探索風險識別，評估和管理在機器學習應用程序中的作用!

機器學習無處不在，隨著我們生成更多數據，每天都變得越來越智能。現在，許多行業都使用人工智能（AI）將大量數據轉換為驅動建議和決策的知識。而且，隨著機器學習繼續滲透到日常生活中，您不能忽略相關的風險評估和風險管理策略。

這本電子書旨在幫助治理，風險管理和法規遵循（GRC）專業人員從基於風險的角度而非技術角度來進行機器學習。

透過電子書您將學到：

1.如何識別，評估和管理常見的機器學習風險。

2.機器學習如何支持風險評估。

3.使用機器學習預警舞弊詐欺的實務做法。

歡迎上網下載...

資料來源: Galvanize官網

2021 年 4 月，我們調查了105名GRC專業人士以及108名在美國和加拿大相關部門工作的非GRC專業人士。雖然超過一半(53%)表示他們的企業現在認為他們更有價值：

♦58%的人看到他們的工作量增加了

♦62%的人的職責範圍有所擴大

♦62%發現時間、技術或人力資源方面的差距阻礙了他們的企業執行他們的計劃

有鑑於全球大流行、遠端工作的全面轉變以及其他世界事件，這些統計數據不足為奇。管理風險和證明法規遵循性變得比以往任何時候都更加複雜、耗時與關鍵。

傳統上，GRC 專業人員採用新技術的速度很慢。例如，近一半(45%)的調查受訪者仍在使用舊版Microsoft Office工具（Excel、Word、Outlook）來管理關鍵程序和文件檔。

他們正在從基於雲技術的解決方案中尋求更高的能見度、保證和信心。2020年的事件表明需要可靠的技術來支持業務連續性。以審計為例。通常情況下，審計是親自進行的，檢查實物固定資產並在會議室並肩工作。但在大流行期間，這種方法是不可能的。相反，審計員轉向技術支持的自動化和機器學習來簡化流程和文件檔。

以下的解決方案可以讓GRC專業人員的生活更輕鬆的三種方式

1.雲端將數據整合到一個統一的視圖中。

數據是GRC活動與成功的核心，但79%的調查受訪者認為獲取完成工作所需的數據“有些”、“非常”具有挑戰性。

雲端驅動的GRC解決方案使數據整合成為可能。借助這種統一平台，GRC專業人員可以收集和利用來自整個企業的訊息、簡化協作並輕鬆創建可視化、報告和故事板。統一儀表板還提供最新的量化風險圖表，支持即時和明智的決策。

2.雲端支持自動化並節省成本。

我們的調查發現，在GRC工作的人中有32%的資源比大流行前少。他們受到預算限制的可能性也是非 GRC 專業人士的兩倍（41% 到 19%）。

自動化工作流程和任務 GRC團隊能夠事半功倍。人工智慧、機器學習和機器人自動化流程並不是新技術，但它們對GRC行業來說是新的——它們由雲端技術提供和支持。

透過使用動態、自動化的工作流程，基於雲的GRC解決方案簡化了操作，並自動化了GR 團隊目前正在處理不同電子表格、電子郵件和 Word 文檔的繁瑣、耗時的手動任務。這不僅解決了阻礙 GRC 團隊前進的時間、預算和人力資源限制，而且還讓他們有時間專注於其不斷發展、擴大和提升的GRC角色的更具戰略意義的方面。

3.雲端和安全可以齊頭並進。

受訪者最關心的問題包括 IT 法規遵循性、安全性和隱私(47%)、網絡安全(43%)以及欺詐和腐敗(29%)。基於雲的GRC解決方案專注於這些問題，透過實現更高的能見度、更強的控制等，幫助GRC團隊加強法規遵循性並監控與緩解威脅。

例如，考慮自動化控制框架。這使得在整個企業中持續監控法規遵循狀態和風險級別變得容易。當未達到控制級別時，觸發提示操作。透過減少錯誤，自動化還降低了罰款風險並增加了保證。

並考慮雲端容納大數據和高級分析功能的能力。對於GRC團隊來說，這意味著實行風險監控：在多個業務流程中和內部查看關鍵趨勢、指標和新出現的問題，如果不主動管理，這些問題可能會變成重大問題。

總結：雲端是治理、風險管理與法規遵循活動的強大解決方案，基於雲的解決方案已準備好為準備開始收穫收益的GRC團隊準備。

ACL提出技術白皮書: 2021年 GRC 的狀態
 (2021 The State of GRC)
技術白皮書內容摘要:
1. The 2020s: the decade where organizations finally embrace GRC technology
(2020年：企業最?接受GRC活動的十年)
2. Who we talked to: meet the GRC professionals
(專家訪談：認識GRC專業人士)
3. Our survey findings
(我們的調查結果)

4. Final thoughts: the fastest path forward is through technology

(最後的想法：最快的前進道路是透過技術)

歡迎上網下載...

資料來源: Galvanize官網

在風險管理和法規遵循性方面，大多數企業採用內部控制3道防線(3LOD)模型，在該模型中，營運管理、法規遵循性和內部審計協同工作，以評估和降低風險並管理控制和法規遵循性。

鑑於網路安全威脅與詐欺事件日益複雜，以及對各種規模企業提出的法規遵循要求越來越高，因此很難在威脅和違規行為出現時保持企業範圍內的法規遵循性。

如果您希望您的內部審計團隊在您的企業中發揮作用，您需要聽取可以為您的工作辯護的主管意見。透過與領導層合作，您將能夠率先實施新計劃並獲得對數據的重要訪問權限，這將幫助您的企業節省資金並降低風險，證明您團隊的價值。

以下是有效執行此操作的四種策略：

1.確定可以支持您的關鍵人物，並制定計劃與他們建立關係

您的審計團隊自然會與可以提供進行審計所需要的關鍵訊息的經理保持聯繫——但如果只關注這些聯繫人，您就會錯失與能夠幫助您獲得收益的領導者建立關係的機會。在組織中的作用更加明顯。制定計劃，定期與您組織內的高級管理人員（例如您的首席風險官或CTO）進行聯繫。您可以就他們可能希望您的團隊在您的審計中審查的任何未決問題徵求他們的反饋，或者提供高級執行摘要，展示您所做的工作以及他們可能想要更詳細地探討的問題。確保他們知道您和您的團隊可以為他們提供支持並願意提供反饋。

2.主動應對組織範圍內的趨勢

與其只關注單個審計中發現的問題，不如開始綜合查看審計結果以識別趨勢。是單個部門或辦公地點無法解決特定的法規遵循問題，還是應該與您的執行團隊共享的全面趨勢？經常查看您的數據以了解應該減輕的風險，並就如何解決這些風險提出分步行動計劃，包括誰負責以及成功的基準是什麼。

3.密切關注第三方風險

許多審計團隊對風險管理採取孤立的觀點，未能發現供應商和技術合作夥伴帶來的外部風險。確保您制定了政策來仔細審查和自動化第三方供應商的法規遵循性，提取外部數據以提醒您他們可能面臨的任何財務或法律問題。定期跟?您的所有解決方案和技術合作夥伴的危險信號，並確保您有減輕它們的策略。您可以在與整個企業的主管和其他合作夥伴的會議上展示您的發現，並協作為您的任何場景制定計劃。請記住，來自亞馬遜或 Facebook 等大型供應商的風險也可能會影響您的許多客戶或合作夥伴，

4.使用一流的GRC技術實現合規性和數據分析的自動化

為了向您的領導團隊提供最有用的見解，將您的整個風險管理功能結合到一個易於使用的GRC平台上非常重要。您的GRC平台應該帶有預先建構的內容，無論您屬於哪個行業，這些內容都將幫助您自動化控制框架。它應該可以輕鬆地在任何給定時間監控整個組織的合規狀態和風險級別，並在未達到控制級別時觸發提示操作。您應該能夠輕鬆深入了解您的數據並生成執行儀表板，以便您可以分享見解以證明建議的合理性，並幫助您的領導團隊做出更明智的業務決策。

為了進一步了解內部審計如何在組織中獲得更高的地位，我們在內部審計師協會(IIA)會議上與多位內部審計師進行了交談，他們分享了他們的最佳實踐。在我們的新電子書中了解他們必須分享的內容，“審計：現在是臨界點。”

ACL提出技術白皮書: 審計：現在是臨界點
 (Audit: the tipping point is now)
技術白皮書內容摘要:
1. A world of unknown risks
(未知風險的世界)
2. Building a best-in-class audit function
(建立一流的審計功能)
3. Audit’s limited role in the organization
(審計在企業中的有限作用)

4. How to drive executive visibility, assurance, and confidence

(如何提高主管能見度、保證和信心)

5. Driving new insights with data

(數據分析的新見解)

歡迎上網下載...

資料來源: Galvanize官網

AI人工智慧時代來臨，需選用正確稽核工具，才能迎向新的機會與挑戰，避免被機器人取代! 機器學習無處不在，隨著我們生成更多數據，每天都變得越來越智能。隨著機器學習繼續滲透到日常生活中，您不能忽略相關的風險評估和風險管理策略。

成功的企業風險管理特徵
-數據驅動 (Driven by date)
-高效 (Highly efficient)
-內容相關 (Contextual
-前瞻性 (Forward-looking)
-協作 (Collaborative)
-全面 (Comprehensive)
-連續 (Continuous)
-動態 (Dynamic)

透過此ACL提出技術白皮書您將學到：增強ERM性能的7個步驟
ACL技術白皮書內容摘要：增強ERM性能的7個步驟
1.捨棄單位化的風險孤島觀點
2.項管理層提供對風險的量化見解
3.使用大數據分析實時風險監控
4.將分析應用於內部控制
5.制定資料驅動的風險管理決策
6.將風險管理整合到日常商業活動中
7.縮短商業與風險專業人士之間的距離

詳全文歡迎下載 ACL技術白皮書
資料來源: Galvanize官網

根據《海軍時報》報導，由於去年提議將海軍審計服務預算削減70％，該部門在接下來的兩個財務年度中可能會從290名人員減少到僅剩85名人員。

如果削減計劃如期進行，海軍審計服務公司如何以僅剩不到三分之一的人力來做更多的事情呢？他們又如何提高審計能力和影響力，現代化就是解決方案。

組織的風險狀況變得越來越複雜且難以管理。 為了保持相關性，內部審計必須面對這些挑戰並提供有效的解決方案與見解。

傳統上，內部審計職能著重於法規遵循性和內部控制系統。但是，要成為最高管理階層與董事會的合作夥伴，內部審計必須了解組織的主要風險，並主動判斷出出現的風險。

為了滿足這些需求，內部審計師必須開始學習使用人工智慧、機器學習與機器人流程自動化等新工具和技術，並更好地利用數據分析來制定有效決策。

不管海軍審計服務公司是否看到預期的人員總數大幅下降，轉移到建立機器學習功能的複雜GRC技術平台都是明智的決策。GRC平台可幫助聯邦機構簡單化與自動化法規遵循的要求、評估和持續監控風險，並透過辨認詐欺、浪費與其他不當付款來節省數百萬納稅人的錢。

透過採用建立機器學習的技術進行現代化的創新，海軍審計服務將能夠輕鬆辨別效率降低和潛在的風險，進而使能能有效節省更多的造船預算和人員配備。

ACL提出技術白皮書: 隨著海軍審計服務預算的削減，沉沒或現代化
 (With Naval Audit Services Budget Cuts on the Horizon, It’s Sink or Modernize)
技術白皮書內容摘要:
1. Internal audit’s increasing cybersecurity role
(內部審計的提高資訊安全的作用。)
2. How internal audit can help mitigate cyber risk
(內部審計如何協助減少數位科技風險。)
3. Machine learning & robotic process automation
(機器學習與機器人過程自動化。)

4. Internal audit’s role in data governance

(內部審計在數據治理中的作用。)

歡迎上網下載...

資料來源: Galvanize官網

大多數組織已經意識到網路安全風險管理的至關重要性。

考慮到實際違反的風險以及因違反法規而被罰款的危險，許多組織將網路安全作為其風險管理計劃的核心關注事項，該計劃通常屬於首席信息安全官（CISO）的管理範圍。但是網路安全風險管理計劃的目標可能會有所不同：一些僅專注於達到合規性目標，而其他一些則專注於減輕實際的網路安全風險。

僅專注於合規性的組織正在忽略重大風險因素。雖然建立良好的防禦態勢可以幫助緩解許多已知的威脅，但這意味著您對變化的威脅狀況缺乏了解，因此您可能沒有為可能出現的許多情況做好準備。

如何確保您建立一個與網路安全風險分析最佳實踐相一致的綜合計劃以及如何將整個組織範圍內達成共識，並提高對團隊工作重要性的認識?
ACL提出技術白皮書: 將網路安全從合規性轉移到風險重點
 (Shifting cybersecurity from a compliance to a risk focus)
技術白皮書內容摘要:
1. What “good” looks like for cyber risk management
(網路風險管理的“好”外觀是什麼。)
2. Six steps in the business risk assessment process
(業務風險評估流程中的六個步驟。)
3. The important role of automation in cyber risk management
(自動化在網路風險管理中的重要作用。)
歡迎上網下載...
資料來源: Galvanize官網

ACL提出技術白皮書:  加強數位時代資料隱私保護法令遵循的執行力（ENFORCING DATA PRIVACY IN THE DIGITAL WORLD)

技術白皮書內容摘要:

1.Privacy and Security Controls in the Data Life Cycle
(資料生命週期中的隱私和安全控制全球個資保護法令的演變)
2. Top Data Compliance Challenges and Solutions
(個資保護法令遵循面臨的主要挑戰和解決方案)
3. Impact of Incorrect and/or Missing Data Privacy Controls
(錯誤和或缺少個資資料保護控制的影響)
4. Building a Strong Data Governance Program
(建立強大的資料治理計劃)
5. Build Your Team
(建立你的團隊)
6. Identify Specific Threats and Controls
(確認特定的威脅和控制措施)
7. Continually Assess Effectiveness of Existing Controls
(持續稽核現有控制的有效性)
8. Managing Enterprise Data Life Cycle Compliance Needs
(管理企業資料生命週期法令遵循需求)
9. Perform Asset Inventory
(個資資料盤點)
10. Identify Key Risks
(識別關鍵風險)
11. Perform an Impact Analysis
(執行影響分析)
12. Monitor Regulations
(持續性監控相關規定)
13. Case Study 1
(個案研究1)
14. Case Study 2
(個案研究2)
15. Conclusion
(結論)

歡迎上網下載...

資料來源: Galvanize官網

ACL與BI(如Tableau等)商業智慧軟體工具主要區別

一、ACL 與BI商業智慧軟體協同合作架構圖
~協助組織建立有效大數據資料分析架構~

二、ACL與Tableau 等BI 商業智慧工具使用比較

三、【常見問題】請問ACL 與BI商業智慧軟體 (如Tableau或Power BI等工具)有何區別?

ACL 屬於CAATs電腦輔助稽核工具，主要是稽核與GRC治理、風險管理與法規遵循等專業領域人員使用者，所以相關功能都是以這些人的需求為主，以下七個面向是其優勢:

● 提供GRC 治理,風險管理與法規遵循執行內容與資源
● 資料存取與清理
● 風險與控制分析
● 查核結果的證據力
● 查核分析結果工作流程
● ACL 可將查核結果輸出到Tableau 產出企業整合的視覺化報告
● 持續監測和改善

四、ACL軟體簡介與發展歷史說明

ACL(Audit Command Language)是1972年由加拿大維多利亞大學衛心遠博士(Dr. Hart Will )所發明電腦稽核專用軟體。
1985年由加拿大ACL Services 公司開發出PC版並開始商業化推廣，ACL是全球使用者最多的通用稽核軟體(CAATs) 。
2017年ACL公司獲得在美國矽谷的Norwest的5千萬美元的策略性投資後，公司規模與產品線持續擴大，穩居「世界第一對客戶提供全方位的GRC (治理、風險管理與法遵)和稽核專業解決方案」提供者。

2019年ACL併購在美國紐約的資訊安全治理知名公司Rsam，進一步的深化GRC市場產品規模，並且將公司改名為 Galvanize ，取其驚奇的正向力量整合之意。

2020年依據Forrester Wave™ 市場調查報告，Glavanize為GRC治理風險管理與法規遵循領域市場的領先者。
ACL軟體2020.11月發布最新15版軟體:
ACL Analytic的 ACL Robot (ACL 機器人) 結合自動化流程進行數據準備，分析和修復，節省了大量時間和成本，有效改善內部控制和審計管理。

五、2020年Forrester Wave™ 市場調查報告，Glavanize為此領域市場的領先者

六、ACL 與BI商業智慧軟體主要區別

綜整以上ACL軟體簡介與說明，可知ACL為專門為GRC專業領域建構的資料分析和工作流程供應商，協助用於治理，風險與法規遵循，可以有效協助稽核人員(會計師或內部稽核等)及內控第二道防線(如財會,品管,資安, 法遵,風管等單位)之各階管理單位主管，獨立驗證與查核確保內控制度是否有效執行，唯有透過有效之自我檢查，方能提升治理績效，降低組織風險。
ACL擁有龐大的培訓和內容資源生態系統，以及具有豐富GRC領域知識的強大社群。這個生態系統為您的團隊的專業發展提供了強大潛能，使其隨著時間的推移而發展，協助使用者了解重要問題：
1.我從哪裡開始進行查核？
2.我需要什麼數據資料？
3.我如何有效從業務，流程，實體或相同行業中找出尚未發現的風險區域？
以上若有任何不清楚處，歡迎洽詢ACL台灣總代理!

參考資料來源:Jordan McCormick, January 26, 2017
https://www.linkedin.com/pulse/acl-andor-tableau-7-areas-where-enterprise-analytics-fails-mccormick/

https://www.wegalvanize.com/

美國《海外反腐敗法》（FCPA）是世界上最重要的公司反賄賂法規。它禁止公司賄賂外國政府官員以贏得業務，並且要求公開交易的公司保留足以反映金融交易的賬簿和記錄。

儘管《海外反腐敗法》是美國法律，但它具有廣泛的海外影響範圍，可以綁架那些看似遠離美國管轄範圍的海外公司。《海外反腐敗法》也已成為巴西，英國，加拿大，法國和世界其他地方具有類似合規義務的其他反賄賂法規的典範。

由美國司法部執行FCPA刑事條款，這些規定禁止公司向外國政府官員提供任何有價物品以換取商業利益。其審計，風險和合規人員相關的是FCPA的民事規定，此規定需要有效的內部會計控制：賬簿和記錄規定。該部分法律由證券交易委員會(SEC)強制執行，對於有效遵守FCPA更為重要。

監管機構已就FCPA的有效合規性提供了幾項指導：
*有效的反賄賂風險評估以及與組織不斷變化的業務環境保持同步的持續風險評估
*與風險評估中確定的風險相對應的反賄賂政策和程序
*內部控制
*定期測試內部控制，必要及時進行補救
*第三方的治理

總結強調，建立具有效內部會計控制措施的FCPA合規計劃是至關重要的風險管理重點。

這並不容易，而且幾乎沒有技術就不可能將各個部分放在一起。但是，有了決心和正確的技術，有效的合規計劃就相當簡單了：風險評估，然後是反賄賂政策和程序，並得到內部支出控制的支持，然後定期進行測試以發現弱點並根據需要進行補救。

▼歡迎上網觀看ACL原文https://www.wegalvanize.com/compliance/what-is-fcpa-compliance/

客戶詐欺是最常見的，其次是網絡犯罪，資產挪用以及賄賂和腐敗。由於COVID-19的不穩定性質，詐欺的可能性更加普遍。公司急於快速啟動新供應商，有時甚至沒有適當的審查。由於許多企業在新發現的遠程工作環境中視而不見，因此很容易忽略公司辦公室可能發生的財務制衡。但是，如果您不仔細看，很容易錯過分類帳無法正確平衡的情況。
審計團隊該如何應用數據分析防範內部和外部人員的詐欺行為呢?

ACL提出技術白皮書: 透過數據分析來檢測並防止詐欺
 (Detecting & preventing fraud with data analytics)

技術白皮書內容摘要:

1. Key considerations for implementing a successful fraud program.

(縝密的詐欺手法注意要點。)

2. The most effective data analysis techniques for detecting and preventing fraud.

(最有效數據分析技術來檢測和防止詐欺行為。)

3. Practical analytics tests you can implement right now across different business areas.

(您即刻可在不同業務領域中實施分析測試。)

歡迎上網下載...

資料來源: Galvanize官網