資源描述:
《如何建立it控制小組》由會(huì)員上傳分享�����,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)��。
1���、如何建立IT控制小組
2、第1第1Kazmi是巴基斯坦中央倉(cāng)儲(chǔ)公司的經(jīng)理���。公司有175名職員�,大約60人屬于IT部門。Kazmi希望通過(guò)借鑒信息系統(tǒng)審計(jì)的知識(shí)框架COBIT(ControlObjectnessforInformationanrelatedTechnology)����,設(shè)計(jì)和建立一個(gè)控制小組,以便對(duì)整個(gè)公司的IT系統(tǒng)進(jìn)行有效的管理��。Kazmi把他的想法放在了網(wǎng)上���。過(guò)了幾天����,他就收到了眾多有價(jià)值的建議����。 問(wèn)題和設(shè)想 Kazmi想知道的是���,“這個(gè)小組的最佳結(jié)構(gòu)是什么��?它的角色����、授權(quán)和責(zé)任分別是什么?”
3�、 按照他的設(shè)想,希望在IT部門內(nèi)組建一個(gè)3人控制小組���,并把它與公司審計(jì)部的信息系統(tǒng)審計(jì)(ISAudit)職能區(qū)別開(kāi)來(lái)�����?!翱刂菩〗M的經(jīng)理向IT部門總監(jiān)匯報(bào)�,但與IT部門在運(yùn)作上相對(duì)獨(dú)立?��!薄 敖衲暌詠?lái)�,公司已經(jīng)建立了一個(gè)獨(dú)立的內(nèi)審部門來(lái)指導(dǎo)IT審計(jì)”�����,Kazmi在郵件中介紹說(shuō)���,“審計(jì)部門從職能上說(shuō)���,直接向董事會(huì)和CEO報(bào)告����,并有清晰的獨(dú)立職責(zé)�?���!薄 ∧敲矗瑸槭裁催€需要另外建立一個(gè)所謂的“控制小組”呢����?針對(duì)一些專家提出的質(zhì)疑,Kazmi解釋說(shuō)�,“這樣的一個(gè)小組,實(shí)際上是在‘實(shí)施’IT控制”�����。換句話說(shuō)�����,就是把“
4����、IT控制”落在實(shí)處�?�! azmi感到�����,公司的IT部門在處理“IT控制”的問(wèn)題上多少有點(diǎn)尷尬����,“它只能在內(nèi)部建立某種形式的控制。究其根源�,可能是一種帶有很深的偏見(jiàn):其他部門會(huì)認(rèn)為,由IT部門自己來(lái)實(shí)施控制���,不能對(duì)IT部門自身的權(quán)利和授權(quán)有合理的約束和限制��?����!薄 ∷?�,公司希望建立一個(gè)整合的控制小組�����,而不是僅僅把這種責(zé)任推給IT審計(jì)人員�。“話雖然這么說(shuō)�����,問(wèn)題是如何把這種想法落在實(shí)處�。我們感到�,信息系統(tǒng)審計(jì)人員和職能部門之間,在實(shí)施有效的控制問(wèn)題上存在差距��,需要建立溝通的橋梁�。我們打算加強(qiáng)IT控制,以便能夠更有
5�����、效地評(píng)估風(fēng)險(xiǎn)和控制����。” 不同的意見(jiàn) “你好�,Kazmi�����,我是土耳其人��。我希望與你分享關(guān)于建立小型類似組織的經(jīng)驗(yàn)����?!盉aykal是土耳其一家地方銀行IT審計(jì)部門的經(jīng)理。在過(guò)去的2年里�����,他已經(jīng)做過(guò)了類似的工作�����?���! aykal十分坦率地表達(dá)了不同的意見(jiàn)。他認(rèn)為�,“這個(gè)控制小組的領(lǐng)導(dǎo)并非向IT部門的領(lǐng)導(dǎo)報(bào)告,相反���,他不應(yīng)當(dāng)在IT部門內(nèi)實(shí)施控制��?��!薄 霸贗T部門內(nèi)設(shè)立這個(gè)小組�����,是一個(gè)錯(cuò)誤的設(shè)想����。這樣做的話��,這個(gè)小組根本沒(méi)辦法開(kāi)展工作���。” 隨即���,Baykal提出了自己的建議�����,“你可以把IT審計(jì)職能與公司的審計(jì)
6��、部門合并�����,或者單獨(dú)設(shè)立IT審計(jì)小組���,并向整個(gè)審計(jì)部門的最高領(lǐng)導(dǎo)報(bào)告�����?���!薄 ≡贐aykal的銀行里��,經(jīng)常面臨系統(tǒng)定義的“用戶”與“實(shí)際在公司中工作的職員”之間并非完全一一對(duì)應(yīng)的情況���。這種情況包括用戶的職責(zé)變更��、系統(tǒng)的業(yè)務(wù)權(quán)屬變更�����、新增加的增值業(yè)務(wù)所帶來(lái)的變更等�。為了檢查這些變更是否隱藏著風(fēng)險(xiǎn),Baykal定義了大量的“IT控制點(diǎn)”�����,以便考核和監(jiān)控業(yè)務(wù)與IT系統(tǒng)之間的“契合程度”��?����! 敖T控制點(diǎn)之后�����,你可以開(kāi)始運(yùn)行IT審計(jì)程序���,比如系統(tǒng)操作、數(shù)據(jù)中心�����、網(wǎng)絡(luò)基礎(chǔ)架構(gòu)�、應(yīng)用系統(tǒng)安全、信息安全等�?!薄 】刂频慕?/p>
7���、點(diǎn)是風(fēng)險(xiǎn) 作為致力于開(kāi)發(fā)信息系統(tǒng)審計(jì)軟件的美國(guó)鳳凰公司總裁�����,Robin先生十分熱心地幫助初步接觸COBIT和相關(guān)審計(jì)產(chǎn)品的公司決策層了解相關(guān)的背景知識(shí)��。他在與Kazmi的討論中一直是一位熱心的人��?! 霸诖_定控制之前���,我們需要首先明確風(fēng)險(xiǎn)在哪里”�,Basham介紹說(shuō)�����,“我們的做法是���,對(duì)公司中每個(gè)系統(tǒng)列出一個(gè)表��,以便清楚地看出��,一旦系統(tǒng)癱瘓�,影響因素的顯著程度排列,以及這些系統(tǒng)發(fā)生故障的可能性����,然后我們?yōu)槠渲概杉夹g(shù)支持專責(zé)人員。在這樣的組織工作分派過(guò)程中����,我們可以對(duì)每個(gè)系統(tǒng)按照重要等級(jí)和故障可能性、導(dǎo)致的后
8、果的嚴(yán)重程度�����,排列應(yīng)急處理的程序����。這些任務(wù)中充滿了控制點(diǎn),但是,必須滿足組織安全等級(jí)的需要����?���!薄 ∮幸患覍徲?jì)公司的合伙人John則為Kazmi提出了類似的意見(jiàn),“如果你試圖改善IT控制�,不要討論什么‘控制’的問(wèn)題����,而是要討論‘業(yè)務(wù)風(fēng)險(xiǎn)’的問(wèn)題��?���!薄 ohn的觀點(diǎn)是����,只有當(dāng)IT審計(jì)人員和公司管理層都清晰地了解了企業(yè)所面臨的風(fēng)險(xiǎn)——并且以組織所了解的術(shù)語(yǔ)加以定義——公司才可能指望有效地控制組織中所存在的風(fēng)險(xiǎn)�?���! 癐T審計(jì)已經(jīng)建立了眾多的控制目標(biāo),如果你在考慮控制的過(guò)程中����,注意力集中在業(yè)務(wù)風(fēng)險(xiǎn)的控制,你將大幅
9�����、度提高成效�����。”Basham和John的意見(jiàn)對(duì)Kazmi來(lái)說(shuō)�����,是十分寶貴的��,“看來(lái)��,控制小組只是手段�,關(guān)鍵要識(shí)別出系統(tǒng)中的風(fēng)險(xiǎn)所在,并制定出完整的控制措施����。控制小組設(shè)在哪里����,無(wú)非是責(zé)任、權(quán)利和激勵(lì)之間的制衡而已��?�!薄 ★L(fēng)險(xiǎn)控制與信息系統(tǒng)審計(jì) 由美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)1996年發(fā)布的“信息及相關(guān)技術(shù)控制目標(biāo)”(COBIT)���,已經(jīng)成為風(fēng)行全球的信息系統(tǒng)審計(jì)領(lǐng)域事實(shí)上的業(yè)界標(biāo)準(zhǔn)�����?���! ”姸嗟你y行���、保險(xiǎn)�����、
