it审计
审计这种部门在哪个公司都不是什么受欢迎的部门,况且还是外部审计,那更是不受欢迎,一不小心还可能被皮带哥这样的公司给拖下水,看看pwc hk被罚了多少就知道了。
审计的目标问了下月之暗面,它是这样告诉我的:
IT审计工作的目标主要包括以下几个方面:
确保合规性:验证IT系统和流程是否遵循了相关法律、法规、政策和标准,确保组织在信息技术管理方面符合外部和内部的要求。
评估风险管理:识别和评估IT环境中的潜在风险,包括安全风险、数据泄露风险、业务连续性风险等,并确保有适当的风险管理措施和控制机制。
提高效率和效果:通过审计发现IT操作中的效率瓶颈和改进点,提出优化建议,帮助组织提高IT资源的使用效率和业务流程的效果。
保护资产:确保IT资产(包括硬件、软件、数据等)得到妥善保护,防止未经授权的访问、使用、修改或破坏。
促进内部控制:评估和加强内部控制系统,包括访问控制、变更管理、数据备份和恢复等,以确保IT环境的稳定性和可靠性。
支持决策制定:为管理层提供关于IT战略、投资和资源分配的独立评估,帮助制定更加明智的决策。
增强透明度和信任:通过审计报告和建议,提高IT部门的透明度,增强内部和外部利益相关者对IT系统和操作的信任。
持续改进:通过定期的审计活动,推动组织持续改进IT管理和操作,适应不断变化的技术环境和业务需求。
IT审计不仅关注技术层面的合规性和安全性,还关注IT管理流程的有效性,以及IT如何支持组织的整体战略目标。通过IT审计,组织可以更好地理解和管理其IT环境,从而实现业务目标。
贵司的外部审计一直都是xxx,按说应该是挺专业,当年毕业比较迷茫的时候面试过他们,在魔都新天地一整栋楼都是他们的,本地面试完还得远程给HK那边面。
问了下帮我们审计的小朋友,两人分别是UOL和JHU的研究生,现在可真是卷的,不过今天不说这个问题。
从目标出发,一个是确保合规性。 这个就涉及到各地的法律了,由于贵司是在海外上市的,于是就要符合当地的法律,还要符合大宋的法律。当然这些外部审计一般只是为了对付sec,所以还是以符合大辽法律为主了。
目的是符合法律,但是于是从这个O就产生了一些操作。但是在实际操作中,感觉他们的这些流程更适合大外企,而对于贵司这种小民企来说真是不可行。
- 很多东西都要三权分立,操作系统管理员,数据库管理员,业务系统管理员都必须是3个人,首先一个公司有没有三个运维单说,这些人都归属于一个运维leader,这样是否合适。你说运维leader没有前2个账号吗?
- 完全不懂什么是云,还在查ip,查网关设置这样的行为,云上什么内网ip不能设置啊。对于saas,paas产品都不清楚。
- 还在区分运维,测试,研发的权限,对于很多产品,研发就是运维就是测试,一个小组一条龙搞定。
- 最麻烦的是,他们自己也不知道审计到什么程度是可行的,因为他们也不知道sec抽查的时候会问到什么程度,所以大家都是一个猜的情况。
- 对于微服务很不友好,在微服务里鬼知道你们要查的服务跑在哪个ip上,结果就是把所有机器都查了吧。
同时由于不知道达到什么程度才是完全符合sec的,所以他们就会频繁的要各种数据和穿测,这个就非常影响正常技术研发部门的工作,你要一起要了还行,可今天找你半个小时,明天找你半个小时,这被打断后的效率是很难恢复的。
而且审计这个东西只能是防君子的,碰到像皮带哥这样公司的,你怎么查?曾经听过一个审计的故事,是说一个公司在公司内网放了一个跟ICBC一样的网站,结果后来审计发现没有插USB-KEY居然也能登录才发现的。