风险意识

Jay8181

最初由 活着要努力 发布\r\n[B]你要将心比心，如果你被人家挑毛病，你也会不舒服，也会找些理由搪塞。所以，你可以给他一个台阶下来，这样大家好沟通一些 [/B]

\r\n\r\n反正也没时间和他耗。有N多的项目等着做。随他吧。\r\n\r\n另请教，关于program change, configuration 和报表开发 算不算change啊？是否也应该遵循standard的procedure?

wearebug

program change, configuration 肯定算是change范围的，报表开发算是program development里的，都是PCAOB要求的。

活着要努力

我觉得看看它们的nature吧，关键看是否financial data or financial reporting related。因为我觉得把所有的change都纳入scope对于auditor还是客户都是很痛苦也不现实的事情。

Jay8181

最初由 活着要努力 发布\r\n[B]我觉得看看它们的nature吧，关键看是否financial data or financial reporting related。因为我觉得把所有的change都纳入scope对于auditor还是客户都是很痛苦也不现实的事情。 [/B]

\r\n\r\n说实话，真的是很痛苦。每次都得为了这个做思想斗争。到底要不要算program chane 或是development。也难怪客户不愿接受。连Auditor都在为难呢。

wearebug

Auditor会为这个为难？？ 程序的变更过程如果不被控制，错误代码进入生产环境带来的危害是很大的，这也是PCAOB把program change做为4个domains之一的重要原因。\r\n信息系统审计不应该仅仅包括信息安全，流程的控制也是非常重要的。和黑客入侵等安全威胁比起来，这些变更管理的缺陷的risk更高。

凉白开水

以前看过 对美国能源部的系统审计报告  改了一个数据库的字段的长度 都作为一个证据

tttkoo

最初由 Jay8181 发布\r\n[B]\r\n\r\n他居然有个解释是：‘我们虽然是外企，但是是个家族企业，要求不能那么高。’我寒。。。。。。 [/B]

\r\n\r\n他的意思是:你的解决方案成本太高,已经比可能的风险损失都大了,既然如此,那么就接受这个风险好了.

wearebug

tttkoo老兄都发话了。。呵呵

tttkoo

说明他很明白风险管理之道.