加拿大特許會計師關(guān)心的十大IT問題
IT技術(shù)雖然便捷,但帶來的麻煩卻也花樣繁多。
今年5月,花旗銀行金融部門對外宣稱在運(yùn)輸途中丟失了一盒計算機(jī)磁帶,磁帶中包含有390萬客戶的姓名、住址、社會安全號碼、銀行帳戶號碼、歷史支付記錄和個人貸款的詳細(xì)信息。2004年6月,加拿大皇家銀行(RBC)進(jìn)行一次例行的系統(tǒng)維護(hù)卻導(dǎo)致了無法正常處理交易,此事故的發(fā)生干擾了銀行為1000余萬客戶提供金融服務(wù)。與此同時,網(wǎng)絡(luò)詐騙幾乎也無時無刻不把全世界的金融機(jī)構(gòu)和他們的客戶作為詐騙的目標(biāo),騙取他們的個人信息,并侵入他們的銀行帳戶。
我們可以看到,在以上案例中,一個過程和信息的控制失敗導(dǎo)致了對重要業(yè)務(wù)的干擾、系統(tǒng)崩潰、公司聲譽(yù)受損和潛在的訴訟。其中RBC的事故表明,相對于維護(hù)和其他任何程序變更來說,良好的變革管理控制一樣必要。
這些案例都表明,對于董事會、審計委員會和公司高管來說,IT控制和治理比以往任何時候都重要。
加拿大特許會計師協(xié)會(CICA)下屬的信息技術(shù)咨詢委員會(ITAC)每年都會與會計業(yè)內(nèi)人士和專家探討行業(yè)所面對的重大信息技術(shù)問題,今年ITAC進(jìn)行了一系列研究之后又列出了特許會計師(CA)們所最需要關(guān)心的信息技術(shù)。由于環(huán)境不斷變化,這個列表上的IT問題也在不斷變化。比如,由于SOX法案和保護(hù)投資者信心的規(guī)定,IT治理和控制系統(tǒng)在今年位列排行榜首位。下列的IT問題是按照其重要程度排序的。
2005年CA最關(guān)心的IT問題:
1. IT治理和控制系統(tǒng)
2. 無線系統(tǒng)安全和控制
3. 信息隱私
4. 電子郵件管理
5. 災(zāi)難恢復(fù)規(guī)劃
6. 身份盜用
7. IT外包
8. 互聯(lián)網(wǎng)電話(VoIP)
9. 射頻識別系統(tǒng)(RFID)
10. 可擴(kuò)展商業(yè)報告(XBRL)的使用
IT治理和控制系統(tǒng)
凡是在美國上市的公司都需要向SEC提交報告、遵循SOX法案規(guī)定。SOX 404節(jié)要求管理當(dāng)局證實財務(wù)報告的控制系統(tǒng)、重要的IT系統(tǒng)不存在重大缺陷。
IT控制對于系統(tǒng)處理的信息的可靠性和完整性是至關(guān)重要的,如果忽視了其重要性就可能造成非常嚴(yán)重的后果。而財務(wù)信息和財務(wù)報告的完整性、準(zhǔn)確性和及時性又非常依賴控制良好的IT環(huán)境。
無線系統(tǒng)安全和控制
無線系統(tǒng)安全和控制的重要性隨著人們越來越多地使用PDA收發(fā)e-mail而日漸增加,因為人們會更多的考慮信息的安全問題。無線系統(tǒng)包括手機(jī)、無線局域網(wǎng)(WLAN,WiFi)和PDA等。
信息隱私
信息隱私與去年一樣備受公司和個人關(guān)注。聯(lián)邦政府的個人信息保護(hù)和電子文檔法案和各省頒布的類似規(guī)定都正式生效。而各種頻發(fā)的事故也要求各種組織加強(qiáng)保護(hù)他們擁有的私人信息。
電子郵件管理
電子郵件對于企業(yè)經(jīng)營和業(yè)務(wù)開展是非常重要的,但很多組織還沒有實施足夠的電子郵件保持、
管理和控制政策,而是由員工按自己的標(biāo)準(zhǔn)管理自己的電子郵件。電子郵件管理的一個重要方面是垃圾郵件管理,當(dāng)前的應(yīng)對措施依然非常耗時。與此密切聯(lián)系的問題是應(yīng)對收集用戶信息的間諜軟件和相關(guān)的病毒防御措施。
災(zāi)難恢復(fù)計劃
自從電腦開始在商業(yè)中應(yīng)用,災(zāi)難恢復(fù)計劃就是一個備受眾人關(guān)注的問題,現(xiàn)在它依然因為恐怖襲擊和自然災(zāi)害的發(fā)生而顯得非常重要。因為在現(xiàn)在的很多企業(yè)中,信息系統(tǒng)是至關(guān)重要的,一旦它出現(xiàn)問題將影響到企業(yè)的生存和獲利。
身份盜用
身份盜用是隱私管理失靈的一種后果,它有時被當(dāng)作是信息隱私問題的一個方面。身份盜用通常是用欺騙手段,如phishing(一種通過虛假電子郵件來騙取別人信息的手段)來獲取別人的個人信息,然后利用這些信息為自己謀利。
IT外包
很多企業(yè)都廣泛地進(jìn)行IT外包來控制成本,但是這同時也涉及到重要的管理問題。IT外包意味著要將企業(yè)的某些流程交給第三方進(jìn)行,但是其責(zé)任和結(jié)果卻沒有同時交給第三方。這就使遵循SOX法案有關(guān)內(nèi)控測試規(guī)定的難度加大。
互聯(lián)網(wǎng)電話
互聯(lián)網(wǎng)電話(VoIP)是一種可以通過因特網(wǎng)傳輸聲音的技術(shù),包括貝爾(加拿大)在內(nèi)的很多企業(yè)都考慮采納這種技術(shù)。但是VoIP存在著安全性問題,對這些問題需要進(jìn)行相關(guān)的定義和解決。
射頻識別系統(tǒng)
射頻識別系統(tǒng)(RFID)的使用正越來越廣泛。RFID最開始使用是為了給存貨標(biāo)簽以對存貨流動進(jìn)行更好地控制和防止盜竊。RFID追蹤的產(chǎn)品的流動形成了輸入系統(tǒng)的最初的信息。
可擴(kuò)展商業(yè)報告(XBRL)的使用
SEC為了盡量將其文檔檢查程序自動化和節(jié)省資源,規(guī)定注冊公司要提交XBRL格式的10-K、10-Q和8-K表格。此舉大大提高了XBRL的重要程度。
另外,ITAC認(rèn)為CA們應(yīng)該關(guān)注的其他問題還有:
服務(wù)導(dǎo)向架構(gòu)(Service-oriented architecture ,SOA))是通過簡單界面和信息而取得軟件間低耦合地資源運(yùn)用。一項服務(wù)是指捆綁在工作包里并在網(wǎng)站或網(wǎng)絡(luò)上執(zhí)行的一系列任務(wù)。通常,這些服務(wù)能通過可擴(kuò)展的標(biāo)識語言連接到數(shù)據(jù)。SOA用以連接企業(yè)和組織內(nèi)的其他系統(tǒng),以形成一個給予連接服務(wù)的虛擬架構(gòu)。
商業(yè)智能是電子商務(wù)的一個重要方面。它在企業(yè)范圍內(nèi)收集和管理信息以獲得戰(zhàn)略競爭優(yōu)勢和維持戰(zhàn)略地位。
網(wǎng)絡(luò)入侵預(yù)警和企業(yè)內(nèi)協(xié)調(diào)應(yīng)對的方法。
電子商務(wù)下的IT整合,因為IT的關(guān)鍵職責(zé)在于其整合操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫與以使企業(yè)迎接挑戰(zhàn)抓住機(jī)遇的能力。
用戶身份識別。
保護(hù)電子商務(wù)的基礎(chǔ)設(shè)施,這需要技術(shù)、流程和架構(gòu)能使電子商務(wù)在安全的環(huán)境下發(fā)揮功能。