写点什么

AI 如何让企业 IT 做好审计准备?-ManageEngine 卓豪

  • 2025-07-25
    北京
  • 本文字数:2524 字

    阅读完需:约 8 分钟

AI如何让企业 IT 做好审计准备?-ManageEngine卓豪

如今,组织开展 IT 资产审计,旨在实现财务、安全和合规等关键目标。然而,随着 IT 环境日益复杂、监管要求不断升级,全企业范围内的审计工作变得愈发艰难。不完整的记录、幽灵资产、影子 IT、过时系统与分散的数据,加上依赖手动流程的高耗时和高强度工作,严重影响了审计效率。


根据 YouGov 的一项调查,47% 的组织在审计过程中超出计划时间和预算至少 10%。此外,有 62% 的组织表示,正计划通过自动化手段加速审计流程。对许多组织来说,完成审计准备所需的时间和精力,常常与预算和人力资源的限制产生矛盾。而人工智能的引入,则能显著提升审计准备度——通过提升数据准确性、简化工作流程并带来更深层次的洞察。以下是具体的应用方式。


审计前阶段:利用人工智能确保 IT 资产清单的完整性


从审查资产记录到核对数据一致性,IT 团队通常需要在多个系统之间频繁切换——包括 IT 资产管理(ITAM)工具、统一终端管理与安全(UEMS)平台、采购记录、企业资源规划(ERP)系统以及财务系统。这一过程耗时且容易出错,往往导致审计准备延误,进而增加合规风险与潜在安全威胁。借助人工智能,IT 团队能够实时监控数据完整性,主动识别异常,从而节省时间、降低风险,并增强审计信心。

首先,预测型人工智能可通过分析历史使用模式与配置数据,识别出重复、过时或未登记的资产。这使 IT 团队能在审计开始前主动解决差异,确保记录清晰、准确,符合审计规范。


AI 代理作为组织的数字员工,可访问多个 IT 系统中的资产数据,辅助 IT 团队执行上下文相关的操作,以纠正数据差异。例如,“未报告资产标识符”代理可以分析位置历史与上次扫描时间戳等信息,从而识别未上报的资产。IT 团队随后可进一步调查这些资产,并将其标记为遗失或被盗。一旦确认资产被盗,AI 代理可自动发起设备数据擦除操作,保护企业数据安全,并降低潜在威胁。


借助这种方式,AI 代理不仅减轻了 IT 团队的工作负担,更大幅提升了审计准备效率,使整个过程更高效、更可信。


此外,生成式人工智能(GenAI)可以通过统一不同系统中条目的标签,提高数据一致性。例如,将“Microsoft Office”、“MS Office”和“Office Suite”等不同表述统一为“Microsoft Office”,确保数据记录的整洁和标准化,从而提升报告的准确性。


一个“深度研究”AI 代理能够分析企业系统(如 ERP、财务系统和 ITAM 工具)中的数据,以识别资产记录中的不一致性。通过关联采购订单、发票、交货单和库存信息,它可以发现例如在 ITAM 系统中被标记为缺失但实际上已交付的资产,并将这些不匹配的记录标记出来供进一步审查,或自动更新数据库,从而确保资产信息的准确性和审计准备状态。


除了基于规则的检测,预测性 AI 还可以将软件的使用行为与实际使用模式相结合,辅助识别潜在风险。同时,生成式 AI 能够通过分析软件名称和版本识别受限软件,帮助 ITAM 团队跨设备审查并移除此类应用。这一方法可以揭示以往难以察觉的盲点,在加强合规性的同时,强化整体安全防护。


中期审计阶段:利用 AI 代理推动与目的、政策和基础设施相符的审计


为简化审计执行流程,AI 代理可充当智能助手,帮助组织轻松应对审计挑战。通过解读监管框架(如 HIPAA 和 ISO 27001)并结合组织自身政策,AI 可以准确识别审计目标,并评估当前 IT 基础设施的合规情况,提供有针对性的改进建议。IT 团队在进行内部审计时,可借助这些建议及时整改,从而为外部审计打下坚实基础。


例如,AI 可以通过分析配置管理数据库(CMDB),识别出跨不同地点访问电子健康信息(ePHI)的笔记本电脑,并标记出尚未加密的设备。根据《健康保险流通与责任法案》(HIPAA)第 164.312(a)(2)(iv)条的规定,系统会建议对这些设备进行隔离并加密处理。


为满足 HIPAA 第 164.308(a)(1)(ii)(D)条款的要求,AI 还可分析授权软件的实际使用情况,识别使用率低的软件许可,并建议重新分配、取消授权或替换为更经济高效的解决方案,同时提供相关的节省成本分析和合规性解释。


此外,AI 代理还可通过自动执行如发送用户提醒、解析邮件回复以核实资产归属、自动更新审计状态等重复性任务,进一步优化审计流程。它们还能够通过交叉验证使用日志或 CMDB 记录,自动标记已核查资产,从而减少人工干预并确保审计按计划推进。


综上所述,通过识别合规风险并简化审计流程,AI 有助于 IT 团队在外部审计前提升整体合规性水平,构建更强健的审计准备体系。


审计后阶段:从关键要点中学习


在审计后阶段,重点从详细的合规检查转向战略性反思,旨在推动持续改进。然而,由于审计数据往往分散于多个系统,手动编写报告既耗时又容易出错。生成式人工智能(GenAI)可通过生成定制化、用户友好的审计摘要,简化这一过程——为整体审计结果提供清晰的概览。在此阶段,审计报告可以重点突出不合规的关键领域和合规性良好的部分,并给出一个综合合规评分。这有助于 IT 团队全面了解当前的合规状态、风险严重程度及其对业务的影响。


为避免问题重演,审计报告还可指出失败的原因,识别出亟需改进的领域,并列出一份可执行的改进路线图,以满足未来的合规要求。


例如,在完成 HIPAA 审计后,GenAI 可以总结出具体的不合规领域——如硬件追踪不足或设备未加密等问题——并根据其业务关键性评定为“高风险”。GenAI 可进一步追溯失败原因,例如源于过时的设备管理政策,并提供相应建议,从自动化政策更新到简化非受管设备的接入流程。为便于落地实施,AI 会依据风险优先级对建议进行排序,帮助 IT 团队迅速聚焦关键改进事项。同时,它还能生成可视化图表,协助利益相关者快速掌握问题模式与合规差距。


除了报告功能,IT 领导者还可通过自然语言与系统交互,以获取更深层次的洞察。例如,提出“在新兴合规趋势下,哪些资产类别可能面临更严格审查?”等问题,系统将返回清晰易懂的自然语言答复,而不仅仅是原始数据。这使得审计不再只是被动响应的流程,而是成为一种更具前瞻性、战略性的实践,帮助组织提升治理水平、弥补重复性差距,并增强未来的审计准备能力。


结语


通过在审计生命周期的每个阶段(事前、事中与事后)引入人工智能,前瞻性组织能够将 IT 审计从一项被动任务,转变为推动持续优化的战略工具。随着监管要求和 IT 环境日益复杂,AI 将帮助企业实现更智能的审计管理,降低突发风险,并持续对齐如 HIPAA 和 ISO 27001 等不断演进的合规标准。

用户头像

IT运维爱好者 2024-08-06 加入

谢谢你,陌生人!

评论

发布
暂无评论
AI如何让企业 IT 做好审计准备?-ManageEngine卓豪_ManageEngine卓豪_ServiceDesk_Plus_InfoQ写作社区