|
|
谢谢回复!我的想法见蓝色lightlight部分
您的想法确实很好,ACL确实在这方面做过努力,他们推出过CCM(Continuous Controls Monitoring)解决方案,但是由于涉及的行业太多,今年开始逐渐停掉了这一解决方案,加强了审计数据分析管理方面的产品,今年已经推出了AuditExchange。
首先, CCM和行业解决方案不是一类概念。但既然提到CCM, 就多说两句。 行话叫Continuous Audit,我相信Continuous audit应该是审计软件的未来方向。当然不同行业,应用的程度,先后,都有不同,银行、保险等金融服务行业的应用已经到一定程度了。
其次,为什么要提供行业或者说基于不同应用软件的方案? 简单的说,就是因为审计软件说白了也就是个数据分析工具。你不提供分软件的解决方案,不同软件的data model,字段、data flow都不一样,实施的时候不管是顾问还是企业都会面临很大困难。
把话题扯远一点。 其实审计软件也好,统计软件、商务智能也好,都是数据分析。看数据的角度不同,提取信息的目的不同而已。不管是ACL, COGNOS, BRIO, BO, 还是SAS,开始都是数据分析起家的,然后在产品应用方面分别找自己的nicke market。 我们且试试他山之石,是不是可以攻玉。 从商务智能的发展历程,尝试着来看审计软件的未来。
阶段一、从数据分析的角度出发,开发出适用的、灵活的数据分析功能;
阶段二、提供与各软件产品(SAP / ORACLE / PPLSOFT / JDE)无缝集成的解决方案,以面对各软件厂商自己开发的BI产品;
阶段三、随着企业对BI的应用不断加大,应用软件商们看到了这里的利润空间,因此BI业进入混战的三国时代,主流的BI产品现在已经基本被应用软件商(SAP)及软件鲨鱼们(ORACLE、IBM)兼并一空。
看看商务智能产品的今天,就是审计软件的明天。现在趋势已经很明显了,SAP, ORACLE都在做基于自己的审计解决方案,几年前SAP并购了一家专门做SAP 审计软件的公司, ORACLE有自己的Interal control manager模块。等到他们发现企业在这一领域的需求越来越大,不管是出于抢市场、还是恶意竞争的目的,他们也许就要考虑并购审计软件工具了。
那么,审计软件是不是啥都不用做了,等着并购呢。我觉得不会,应该会更迅速的扩大市场份额,加大被并购时的砝码。如何扩大市场份额,一个方法就是设计和实施PRODUCT-BASED的解决方案啦。
我确实在做ACL,最近两年接触了很多国内客户,确实感受到ACL前期学习成本很高,我们也在想办法改进。
关于您提到的从Database中获取数据,其实在ACL中还是比较简单的,也不需要写ACLScript,直接在程序界面就能完成,如果以后需要重复使用,在Log里面直接将取数的命令保存成Script就可以了。如果采用ACL Server,从Database中获取数据效率将会更高,支持从Oracle、DB2、SQL Server中直接获取数据,只需简单访问权限配置,而不是通过ODBC方式。今年推出AuditExchange后,OEM了其他厂商的产品,将会对其他常用数据库的支持。
SORRY,这里我没有表达清楚,我想说的是抓出来后的数据分析,写SQL比写ACL SCRIPT容易的多。一些银行现在的IT AUDIT部门还在拿SQL抓数然后分析。
使用ACL获取数据很难的是导入Report形式的数据文件。
具体到SAP ERP审计,据在ACL 2008年用户大会上SIEMENS的反映,他们到现在为止仍旧没有完全弄清楚,确实是比较难的课题。
我尝试去找下关于SAP的权限审计、配置审计等资料。
这方面我们可以探讨,我们公司对SAP, ORACLE, JDE, PPLSOFT都有权限和配置的审计工具软件。ORACLE的审计工具我就用过,JDE我做过实施,对底层表比较熟悉。SAP只是ONLINE审核过配置和权限,没RUN过SCRIPTS。
多问一句,除了ERP审计的方案, ACL有没有针对不同数据库和操作系统可以抓出安全相关配置的方案? 谢谢! |
|
楼主: 降龙十八掌
IP卡
狗仔卡
发表于 2008-4-29 14:40
显身卡
