如果你和许多的首席信息官所处的境遇一样,遵章要求﹝Compliance Requirements﹞已经影响了你整个机构--而且你的审计员已经做出了一些令你意想不到的要求,你也因此花费了比你想象中更多的费用。
通过一年在他们各自领域的Sarbanes-Oxley经验,IT执行官们已经在准备审计员的过程中吸取到了宝贵的经验,比如要在审计员达到之前先要建立相当的衡量标准。
由Information Technology Process Institute颁布的 The Visible Ops Handbook手册里专门为"增加你的审计透明度"准备了一章内情报告。
Information Technology Process Institute是一个非营利性团体,它所开展的主要活动是进行研究,标杆以及给执行官提供最优方法。据该团体的主席兼创始人Kevin Behr说,到目前为止,这本价值19.95美元的手册已经销售出了17,000本。以下就是从这本手册中摘录出来的其中最受欢迎的小抄之一中的一部分。
1.在审计员作审计之前先问清楚他们在期待着什么。让他们想清楚审计的目标,即是有时候他们已经做了一些审计前的清单。
2.确保列出你能预期到各种风险。分门别类,按降序排列,把风险最大的排在第一位,顺便附上要降低这些风险你所想到的控制管理方法。
3.确保你拥有预防性控制,以及在适当的位置有侦探性的控制来指示他们在工作。确保变动管理进程。对于每个认证过的变动,通过探测性的控制来记录这些结构的变化,保证这些变化在工作次序的范围之内。对收集来的变化请求数据进行归档,并且随时可以取得。在某些机构,上述所有的信息都储存在一个物理三环捆绑者内(physical three-ring binder)。
4.选择使用变动咨询桌(Change Advisory Board)会议记录来指示有人正在参加会议以及管理各种变动。
5.保持做出一个连续的并且准确的硬件和软件的资产详细目录
6.确保所有的内部审计程序运行正常。比如你的路线表明你的防火墙日志是由可以回顾例外的系统控制的,那么你必须能够通过其中的一个日志来验证下一个路线。
7.弄清所有的储运损耗和系统中的不在计划内的停工期,附上采取的矫正行动。
8. 保持连续的记录,记录下所有的政策外的特殊情况
9.列出任何安全事件,附上采取的矫正行动。
10. 确保能够出示以前的审计结果,能够对所得结果做出分析,经过矫正行动后结果取得了什么进步。
“更多的控制并补等同于更多的机构组织和更多的工作。”Behr说,“事实表明,那些带有控制的可以做得更多,而只需要跟少的机构和工作,可以更快的完成工作,而且质量更为优越。”