在审计规划中对网络欺诈风险的核算

影响欺诈的因素

信息技术审计师在评估舞弊风险时应考虑的问题

压力

• 除了对压力的传统理解, IT审计人员还应该评估针对网络罪犯使用的压力相关策略的信息安全培训的有效性，以及员工在识别这些策略以打击网络欺诈方面准备得如何.
  • 员工是否倾向于在没有与组织内的相关利益相关者核实电子邮件内容的情况下匆忙行事和遵循指示?
• 对培训材料和/或员工信息调查结果的分析，可以让IT审计员了解员工如何接受培训，以应对压力，并衡量组织面临的网络欺诈风险水平.
• IT审核员应该根据记录的事件和/或基于场景的测试来审查此培训的有效性，以查看有多少容易通过基于压力的电子邮件进行操纵.

机会

• 在正确的时间出现在正确的地点，和正确的人在一起，这就是“机会”这个词最简单的定义. 信息安全的对策是采取否定一切的姿态. 如果不能否认，它就会被利用.
• 作为欺诈风险评估的一部分, IT审计人员应该确定组织所面临的社会工程暴露程度.
• 同样重要的是组织内部的数据泄漏程度.
  • 员工违反保密规定并在自己和第三方供应商之间共享特权信息的频率有多高?
  • 信息是否在无意中被发送给第三方?
  • 透过澳门赌场官方下载电邮地址发出网络钓鱼电邮的个案有多少?
• IT审核员可以审查组织的培训计划，以确定向员工提供的有关社会工程技术的培训水平，还可以审查组织保存的与机密泄露有关的安全泄露记录.
• 员工机密性值的级别显示了组织暴露于未经授权的信息共享的级别.

合理化     
    

• 任何组织都有办公室政治. 人力资源部门有责任带头提供一个培养和促进道德行为的环境.
• 不管理欺凌行为的组织, 偏袒, 对员工的不公平待遇和不公平的纪律处分程序会创造一个培养心怀不满的员工的环境.
• 内部网络安全威胁与心怀不满的员工想要破坏组织有关.
• 因此，当It审计人员审查组织内的欺诈风险时，这一点至关重要, 他们考虑到组织内部的“敌意”程度.
• 审计人员可以依靠诸如员工满意度调查之类的报告来深入了解组织内部的公平水平，以及这如何影响内部网络安全相关攻击的水平.

能力     

• 能力与员工在组织内的权力和影响力有关.
• 网络犯罪分子从澳门赌场官方下载丑闻中学到了内部控制的弱点. 您可以想象，仅仅因为CEO发送了一封请求付款的电子邮件，就会发生付款. 人们可能会问的问题是，为什么这些付款不受相同的内部程序的约束
• IMB 2021年安全指数报告报告称，全球网络钓鱼活动针对100多名管理和采购高管，为一个获得个人保护的工作组提供服务
• 因此，对于审核员来说，审查向组织内具有高水平能力的员工提供的培训水平是很重要的, 包括高管, 超级用户和密钥,
• 由于日程繁忙，高管们没有接受同等级别的安全培训
• 培训注册表可用于评估向管理人员提供的安全培训的水平.