審計有助了解潛在風險
IT auditor 隸屬內部審計部 (internal audit),跟一般內部審計員不同的是,IT auditor 具備相當的網絡保安及營運知識,亦需熟識法例及行業指引,從而評估公司內部的系統保安和工作流程 (如上司批閱下屬文件),是否乎合法例上和大老闆的營商要求。若果發現有潛在風險或漏洞,IT auditor 便會和相關部門的管理人員溝通,要求他們改善。最後,當然亦要撰寫審計報告,但是最終該部門會不會改善問題,IT auditor 便不會干預了!
舉個例子:某中小企慣於只用 Excel 記錄每宗交易,而該 Excel 檔是置於公司內部的共用資料夾內,任何同事皆可開啟及修改該檔案。這個工作流程便出現了很大的保安風險:任何同事都可輕易獲得關於公司所有交易的客戶及貨品成本等等商業機密資料;又或任何人不小心刪除或修改了某些交易內容亦不會被發覺,因為 Excel 並沒有追溯功能,誰人在哪時修改了甚麼資料,完全無從稽考。
這時如果該中小企有聘用 IT auditor 作內部審計的話,IT auditor 便會跟該公司的管理人員講解這些風險,建議他們可以如何改善,輕則為 Excel 檔加上密碼,而密碼只有相關的同事知悉;重則安裝一套完善的企業資源管理系統 (ERP system),每位同事均有一套登入名稱及密碼,以便追溯系統內所有修改資料的紀錄。
多方面的通才
單純懂得資訊科技,或只有營運、銷售或會計知識的專才,在融合商業系統和實質運作時,都會感到困難。IT auditor 是兼備科技和商業知識的專業人員,在國際上亦有專業認可考試 (CISA),確保從業員能融匯科技知識和商業要求。
CISA 考試內容甚廣,科技知識包括網絡建設、系統管理保養、及保安認知;商業方面則涵概在會計上的審計準則及方法。可是這並不是入職的絕對要求,只要有豐富的資訊科技知識,又或審計上的經驗,加上個人努力學習,亦可從純科技人員或會計人員,跳入 IT audit 這個行列。
在香港,資訊科技稽查跟一般的內部審計是連在一起的,規模較大的企業可以自行聘用 IT auditor;但一般中小企因資源所限,若高級管理人員認為有需要為公司內的資訊科技系統把把脈,便會在聘請會計師樓核數時,一併要求他們提供資訊科技稽查服務。所以會計師樓也會聘用科技專才,別以為只有科技公司才有技術人員啊!
(本篇特別鳴謝 @joesze 提供詳盡行業資料)
********************************************************************************************
如果你喜歡這篇文章,請按以下 Google 的 +1 按鈕,又或分享到 Facebook 給你的朋友。多謝支持!
No comments:
Post a Comment