-
當前位置:首頁 > 創(chuàng)意學院 > 技術 > 專題列表 > 正文
ITGC和ITAC的區(qū)別(itc ge)
大家好!今天讓創(chuàng)意嶺的小編來大家介紹下關于ITGC和ITAC的區(qū)別的問題,以下是小編對此問題的歸納整理,讓我們一起來看看吧。
ChatGPT國內免費在線使用,一鍵生成原創(chuàng)文章、方案、文案、工作計劃、工作報告、論文、代碼、作文、做題和對話答疑等等
只需要輸入關鍵詞,就能返回你想要的內容,越精準,寫出的就越詳細,有微信小程序端、在線網頁版、PC客戶端
本文目錄:
一、sox對企業(yè)IT的要求
在這個SOX中關于IT審計過程中間,我們需要相關的像C-SOX安全一些策略也好,規(guī)范條例也好,真正實現這樣一個安全控制和管理。
IT控制在每一個公司中存在,至少是下面三個因素,像決策管理、商務流程和IT服務。決策管理是建立在實體上,就是人的因素上,如果在一個企業(yè)中,不管是IT部門的負責人,還是一個企業(yè)的CEO也好,高層管理人員,如果他們沒有充分地認識到IT管理的安全,首先來講,就決定在IT層面上將不可能真正做到一種安全。其次是商務流程,商務流程就是說我們因為是要通過我們這些系統(tǒng),來給我們企業(yè)創(chuàng)造價值,IT永遠是作為一個幫助企業(yè)的業(yè)務部門來實現自身價值的部門。所以通過商務上由于業(yè)務的需求,我們引進了很多商務軟件,包括大型ERP系統(tǒng),通過這樣系統(tǒng)跟我們IT硬件相結合在一起,形成高效一個系統(tǒng)集成這樣一個概念。
IT服務這一塊,除了日常的IT維護和管理等等,它來決定服務好壞,同樣決定安全非常重要的因素。其實我們也看到這樣一張圖表,這包括了SOX法案所要遵循的部分,中間包括實體層控制,這也給大家解釋過了?,F在ITAC應用方面,就是我們講大型系統(tǒng)。再往下最底層是我們ITGC一般應用控制,在這個控制中間我們簡單成為系統(tǒng)開發(fā)、系統(tǒng)變更、運營管理、安全管理四大塊,我常常比喻為是一個金字塔形的框架。在金字塔的底層是由ITGC來控制的,中間是應用程序控制方面,在塔尖一定是人的控制,通過這樣一個搭建結構才能保證我們整個IT的在大型企業(yè)中,IT非常安全的控制。
再用一個同樣的圖表來給大家解釋一下,在我們ITAC和ITGC相近的關系,上面有一系列安全產品,這樣搭建我們IT的基礎安全措施,上面是我們常見的財務系統(tǒng),不管是什么樣的系統(tǒng),它也應該是只有秉承安全的,上面才安全,上面是我們業(yè)務系統(tǒng)、采購系統(tǒng)、銷售系統(tǒng)等等,我們財務相關接口實現有效的管理。再往上我們可以看到通過一系列這樣的流程,最后我們呈現這份財務報表,為什么在說到C-SOX當中大家說我們需要做IT安全,在整個《薩班斯法》并沒有說到IT審計,但是在我們日益?zhèn)兩鲜泄咀鰧徲嫷臅r候面臨財務審計,基于這樣的原因,在ITGC大概控制點,這是AC準確、完整、授權職責分離。
這是ITGC和ITAC關系的圖表,首先從信息管理和人事結構,這是一個公司,其次是上升到人的,在有是整個公司的管理,憑險評估,再就是流程層面評估,分為早期,系統(tǒng)與數據所有者,包括業(yè)務有關數據控制等等。
二、大家普華永道的RA部門ESG組是做什么的?
ESG組主要的業(yè)務就是完成風險咨詢業(yè)務中的
RA 的主要工作內容是什么?
目前就我的了解來看,RA的工作大概有三大塊,分別是 EA(ITGC+ITAC+接口測試等),內控,以及其他項目(OAS)。
首先請明確一點,不管是 RA 還是傳統(tǒng)的審計(Audit),目前在 Firm 內部的分類中都屬于 Assurance 大類之下。從定位上就可以知道,RA 的工作和審計總是脫不了關系的。所以,如果想完全的告別審計(告別底稿),出門右轉去 Consulting 吧。
但是,RA 的審計業(yè)務實際上是對財審工作的一種補充和輔助,也就是最 Basic 的 ITGC (IT General Control)。大致解釋一下的話應該是:對所審計客戶的信息系統(tǒng)及相關制度進行測試,以確保其產出的數據,尤其是財務方面的數據是準確、完整、可靠的。
所以會發(fā)現,ITGC 工作最終所交付的對象,既不是客戶,也不是財報的受眾,而是財審,也就是 Core Assurance. ITGC 的測試結果決定了財審那邊對風險的測量,進而影響了其測試的工作量。
聽起來似乎比傳統(tǒng)的財審要有意思的多,而且相比較下來,實際的工作量也比財審要輕松(加班較少)。但是 ITGC 最為人詬病的一點在于,大部分來做這件事的人也并不是真正了解信息系統(tǒng)運作的“專家”,所以是以一種比較心虛的態(tài)度在做著這份工作。
不過,能不能學到東西也還是取決于態(tài)度吧:我有見到過只想著按照既定流程畫完底稿的人,也見到過遇到任何不懂的概念都會抓著客戶老師問個明白,或者一定要自己去探究清楚的朋友。所以,一份工作能給人的價值和成長,也許最終還是取決于自己的行為。
至于內控項目,因為本人目前還沒有接觸到,所以不太能寫出什么內容。但從一些朋友那邊了解到的信息來看,內控項目的工作強度會稍稍大于 ITGC 。
但是比起專注于輔助財審的 ITGC ,內控的建設更自成一派,且能覆蓋到更多的內容,同時也能對一家公司,甚至一個行業(yè)的制度化運作有更深入的了解,相比較來說應該會更有挑戰(zhàn)與成長性一些。
其他 OAS 項目,會更廣且更雜。比如 RA 內部會有 Cyber Security Team,專注于做網絡安全領域的項目,大部分應該是合規(guī)的咨詢,或者是一些云服務商的 SOC 審計。
或者還有 Data Team,會涉及到一些數據分析的工作。除此之外,還有一些可持續(xù)發(fā)展研究、食品安全等等的項目,都會被歸為 OAS 類別之下。
所以在 RA,會涉及到的項目內容是極其多樣化的,但這也像其他答主說的,如果不能找到自己的賽道,深耕一個領域,對個人的發(fā)展其實是不太好的。
三、it審計工作適合女生嗎?
這個工作,女生完全可以做。
至于到底適合不適合,要看具體的那個人的具體的能力高低……必須具備相應的能力才能勝任。
四、it審計 怎么做
ITGC主要審以下內容:
一、ELC(entity level control)控制。就是看看客戶在IT治理方面的相關組織架構是否合理,書面的管理制度是不是健全,具體的審計程序就是獲取客戶的組織結構圖,及一些比較虛的總綱類的書面管理制度如《IT管理制度》等等。
二、系統(tǒng)開發(fā)和變更。就是關注系統(tǒng)開發(fā)和系統(tǒng)后續(xù)小變更中的一些控制,具體的審計程序就是獲取系統(tǒng)開發(fā)及變更相關的管理制度典型的如《系統(tǒng)開發(fā)制度》《系統(tǒng)變更管理制度》等來看一看,再看系統(tǒng)開發(fā)是否經過了需求提出、可行性研究、領導層審批,系統(tǒng)上線之前是不是經過了充分的測試,獲取一些內控痕跡和表單,如《××系統(tǒng)需求報告》、《××系統(tǒng)可行性報告》、《××系統(tǒng)立項審批單》、《××系統(tǒng)單元測試報告》、《××系統(tǒng)集成測試報告》、《××系統(tǒng)上線審批單》,然后變更方面比較重要的就是《變更審批單》,這個一般來說還要進行抽樣,而上面的開發(fā)流程一般來說做一兩個穿行測試就行了。
三、操作系統(tǒng)及數據庫控制。這一塊呢具體就是看操作系統(tǒng)和數據庫登錄是不是要密碼,然后把登錄界面截個屏作為審計證據K進底稿里,蠻弱智的。然后呢就是調出操作系統(tǒng)及數據庫中的一些安全配置,如密碼復雜度的要求,密碼是不是強制一個月改一次,對系統(tǒng)的敏感操作是否有日志記錄,日志是否有人去復核,再者就是看用戶權限管理是否按照基于角色來進行權限分配?,F在商用方面操作系統(tǒng)用得比較多的是win2000,LINUX,UNIX,銀行AIX用得比較多,數據庫就是SAP,ORACLE,SQL server等,銀行DB2用得也比較多。審計的時候呢,對于安全配置,就是輸入一些命令,調出相關配置,四大像安永會有團隊專門設計腳本 ,只要放到客戶機器上那么一跑,結果自動就出來了,高度傻瓜式,流程化機械化,IT審計師的可替代性更強了,價值更低了。再就是把所有用戶的權限列表拉出來,看是不是合理合規(guī),后點關注超級管理員的權限。
四、應用系統(tǒng)控制。關注點同操作系統(tǒng)及數據庫。不過應用系統(tǒng)千變萬化,比如銀行里面比較大的應用系統(tǒng)就有綜合業(yè)務系統(tǒng)(有的叫核心業(yè)務系統(tǒng))、國際結算系統(tǒng)、大小額系統(tǒng)、信貸管理系統(tǒng)等等等等。但萬變不離其綜,這些系統(tǒng)做ITGC思路都是一樣的,就看安全配置和用戶權限。如果要支持財審進行ITAC的審計,則要具體情況具體分析設計,因此個人認為ITAC的審計是IT審計師能體現自身經驗與價值的地方,光做ITGC是沒有前途的
五、接口控制與信息安全。各種系統(tǒng)之前會有接口,那么數據從一個系統(tǒng)傳輸到另一系統(tǒng)中數據的準確性完整性要得到保證。審計程序一般首先看系統(tǒng)中是不是有自動核對的機制,比如銀行的核心業(yè)務系統(tǒng)基本與每個重要的業(yè)務系統(tǒng)都有接口并且每天會進行大量的數據交互,做的好的會有一個核對機制,加入一些校驗機制,確認數據的準確完整,有的銀行測沒有。信息安全就是看看網絡管理相關的制度,看看防火墻的結構,內外網是不是分離啊等等,無聊至極。
以上就是關于ITGC和ITAC的區(qū)別相關問題的回答。希望能幫到你,如有更多相關問題,您也可以聯系我們的客服進行咨詢,客服也會為您講解更多精彩的知識和內容。
推薦閱讀: