被复制粘贴工作淹没的内部控制现实
提到内部控制,很多中小企业经营者脑海中浮现的,是不是“麻烦的文书工作”?
实际上,在我支持过的企业中,不少公司每周都要花费大量时间在ID管理和访问权限的盘点工作上。
然而,最新新闻中介绍的这家科技公司的案例,颠覆了这种常识。
根据Keymans Net的报道,某科技公司将ID管理所需时间从一周缩短到了半天。其关键在于实现了“繁琐的复制粘贴工作”的自动化。
这个案例为中小企业的内部控制展示了新的可能性。
ID管理自动化揭示的治理本质
报道中介绍的企业从根本上重新审视了ID管理流程。他们通过工具与API的联动,将以往由负责人手动进行的访问权限确认和更新工作实现了自动化。
具体来说,以下工作成为了自动化的对象:
- 员工入职离职时ID的创建与删除
- 部门调动时访问权限的变更
- 定期的访问权限盘点
- 审计日志的收集与分析
这些虽然都是内部控制的基本要素,但手动操作会耗费大量时间和精力。而且,只要依赖人工,就难免出现失误的风险。
这里重要的是,自动化的目的不仅仅是“削减成本”。通过自动化节省下来的时间,可以投入到原本应该重点关注的治理设计和运营改善上。
治理并非单纯的遵守规则,而是为实现业务目标而进行的经营设计概念。如果被复制粘贴工作追着跑,根本不可能进行本质性的治理设计。
AI改变内部控制实务
更值得关注的是AI技术的进步。报道中介绍的Okta ISPM与Claude Compliance API的整合,清晰地展示了AI将如何改变内部控制的实务。
传统的ID管理工具以基于规则的自动化为主要方式,也就是“如果XX条件,则执行YY”的简单逻辑。然而,通过利用AI,可以实现更复杂的判断和例外处理。
例如,AI在以下场景中能大显身手:
- 检测异常的访问模式
- 自动判断权限的过多或不足
- 根据风险进行动态访问控制
- 自动应对合规要求的变化
这些以往被认为是需要人类判断的领域,如今随着AI的进化,自动化的范围正在扩大。
中小企业更应有效利用AI的理由
与大企业不同,中小企业能够投入到内部控制上的人员和预算有限。正因如此,才需要最大限度地利用有限的资源。
AI自动化对中小企业来说具有以下好处:
- 减少人为失误:防止手动操作导致的输入错误和确认遗漏
- 降低成本:即使没有专职负责人,也能维持一定水平的内部控制
- 提升速度:实时执行审批流程和权限变更
- 提高审计效率:通过自动收集和分析日志,减少审计工时
特别是对于员工人数在几十名左右的企业,设置内部控制的专职负责人并不现实。大多数情况下,都是由财务或总务负责人兼任。
正因为如此,AI自动化才显得尤为有效。
导入的第一步从“可视化”开始
不过,并不需要立刻导入高级的AI工具。首先,从将当前的内部控制流程“可视化”开始吧。
具体来说,推荐以下步骤:
- 列出所有当前的内部控制流程
- 测量每个流程所花费的时间
- 将工作分为可自动化与不可自动化两类
- 估算自动化带来的效果(时间节省、错误减少)
- 确定优先级,开始考虑工具
仅通过这个过程,就能明确内部控制的现状和课题。并且,能够具体地想象出自动化的效果。
AI时代内部控制需要注意的要点
AI自动化虽然有很多好处,但也有需要注意的地方。
第一,不要过度信任AI的判断。AI终究只是工具,最终判断仍需由人类做出。特别是例外处理和灰色地带的判断,人类的经验和见识不可或缺。
第二,要考虑AI本身的治理。如果AI的判断逻辑变成黑箱,反而可能导致控制失效。应同时引入能够解释AI判断依据的机制。
第三,提升员工的素养。即使导入了AI工具,如果不会使用也毫无意义。在导入的同时,也要有计划地对员工进行教育和培训。
经营者现在就能做的3个行动
最后,介绍3个读完本文的经营者现在就能立即执行的动作。
- 盘点ID管理现状:列出谁可以访问哪些系统。你可能会发现权限比预想中更混乱。
- 调查自动化工具:寻找适合自己公司规模和预算的ID管理工具。云型工具每月仅需数千日元即可导入。
- 制定AI使用的内部规则:明确如何利用AI,以及其判断标准和责任归属。
内部控制不是“被迫去做的事情”,而是“促进业务发展的机制”。借助AI的力量,将时间投入到更本质的治理设计上吧。
从复制粘贴工作中解放出来后,真正的企业治理正在前方等待。
评论