四大的系统审计之我见

kakapo715

呵呵，去年公司过SOX404，DTT的IT Auditor刚毕业就来我们公司做，那叫一个折磨人啊，稀里糊涂，公司的IT人员跟她讲也讲不通，就照着手头的资料一条一条的问，之后就出Findings。做SOD Testing的时候，看到一个人的权限很多（因为是新来的，所以给她开了很多ERP基本的操作权限），就问我“为什么她的权限这么多”，我说她“权限多就违反SOD了吗，这个人很多权限只不过是查询功能。新来的员工肯定需要她多熟悉熟悉系统的各个模块”。她想了想又一条Findings。我亲眼看见她在Finding旁边的批注写的是“这个人的权限也太多了吧”。
不过，我也不赞成一杆子打倒，去年请安永的TSRS做得咨询，安永的TSRS很不错，他们的Manager很专业（不过是从美国回来的），Team也比较强。今年要不是没有预算了，还想请他们帮忙做呢
可能这个要看Team了，四大里有的Team不错，但运气不好赶上差一点的Team就只能气背了