AI 如何让企业 IT 做好审计准备？-ManageEngine 卓豪

如今，组织开展 IT 资产审计，旨在实现财务、安全和合规等关键目标。然而，随着 IT 环境日益复杂、监管要求不断升级，全企业范围内的审计工作变得愈发艰难。不完整的记录、幽灵资产、影子 IT、过时系统与分散的数据，加上依赖手动流程的高耗时和高强度工作，严重影响了审计效率。

根据 YouGov 的一项调查，47% 的组织在审计过程中超出计划时间和预算至少 10%。此外，有 62% 的组织表示，正计划通过自动化手段加速审计流程。对许多组织来说，完成审计准备所需的时间和精力，常常与预算和人力资源的限制产生矛盾。而人工智能的引入，则能显著提升审计准备度——通过提升数据准确性、简化工作流程并带来更深层次的洞察。以下是具体的应用方式。

审计前阶段：利用人工智能确保 IT 资产清单的完整性

从审查资产记录到核对数据一致性，IT 团队通常需要在多个系统之间频繁切换——包括 IT 资产管理（ITAM）工具、统一终端管理与安全（UEMS）平台、采购记录、企业资源规划（ERP）系统以及财务系统。这一过程耗时且容易出错，往往导致审计准备延误，进而增加合规风险与潜在安全威胁。借助人工智能，IT 团队能够实时监控数据完整性，主动识别异常，从而节省时间、降低风险，并增强审计信心。

首先，预测型人工智能可通过分析历史使用模式与配置数据，识别出重复、过时或未登记的资产。这使 IT 团队能在审计开始前主动解决差异，确保记录清晰、准确，符合审计规范。

AI 代理作为组织的数字员工，可访问多个 IT 系统中的资产数据，辅助 IT 团队执行上下文相关的操作，以纠正数据差异。例如，“未报告资产标识符”代理可以分析位置历史与上次扫描时间戳等信息，从而识别未上报的资产。IT 团队随后可进一步调查这些资产，并将其标记为遗失或被盗。一旦确认资产被盗，AI 代理可自动发起设备数据擦除操作，保护企业数据安全，并降低潜在威胁。

借助这种方式，AI 代理不仅减轻了 IT 团队的工作负担，更大幅提升了审计准备效率，使整个过程更高效、更可信。

此外，生成式人工智能（GenAI）可以通过统一不同系统中条目的标签，提高数据一致性。例如，将“Microsoft Office”、“MS Office”和“Office Suite”等不同表述统一为“Microsoft Office”，确保数据记录的整洁和标准化，从而提升报告的准确性。

一个“深度研究”AI 代理能够分析企业系统（如 ERP、财务系统和 ITAM 工具）中的数据，以识别资产记录中的不一致性。通过关联采购订单、发票、交货单和库存信息，它可以发现例如在 ITAM 系统中被标记为缺失但实际上已交付的资产，并将这些不匹配的记录标记出来供进一步审查，或自动更新数据库，从而确保资产信息的准确性和审计准备状态。

除了基于规则的检测，预测性 AI 还可以将软件的使用行为与实际使用模式相结合，辅助识别潜在风险。同时，生成式 AI 能够通过分析软件名称和版本识别受限软件，帮助 ITAM 团队跨设备审查并移除此类应用。这一方法可以揭示以往难以察觉的盲点，在加强合规性的同时，强化整体安全防护。

中期审计阶段：利用 AI 代理推动与目的、政策和基础设施相符的审计

为简化审计执行流程，AI 代理可充当智能助手，帮助组织轻松应对审计挑战。通过解读监管框架（如 HIPAA 和 ISO 27001）并结合组织自身政策，AI 可以准确识别审计目标，并评估当前 IT 基础设施的合规情况，提供有针对性的改进建议。IT 团队在进行内部审计时，可借助这些建议及时整改，从而为外部审计打下坚实基础。

例如，AI 可以通过分析配置管理数据库（CMDB），识别出跨不同地点访问电子健康信息（ePHI）的笔记本电脑，并标记出尚未加密的设备。根据《健康保险流通与责任法案》（HIPAA）第 164.312(a)(2)(iv)条的规定，系统会建议对这些设备进行隔离并加密处理。

为满足 HIPAA 第 164.308(a)(1)(ii)(D)条款的要求，AI 还可分析授权软件的实际使用情况，识别使用率低的软件许可，并建议重新分配、取消授权或替换为更经济高效的解决方案，同时提供相关的节省成本分析和合规性解释。

此外，AI 代理还可通过自动执行如发送用户提醒、解析邮件回复以核实资产归属、自动更新审计状态等重复性任务，进一步优化审计流程。它们还能够通过交叉验证使用日志或 CMDB 记录，自动标记已核查资产，从而减少人工干预并确保审计按计划推进。

综上所述，通过识别合规风险并简化审计流程，AI 有助于 IT 团队在外部审计前提升整体合规性水平，构建更强健的审计准备体系。

审计后阶段：从关键要点中学习

在审计后阶段，重点从详细的合规检查转向战略性反思，旨在推动持续改进。然而，由于审计数据往往分散于多个系统，手动编写报告既耗时又容易出错。生成式人工智能（GenAI）可通过生成定制化、用户友好的审计摘要，简化这一过程——为整体审计结果提供清晰的概览。在此阶段，审计报告可以重点突出不合规的关键领域和合规性良好的部分，并给出一个综合合规评分。这有助于 IT 团队全面了解当前的合规状态、风险严重程度及其对业务的影响。

为避免问题重演，审计报告还可指出失败的原因，识别出亟需改进的领域，并列出一份可执行的改进路线图，以满足未来的合规要求。

例如，在完成 HIPAA 审计后，GenAI 可以总结出具体的不合规领域——如硬件追踪不足或设备未加密等问题——并根据其业务关键性评定为“高风险”。GenAI 可进一步追溯失败原因，例如源于过时的设备管理政策，并提供相应建议，从自动化政策更新到简化非受管设备的接入流程。为便于落地实施，AI 会依据风险优先级对建议进行排序，帮助 IT 团队迅速聚焦关键改进事项。同时，它还能生成可视化图表，协助利益相关者快速掌握问题模式与合规差距。

除了报告功能，IT 领导者还可通过自然语言与系统交互，以获取更深层次的洞察。例如，提出“在新兴合规趋势下，哪些资产类别可能面临更严格审查？”等问题，系统将返回清晰易懂的自然语言答复，而不仅仅是原始数据。这使得审计不再只是被动响应的流程，而是成为一种更具前瞻性、战略性的实践，帮助组织提升治理水平、弥补重复性差距，并增强未来的审计准备能力。

结语

通过在审计生命周期的每个阶段（事前、事中与事后）引入人工智能，前瞻性组织能够将 IT 审计从一项被动任务，转变为推动持续优化的战略工具。随着监管要求和 IT 环境日益复杂，AI 将帮助企业实现更智能的审计管理，降低突发风险，并持续对齐如 HIPAA 和 ISO 27001 等不断演进的合规标准。