勒索軟件攻擊最常見的形式是通過網路釣魚來進行。員工收到一封看似無害的電子郵件，其中包含惡意鏈接或文件。如果有人誘餌並單擊，勒索軟件就會開始劫持組織。惡意軟件可以破壞組織的整個網路，從而感染系統，加密文件並鎖定用戶，我們該如何降低風險呢?
歡迎上網下載ACL技術白皮書: CISOs in the boardroom
董事會的CISO
主要內容包含:
1. The top six challenges facing CISOs today.
當今CISO面臨的六大挑戰。
2. What’s defining our current cyber-risk landscape.
是什麼定義了我們當前的網絡風險格局。
3. Strategies to win more budget and capacity for your cybersecurity function.
為您的網絡安全功能贏得更多預算和容量的策略。
4. Common questions to anticipate from the board (and how to respond to them).
董事會可以預見的常見問題（以及如何應對）。
資料來源: Galvanize官網

SOC 2審核是評估供應商安全控制的有效工具。但是，隨著網路安全風險的不斷發展，正確確定SOC 2審核範圍至關重要。
眾所周知，網絡安全已成為供應商風險管理的重要組成部分。從理論上講，SOC 2審核（評估供應商的安全控制）是評估這些網絡安全威脅的方法。
但是實際上，這說起來容易做起來難。是的，SOC 2審計可以解決許多不同的問題，但是網絡安全風險在不斷發展。新的數據保護法規不斷湧現。供應商在您的業務流程中扮演的角色一直在變化。網路安全故障的後果只會越來越嚴重。
這意味著正確確定SOC 2審核範圍的能力對於風險管理團隊而言已變得至關重要。
歡迎上網下載ACL技術白皮書: Third-party risk management essentials
第三方風險管理重點
主要內容包含:
1. Basics of third-party risk management. 第三方風險管理的基礎。
2. Difference between TPRM and vendor risk management.
第三方風險管理和供應商風險管理之間的區別。
3. Process of picking a risk management framework that best fits your organization.
選擇最適合您機構的風險管理架構過程。
資料來源: Galvanize官網

全球多元化和包容性（D＆I）策略對企業非常有利，並帶來許多好處。但是有一些關鍵的事情要考慮。
成功的多元化和包容性計劃可以為更好的財務回報和更多的創新鋪平道路。它可以使您的組織對頂尖人才更具吸引力。而且，它使您可以更可靠地與全球客戶群建立聯繫。
如果您希望D＆I計劃在世界範圍內蓬勃發展，我們需要注意以下事項：
一個組織可以包含多種企業文化
多元化和包容性優先事項會有所不同
重要的法律考慮
領導力購買至關重要
準備擴展？從您的員工開始
資料來源: Galvanize官網

審計團隊知道他們需要採用新技術來繼續增加價值，但這說起來容易做起來難。開發具有技術邏輯的審核功能需要許多技術，與團隊和治理多方面的考慮。

確切地說，如何建立一種更加敏捷，具有技術邏輯的審計功能？還需要哪些新的審計技術？而這些技術將如何改變審計計劃和活動？那麼，這個勇敢的新風險保證世界的治理又如何呢？
歡迎上網下載ACL技術白皮書: Future-proofing-internal audit
面向未來的內部審計
探索CAE和內部審計團隊為使審計功能面向未來而必須採用的技術。主要內容包含:
1. Audits role in cyber risk mitigation
審計在減輕網絡風險中的作用。
2. Establishing strong data governance
建立強大的數據治理。
3. Shaping the future of audit with data analytics
借助數據分析塑造審計的未來。

4. Machine learning and robotic process automation.

機器人學習及機器處理過程的自動化。
資料來源: Galvanize官網

脆弱就意味著可以犯錯誤並且沒有所有答案。Galvanize的三大核心價值觀之一是：“我們克服歧義-擁抱我們所不知道的東西-因為當遇到意外情況時，我們會成長最多。通過試驗和失敗，我們找到了新方法來推動Galvanize朝著我們的使命前進。”
脆弱的勇氣
"脆弱性其實是勇氣的最佳衡量標準"。認為，脆弱性可以為“生產性失敗”大膽地創造空間，並導致員工敬業度和生產率的提高。
信任是關鍵
無論您的組織或行業是什麼，漏洞都可以是一種改善聯繫和參與度的真實而包容的方式。正如布朗所說，脆弱性是“創新，創造力和變革的發源地”。
資料來源: Galvanize官網

網絡安全的風險在全球範圍內不斷增長和提升，內部審計在緩解風險中的作用也日益增強。
網絡安全風險投資公司預測，到2021年，網絡犯罪每年將給世界造成超過6萬億美元的損失，而2015年為3萬億美元。隨著新聞頭條上出現重大網絡漏洞的頻率越來越高，網絡安全受到內部審計的關注比以往任何時候都要多。
歡迎上網下載ACL技術白皮書: Future-proofing internal audit
內部審計未來的遠景
主要內容包含:
1. Audit’s role in cyber risk mitigation
審計在減輕網絡風險中的作用。
2. Establishing strong data governance
建立強大的數據治理。
3. Shaping the future of audit with data analytics
借助數據分析塑造審計的未來。
4. Machine learning and robotic process automation.
機器學習和機器人自動化的過程。
資料來源: Galvanize官網

確保組織具有效且維護良好的公司合規計劃是董事會所受託的責任。但是當有多個風險所有者和無數個數據點時，董事會如何確保它起作用？

哈佛法學院（Harvard Law）注意到了25年前特拉華州法院的一項具有里程碑意義的判決。其確保董事會具有效公司合規計劃是董事會信託責任的驅動力。董事會還必須保持對該程序的監督，並及時了解其內容和操作。
歡迎上網下載ACL技術白皮書: Better practices for compliance management
合規管理的更好做法
主要內容包含:
1. What a high-performance compliance management process looks like
高性能合規性管理流程。
2. How to transform your compliance management program
如何轉變您的合規管理程序。
3. The key technology considerations for achieving a high-performance compliance program.
實現高性能合規性計劃關鍵技術的注意事項。
資料來源: Galvanize官網

多元化和包容性（D＆I）不可能只是董事會討論而沒有採取任何行動，也不是僅由人力資源部門關心計劃去滿足所有要求的新措施。所以為了實現真正的多元化和包容性，組織需要將D＆I成為文化的核心部分。不僅因為這是正確的做法，而且還具有良好的商業意義。
D＆I計劃的好處
在組織中，多樣性和包容性反映了支持多元化和包容性工作場所的使命和實踐。這些主要集中在招聘和提高意識和理解的計劃上。
D＆I使組織受益的四種方法：
1.Reach a global customer base 達到全球客戶群
2.Achieve higher returns 獲得更高的回報
3.Find new ways to innovate 尋找創新的新方法
4.Hire and retain top talent 僱用和留住頂尖人才
資料來源: Galvanize官網

控制措施並不便宜，並需要人員，流程和技術等資源。為了進行有效的內部控制設計，您應該首先進行風險評估。結合使用定性和定量方法，確定優先級並實施緩解最關鍵風險的控制措施。這需要基於風險的關注，例如審核員如何處理他們的工作。
“如果沒有風險，則無需進行控制”這是說得通。風險和控制措施緊密相連，因此，良好的風險評估對於實施可靠的控制體系將至關重要。
歡迎上網下載ACL技術白皮書: Reaching internal controls utopia
達到內部控制的完美境界
主要內容包含:
1. Assess the maturity level of your internal controls.
評估內部控制的成熟度。
2. Create a thorough internal control system.
建立完善的內部控制體系。
3. Minimize internal control failures.
最大限度地減少內部控制故障。
資料來源: Galvanize官網

目前新趨勢許多國際法規除了個人違法的判刑外，都有附帶對企業高額罰款，一但受罰除了金錢與商譽等損失外，嚴重者甚至會造成企業無法持續營運，這對投資者與員工等利害關係人將會是一項高風險。我們以美國海外反貪污腐敗法(FCPA) 法規過去幾年的執行狀況為例來進行分析。

ICAEA國際電腦稽核教育協會整理統計2016~2019調查報告列出四年內違反FCPA而罰款的前十名企業變化圖，由此圖可以看到罰款金額快速的增加，在2016年罰款金額最高是 8億美元(Siemens ,德國西門子)，到2019年已上升到 17.8億美元(Petrobras,巴西國家石油)；而2016年的第十名是 3.65億美元(Snamprogetti ENI,荷蘭工程公司)到2019年已上升到5.19億美元(梯瓦製藥Teva Pharmaceutical,以色列)，此狀況顯示罰款金額正快速的提升中。

許多受罰企業都是國際知名企業，而許多為非美國企業，2019年的資料顯示前十名受罰金額最高企業僅一家為美國企業，而有四家企業為電信業，顯示FCPA法規遵循對各國的企業都是相對的重要，而全球的電信業目前為高風險被調查的產業。而值得注意的是目前有一些美國FCPA的一些案件都和台灣有關係，而今年更有台灣一家公司於11月12日被披露了一項與FCPA相關的新調查，因此建議台灣企業應擬訂相關的反貪腐法令遵循的執行策略，並要特別注意相關的FCPA的遵循工作。

資料來源: ICAEA, 2109, FCPA Enforcement Actions Tracking, International Computer Auditing Education Association, https://www.icaea.net/English/ResourceCenter/ResourceCenter.php