|
这几天有机会和一些公司管理层的朋友交流IT审计或者技术风险管理,认识到技术风险管理的重要性已经越被管理层认可,并且都在考虑筹建相关的部门或人员招募。这里所言的技术主要还是IT及相关对象如ERP、各种业务系统、基础架构等。人们已经意识到IT已经成为维持和推动组织发展的基础设施(infrastructure),就象电力、通讯、空调、给排水等基础设施一样,人们很难想象如果没有这些设施,世界将如何运转。而随着组织对IT依赖程度的不断提高,IT本身的脆弱性,以及后果也逐渐显现。近来大家应该不断从报章中看到类似报道:证券市场火爆,证券交易系统菪机,甚至引起诉讼;网上银行黑客入侵;银行网络大面积瘫痪,服务中断;信用卡信息失窃;内部员工舞弊…。由于众所周知的原因,可以理解披露出来的案件只是冰山一角。但是这些案件给组织带来运营、监管、品牌、财务、客户满意度等损失,对企业的竞争力产生损害。
IT审计职能在总体上属于组织风险管理体系或者内部控制体系的组成部分,其总体目标在于帮助管理层识别、评估和改善IT相关控制。有朋友会问:这个难道不是IT部门在做的事情么。关于此问题,请参见前面的帖子《从公司管理到IT审计》。
周末我总是有时间无法打发,所以陆续会写一点东西供大家参考。本文作者声明:由于本文内容错误或者误导导致的损失,作者拒绝承担一切责任。 |
|