如何提高网络安全审计的有效性？

在欧洲内部审计协会 (ECIIA) 发布的2022 Risk in Focus 报告和国际内部审计师协会 (IIA) 发布的OnRisk 2022 报告中，网络安全第五次蝉联组织的关键风险之首。此外，IIA的OnRisk 2022报告指出，内部审计师在网络安全风险鉴证方面的能力差距是最大的。因此，对组织来说，了解如何最好地评估自己的审计有效性以及如何改进至关重要。

我们对网络安全领域审计师的有效性进行了一项国际调查，并开发了一种衡量它的工具。该工具可以帮助组织了解其网络安全审计实践的有效性，包括规划、执行参与和报告。然后可以根据评分与国际样本进行比较。

一旦确定了分数，审计人员就可以使用该分数来指导组织的下一步应当采取的措施，以改进其网络安全审计流程，从而提高其分数。内部审计师可以遵循几种最佳实践来提高其网络安全审计的有效性，包括：

◆ 提升技能——有助于显著提高审计效力的一个因素是鼓励从业者获取一系列的认证来提高内部审计师的能力，例如ISACA颁发的国际注册信息系统审计师认证（CISA）和网络安全审计证书。网络安全审计需要专业知识和技能，只有提高技能才能更好的提供网络安全审计。

◆ 共源或外包，但保持控制—如果内部审计职能的网络能力不能完全令人满意，合作和外包都会有所帮助。在共源的情况下，各种外部审计的结果可以合并形成一个整体意见。掌握报告也很重要，因为只有内部团队才能评估网络安全风险管理与企业风险管理的整合程度。

◆ 参与所有三个审计阶段——审计的所有三个阶段之间有很强的相关性。缺乏良好的规划会对参与和报告阶段产生严重影响。显然，对大量控制的审计将分别在多年内展开。尽管如此，仍应识别最相关的风险因素并对其进行优先排序，以全面了解报告年度内网络安全风险管理的有效性。

◆ 与一道防线和二道防线的合作——尽管独立的内部审计很重要，但正如新的IIA三线模型所建议的那样，不应将其与其他两道防线隔离开来。三线合作对网络安全风险审计的有效性产生了积极的影响。对每道防线职责的映射有助于更有效地利用有限的内部审计和 IT 部门资源。