伊迪·布里克尔(碰巧是歌手兼词曲作者保罗·西蒙的妻子)在1988年有一首不怎么热门的歌曲《我是谁.这首歌的开头有一句歌词:“我不知道太多的事情。. 我知道我知道什么,如果你明白我的意思.”
除了文字游戏之外, the lyrics are quite prophetic; in reality, 我们都多少受到我们所知道和理解的东西的限制. 作为ISACA澳门赌场官方软件和IT专家,我们都非常了解IT风险及其3 主要类别. 具体地说:
- IT利益/价值实现风险错失利用技术提高业务流程效率或有效性的机会,或作为新业务计划的推动者
- IT计划和项目交付风险-与IT对新的或改进的业务解决方案的贡献相关, 通常以项目和计划的形式作为投资组合的一部分
- IT运营和服务交付风险-与IT系统和服务的日常业务性能的各个方面相关联, 哪些会给澳门赌场官方下载带来毁灭或价值降低
然而, IT审计报告的受众, 最明显的是, 审计委员会, 倾向于多面手和, 好吧, 他们知道他们知道什么,如果你明白我的意思. 因此,我认为it审计有责任在这方面教育或至少提供教育委员会成员.
我们可以通过把我们的理解和我们审计委员会的理解结合起来来做到这一点. 这可以通过在三种主要风险类别之间画一条线来实现, 业务目标的IT风险和所提供的保证. 我们需要帮助委员会理解,如果他们面前的报告指出了一个关键的意义, 范围内的应用不符合信息安全管理体系(例如.g.,国际标准化组织[ISO] 27001). 我们想让他们知道我们所知道的,如果你明白我的意思.
读读伊恩·库克最近的文章 杂志 文章:
“提供审计委员会指引,” ISACA杂志, 2019年第5卷.