隨着國內內控的興起,常常有人會問,內控跟IT安全有什麼關係?爲何內控話題老是被搞信息安全的人常常說起?我想,一方面,是由於內控與信息安全存在內在的聯繫,另外一方面,則是信息安全從業人員爲了找到體現自身價值的附着點吧。
數據庫
企業內部控制(簡稱「內控」)是一個涉及普遍的概念,根據ISACA組織的定義,內部控制指「爲減小風險所實施的各類政策、步驟、實務和組織結構」。內控自己與IT並沒有直接關係。
可是,正是基於如下兩個方面的緣由,使得內控與IT聯繫起來,而且還十分緊密。
1) IT內控是企業內控的必然:當今大部分企業(尤爲是美國大企業、上市公司,內控一詞主要來自美國)的生產經營都已經極大程度的依賴於IT。能夠說,若是IT失效,企業的生產經營活動將會受到極大的影響。所以,針對企業內控有很重要一個環節就是要求IT治理與IT內控,確保IT與企業的業務戰略保持一致。而在這裏,信息系統審計是企業和組織IT內控過程當中最關鍵的環節。信息系統審計經過對關鍵控制點的符合性測試來判斷IT內控的目標及其控制措施是否有效。所以,這就是爲何IT公司,尤爲是從事信息系統審計、安全審計的公司熱衷於IT內控的緣由了。
2) 企業內審必須依靠IT:在內控體系中,內部審計是一個重要的機構和環節。內 部審計是一項具備獨立性的經濟監督活動,以會計準則和審計準則以及有關的法律法規爲依據,對企業、機關、事業單位等的財政、財務收支以及經營管理進行審覈 和檢查,並在審覈檢查完畢後提出內審報告。一個標準的內部審計過程是十分繁瑣和複雜的,若是不借助計算機自動化的手段,對現代企業的內審幾乎不可能完成。 依託計算機信息化技術,經過對所需數據的適時採集、處理加工,造成正確的審計結論和審計評價,從而提升內審工做效率,把內審人員從煩瑣的數據運算、法規查 證中解放出來,使審計工做的質量有所保證;經過對內審業務過程的計算機化管理,實現對整個內審項目的動態管理、對風險點的實時控制,實現對內審工做任務的 合理分解,整合審計資源,促進部門管理責任制的落實,從而便於業績的考覈和評估,作好風險防範。
綜上所述,能夠看清楚內控與IT的關係。內控首先是使得企業治理與審計相關的諮詢公司重視,而後是使得與企業治理與審計相關的IT公司重視,再日後就是使得與企業IT安全治理與審計相關的安全審計相關的信息安全公司重視。
安全公司重視內控,還有一個緣由就是安全服務的須要。由於安全服務過程當中涉及到了企業治理的內容。做爲企業治理的重要組成部分的IT安全治理因爲其橫跨企業治理與信息安全兩大專有技術領域,使得安全服務相關的諮詢活動顯得獨具價值。
安全