问大家一个关于内审的问题

lf5043

我们公司马上要进行内部审计,可是公司内有很多盗版\r\n软件,请问大家内部审计对盗版软件的定义和解决办法.\r\n\r\n注：此次内审由美方主持.

hellen

没有版权所有者license的商业软件都算盗版的吧。\r\n公开的自由软件不算。\r\n\r\n从安全的角度考虑，重要的软件还是应该建议公\r\n司花钱买。

running1977

最初由 lf5043 发布\r\n[B]我们公司马上要进行内部审计,可是公司内有很多盗版\r\n软件,请问大家内部审计对盗版软件的定义和解决办法.\r\n\r\n注：此次内审由美方主持. [/B]

\r\n你先确定一下内审的范围，作不作IT审计这一块（General computer control review这一部分），有些公司是不作的，这样就根本不需担心。\r\n\r\n另外，如果做的话，看他们是General Understanding还是要做testing，若是前者，你准备一个Software inventory list（license清单），他们访谈的时候你就说这是你们的全部的软件，有policy（书面的最好）要求都买license的，这样就可以过关。\r\n\r\n如果做testing，也要看他们testing的广度和深度，而一般简单testing就是拿到你的Software inventory list也就算过关了，这时候他们的testing主要放在访谈上，就是所谓的Corroborative Inquiry，就是问2个不同的人，若大家都说没盗版，就算认为是没盗，但此时一般要加一点Examination of Documentation,就是你的inventory list和你们公司的反盗版policy。这样过关难度也不是很大，大家同一口径就行。\r\n\r\n如果要做实质性测试，看你的的用户数和license数对照，随机抽电脑check等等，那估计就不行了。但一般的建议常常就是这两种：\r\n1、购买补足license\r\n2、从系统众删除该软件。\r\n\r\n看你们公司的内审policy对你们的影响大不大了，有的是过一下形式而已，来年你们就推说budget太紧没办法等等，也就算了。\r\n\r\n但有的企业总部内审如果发现超过一定的控制失效点后，处罚措施非常严厉，小到负责人扣奖金，降职等，达到整个工厂或者企业立即关门。

jacky761229

最初由 running1977 发布\r\n[B]\r\n你先确定一下内审的范围，作不作IT审计这一块（General computer control review这一部分），有些公司是不作的，这样就根本不需担心。\r\n\r\n另外，如果做的话，看他们是General Understanding还是要做testing，若是前者，你准备一个Software inventory list（license清单），他们访谈的时候你就说这是你们的全部的软件，有policy（书面的最好）要求都买license的，这样就可以过关。\r\n\r\n如果做testing，也要看他们testing的广度和深度，而一般简单testing就是拿到你的Software inventory list也就算过关了，这时候他们的testing主要放在访谈上，就是所谓的Corroborative Inquiry，就是问2个不同的人，若大家都说没盗版，就算认为是没盗，但此时一般要加一点Examination of Documentation,就是你的inventory list和你们公司的反盗版policy。这样过关难度也不是很大，大家同一口径就行。\r\n\r\n如果要做实质性测试，看你的的用户数和license数对照，随机抽电脑check等等，那估计就不行了。但一般的建议常常就是这两种：\r\n1、购买补足license\r\n2、从系统众删除该软件。\r\n\r\n看你们公司的内审policy对你们的影响大不大了，有的是过一下形式而已，来年你们就推说budget太紧没办法等等，也就算了。\r\n\r\n但有的企业总部内审如果发现超过一定的控制失效点后，处罚措施非常严厉，小到负责人扣奖金，降职等，达到整个工厂或者企业立即关门。 [/B]

\r\n\r\n狡猾，狡猾地！

steelwin

不能说是狡猾，是非常非常有经验

fenglinluzhou

我就是做外部信息技术审计的，看来以后不做实质性测试是不行啦！

tttkoo

补充几点:\r\n1.AUDIT SCOPE不包括IT的也要注意,建议检查ENGAGEMENT LETTER,如果审采购,库存的话,也可能受影响\r\n2.必要的SUPPORT DOCUMENT:\r\nA.软件清单(采购后记录的和实际安装的)\r\nB.版权证书\r\nC.软件购买审批流程\r\nD.软件安装审批流程\r\nE.软件清单的更新,注意安装的IT和更新文档资料的最好不是同一个,否则要举证补充控制\r\nF.内部定期(至少每年)盘点,并保证RECONCILIATION\r\n3.培训员工软件版权的重要性\r\n4.如果D版太多,一时无法清除或购买正版,马上写个ACTION PLAN表示你们意识到重要性了.

jacky761229

最初由 tttkoo 发布\r\n[B]补充几点:\r\n1.AUDIT SCOPE不包括IT的也要注意,建议检查ENGAGEMENT LETTER,如果审采购,库存的话,也可能受影响\r\n2.必要的SUPPORT DOCUMENT:\r\nA.软件清单(采购后记录的和实际安装的)\r\nB.版权证书\r\nC.软件购买审批流程\r\nD.软件安装审批流程\r\nE.软件清单的更新,注意安装的IT和更新文档资料的最好不是同一个,否则要举证补充控制\r\nF.内部定期(至少每年)盘点,并保证RECONCILIATION\r\n3.培训员工软件版权的重要性\r\n4.如果D版太多,一时无法清除或购买正版,马上写个ACTION PLAN表示你们意识到重要性了. [/B]

\r\n\r\n我觉得第一点补充的很好，不作GCCR并不代表不做软件版权的控制测试，各个公司内审的Program都可能不一样。不过，要IT Manager去查看Engagement Letter好像有难度啊。

tttkoo

任何一个经理都可以,原因: 1.如果AUDIT SCOPE包含IT审计;2.有APPLICATION SYSTEM如SAP支持公司的关键业务,而IT MGR是SAP的SYSTEM OWNER(相对CFO/FC是SAP的BUSINESS PROCESS OWNER说来).\r\n另外还有,这些流程可以是POLICY,PROCEDURE,,但是:1.得有相应的FORM,DELEGATION OF AUTHORIZATION FOR BUSINESS OWNER, R&R等参考/支持文件; 2.公司高层要批准和发布;如果这些流程能够容入公司的质量保证体系,IA就无可挑剔了

tttkoo

最初由 hellen 发布\r\n[B]没有版权所有者license的商业软件都算盗版的吧。\r\n公开的自由软件不算。\r\n\r\n从安全的角度考虑，重要的软件还是应该建议公\r\n司花钱买。 [/B]

\r\n\r\n严重错误观点!\r\n\r\n如果我是IA,从安全角度我会问:\r\n对于公开的自由软件,你如何保证没有内嵌恶意代码如特洛伊?你又如保证他们和公司其他授权应用系统的兼容性? 从法律角度看,D版的问题就更大了,大到不是IT MGR而是CEO来回答了. 还记得吴士宏当权时,MS的举报奖金是一百万!(口水;;;;;;;;;;;;;;;;;;;;;;;;;