-
當(dāng)前位置:首頁(yè) > 創(chuàng)意學(xué)院 > 技術(shù) > 專(zhuān)題列表 > 正文
ITGC和ITAC的區(qū)別(itc ge)
大家好!今天讓創(chuàng)意嶺的小編來(lái)大家介紹下關(guān)于ITGC和ITAC的區(qū)別的問(wèn)題,以下是小編對(duì)此問(wèn)題的歸納整理,讓我們一起來(lái)看看吧。
ChatGPT國(guó)內(nèi)免費(fèi)在線(xiàn)使用,一鍵生成原創(chuàng)文章、方案、文案、工作計(jì)劃、工作報(bào)告、論文、代碼、作文、做題和對(duì)話(huà)答疑等等
只需要輸入關(guān)鍵詞,就能返回你想要的內(nèi)容,越精準(zhǔn),寫(xiě)出的就越詳細(xì),有微信小程序端、在線(xiàn)網(wǎng)頁(yè)版、PC客戶(hù)端
官網(wǎng):https://ai.de1919.com
本文目錄:
一、sox對(duì)企業(yè)IT的要求
在這個(gè)SOX中關(guān)于IT審計(jì)過(guò)程中間,我們需要相關(guān)的像C-SOX安全一些策略也好,規(guī)范條例也好,真正實(shí)現(xiàn)這樣一個(gè)安全控制和管理。
IT控制在每一個(gè)公司中存在,至少是下面三個(gè)因素,像決策管理、商務(wù)流程和IT服務(wù)。決策管理是建立在實(shí)體上,就是人的因素上,如果在一個(gè)企業(yè)中,不管是IT部門(mén)的負(fù)責(zé)人,還是一個(gè)企業(yè)的CEO也好,高層管理人員,如果他們沒(méi)有充分地認(rèn)識(shí)到IT管理的安全,首先來(lái)講,就決定在IT層面上將不可能真正做到一種安全。其次是商務(wù)流程,商務(wù)流程就是說(shuō)我們因?yàn)槭且ㄟ^(guò)我們這些系統(tǒng),來(lái)給我們企業(yè)創(chuàng)造價(jià)值,IT永遠(yuǎn)是作為一個(gè)幫助企業(yè)的業(yè)務(wù)部門(mén)來(lái)實(shí)現(xiàn)自身價(jià)值的部門(mén)。所以通過(guò)商務(wù)上由于業(yè)務(wù)的需求,我們引進(jìn)了很多商務(wù)軟件,包括大型ERP系統(tǒng),通過(guò)這樣系統(tǒng)跟我們IT硬件相結(jié)合在一起,形成高效一個(gè)系統(tǒng)集成這樣一個(gè)概念。
IT服務(wù)這一塊,除了日常的IT維護(hù)和管理等等,它來(lái)決定服務(wù)好壞,同樣決定安全非常重要的因素。其實(shí)我們也看到這樣一張圖表,這包括了SOX法案所要遵循的部分,中間包括實(shí)體層控制,這也給大家解釋過(guò)了?,F(xiàn)在ITAC應(yīng)用方面,就是我們講大型系統(tǒng)。再往下最底層是我們ITGC一般應(yīng)用控制,在這個(gè)控制中間我們簡(jiǎn)單成為系統(tǒng)開(kāi)發(fā)、系統(tǒng)變更、運(yùn)營(yíng)管理、安全管理四大塊,我常常比喻為是一個(gè)金字塔形的框架。在金字塔的底層是由ITGC來(lái)控制的,中間是應(yīng)用程序控制方面,在塔尖一定是人的控制,通過(guò)這樣一個(gè)搭建結(jié)構(gòu)才能保證我們整個(gè)IT的在大型企業(yè)中,IT非常安全的控制。
再用一個(gè)同樣的圖表來(lái)給大家解釋一下,在我們ITAC和ITGC相近的關(guān)系,上面有一系列安全產(chǎn)品,這樣搭建我們IT的基礎(chǔ)安全措施,上面是我們常見(jiàn)的財(cái)務(wù)系統(tǒng),不管是什么樣的系統(tǒng),它也應(yīng)該是只有秉承安全的,上面才安全,上面是我們業(yè)務(wù)系統(tǒng)、采購(gòu)系統(tǒng)、銷(xiāo)售系統(tǒng)等等,我們財(cái)務(wù)相關(guān)接口實(shí)現(xiàn)有效的管理。再往上我們可以看到通過(guò)一系列這樣的流程,最后我們呈現(xiàn)這份財(cái)務(wù)報(bào)表,為什么在說(shuō)到C-SOX當(dāng)中大家說(shuō)我們需要做IT安全,在整個(gè)《薩班斯法》并沒(méi)有說(shuō)到IT審計(jì),但是在我們?nèi)找鎮(zhèn)兩鲜泄咀鰧徲?jì)的時(shí)候面臨財(cái)務(wù)審計(jì),基于這樣的原因,在ITGC大概控制點(diǎn),這是AC準(zhǔn)確、完整、授權(quán)職責(zé)分離。
這是ITGC和ITAC關(guān)系的圖表,首先從信息管理和人事結(jié)構(gòu),這是一個(gè)公司,其次是上升到人的,在有是整個(gè)公司的管理,憑險(xiǎn)評(píng)估,再就是流程層面評(píng)估,分為早期,系統(tǒng)與數(shù)據(jù)所有者,包括業(yè)務(wù)有關(guān)數(shù)據(jù)控制等等。
二、大家普華永道的RA部門(mén)ESG組是做什么的?
ESG組主要的業(yè)務(wù)就是完成風(fēng)險(xiǎn)咨詢(xún)業(yè)務(wù)中的
RA 的主要工作內(nèi)容是什么?
目前就我的了解來(lái)看,RA的工作大概有三大塊,分別是 EA(ITGC+ITAC+接口測(cè)試等),內(nèi)控,以及其他項(xiàng)目(OAS)。
首先請(qǐng)明確一點(diǎn),不管是 RA 還是傳統(tǒng)的審計(jì)(Audit),目前在 Firm 內(nèi)部的分類(lèi)中都屬于 Assurance 大類(lèi)之下。從定位上就可以知道,RA 的工作和審計(jì)總是脫不了關(guān)系的。所以,如果想完全的告別審計(jì)(告別底稿),出門(mén)右轉(zhuǎn)去 Consulting 吧。
但是,RA 的審計(jì)業(yè)務(wù)實(shí)際上是對(duì)財(cái)審工作的一種補(bǔ)充和輔助,也就是最 Basic 的 ITGC (IT General Control)。大致解釋一下的話(huà)應(yīng)該是:對(duì)所審計(jì)客戶(hù)的信息系統(tǒng)及相關(guān)制度進(jìn)行測(cè)試,以確保其產(chǎn)出的數(shù)據(jù),尤其是財(cái)務(wù)方面的數(shù)據(jù)是準(zhǔn)確、完整、可靠的。
所以會(huì)發(fā)現(xiàn),ITGC 工作最終所交付的對(duì)象,既不是客戶(hù),也不是財(cái)報(bào)的受眾,而是財(cái)審,也就是 Core Assurance. ITGC 的測(cè)試結(jié)果決定了財(cái)審那邊對(duì)風(fēng)險(xiǎn)的測(cè)量,進(jìn)而影響了其測(cè)試的工作量。
聽(tīng)起來(lái)似乎比傳統(tǒng)的財(cái)審要有意思的多,而且相比較下來(lái),實(shí)際的工作量也比財(cái)審要輕松(加班較少)。但是 ITGC 最為人詬病的一點(diǎn)在于,大部分來(lái)做這件事的人也并不是真正了解信息系統(tǒng)運(yùn)作的“專(zhuān)家”,所以是以一種比較心虛的態(tài)度在做著這份工作。
不過(guò),能不能學(xué)到東西也還是取決于態(tài)度吧:我有見(jiàn)到過(guò)只想著按照既定流程畫(huà)完底稿的人,也見(jiàn)到過(guò)遇到任何不懂的概念都會(huì)抓著客戶(hù)老師問(wèn)個(gè)明白,或者一定要自己去探究清楚的朋友。所以,一份工作能給人的價(jià)值和成長(zhǎng),也許最終還是取決于自己的行為。
至于內(nèi)控項(xiàng)目,因?yàn)楸救四壳斑€沒(méi)有接觸到,所以不太能寫(xiě)出什么內(nèi)容。但從一些朋友那邊了解到的信息來(lái)看,內(nèi)控項(xiàng)目的工作強(qiáng)度會(huì)稍稍大于 ITGC 。
但是比起專(zhuān)注于輔助財(cái)審的 ITGC ,內(nèi)控的建設(shè)更自成一派,且能覆蓋到更多的內(nèi)容,同時(shí)也能對(duì)一家公司,甚至一個(gè)行業(yè)的制度化運(yùn)作有更深入的了解,相比較來(lái)說(shuō)應(yīng)該會(huì)更有挑戰(zhàn)與成長(zhǎng)性一些。
其他 OAS 項(xiàng)目,會(huì)更廣且更雜。比如 RA 內(nèi)部會(huì)有 Cyber Security Team,專(zhuān)注于做網(wǎng)絡(luò)安全領(lǐng)域的項(xiàng)目,大部分應(yīng)該是合規(guī)的咨詢(xún),或者是一些云服務(wù)商的 SOC 審計(jì)。
或者還有 Data Team,會(huì)涉及到一些數(shù)據(jù)分析的工作。除此之外,還有一些可持續(xù)發(fā)展研究、食品安全等等的項(xiàng)目,都會(huì)被歸為 OAS 類(lèi)別之下。
所以在 RA,會(huì)涉及到的項(xiàng)目?jī)?nèi)容是極其多樣化的,但這也像其他答主說(shuō)的,如果不能找到自己的賽道,深耕一個(gè)領(lǐng)域,對(duì)個(gè)人的發(fā)展其實(shí)是不太好的。
三、it審計(jì)工作適合女生嗎?
這個(gè)工作,女生完全可以做。
至于到底適合不適合,要看具體的那個(gè)人的具體的能力高低……必須具備相應(yīng)的能力才能勝任。
四、it審計(jì) 怎么做
ITGC主要審以下內(nèi)容:
一、ELC(entity level control)控制。就是看看客戶(hù)在IT治理方面的相關(guān)組織架構(gòu)是否合理,書(shū)面的管理制度是不是健全,具體的審計(jì)程序就是獲取客戶(hù)的組織結(jié)構(gòu)圖,及一些比較虛的總綱類(lèi)的書(shū)面管理制度如《IT管理制度》等等。
二、系統(tǒng)開(kāi)發(fā)和變更。就是關(guān)注系統(tǒng)開(kāi)發(fā)和系統(tǒng)后續(xù)小變更中的一些控制,具體的審計(jì)程序就是獲取系統(tǒng)開(kāi)發(fā)及變更相關(guān)的管理制度典型的如《系統(tǒng)開(kāi)發(fā)制度》《系統(tǒng)變更管理制度》等來(lái)看一看,再看系統(tǒng)開(kāi)發(fā)是否經(jīng)過(guò)了需求提出、可行性研究、領(lǐng)導(dǎo)層審批,系統(tǒng)上線(xiàn)之前是不是經(jīng)過(guò)了充分的測(cè)試,獲取一些內(nèi)控痕跡和表單,如《××系統(tǒng)需求報(bào)告》、《××系統(tǒng)可行性報(bào)告》、《××系統(tǒng)立項(xiàng)審批單》、《××系統(tǒng)單元測(cè)試報(bào)告》、《××系統(tǒng)集成測(cè)試報(bào)告》、《××系統(tǒng)上線(xiàn)審批單》,然后變更方面比較重要的就是《變更審批單》,這個(gè)一般來(lái)說(shuō)還要進(jìn)行抽樣,而上面的開(kāi)發(fā)流程一般來(lái)說(shuō)做一兩個(gè)穿行測(cè)試就行了。
三、操作系統(tǒng)及數(shù)據(jù)庫(kù)控制。這一塊呢具體就是看操作系統(tǒng)和數(shù)據(jù)庫(kù)登錄是不是要密碼,然后把登錄界面截個(gè)屏作為審計(jì)證據(jù)K進(jìn)底稿里,蠻弱智的。然后呢就是調(diào)出操作系統(tǒng)及數(shù)據(jù)庫(kù)中的一些安全配置,如密碼復(fù)雜度的要求,密碼是不是強(qiáng)制一個(gè)月改一次,對(duì)系統(tǒng)的敏感操作是否有日志記錄,日志是否有人去復(fù)核,再者就是看用戶(hù)權(quán)限管理是否按照基于角色來(lái)進(jìn)行權(quán)限分配?,F(xiàn)在商用方面操作系統(tǒng)用得比較多的是win2000,LINUX,UNIX,銀行AIX用得比較多,數(shù)據(jù)庫(kù)就是SAP,ORACLE,SQL server等,銀行DB2用得也比較多。審計(jì)的時(shí)候呢,對(duì)于安全配置,就是輸入一些命令,調(diào)出相關(guān)配置,四大像安永會(huì)有團(tuán)隊(duì)專(zhuān)門(mén)設(shè)計(jì)腳本 ,只要放到客戶(hù)機(jī)器上那么一跑,結(jié)果自動(dòng)就出來(lái)了,高度傻瓜式,流程化機(jī)械化,IT審計(jì)師的可替代性更強(qiáng)了,價(jià)值更低了。再就是把所有用戶(hù)的權(quán)限列表拉出來(lái),看是不是合理合規(guī),后點(diǎn)關(guān)注超級(jí)管理員的權(quán)限。
四、應(yīng)用系統(tǒng)控制。關(guān)注點(diǎn)同操作系統(tǒng)及數(shù)據(jù)庫(kù)。不過(guò)應(yīng)用系統(tǒng)千變?nèi)f化,比如銀行里面比較大的應(yīng)用系統(tǒng)就有綜合業(yè)務(wù)系統(tǒng)(有的叫核心業(yè)務(wù)系統(tǒng))、國(guó)際結(jié)算系統(tǒng)、大小額系統(tǒng)、信貸管理系統(tǒng)等等等等。但萬(wàn)變不離其綜,這些系統(tǒng)做ITGC思路都是一樣的,就看安全配置和用戶(hù)權(quán)限。如果要支持財(cái)審進(jìn)行ITAC的審計(jì),則要具體情況具體分析設(shè)計(jì),因此個(gè)人認(rèn)為ITAC的審計(jì)是IT審計(jì)師能體現(xiàn)自身經(jīng)驗(yàn)與價(jià)值的地方,光做ITGC是沒(méi)有前途的
五、接口控制與信息安全。各種系統(tǒng)之前會(huì)有接口,那么數(shù)據(jù)從一個(gè)系統(tǒng)傳輸?shù)搅硪幌到y(tǒng)中數(shù)據(jù)的準(zhǔn)確性完整性要得到保證。審計(jì)程序一般首先看系統(tǒng)中是不是有自動(dòng)核對(duì)的機(jī)制,比如銀行的核心業(yè)務(wù)系統(tǒng)基本與每個(gè)重要的業(yè)務(wù)系統(tǒng)都有接口并且每天會(huì)進(jìn)行大量的數(shù)據(jù)交互,做的好的會(huì)有一個(gè)核對(duì)機(jī)制,加入一些校驗(yàn)機(jī)制,確認(rèn)數(shù)據(jù)的準(zhǔn)確完整,有的銀行測(cè)沒(méi)有。信息安全就是看看網(wǎng)絡(luò)管理相關(guān)的制度,看看防火墻的結(jié)構(gòu),內(nèi)外網(wǎng)是不是分離啊等等,無(wú)聊至極。
以上就是關(guān)于ITGC和ITAC的區(qū)別相關(guān)問(wèn)題的回答。希望能幫到你,如有更多相關(guān)問(wèn)題,您也可以聯(lián)系我們的客服進(jìn)行咨詢(xún),客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。
推薦閱讀:
報(bào)考二級(jí)建造師官網(wǎng)(二建報(bào)名網(wǎng)站官網(wǎng)登錄)
效果廣告和信息流廣告(效果廣告和信息流廣告的關(guān)系)
猜你喜歡
被取代是什么意思(被取代是什么意思網(wǎng)絡(luò)用語(yǔ))
CAM中文名稱(chēng)叫什么(cam的中文名稱(chēng)叫什么)_1
animal的音標(biāo)怎么寫(xiě)讀(animal音標(biāo)怎么讀音)
別人是怎么監(jiān)聽(tīng)我手機(jī)所有信息的(別人如何監(jiān)聽(tīng)我的手機(jī))
怎樣設(shè)置固態(tài)為系統(tǒng)C盤(pán)(怎樣設(shè)置固態(tài)為系統(tǒng)c盤(pán)空間)
用電單耗法包括產(chǎn)值單耗法和(產(chǎn)值單耗法電量預(yù)測(cè)舉例)
大數(shù)據(jù)的6大應(yīng)用場(chǎng)景(大數(shù)據(jù)的6大應(yīng)用場(chǎng)景包括)