我不明白这种审计的目的,尤其是考虑到它的执行方式。我们有一位我不愿透露姓名的第三方审计师,但我们只能说他们可能审计了世界上大多数上市公司。
审计团队的要求是:您能否给我们一张 xyz 金融应用程序安装文件夹的屏幕截图以及它们在什么服务器上?
这对任何人/任何人都没有实质意义。更不用说,鉴于我们公司的虚拟化架构,我可以每天更改这些信息。事实上,在明年的审计之前,它可能会发生多次变化。我一定没有掌握一些重要的相关性吗?其中一项审计的目的是什么?保护谁/什么意思?是为了证明什么?
什么是 ITGC 审计?
信息安全
审计
金融
2021-09-11 17:42:16
1个回答
什么是 ITGC 审计?
ITGC代表信息技术通用控制。虽然听起来很笼统,但有一个支持标准和一套文件可供审计员用来保持IIA(内部审计师协会)的一致性。非 IIA 成员可以购买副本。
一些重要的点——
- 这是一个标准,而不仅仅是您的第 3 方审核员认为可以检查的内容。
- 如果你愿意,你可以购买一份你正在被比较的规则。(我没有声称您或我可以理解这些规则!但这是……)
我不明白这种审计的目的
这是一个广泛的问题。这是一个类比——我每年都必须把车拆下来进行安全和排放检查。他们审查了我的汽车的数量非常有限的方面(排气管排放、转向和制动信号工作、前照灯正确瞄准等),以此作为尽职调查的一种形式,确保我的汽车可以安全(对我自己和他人)在路。
ITGC 审计的目的是确保贵公司的汽车(计算资源)基本上是安全的——不会给贵公司带来不适当的风险。如果我的车因为大灯不工作而导致事故,我自己和其他人都会受伤。如果你的公司因为你的数据库不工作而导致事故,那么各种各样的人——员工、股东、客户——都会受到伤害。 ITGC 审核是一项测试,以确保您的设置足够正确,以免对您和他人造成危险。
特别是考虑到它的进行方式。
也有点宽泛。让我们深入研究您提供的示例并进行一些猜测。
审计团队的要求是:您能否给我们一张 xyz 金融应用程序安装文件夹的屏幕截图以及它们在什么服务器上?
贵公司对审计员说:“我们运行SAP ERP来管理我们的财务。” 作为一名审计员,他们不能只相信你的话。他们需要证据。
在过去的几年里,审计界一直在大力转向证明。SOX 审核在获取屏幕截图以提供某些证据方面更加严格。PCI 3 更加明确地说明了审核员需要实际看到证据,而不仅仅是被告知。两者都在转变要求证据收集在审计员的监督下,以确保不会发生证据篡改。
安装目录是证明某些东西已安装的最简单形式。屏幕截图是收集任何证据完整性的最便宜、最简单的证明形式。
所以他们想知道你有财务软件,它在什么服务器上,并有某种证据证明这是真的。
稍后在审核中,他们将询问您有关灾难恢复的问题。当他们到达那里时,他们会说“给我看看你的资产清单和他们的 DR 评级,例如,在灾难后恢复服务最重要的是什么。” 他们会想要交叉检查您放置财务服务器的服务器列表是否都在正确的层中。这是一项基本的安全检查 - 如果您的 ERP Web 前端是第 1 层恢复,但您的 ERP 数据库后端是第 3 层,那么糟糕!您的整个 ERP 解决方案是第 3 层,这可能不是您想要的。
这对任何人/任何人都没有实质意义。
好吧,我不同意。我宁愿知道我的股票经纪人正在使用具有冗余的企业级数据库,而不是手动编码的 Berkeley DB 文件作为我交易的后端。当然,我不能进去要求他们告诉我,但如果他们已经通过了信誉良好的审核,我可以放心有人查看了他们的设置并认为它是理智的。
更不用说,鉴于我们公司的虚拟化架构,我可以每天更改这些信息。
你可以。您可以通过欺骗性和恶意的方式来误导您的审核员——他们现在要求他们提供屏幕截图和肩膀冲浪,以使其更加困难。您也可以根据业务需求合法地执行此操作,但最有可能的是,业务需求不会是在审核员离开大楼的那一刻切换到无法通过审核的东西。
事实上,在明年的审计之前,它可能会发生多次变化。
审计只是时间点。然而,期望是
- 你不会为了欺骗审计而及时洗牌,而且
- 如果你今天以审计可接受的方式做事,那么希望你的工作做得足够正确,以至于明天当你不得不改变它时,你会以审计可接受的方式来做。
我一定没有掌握一些重要的相关性吗?其中一项审计的目的是什么?保护谁/什么意思?是为了证明什么?
我认为您缺少以下有关审计的内容。
- “审计”不被称为“执法”是有原因的。他们正在查看并做笔记,他们会提出建议,但他们不会碰你的东西,他们不会甩出指旋螺丝来强迫你的合作。
- 审计假定合作程度合理。是的,他们意识到你可能会撒谎和作弊,并且他们会做一些旨在让事情变得更难的事情(比如截图)。但在最基本的层面上,IT 审计并不是对抗性的。
- ITGC 审计保护每个人。确保你做的事情做得足够好,不会让崩溃等待发生——因为当公司崩溃时,员工会失去工作,股东会失去金钱,消费者也会受到影响。(其他类型的审计在保护重点方面可能更加有限——例如,IRS 审计的重点是保护政府和纳税人,而被审计的公司没有受到保护)。
- 审计除了证明审计已经执行(并且直到审计完成的时间点)之外,什么都证明不了。现在,由于标准化,这意味着比过去要多得多。审计证明的唯一一件事是有人进来,提出问题,收集答案和证据,并对这些数据应用一组有组织的判断,从而产生建议。因此,虽然它们什么也没证明,但它们确实有一些有益的副作用。
ITGC 审核根据一组审核员根据历史、知识和经验决定应该做或不应该做的事情来衡量您正在做的事情。它们可以是巨大的,不精确的,并专注于空洞的细节都在同一时间。它们可能会有所帮助,也可能会浪费您的时间。其中一半是获得一名优秀的审计师——另一半是你如何与审计师合作。
祝你好运!