這是我第一次在這個論壇上發(fā)言，以前一直是一個潛水員。

 

個人背景：職業(yè)生涯做過的公司有軟件開發(fā)公司/系統(tǒng)集成商/IT咨詢和服務(wù)商，從事過程序開發(fā)/系統(tǒng)集成/項(xiàng)目管理/市場營銷和管理工作，加入Big4之前工作了8年，在某Big4工作了2年多，今年離開的。職務(wù)一直是Manager。

 

業(yè) 績：Peak Season要做近80家客戶/110多個GAMx（我服務(wù)對象是Local Finance Industry），Audit Quarlity得到廣泛認(rèn)同，1年AQR抽中3個，都是No Finding，Slack Season半年完成近200萬的Revenue，從build relation，Proposal，F(xiàn)ieldWork做到最后Archive file和收錢落袋。沒有一個項(xiàng)目是所謂Partner給的或者是從別的地方現(xiàn)成的Transfer過來的（倒是Transfer了兩個項(xiàng)目給了BJ，所 以在BJ IT Audit department口碑很好），其中成功撬走了另外兩家Big4的銀行客戶的IT Advisory單子。

 

關(guān)于我在這家Big4的故事可以再寫一本《圈子圈套》4，用小朋友們的話就是屬于傳奇人物的那種，這里就按下不表。

 

Topic1 IT審計(jì)相對于審計(jì)來說，要輕松一些，但不會輕松很多

 

My Opinion：認(rèn)同，IT審計(jì)項(xiàng)目小而多，GCR沒有多少技術(shù)含量的，但是基本一個Staff一周要做2個以上的GCR（個別銀行和超大型企業(yè)除外）， 所以小朋友的事情很多，不輕松的。07年P(guān)eak Season的時候，我們部門Staff Uti個人單個月最高的是180%左右，就是每個月OT charge 22×8×0.8=140小時，我們當(dāng)時還特意了解了一下這個Staff的情況，他還真沒有虛報(bào)OT。一直是一個人同時做2-3個項(xiàng)目。每天2-3點(diǎn)下 班，早上9點(diǎn)就下Field的。結(jié)果落下腰一直不好的毛病。一般最忙的幾個月平均是在120%左右，所以某人說的一個月charge 300小時OT是不靠譜的，08年開始就幾乎沒有什么OT可以charge了。

 

Topic2 IT審計(jì)價格太高

 

My Opinion：這里面有一些誤解，舉個例子，假設(shè)財(cái)審一個項(xiàng)目的預(yù)算是100萬，成交價可能是30萬，recovery rate30%，IT審計(jì)給財(cái)審的報(bào)價30萬，財(cái)審會complaint說全給你，我都沒有錢賺了，其實(shí)不是的，IT 審計(jì)的報(bào)價是沒有乘Recovery Rate（因?yàn)镮T審計(jì)沒有參與和客戶的Budget Negotiation，是不知道Recovery Rate）所以IT審計(jì)的實(shí)際價格應(yīng)該是30×30%=9萬，很多財(cái)審的Staff可能忽略了這個乘Recovery Rate的步驟。

 

Topic3 省IT審計(jì)成本的辦法

 

My Opinion：作為IT審計(jì)經(jīng)理，我給客戶IT經(jīng)理打一個電話，不用半小時，我都基本能夠感覺出這個客戶ITGC的evaluation的結(jié)果了。所以 針對那種利潤率不高，entity死多，IT水平很低，到處用用友金蝶（甚至更爛）的財(cái)務(wù)軟件的非IPO項(xiàng)目，往年ITGC Ineffective客戶不怎么改的，或者初步評估ITGC 結(jié)論很可能是Ineffective的，你就讓IT審計(jì)和做個preliminary Understanding + Walkthrough，TOC完全不用做，而且做一小部分Walkthrough就能得出ITGCCatagory Ineffective的，也不用把Walkthrough做全。你們自己直接按照ITGC Ineffective來做，自己小心一下ITGC對自己的審計(jì)procedure的影響就可以了。這樣可以少不少Budget。審計(jì)風(fēng)險也很低（都 Ineffective了還有什么風(fēng)險，而且Audit Efficiency也不錯，不用花一大把的IT Audit Budget再作出一個Ineffective的結(jié)論，但是要讓IT Audit Manager簽好字），千萬不要自作聰明按照ITGC Effective來做，那樣你AQR抽中了話會死的很難看的。ITGC Ineffective沒有什么大不了的！只要你熟悉Audit Procedure，知道ITGC Ineffective影響那些ACR和Electronic Evidence，知道采取什么樣的措施來Cover這個Risk就可以了。有些項(xiàng)目，你和IT審計(jì)經(jīng)理簽個Memo，認(rèn)為經(jīng)過IT Professional的Preliminary Understanding，能夠得出客戶的ITGC Ineffective的話，成本更低。當(dāng)然，這里就看財(cái)審經(jīng)理的Soft Skill了。

 

Topic4 IT audit出了四大沒有前途

 

My Opinion：完全同意。其實(shí)IT Audit在四大里面也是越來越?jīng)]有前途。如果一個人整天拿著一個checklist看看汽車方向盤好不好，輪胎有沒有氣，簽字蓋章。他敢說他是汽車方面 的專家，要到汽車廠做總工，這個人一定是腦殘了（就象某個中了北斗神拳的號稱IT Audit manager出去做CIO一樣）。ITGC只是“General”的東西，相對IT只能稱之為“毛”，連“皮”都沒有資格。一般企業(yè)找IT Audit一定要有“實(shí)踐”經(jīng)驗(yàn)的+有Audit經(jīng)驗(yàn)的人才要。

 

IT Audit的職務(wù)，除了大型金融機(jī)構(gòu)和Fortune100里面的部分企業(yè)外，不會有公司設(shè)立這種職務(wù)的。而且就算你在四大做IT Audit，到企業(yè)里面也不是很對路子的，因?yàn)樗麄兒芮宄蘒TGC是個垃圾（來自我的某個客戶和后來曾經(jīng)面試過的金融企業(yè)資深內(nèi)部審計(jì)高管的評語），他們 也要很多IT HandOn的經(jīng)驗(yàn)和Security方面很Technical的經(jīng)驗(yàn)，這些四大出來的大部分是不具備的。IT Audit在Big 4是附屬地位，而且地位只會越來越低，所以這個時候大學(xué)一畢業(yè)來做這個真是個人職業(yè)生涯的自殺行為。當(dāng)一個職務(wù)在市場上只有很狹隘的空間，還能有很好的薪 水的話，大批人進(jìn)來只會讓它崩盤直至打回原形。

 

Topic5 IT Audit能做好IT Advisory

 

My Opinion：笑話。一個只懂得“毛”的人就敢給客戶做advisory，看在公司名字的份上，客戶才沒一腳把你踢出門去。IT Audit的Executive很多人不直接Touch Client，因?yàn)樗麄兂^一半的利潤來自IT Audit（至于沙丁貓說的轉(zhuǎn)型到以IT Advisory為主，我不認(rèn)同，因?yàn)樗麄兪遣桓曳艞塈T audit那么好賺的錢的）。他們還以為客戶是“人傻錢多速來”的那種，人家天天IBM/HP/Accenture的顧問泡著。看到你BIG 4會熱淚盈眶，以為你是來給他傳授先進(jìn)經(jīng)驗(yàn)的傳道士？清醒一點(diǎn)吧，除了個別Compliance的要求，見你們只是浪費(fèi)他的時間。

 

很多 Partner在公司里面橫著走，出了大門什么都不是，還社會中高層，再中一記北斗神拳！傳說中某Partner見某銀行的科長，科長是腳擱到桌子上和他 說話的。另一個Partner，客戶的CIO直接在很多人的會議上把報(bào)告扔在地上，說這種垃圾不要放到我的會議上來討論，還得賠笑臉。自身沒什么 Skill，不懂如何Handle Client。Advisory是要幫助客戶解決問題的，不是你效力的公司很牛，客戶見到你就叫Daddie了。你給個不痛不癢，牛頭不對馬嘴的 report就付錢的。除了給Regulator的報(bào)告以外，BIG 4自身培養(yǎng)出來的力量是不可能做好Advisory的。

 

有時候看看我以前的一些經(jīng)歷，覺得就是《大腕》里瘋?cè)嗽耗嵌蔚默F(xiàn)實(shí)生活版。

 

 

-=-=-=- 以下內(nèi)容由 馬甲8個2 在 2009年12月06日 01:33am 時添加 -=-=-=- 

先回答Cooldog的一句話

 

關(guān)于“科長是腳擱到桌子上和他說話”是我一手的信息，沒有中轉(zhuǎn)過。

 

很多Partner見完客戶回來的路上會發(fā)牢騷，說客戶素質(zhì)差，其實(shí)這些客戶才是真正的老江湖，人家根本不會被名片上的合伙人三個字就忽悠住的，他們關(guān)注的是你真正的價值。不會為那些虛頭八腦的東西浪費(fèi)時間的。

 

再 回答anaesthetist關(guān)于我Topic3的一個疑問，就是為什么要IT Manager簽一個Memo的問題。你們有沒有想過，為什么IT Audit會爆炸性地生意擴(kuò)展，為什么財(cái)審要分一塊budget給IT Audit（盡管心里不爽）？我原來的公司就有一個IT Audit Integration Policy，強(qiáng)制要求大部分有賺頭的項(xiàng)目必須Involve IT Audit，如果不Involve，Audit Quarlity Review要被Q的，所以財(cái)審才不得不加入IT AUdit。回到前面的問題，如果財(cái)審自己下結(jié)論說Ineffective，審計(jì)風(fēng)險很低，AQR風(fēng)險極高，因?yàn)锳udit Methodology里面說下這種結(jié)論的人必須是“IT Professional”，顯然財(cái)審不是“IT Professional”，中招了。所以降低IT Audit Budget而且降低AQR風(fēng)險的最好辦法就是壓縮IT Audit Scope同時讓IT Audit Manager簽memo的方式降低你們自身的AQR風(fēng)險。

 

關(guān)于IT Advisory，可以說的很多，為了保證質(zhì)量且不影響寶寶的睡眠，我準(zhǔn)備明天寫一個長篇大論給大家分享一下，今天先到這里為止，睡覺去也。

 

-=-=-=- 以下內(nèi)容由 馬甲8個2 在 2009年12月06日 07:29pm 時添加 -=-=-=- 

從事IT Audit部門里面的IT Advisory兩年多來的體會

 

引言

 

曾 經(jīng)聽說過一個很經(jīng)典的冷笑話，說某Big4的面試問題如下：如何把一頭大象塞進(jìn)1個冰箱里，標(biāo)準(zhǔn)答案是Step1. 打開冰箱的門 Step2. 把大象塞進(jìn)去 Step3 把冰箱門關(guān)起來。一直覺得很奇怪，這個居然是笑話？直到在某Firm里面工作了一段Advisory時間后，才深刻體會設(shè)計(jì)這個笑話的達(dá)人后面的深刻意 思。

 

上面這個笑話反應(yīng)做Advisory工作的一些潛規(guī)則：

 

1.一定不要理會客戶的需求，盡量把它們忽悠到你自己的路子 上，笑話里客戶的挑戰(zhàn)是把大象塞進(jìn)冰箱（一個明顯的問題就是體積的問題），用Firm的思路就是完全回避這個問題，盡量把客戶忽悠到自己的路子上，變成大 號ITGC或者ACR，很多客戶已經(jīng)被Firm光輝燦爛的名字砸暈了，我們說啥就是啥，如果你提出說客戶其實(shí)想要別的東西，你會被你老板罵死的，敢說皇帝 沒穿衣服的人一定被老板列入黑名單（不過這種客戶已經(jīng)越來越少了，而且在客戶付錢之前突然意識到自己被忽悠了，還款也就成為一個麻煩事情了）；

2.Deliverable 一定要是Finding And Recommendation，千萬不要去Implement什么東西，更加不要出具什么承擔(dān)責(zé)任的東西。所以只能交付這些Step1/Step2的東 西，千萬不要下手真去幫客戶把大象塞進(jìn)冰箱里，更不能做塞進(jìn)去我收多少錢，塞不進(jìn)就不收錢的事情。

3.Deliverable一定要很漂亮，要很有邏輯性，PPT要讓老板覺得astonishing，老板就Q這些東西。

4.Deliverable一定是放之四海皆正確的道理，除了可以借鑒的Bible上的話，千萬不要有自己的觀點(diǎn)，千萬不要和客戶的實(shí)際情況做任何customize的工作

5.客戶氣的吐血也不要緊，罵到狗血領(lǐng)頭也無所謂，只要錢到手，一錘子買賣也無所謂，反正還有Client Service Partner來搽屁股

 

 

-=-=-=- 以下內(nèi)容由 馬甲8個2 在 2009年12月08日 11:51am 時添加 -=-=-=- 

IT Advisory能干些什么？

 

一 類是Sox/CSox/SAS70等類似項(xiàng)目，這類項(xiàng)目是IT Advisory的主流收入來源之一，工作思路很吻合IT Audit的方法，不需要特別額外的知識，一般Senior來做基本沒有問題，我原來部門大部分這類項(xiàng)目不用自己去打客戶，跟在BRS或者AABS后面就 可以。我沒法對這類工作做什么評價，因?yàn)槲抑皇莻€別看過他們的工作內(nèi)容和交付品，沒有做過這種項(xiàng)目。我沒有做這類項(xiàng)目的經(jīng)驗(yàn)。

 

IT Security，我倒是可以說一些內(nèi)容，給你們解釋各類項(xiàng)目的內(nèi)容/我的經(jīng)驗(yàn)以及知識點(diǎn)。IT Security大約可以分為兩個領(lǐng)域，Information Security management方面和Information Security Technical方面。

 

Information Security Management的核心是ISO27000系列（一般人喜歡稱為27001，其實(shí)是有區(qū)別的。27001只是27000系列的總綱，具體的某些方面的 內(nèi)容有002/003……很多內(nèi)容，部分還在Draft中）。27000項(xiàng)目的后半部分實(shí)施和IT Audit思路相似，根據(jù)前期Risk Analysis的結(jié)果，Draft RCM，所有的Control是從27002里面選，不用自己想，需要補(bǔ)充一個Statement（SOA， Statement of Applicable）來解釋為什么不選擇27002中某些Control，然后把這些Control和客戶現(xiàn)有環(huán)境中的Control對應(yīng)起來，做一個 Gap Analysis和Recommendation。然后讓客戶把這個Management System Run起來就可以了。當(dāng)然，前期還有Draft一個很High Level的ISMS文件，ISMS文件的框架和必須包括的內(nèi)容在27001里面有定義的。

 

27000系列項(xiàng)目對EIC/FIC的最大挑戰(zhàn)有兩個：

 

1. 定義范圍和管理層Buy-in，這個活是前期做的，但是范圍沒有定義好，事后進(jìn)行修改，會累死人的。好的EIC會在這里階段很好地引導(dǎo)客戶來做Scope 和Buy-In，同樣，客戶往往在這個階段來評判Vendor是不是有經(jīng)驗(yàn)。如果業(yè)務(wù)部門沒有Buy-In，想做好這件事情會很難，業(yè)務(wù)部門很多時候會想 當(dāng)然的，這是一個IT項(xiàng)目，只是IT部門的事情，這是一個理解誤區(qū)。舉個例子：我曾經(jīng)做過的一個客戶的核心信息資產(chǎn)之一是它的工藝流程圖（PID），在服 務(wù)器上了很多的Control，但是打印出來的PID卻攤在總工的辦工桌上，門的鑰匙掃地阿姨有一份，阿姨每天提早半小時來打掃衛(wèi)生，競爭對手是一墻之 隔，使用同一家清潔公司。當(dāng)時我們只能把范圍擴(kuò)大到把工廠里面可能會出現(xiàn)PID的部門和場所都放進(jìn)來，否則單Review 服務(wù)器是沒有意義的，說服他們當(dāng)時還是費(fèi)了一些力氣的；

2.清晰描述出范圍內(nèi)信息資產(chǎn)和流程/系統(tǒng)/業(yè)務(wù)部門之間的關(guān)系，然后在理出原有的流程/系統(tǒng)/部門已有的控制手段，同時和業(yè)務(wù)部門進(jìn)行Risk Rating以及Risk Analysis。這個活很費(fèi)勁的，但是很漲經(jīng)驗(yàn)值

 

做好上述兩點(diǎn)，后續(xù)的工作IT Audit小朋友就可以輕松地干活了。EIC只要在Deliverable的Quarlity上能夠控制好就可以了。

 

常見的錯誤：

很多人上手把注意力放到清點(diǎn)信息資產(chǎn)（數(shù)數(shù)電腦/服務(wù)器什么的），絕對是錯誤的。27000保護(hù)的是信息資產(chǎn)而不是存放信息資產(chǎn)的設(shè)備(但是你必須把所有可能存放這個信息資產(chǎn)的設(shè)備全部羅列出來)。

從 頭幫客戶Draft一套Information Security Management System，大部分客戶有一堆的Policy，很討厭又添加了一堆的Policy，所以在邏輯關(guān)系上要幫他整理出一套成系統(tǒng)的ISMS管理體系，從 Policy的制定上，適當(dāng)做原有Policy的調(diào)整和增補(bǔ)就可以了。

 

另：

啟動27000系列的項(xiàng)目，很多是以Security Awareness和Security Survey開始的。做這類項(xiàng)目的技巧在于熟悉各類企業(yè)常見的Incident，Common Weakness, 和對27000的熟悉，難點(diǎn)在于如何Draft和customize一些Survey的Questionary，在inquire的時候，如何能夠緩解客 戶的心理壓力，如何進(jìn)行合理有效的問題詢問并一步步深入和展開。因?yàn)橥鵄部門的線索可以引導(dǎo)你去問B部門一些額外的問題。往往好的Survey的結(jié)論是 很Astonishing的，特別是你能夠做出一些明顯的統(tǒng)計(jì)圖來。除非客戶沒有錢，否則他都會讓你來做27000項(xiàng)目的。當(dāng)然，里面有很多Soft Skill。

 

總結(jié)一下：

 

從事Information Security Management Advisory工作，首先熟悉ISO27000系列的內(nèi)容，對客戶所在行業(yè)的Industry的特點(diǎn)要理解，平時收集和積累一些information Security的案例，然后對一些工具使用和設(shè)計(jì)要比較熟悉（比如SOA / RCM / Risk Analysis），強(qiáng)調(diào)工作步驟中前后內(nèi)容的一致性和邏輯性（誰么內(nèi)容推導(dǎo)出什么結(jié)論再推到出什么方案），不需要太多的Tech方面的知識，如果為了做 27000系列的服務(wù)，考CISSP是多余的。

 

 

 

-=-=-=- 以下內(nèi)容由 馬甲8個2 在 2009年12月08日 01:17pm 時添加 -=-=-=- 

IT Security Technical方面： 

 

System Hacking

 

曾 經(jīng)有一個小朋友下field時候打電話問我，說他碰到一個麻煩事情，客戶系統(tǒng)跑在Windows98系統(tǒng)上，但是公司的Knowledge庫里面沒有 Review 98的腳本，問我怎么辦？一句話，不用review，直接判定System Fail。這個有趣的問題就衍生出很多的問題了：

 

1.黑客是怎么攻擊系統(tǒng)用的？

黑客攻擊系統(tǒng)的基本原理就一條：利用系統(tǒng)的漏洞，拿到系統(tǒng)管理員權(quán)限。萬變不離其宗。

2.什么是安全的操作系統(tǒng)，或者說不容易被黑客攻擊的？或者憑什么認(rèn)為某些系統(tǒng)天生就是不安全的？

在 CC（Common Criteria）文件里面，對一定安全的操作系統(tǒng)的級別定義是C2級，在CC后續(xù)的一些規(guī)范里面，好像是定義成EAL4級以上才是安全的操作系統(tǒng)（好久 沒有時間讀這些東東了）。C2級別的一個重要特征是操作系統(tǒng)具備這樣的控制：當(dāng)非系統(tǒng)管理員登錄到系統(tǒng)，是無法獲得系統(tǒng)管理員權(quán)限或者口令的。 Window2000/XP以前的操作系統(tǒng)雖然微軟自己說是C2級別的，但是習(xí)慣上大家都不認(rèn)為它是C2級別，因?yàn)樗邪踩┒础?/div>