我最近读到一篇新闻报道，解释了美国新的反导方法，即所谓的"发射左侧"。

这篇报道解释说，现在的想法是在发射前或飞行的第一秒打击敌人的导弹。旧的方法一直等到很久以后——在成群的弹头被释放，行进了数千英里之后，我们必须接受无法阻止敌人发射导弹的事实，即使是一次成功的导弹打击也可能是灾难性的，仅仅在事后发现并依靠对发射的反应是为时已晚的针对敌人的导弹已经转移到"发射的左边"——探测和响应导弹发射前的事件和条件，人工智能工作，并预测它们。对有效的发射检测和响应的依赖已经达到极限。

定义控制有效性的极限

内部控制框架的潜前提是，足够正确的"控制"是防止风险发生或在风险发生时快速检测和响应风险的关键。更多的控制总是更好的。

审计人员和业务人员查看控制的"设计"和"操作"，报告"重大缺陷"和"重大弱点"。假设有效的控制可以防止或检测风险的"发射"。

与导弹防御实践不同，内部控制思想几乎完全针对"启动权"，教育大数据，内部控制被认为是风险的屏障。"发射权"思维的隐含假设是，导弹发射或商业风险是可以容忍的，因为那些无法阻止的发射可以在其产生重大影响之前被发现和挫败。

控制缺陷是控制有效性的最佳指标吗？

向左看

答案是什么？有两件事是必要的。

首先，放弃现有的最佳控制是愚蠢的。但是，将它们自动化和简化是非常必要的。第二，我们需要开始发展"左撇子"分析能力，以建立识别风险事件之前的事件和条件的能力。

上周，我观看了部分国家足球联盟年度草案。职业体育已经开发出强大的分析工具和指标，根据运动员的身体和个人属性对运动员的成功进行排名和预测。我并不是建议我们以这种方式对员工进行评级和排名，也不是建议这样做会有帮助。但我们肯定可以通过观察交易流和外部事件来辨别令人不安的模式或异常现象。当然，我们可以预测薪酬方案对行为的影响，返利机器人怎么做，以及法规和政策对企业绩效的影响。

GRC专业人士在采用薪酬方案方面滞后。几乎所有最近发表的研究都表明，内部审计必须提高其在这一领域的技能。

转移"控制权左边"需要分析，但这只是开始。控制有效性范式需要时间来取代和取代。它渗透到GRC的各个方面。新的工具和概念框架是必要的。

你在哪里？

我一如既往地对你的评论和反应感兴趣。你失去控制了吗？你想在那里换班吗？

了解更多

与我的同事一起参加6月在阿姆斯特丹举办的SAP Insider GRC2017。（5月12日前注册，节省300欧元）请阅读我4月28日在IA Online上发表的文章"审计师是时候失控了"。阅读我们关于三道防线和GRC主题的其他博客。

，云服务器厂商，物联网模块