的通信

使用CCM結果作為風險評估和審核計劃的輸入。
代碼策略允許審核員重新編寫測試，從而提高可重復性。
針對高風險和可訪問的遙測區域實施連續審核。

16）反模式

不考慮風險的「均勻」審計→失去重點和資源。
報告沒有可衡量的建議和所有者。
不透明的風險評級方法。
忽略供應商和服務鏈。
缺乏後續控制（follow-up）-問題又回來了。

17）RBA成熟度模型（M0-M4）

M0文檔：一次性檢查，手動采樣。
M1目錄：審計大學和基本健康地圖。
M2政策和測驗：標準化支票單和核對要求。
M3集成：與CCM通信,SIEM/IGA/DLP數據,半自動收集事件。
M4連續：連續審核,實時優先級,自動復制。

18）實用提示

校準涉及業務和合規性的風險量表-風險的單一「貨幣」。
保持透明度：記錄方法和權重,保存更改歷史記錄。
將審計計劃與戰略和Risk Appetite聯系起來。
嵌入流程所有者培訓-審核以節省未來的事件。
通過分析降低「噪聲」：分層，排除規則，損害優先級。

19）相關文章wiki

連續合規性監控（CCM）

編譯和報告自動化

法律保留和數據凍結

數據存儲和刪除時間表

DSAR： 用戶的數據請求

PCI DSS/SOC 2： 控制和認證

業務連續性計劃（BCP）和DRP

結果

以風險為導向的審計將註意力集中在最重要的威脅上，衡量控制的有效性，並加快采取糾正行動的速度。它的力量在於數據和透明的方法：當優先級是可以理解的，測試是可復制的，建議是可測量的，並且按時結束。