如果你和許多的首席信息官所處的境遇一樣,遵章要求﹝Compliance Requirements﹞已經(jīng)影響了你整個機(jī)構(gòu)--而且你的審計員已經(jīng)做出了一些令你意想不到的要求,你也因此花費(fèi)了比你想象中更多的費(fèi)用。
通過一年在他們各自領(lǐng)域的Sarbanes-Oxley經(jīng)驗(yàn),IT執(zhí)行官們已經(jīng)在準(zhǔn)備審計員的過程中吸取到了寶貴的經(jīng)驗(yàn),比如要在審計員達(dá)到之前先要建立相當(dāng)?shù)暮饬繕?biāo)準(zhǔn)。
由Information Technology Process Institute頒布的 The Visible Ops Handbook手冊里專門為"增加你的審計透明度"準(zhǔn)備了一章內(nèi)情報告。
Information Technology Process Institute是一個非營利性團(tuán)體,它所開展的主要活動是進(jìn)行研究,標(biāo)桿以及給執(zhí)行官提供最優(yōu)方法。據(jù)該團(tuán)體的主席兼創(chuàng)始人Kevin Behr說,到目前為止,這本價值19.95美元的手冊已經(jīng)銷售出了17,000本。以下就是從這本手冊中摘錄出來的其中最受歡迎的小抄之一中的一部分。
1.在審計員作審計之前先問清楚他們在期待著什么。讓他們想清楚審計的目標(biāo),即是有時候他們已經(jīng)做了一些審計前的清單。
2.確保列出你能預(yù)期到各種風(fēng)險。分門別類,按降序排列,把風(fēng)險最大的排在第一位,順便附上要降低這些風(fēng)險你所想到的控制管理方法。
3.確保你擁有預(yù)防性控制,以及在適當(dāng)?shù)奈恢糜袀商叫缘目刂苼碇甘舅麄冊诠ぷ?。確保變動管理進(jìn)程。對于每個認(rèn)證過的變動,通過探測性的控制來記錄這些結(jié)構(gòu)的變化,保證這些變化在工作次序的范圍之內(nèi)。對收集來的變化請求數(shù)據(jù)進(jìn)行歸檔,并且隨時可以取得。在某些機(jī)構(gòu),上述所有的信息都儲存在一個物理三環(huán)捆綁者內(nèi)(physical three-ring binder)。
4.選擇使用變動咨詢桌(Change Advisory Board)會議記錄來指示有人正在參加會議以及管理各種變動。
5.保持做出一個連續(xù)的并且準(zhǔn)確的硬件和軟件的資產(chǎn)詳細(xì)目錄
6.確保所有的內(nèi)部審計程序運(yùn)行正常。比如你的路線表明你的防火墻日志是由可以回顧例外的系統(tǒng)控制的,那么你必須能夠通過其中的一個日志來驗(yàn)證下一個路線。
7.弄清所有的儲運(yùn)損耗和系統(tǒng)中的不在計劃內(nèi)的停工期,附上采取的矯正行動。
8. 保持連續(xù)的記錄,記錄下所有的政策外的特殊情況
9.列出任何安全事件,附上采取的矯正行動。
10. 確保能夠出示以前的審計結(jié)果,能夠?qū)λ媒Y(jié)果做出分析,經(jīng)過矯正行動后結(jié)果取得了什么進(jìn)步。
“更多的控制并補(bǔ)等同于更多的機(jī)構(gòu)組織和更多的工作?!盉ehr說,“事實(shí)表明,那些帶有控制的可以做得更多,而只需要跟少的機(jī)構(gòu)和工作,可以更快的完成工作,而且質(zhì)量更為優(yōu)越。”
凡本站注明“稿件來源:新科教育”的所有圖文音視頻,版權(quán)均屬新科所有,任何媒體、網(wǎng)站或個人未經(jīng)本網(wǎng)協(xié)議授權(quán)不得轉(zhuǎn)或以其他方式復(fù)制發(fā)表。已獲得本站協(xié)議
授權(quán)的媒體、網(wǎng)站,在下載使用時必須注明“稿件來源:新科教育”,違者本站將依法追究責(zé)任。