近年來，隨著技術的不斷進步和行業環境的變化，審計工作也發生了深刻變化。越來越多的系統和應用遷移到了云端，同時處理個人身份信息（PII）的系統數量迅速增長，隱私法規日益嚴格，網絡安全形勢也越來越復雜。過去十年里，各行各業都在積極推進數字化轉型。機器人流程自動化（RPA）、人工智能（AI）、云計算和物聯網（IoT）等新技術被廣泛采用，為業務帶來了效率提升的同時，也給審計工作提出了新的挑戰——如何有效評估這些新興技術的風險，并幫助組織更好地加以控制。

從另一個角度來看，組織正在經歷審計本身的數字化轉型，其中包括使用新技術來改進審計流程并實現持續審計、預測性審計等。此外，人工智能、自然語言處理 （NLP）和機器學習（ML）將在推動這一轉型方面發揮關鍵作用。

自從OpenAI的ChatGPT4發布和大語言模型（LLMs）的普及以來，人們對將這些技術集成到組織中以提高運營效率的興趣越來越大。各個領域都有許多示例和應用，包括軟件獲取、代碼評估和改進、測試生成、網絡安全和持續賬戶審計。

這一背景為將審計與LLMs等新興技術相結合奠定了基礎，這些技術有可能以更高的準確性、自動化和主動的方法徹底改變審計流程。

隨著LLMs的廣泛應用，組織必須探索和評估如何將這些模型應用于IT審計領域。換句話說，重點必須放在使用LLMs進行審計，而不是審計LLMs本身。問題在于，這些技術可以在多大程度上集成到審計過程的各個階段，從規劃和執行到報告和跟進。評估它們在提高風險識別和合規性的效率、準確性和有效性方面的潛力至關重要。組織必須確定LLMs可以增加有形價值以及人工干預仍然必要的領域，確保與既定的審計標準保持一致，例如ISACA在 IT審計框架（ITAF）中概述的標準。通過戰略性地整合LLMs，組織可以提高其審計流程的效率和有效性。

LLMs 幫助審計師將精力集中在最大風險或需要立即關注的領域

本文的分析基于典型的審計流程階段：計劃、現場工作與文檔編制、報告。審計過程的每個階段隨后分為關鍵步驟（圖 1）。

這些基礎步驟展示了如何有效地集成 LLMs 以增強審計流程并使其現代化。

使用 LLMs 變革審計計劃

計劃階段是審計的基礎步驟，因為它定義了整個審計活動的參數和重點。

確定審計主體

1.1

在確定審計主體子階段中，LLMs可以通過識別關鍵審計領域來提高效率。為此，LLMs被訓練分析大量歷史數據，包括以往的審計記錄、安全事件和風險日志以及其他相關文檔。LLMs分析這些數據以識別反復出現的問題模式或未得到充分審計的領域。這為審計人員在制定審計領域的戰略決策提供了更堅實的基礎，因為他們可以依賴客觀、真實的數據，而不僅僅是直覺或以前的經驗。

此外，LLMs 可以分析歷史數據，以確定風險環境和監管環境的新趨勢。這包括識別可能影響組織的新網絡威脅和合規性法規的變化。這些模型可以預測趨勢，這使審計人員能夠通過關注新出現的風險并確保組織為新威脅做好準備來領先一步。此外，LLMs 還有助于組織保持對最新法規要求的合規性。例如，如果 LLMs 檢測到行業中的勒索軟件攻擊有所增加，它可能會建議在最容易受到勒索軟件攻擊的領域優先進行審計。同樣，如果法規最近發生了變化，LLMs 可能會建議納入合規性審計，以確保組織與這些新法規保持一致。

LLMs在分析IT架構以及系統或功能之間的相互依賴關系時也非常有用。這種能力在復雜的IT環境中尤為重要，因為一個系統的故障可能會引發其他系統的連鎖反應。通過這種方式，LLMs確保審計不僅涵蓋顯而易見的領域，還包括那些由于與其他系統交互而可能至關重要的領域。

這一能力有助于防止僅通過徹底分析相互依賴關系才能發現的系統性故障。

在確定審計主體子階段利用 LLMs 使組織能夠簡化審計領域的識別，從而做出更具戰略性和數據驅動的選擇。通過集成預測分析和監管情境化功能，LLMs 幫助審計人員將精力集中在風險最大或需要立即關注的領域，從而確保與組織的優先事項保持一致的更有效的審計。

定義審計目標

1.2

在“定義審計目標”子階段，LLMs可以幫助制定符合相關法規和標準的明確審計目標，例如《歐盟通用數據保護條例》（GDPR）、《美國薩班斯-奧克斯利法案》（SOX）或國際標準化組織（ISO）/國際電工委員會（IEC）標準ISO/IEC 27001:2022《信息安全、網絡安全和隱私保護—信息安全管理體系—要求》。LLMs可以分析法規、行業標準和內部政策，提取必須滿足的關鍵要求。這使審計人員能夠設定符合監管期望和組織內部政策的目標。

LLMs 還擅長創建基于風險的目標。通過分析歷史漏洞和風險，LLMs可以幫助確定解決最大風險領域的目標，確保審計側重于組織最脆弱的環節。

此外，LLMs可以根據每個流程的具體需求，根據不同級別的詳盡性、正式性和嚴謹性來確定和調整審計方法。如果審計涉及高度關鍵性或發生在受監管的環境中，例如根據SOX或GDPR審查財務系統，LLMs可能會推薦一種全面的方法。這種方法將包括對所有交易和記錄的詳細分析、嚴格的技術測試和徹底的監管合規性檢查。另一方面，在初步的內部審計或例行的低風險審查中，LLMs可能會通過建議抽樣方法來調整方法，將精力集中在失敗可能性最高的領域。這種敏捷方法只關注最關鍵的領域，無需審計整個系統，從而節省了資源和時間。最終，LLMs會根據審計人員的偏好調整推薦的方法，但也會根據目標調整方法的嚴謹性和正式性，確保流程高效且與具體情況相關。

在定義審計目標子階段中使用 LLMs可以簡化建立清晰、符合法規的目標的過程，并確保將精力集中在最關鍵的方面，從而促進更精確和戰略性的方法。

設置審計范圍

1.3

在設置審計范圍子階段中，LLMs可以幫助審計人員識別技術基礎設施中的關鍵系統、功能、單元和應用程序。他們可以處理和分析許多文檔，例如網絡拓撲圖、詳細的資產清單、應用程序和系統配置日志、用戶和權限列表、活動日志、事件日志以及所有相關策略和程序。借助這些信息，LLMs可以突出IT環境不同組件之間的關鍵相互依賴關系，識別潛在的弱點，或突出可能是高風險的領域。這有助于審計人員更全面地了解系統之間的關系，使他們能夠就審計范圍應包括哪些領域做出更明智的決策。這可確保資源集中在最關鍵或最脆弱的區域。

此外，LLMs還可以幫助優化資源。定義審計范圍包括考慮可用資源，包括審計團隊的時間和技術技能。LLMs可以建議最大限度地利用這些資源的方法，例如專注于團隊擁有最豐富專業知識的領域，或建議使用自動化工具來協助更多技術領域。

LLMs可以通過分析與審計團隊能力相關的各種信息來優化審計范圍，例如可用員工的數量、他們的技術技能以及分配給完成審計的時間范圍。它可以根據資源和時間限制建議優化。例如，他們可以幫助確定審計的哪些方面可能需要更多或更少的時間和精力。如果團隊受到限制，它可以建議將資源重新分配到最關鍵的領域，確保資源的有效利用。

總之，LLMs可以通過確保審計范圍界定流程準確、重點突出并與可用資源保持一致來改變審計范圍界定流程。通過映射技術相互依賴關系、確定關鍵領域的優先級和優化資源的使用，LLMs使審計人員能夠建立一個涵蓋相關點的范圍，并最大限度地提高審計效率，從而確保全面和有意義的評估。

執行預審規劃

1.4

在執行預審規劃子階段，LLMs可以自動執行風險評估，確定在審計期間需要進一步關注的關鍵領域。此功能對于規劃如何降低最大風險領域和確保有效審計至關重要。

LLMs還可以通過確定關注的領域來幫助生成訪談問題。LLMs可以為審計人員生成特定的訪談問題，確保全面涵蓋所有問題，并記錄回答以供進一步分析。

最后，在資源和后勤規劃中，LLMs可以推薦資源、預算和后勤的分配，根據定義的復雜性和范圍優化規劃流程。例如，在規劃網絡安全審計期間，LLMs可能會確定所需的技術技能，例如云安全知識，并建議在審計團隊中加入該領域的專家。

確定審計程序和數據收集的步驟

1.5

在確定數據收集的審計程序和步驟子階段中，LLMs對于開發自定義審計工具至關重要。他們可以幫助開發針對組織的特定系統和技術量身定制的腳本和工具，確保這些工具有效并滿足審計目標。

LLMs也有助于選擇評估方法。根據識別出的風險，他們可以建議最合適的評估方法，例如滲透測試、權限審查或日志分析。

此外，LLMs可以與現有系統集成，以自動收集數據以進行審計，從而確保數據的準確性和完整性。例如，在審計數據庫系統的安全性時，LLMs可以自動生成一個腳本來評估安全設置、識別具有提升權限的用戶，并分析訪問日志中的可疑活動。

LLMs在行動：加強實地工作和文檔記錄

實地工作和文檔記錄階段是審計的操作核心，這個階段收集數據、測試控制措施、識別問題并記錄結果。

獲取數據

2.1

在實地工作和文檔記錄階段的“數據采集”子階段，LLMs的應用帶來了顯著的優勢。LLMs可以與組織的數據庫和系統集成，以自動收集與審計相關的數據。這包括提取日志、活動日志、系統配置和其他必要信息。但是，應該注意的是，授予LLMs訪問敏感審計數據存在潛在風險，例如未經授權的訪問、數據泄露、隱私問題和監管合規挑戰，從而加強了采取強有力的監督和控制措施來維護數據完整性的必要性。

LLMs還可以驗證所獲取數據的完整性，確保沒有可能損害審計有效性的缺失或已損壞數據。例如，在網絡安全審計中，LLMs可以連接到網絡監控系統以提取訪問日志、防火墻配置更改日志和用戶活動數據。通過無縫連接到這些系統和日志，LLMs可以驗證所有必需的記錄是否完整且未更改。

測試控制

2.2

在測試控制子階段中，LLMs可以生成并執行自定義腳本來測試組織的內部控制。這些腳本可以驗證訪問控制的有效性、應用程序安全設置以及合規性策略的正確實施。此外，LLMs可以實時分析這些測試的結果，識別任何需要立即關注的異常或失效控制。例如，在訪問控制審計中，LLMs可以運行一個腳本來驗證是否所有訪問權限都僅限于授權人員，以及是否遵循會話時間和多因素身份驗證 （MFA）策略。通過使用此腳本，LLMs可以立即識別并報告任何不合規情況。

問題發現和驗證

2.3

在問題發現和驗證子階段中，LLMs可以分析控制測試結果和獲取的數據，以識別需要注意的問題或故障。這些發現可以根據其嚴重性和對組織的潛在影響自動分類。此外，LLMs可以根據法規、內部政策和行業最佳實踐驗證這些發現，以確定它們是否需要立即采取行動。例如，如果LLMs在關鍵系統上檢測到訪問權限配置錯誤，它可以生成發現報告，將其歸類為高風險，并建議IT團隊進行緊急審查。

記錄結果

2.4

在記錄結果子階段中，LLMs可以根據經過驗證的結果自動編寫審計報告。這些報告可以針對不同的受眾進行定制，從面向IT團隊的詳細技術報告到面向高級管理層的執行摘要。

從發現到跟進：審計報告中的LLMs

報告階段是審計的最后階段，將審計結果匯編、記錄并傳達給相關利益相關者，確保審計結果清晰、可執行且可訪問。

收集報告要求

3.1

在報告階段中的收集報告需求子階段，LLMs幫助識別需要包含在審計報告中的關鍵要求。LLMs可以審查內部政策、外部法規和行業標準以提取這些要求，確保報告滿足所有監管期望和利益相關者需求。此外，LLMs可以通過分析組織內不同受眾的需求來自定義報告，為每個組建議適當的結構和內容。例如，在編制信息安全審計報告的要求時，LLMs可能會建議包括有關監管合規性的特定部分，例如ISO/IEC 27001、關鍵安全相關績效指標以及為高級管理層提供戰略建議的執行摘要。

報告草稿

3.2

在草擬報告子階段中，LLMs可以根據在前幾個階段獲得的數據和結果生成審計報告草案。該草案可能包括對調查結果的詳細說明、風險分析和根據適合目標受眾的風格和語氣量身定制的建議。LLMs還可以審查報告的初稿，以確保一致性、清晰度和準確性。這種審查可能包括確定需要進一步詳細或簡化的領域，并提出改進措辭的建議，以確保報告易于理解和有說服力。例如，在合規性審計中，LLMs 可能會起草一份初始報告，描述評估的控制措施、關鍵合規性發現和改進風險管理實踐的建議。然后，LLMs可以微調語言，使其可供合規團隊和董事會高管使用。

發布報告

3.3

在“發布報告”子階段，LLMs可以為不同的受眾創建最終報告的不同版本，如高級管理層、IT團隊和外部監管機構等，確保每個群體都能以易于理解和應用的格式接收所需信息。這可確保每個組都以易于理解和應用的格式接收所需的信息。此外，LLMs可以在正確的時間自動將正確的報告發送給正確的人，并記錄誰收到了它。例如，在發布有關企業資源規劃（ERP）系統安全性的審計報告時，LLMs可以為技術團隊生成包含控制規范的詳細版本，為高級管理層生成摘要版本，強調關鍵風險領域和關鍵建議，以及要發送給監管機構的合規性版本。LLMs甚至可以將報告翻譯成不同的語言，并根據不同的地區或法規調整內容，確保結果易于理解并適用于所有相關環境。例如，在完成對ERP系統的審計后，LLMs可以生成一份詳細的審計發現報告，包括用于高級管理層的執行摘要，以清晰簡潔的方式解釋關鍵關注領域并提供建議。如果企業在多個國家/地區運營，LLMs還可以將報告翻譯成多種語言，以確保所有地區都能理解。

后續行動

3.4

在后續行動子階段中，LLMs可以自動執行審計報告中建議的糾正措施的流程。它們還可以安排和執行自動跟進，向責任方發送提醒，跟蹤已實施行動的進度，并為審計人員和管理層生成狀態報告。此外，LLMs可以分析后續結果，以評估已實施糾正措施的影響，確定控制措施的改進或需要進一步關注的領域。例如，在審計發現訪問管理缺陷后，LLMs可以自動跟進建議的更正。這包括向IT團隊發送提醒，生成有關已實施改進狀態的定期報告，以及評估這些措施是否有效降低了最初確定的風險領域。

在審計中駕馭 LLMs 的風險

在將LLMs集成到IT審計中時，需要仔細管理一些潛在的風險因素。允許LLMs訪問敏感數據可能會導致意想不到的風險，包括未經授權的訪問和潛在的數據泄露。當LLMs無意中在法律邊界之外處理數據時，合規性就會變得復雜。

數據完整性和偏差是額外的風險來源。由于LLMs從歷史數據中學習，因此其中嵌入的任何偏差或不準確之處都會影響審計發現的結果和可靠性。此外，還存在過度依賴LLMs的風險，LLMs雖然高效，但會導致人工監督減少，并失去對全面審計至關重要的細微見解和專業判斷。另一個重要的考慮因素是LLMs通常作為一個“黑盒”運作，使審計人員難以完全了解決策是如何做出的，這可能會影響審計結果的信心和問責制。

此外，將LLMs連接到多個數據源會增加系統的攻擊面，并引入可能被利用的漏洞。

鑒于這些風險情景，必須采用一種平衡的方法，將強大的安全性、數據治理和持續的人工監督相結合。

結論

事實證明，LLMs是強大的工具，可以顯著改變IT審計的執行方式。通過自動執行重復性任務、提高分析準確性和提供數據驅動的見解，這些模型使審計人員能夠專注于審計的更多戰略性和關鍵方面。

然而，重要的是要認識到，雖然LLMs可以提高審計過程的效率和有效性，但它們不能取代人類審計人員的專業知識和專業判斷。當這些工具與人類洞察力相結合時，這些工具的真正潛力就會得到實現，以確保審計既徹底又在戰略上與組織目標保持一致。實現這種平衡需要仔細的風險管理，這不僅可以最大限度地發揮LLMs集成的好處，還可以確保安全、合規和有效的審計環境。

隨著技術環境的不斷發展和風險變得更加復雜，LLMs提供了一種最大限度地提高系統審計生產力和質量的方法。在時間越來越寶貴的世界中，LLMs可以充當有價值的助手，幫助審計人員駕馭日益復雜的數字環境，并確保組織保持高水平的安全性和合規性。

編者注：本文出自ISACA Journal 2025年第1期。尾注略。文章內容僅代表作者本人觀點。

作者：DIEGO&MARIO

來源：ISACA微信公眾號

編輯：孫哲

目前180000+人已關注我們，您還等什么？