内部审计师长期以来有义务在其持续的风险评估和审计计划中考虑欺诈风险。IIA新发布的全球内部审计标准再次强调了标准 9.4 –内部审计计划的要求。但认识到考虑欺诈风险的要求和能够这样做是两件不同的事情。

我们许多人都能轻松识别传统的欺诈风险，例如员工盗窃、贿赂和贪污。但新技术的融合、网络犯罪分子的日益狡猾以及在线服务的全球扩张为创新欺诈计划创造了肥沃的土壤。

不乏杰出的演讲者、培训师和作家，他们正在引起人们对新的 IT 相关欺诈风险的关注。许多内部审计师仍然渴望能够提供在风险评估期间需要考虑的潜在风险清单的信息和资源。

说实话，我既不是骗子，也不是IT审计专家。但如果我在 2024 年领导一次内部审计风险评估，我会注意到至少六种 IT 欺诈风险： 

1. Deepfake 技术

香港警方最近报告了一名财务人员被骗向公司支付 2500 万美元的事件。诈骗者在视频电话会议中使用 Deepfake 技术冒充公司首席财务官！该事件说明了伪造音频和视频质量的显着飞跃，使得创建高度可信的虚假内容成为可能。这只会加剧身份欺诈、窃取个人和企业数据的虚假信息活动、声誉风险，甚至操纵金融市场和政治格局等方面的严重漏洞。

在评估 Deepfake 技术的风险时，内部审计人员应考虑是否设计和实施了先进的生物识别验证系统来增强防欺骗能力。根据行业的不同，内部审计师还应确定其组织是否已识别风险，并提高员工的意识并教育员工了解深度造假内容的存在和风险。

2.人工智能驱动的网络钓鱼攻击

人工智能是一把双刃剑。虽然它为增强安全措施提供了绝佳的机会，但它也进一步为高度复杂的网络钓鱼攻击打开了大门。网络安全公司 SlashNext 最近报告称，过去一年，恶意网络钓鱼电子邮件增加了 1,265%，其中凭据网络钓鱼增加了 967%。人工智能算法可以大规模生成个性化且令人信服的网络钓鱼消息，针对毫无戒心的个人和组织，并导致未经授权的敏感信息访问。

内部审计人员应考虑其组织是否正在使用人工智能驱动的安全解决方案来检测和阻止复杂的网络钓鱼尝试。还要考虑组织是否定期为员工和利益相关者进行安全培训，以识别和应对网络钓鱼威胁。

3.物联网设备漏洞物联网

（IoT）不断扩展，连接着从家用电器到工业设备的无数设备。这种互连性在提供便利和效率的同时，也带来了许多漏洞，包括未经授权访问个人和企业网络、数据泄露和系统中断。

在评估物联网相关风险时，内部审计人员应确定其组织是否确保所有物联网设备定期更新最新的安全补丁、是否正在实施强大的网络安全协议以及是否已将物联网设备与关键网络隔离。企业 IT 和网络安全管理及战略专家 Mary K. Pratt 确定了六种常见的物联网漏洞和六种构成最重大风险的外部威胁。如果您正在评估物联网相关风险，值得一读。

4. 勒索软件即服务 (RaaS)

勒索软件攻击并不新鲜，但勒索软件即服务 (RaaS) 平台的出现甚至允许非技术犯罪分子发起复杂的勒索软件活动。正如网络安全专家Edward Kost 所指出的：RaaS“是一种基于订阅的模型，使附属机构能够使用已经开发的勒索软件工具来执行勒索软件攻击。每笔成功支付的赎金中，关联公司都会获得一定比例的收益。” 勒索软件的民主化增加了攻击的频率和多样性，针对各种规模的企业和个人，可能造成毁灭性的财务和运营影响。

内部审计员应确定其组织是否在安全的异地位置定期维护关键数据的备份。还评估组织是否投资于先进的网络安全防御，包括端点保护和入侵检测系统。

5. 合成身份欺诈

合成身份欺诈涉及通过结合真实和捏造的信息来创建虚构身份。这种类型的欺诈尤其难以发现，因为它并不直接使个人受害，而是利用了信贷和银行系统内的漏洞。长期培养这些合成身份可能会因信用欺诈和贷款违约而导致重大财务损失。

同样，根据行业，评估公司是否采用先进的分析和机器学习来检测表明合成身份的模式。还评估是否为新账户开设和信贷申请设计和实施了增强的验证流程。

6. 移动支付欺诈

移动支付平台的激增极大地提高了金融交易的便利性。然而，它也提供了利用安全漏洞进行未经授权的交易和账户接管的新机会。支付系统与社交媒体和电子商务平台的无缝集成使安全形势进一步复杂化。

如果您的组织利用移动支付，它是否为所有金融交易实施了多重身份验证 (MFA)？它是否开发并部署了先进的欺诈检测系统来监控异常交易模式？

7. 内部IT威胁内部

IT 威胁是一种持续且阴险的风险：心怀不满和/或出于经济动机的员工利用其访问权限窃听敏感信息，从而导致数据泄露、知识产权盗窃和财务欺诈。远程工作和使用个人设备执行专业任务（BYOD 策略）进一步加剧了这些漏洞。

在评估这些风险时，请考虑您的组织是否在不侵犯隐私权的情况下对员工活动进行彻底的背景调查和持续监控。还要评估是否在组织内培养安全意识和忠诚度文化，以降低内部威胁的风险。

随着技术的不断发展，欺诈风险显然变得更加复杂和动态。将尖端技术集成到我们的业务流程中可以带来令人难以置信的好处，但也带来了严重的漏洞。应对这些风险需要采取多方面的方法，将技术解决方案、监管框架和个人警惕相结合。当内部审计师承担评估欺诈风险的责任时，他们必须保持知情并积极主动。这样做可以减少您被问到臭名昭著的问题的风险：“内部审计师在哪里？”

作者：理查德·钱伯斯 2024 年 3 月 18 日