返回
如何建立it控制小组

如何建立it控制小组

ID:25185601

大小:55.50 KB

页数:7页

时间:2018-11-18

如何建立it控制小组_第1页
如何建立it控制小组_第2页
如何建立it控制小组_第3页
如何建立it控制小组_第4页
如何建立it控制小组_第5页
资源描述:

《如何建立it控制小组》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、如何建立IT控制小组

2、第1第1Kazmi是巴基斯坦中央仓储公司的经理。公司有175名职员,大约60人属于IT部门。Kazmi希望通过借鉴信息系统审计的知识框架COBIT(ControlObjectnessforInformationanrelatedTechnology),设计和建立一个控制小组,以便对整个公司的IT系统进行有效的管理。Kazmi把他的想法放在了网上。过了几天,他就收到了众多有价值的建议。  问题和设想  Kazmi想知道的是,“这个小组的最佳结构是什么?它的角色、授权和责任分别是什么?” 

3、 按照他的设想,希望在IT部门内组建一个3人控制小组,并把它与公司审计部的信息系统审计(ISAudit)职能区别开来。“控制小组的经理向IT部门总监汇报,但与IT部门在运作上相对独立。”  “今年以来,公司已经建立了一个独立的内审部门来指导IT审计”,Kazmi在邮件中介绍说,“审计部门从职能上说,直接向董事会和CEO报告,并有清晰的独立职责。”  那么,为什么还需要另外建立一个所谓的“控制小组”呢?针对一些专家提出的质疑,Kazmi解释说,“这样的一个小组,实际上是在‘实施’IT控制”。换句话说,就是把“

4、IT控制”落在实处。  Kazmi感到,公司的IT部门在处理“IT控制”的问题上多少有点尴尬,“它只能在内部建立某种形式的控制。究其根源,可能是一种带有很深的偏见:其他部门会认为,由IT部门自己来实施控制,不能对IT部门自身的权利和授权有合理的约束和限制。”  所以,公司希望建立一个整合的控制小组,而不是仅仅把这种责任推给IT审计人员。“话虽然这么说,问题是如何把这种想法落在实处。我们感到,信息系统审计人员和职能部门之间,在实施有效的控制问题上存在差距,需要建立沟通的桥梁。我们打算加强IT控制,以便能够更有

5、效地评估风险和控制。”  不同的意见  “你好,Kazmi,我是土耳其人。我希望与你分享关于建立小型类似组织的经验。”Baykal是土耳其一家地方银行IT审计部门的经理。在过去的2年里,他已经做过了类似的工作。  Baykal十分坦率地表达了不同的意见。他认为,“这个控制小组的领导并非向IT部门的领导报告,相反,他不应当在IT部门内实施控制。”  “在IT部门内设立这个小组,是一个错误的设想。这样做的话,这个小组根本没办法开展工作。”  随即,Baykal提出了自己的建议,“你可以把IT审计职能与公司的审计

6、部门合并,或者单独设立IT审计小组,并向整个审计部门的最高领导报告。”  在Baykal的银行里,经常面临系统定义的“用户”与“实际在公司中工作的职员”之间并非完全一一对应的情况。这种情况包括用户的职责变更、系统的业务权属变更、新增加的增值业务所带来的变更等。为了检查这些变更是否隐藏着风险,Baykal定义了大量的“IT控制点”,以便考核和监控业务与IT系统之间的“契合程度”。  “建立IT控制点之后,你可以开始运行IT审计程序,比如系统操作、数据中心、网络基础架构、应用系统安全、信息安全等。”  控制的焦

7、点是风险  作为致力于开发信息系统审计软件的美国凤凰公司总裁,Robin先生十分热心地帮助初步接触COBIT和相关审计产品的公司决策层了解相关的背景知识。他在与Kazmi的讨论中一直是一位热心的人。  “在确定控制之前,我们需要首先明确风险在哪里”,Basham介绍说,“我们的做法是,对公司中每个系统列出一个表,以便清楚地看出,一旦系统瘫痪,影响因素的显著程度排列,以及这些系统发生故障的可能性,然后我们为其指派技术支持专责人员。在这样的组织工作分派过程中,我们可以对每个系统按照重要等级和故障可能性、导致的后

8、果的严重程度,排列应急处理的程序。这些任务中充满了控制点,但是,必须满足组织安全等级的需要。”  有一家审计公司的合伙人John则为Kazmi提出了类似的意见,“如果你试图改善IT控制,不要讨论什么‘控制’的问题,而是要讨论‘业务风险’的问题。”  John的观点是,只有当IT审计人员和公司管理层都清晰地了解了企业所面临的风险——并且以组织所了解的术语加以定义——公司才可能指望有效地控制组织中所存在的风险。  “IT审计已经建立了众多的控制目标,如果你在考虑控制的过程中,注意力集中在业务风险的控制,你将大幅

9、度提高成效。”Basham和John的意见对Kazmi来说,是十分宝贵的,“看来,控制小组只是手段,关键要识别出系统中的风险所在,并制定出完整的控制措施。控制小组设在哪里,无非是责任、权利和激励之间的制衡而已。”  风险控制与信息系统审计  由美国信息系统审计与控制协会(ISACA)1996年发布的“信息及相关技术控制目标”(COBIT),已经成为风行全球的信息系统审计领域事实上的业界标准。  众多的银行、保险、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。