TIPTOP ERP 是鼎新電腦公司所推出的 ERP 系統。是利用 4GL 的語言所開發完成的。
其架構通常如下:
與同是鼎新所開發的 WorkFlow ERP 相比較,TIPTOP 通常會購買 Source Code 而由資訊人員進行修改並進行客製化。因此,在查核上較需注意其 Business Process 的合理性。
依 GAIT 的方法,查核人員可以將與財務相關資訊系統分解為四個部件(network, OS, AP, DB)。而將問題加以解決。
但是四個部件是不是都要用最高標準進行查核,以達成有效果且有效率的查核,就是一個很有趣的問題。依照不同的環境,也會有著不同的方法。
舉例來說,有些應用程式並未在 DB 層設立嚴謹的帳號管控,若這時查核人員還是用一成不變的查核程式,花了一天在與 DB 的 profile 與其他 access rights 搏鬥。但卻未發現到, DB 權限的弱點,並不是最為重要的,因為在開發時,就已確定不要建置過於複雜的權限。故利用簡單的實體隔離與 OS 設定,DBA 若要進行任何修改,都需要到主機房進行動作,而且需要機房人員陪同。 而在應用程式方面,所有交易均需透過交易層認證後,才能發送。如此一來,查profile 的意義何在?
推薦一個有關自動化稽核的部落格:Audit Commander。作者是一個it auditor,曾任職於Deloitte。作者在Audit Commander中提供一個自動化稽核的分析工具:XL Audit Commander,分成兩種型式,一種是excel的外掛,另一種是Server的,不過只提供Source Code;還有許多的Tutorial與 Case Studies 。最重要的是:This is free software, there is no cost or license.,靠,有興趣的朋友歡迎一起來研究看看吧!
另外,這裡(Three articles on audit topics)還有提供了三篇案例!
參考看看喔!
GAIT 是在 2007 年由 IIA 所提出來的稽核方法論。其主要目的是要能符合 SOX 404
法案的要求,要求企業需對 IT 的一般控制作出聲明,以確保與財務報表相關的資料不能被未授權修改。
SOX 法案的立意相當好,但是在實行上是有其困難的。IIA 提出
Guide to the Assessment of IT General Controls Scope Based on Risk (GAIT),
是一組原則以及方法論,讓年度進行IT 一般控制之內控聲明時有所依據。
簡單來說,GAIT 能讓 IT 一般控制具有成本效益。GAIT 可以讓組織較容易找出,
與財務報表上重大錯誤相關的 IT 一般控制。GAIT 採用了由上而下(Top-down),
以風險為導向的方法論來達成 SOX 404 之循遵。GAIT 共有 4 個原則,其內容與
AS No. 2 相容:
1.在 IT 一般控制流程中,辨識風險與其相關控制(如:變更管理、部署、存取安全、
營運等)應延續由上而下與以風險為導向之方法,來辨識出重大帳戶、該帳戶的風險、
以及在商業流程中的關鍵控制。
2.需要辨識的 IT 一般控制風險,其判斷標準為,IT 功能會
對應用程式及其資料造成財務重大影響
3.需要被辨識的 IT 一般控制風險,在一些層級中:應用程式、資料庫、
作業系統與網路。
4.IT 一般控制風險可經由達成 IT 控制目標來緩解,而非個別控制。
以上四個原則並沒有提出一個控制框架,也沒有提到任何一個控制目標。
但其提供了內部稽核人員與管理階層,對 IT 一般控制一致性的檢查。
除此之外,該方法論也幫助組織檢視每一個財務重大的應用程式,
並據此決定 IT 一般控制在各層失效時,對關鍵應用程式的威脅。
若該 IT 一般控制有可能失效,則 GAIT 也能詳細找出達成那一些控制目標後,
可緩解該風險。COBIT 與其他相關方法論可用來找出關鍵控制,
以及點出 IT 一般控制目標。
當管理階層與稽核員在實施 GAIT 時,應問自己三個問題:
1.在財務應用中,要讓預防或偵測誤述的關鍵控制正常運作,那一個 IT 功能不可或缺?
2.在IT架構各層流程中的單一錯誤,並非不可能間接造成關鍵性功能的失敗,
因而造成重大性誤述的風險??
3.若此類 IT 一般控制流程風險存在,攸關的 IT 控制目標為何?
實行 GAIT 時,GAIT 只幫助使用者掌握控制的範圍,同時,
使用者會更了解潛在的一般控制失效會如何地影響財務報表錯誤風險。
哈囉!
將版面改了一下,變成綠色的,看起來比較適合我們實驗室的風格!哈!
請大家常來分享相關知識吧!
小弟先來貼一些有趣的資料讓大家參考看看!
搜尋關鍵字:會計。還不錯,蠻多人在寫會計相關的文章,畢竟各校的會計系都算是一個大系,而且會計算是一個歷史悠久的科系。
Chinese (中文) posts that contain 會計 per day for the last 30 days.
Get your own chart!
搜尋關鍵字:稽核。也蠻多人在寫的,畢竟很多網管、系統管理...等等的都有在做稽核,而且那些"資訊水電工"好像大部分都是宅在家裡打電腦的男人。^^
Chinese (中文) posts that contain 稽核 per day for the last 30 days.
Get your own chart!
搜尋關鍵字:審計。恩,有點少!
Chinese (中文) posts that contain 審計 per day for the last 30 days.
Get your own chart!
搜尋關鍵字:電腦稽核。少得可憐!@@(有淺力喔!)
Chinese (中文) posts that contain 電腦稽核 per day for the last 30 days.
Get your own chart!
以上僅供參考!^^
【註】以上的結果都是小弟去搜尋 technorati 的結果,也就是說,只搜尋部落格網頁。
哈囉~好久不見了
推薦一個不錯的網站:GCCF總裁學苑
這個網站中有很多免費的文章可以閱讀,而且都蠻有意思的。
在這裡先貼一篇文章讓你們參考看看吧!
Web 2.0 革命 - Google典範
作者:數位之牆創辦人
今天逛網路時,發現很多學校的會計系將系所簡介放上Wikipedia。
例如:東海會計和實踐會計...
http://zh.wikipedia.org/wiki/東海大學會計學系
http://zh.wikipedia.org/wiki/實踐大學
然後我搜尋中文維基,發現關於會計資訊和電腦稽核的資料好像很少...
英文維基的computer auditing and security的資料也很離離落落...
我想說...
我們也去Wikipedia將我們的系所簡介發佈上去要嗎?
順便也可以貢獻一些電腦稽核的知識在中文維基上...
http://en.wikipedia.org/wiki/Wikipedia:Your_first_article
呵呵...小建議而已^^
大多數Windows的安全管理,都是在Windows NT Domain下,或是在Active Directory中確保Windows的安全。
如何確保未加入網域,而是使用Work Group的Windows網路安全呢?
在小企業或者大企業的小部門中,許多Windows工作站並沒有使用網域,而沒有中央伺服器。這種網路配置方法也許和AD不同, 但是,這並不意味著AD環境上的安全漏洞不會出現在Workgroup環境中,也並不代表說Workgroup環境中的資料較不重要。
我曾經管理了10年的P2P Windows網路。下面我對如何確保這種網路中系統的安全提出五個步驟:
1.必須有本地的安全策略(Local Security Policy)
增強每一個個人的系統安全是重要的,因為在這種設置中沒有組策略(Group Policy),你必須要依賴Windows本地的安全策略。你可以通過Window控制台或者通過執行secpol.msc或者secpol.msc來設定你的本地安全策略設置。
關鍵的設置包括
2.需要批准共用
在P2P環境中,你還需要向網路中的每一個人通報共用。如果沒有這樣做,要記住最低限度的規則並且設置共用許可,這樣用戶能夠流覽並看到允許他們看到的東西。
3.文件許可非常重要
按照共用批准的同一個原則,需要在本地的每一個系統建立檔許可,以保證只有得到授權的人才能打開、修改和刪除檔。
4.加密離線檔
在P2P環境中需要Windows離線檔加密功能是普通的,特別是對於移動用戶來說更是如此。如果你使用這種功能,確保使用這些Windows指南加 密你的檔。最好是考慮使用PGP桌面專業版或者SecureStar DriveCrypt加密軟體對硬碟進行部分加密或者全部加密,以確保你的移動資料的安全。
5.評估你的網路安全
定期評估你的P2P網路安全也是非常重要的。在評估的時候要確保記住以下事情:
·對各個系統實施本地安全策略一致性檢查。使用免費的和商業性的軟體工具就很容完成這種檢查。這類工具包括Foundstone公司的SuperScan和GFI LANguard公司的網路安全掃描器。
·檢查不屬於各個系統所有的本地用戶帳號。
·確認為各個系統設置的你的共用和檔許可是恰當的。
·查找不應該共用的檔夾和硬碟,或者查找不應該存在的檔夾和硬碟。這在P2P網路中是特別普通的事情。在P2P網路中硬碟和檔夾共用是正常的。
·無論你使用什麼工具,在進行測試的時候,要確保實施經過身份識別的掃描(以標準的用戶、管理員或者這兩者的身份登錄)和未經過身份識別的掃描(僅使用 零會話連接,而不登錄)。這會使你瞭解網路的真實狀況,瞭解哪里配置錯誤了,並且瞭解不守紀律的內部人員或者外部駭客能夠在你的系統裏看到什麼。
在P2P環境中實際執行安全策略是非常困難的事情。但是,這個事情仍需要去做。盡可能地使用上述Windows控制方法可以將駭客拒之門外並且保持用戶的連接。定期地結合基本的、有效的安全測試進行上述測試將有助於保證你的機構的P2P網路的安全。
Reference:
http://andyjian.itpub.net/post/7640/195515
