這是我第一次在這個(gè)論壇上發(fā)言，以前一直是一個(gè)潛水員。

 

個(gè)人背景：職業(yè)生涯做過(guò)的公司有軟件開(kāi)發(fā)公司/系統(tǒng)集成商/IT咨詢和服務(wù)商，從事過(guò)程序開(kāi)發(fā)/系統(tǒng)集成/項(xiàng)目管理/市場(chǎng)營(yíng)銷(xiāo)和管理工作，加入Big4之前工作了8年，在某Big4工作了2年多，今年離開(kāi)的。職務(wù)一直是Manager。

 

業(yè) 績(jī)：Peak Season要做近80家客戶/110多個(gè)GAMx（我服務(wù)對(duì)象是Local Finance Industry），Audit Quarlity得到廣泛認(rèn)同，1年AQR抽中3個(gè)，都是No Finding，Slack Season半年完成近200萬(wàn)的Revenue，從build relation，Proposal，F(xiàn)ieldWork做到最后Archive file和收錢(qián)落袋。沒(méi)有一個(gè)項(xiàng)目是所謂Partner給的或者是從別的地方現(xiàn)成的Transfer過(guò)來(lái)的（倒是Transfer了兩個(gè)項(xiàng)目給了BJ，所 以在BJ IT Audit department口碑很好），其中成功撬走了另外兩家Big4的銀行客戶的IT Advisory單子。

 

關(guān)于我在這家Big4的故事可以再寫(xiě)一本《圈子圈套》4，用小朋友們的話就是屬于傳奇人物的那種，這里就按下不表。

 

Topic1 IT審計(jì)相對(duì)于審計(jì)來(lái)說(shuō)，要輕松一些，但不會(huì)輕松很多

 

My Opinion：認(rèn)同，IT審計(jì)項(xiàng)目小而多，GCR沒(méi)有多少技術(shù)含量的，但是基本一個(gè)Staff一周要做2個(gè)以上的GCR（個(gè)別銀行和超大型企業(yè)除外）， 所以小朋友的事情很多，不輕松的。07年P(guān)eak Season的時(shí)候，我們部門(mén)Staff Uti個(gè)人單個(gè)月最高的是180%左右，就是每個(gè)月OT charge 22×8×0.8=140小時(shí)，我們當(dāng)時(shí)還特意了解了一下這個(gè)Staff的情況，他還真沒(méi)有虛報(bào)OT。一直是一個(gè)人同時(shí)做2-3個(gè)項(xiàng)目。每天2-3點(diǎn)下 班，早上9點(diǎn)就下Field的。結(jié)果落下腰一直不好的毛病。一般最忙的幾個(gè)月平均是在120%左右，所以某人說(shuō)的一個(gè)月charge 300小時(shí)OT是不靠譜的，08年開(kāi)始就幾乎沒(méi)有什么OT可以charge了。

 

Topic2 IT審計(jì)價(jià)格太高

 

My Opinion：這里面有一些誤解，舉個(gè)例子，假設(shè)財(cái)審一個(gè)項(xiàng)目的預(yù)算是100萬(wàn)，成交價(jià)可能是30萬(wàn)，recovery rate30%，IT審計(jì)給財(cái)審的報(bào)價(jià)30萬(wàn)，財(cái)審會(huì)complaint說(shuō)全給你，我都沒(méi)有錢(qián)賺了，其實(shí)不是的，IT 審計(jì)的報(bào)價(jià)是沒(méi)有乘Recovery Rate（因?yàn)镮T審計(jì)沒(méi)有參與和客戶的Budget Negotiation，是不知道Recovery Rate）所以IT審計(jì)的實(shí)際價(jià)格應(yīng)該是30×30%=9萬(wàn)，很多財(cái)審的Staff可能忽略了這個(gè)乘Recovery Rate的步驟。

 

Topic3 省IT審計(jì)成本的辦法

 

My Opinion：作為IT審計(jì)經(jīng)理，我給客戶IT經(jīng)理打一個(gè)電話，不用半小時(shí)，我都基本能夠感覺(jué)出這個(gè)客戶ITGC的evaluation的結(jié)果了。所以 針對(duì)那種利潤(rùn)率不高，entity死多，IT水平很低，到處用用友金蝶（甚至更爛）的財(cái)務(wù)軟件的非IPO項(xiàng)目，往年ITGC Ineffective客戶不怎么改的，或者初步評(píng)估ITGC 結(jié)論很可能是Ineffective的，你就讓IT審計(jì)和做個(gè)preliminary Understanding + Walkthrough，TOC完全不用做，而且做一小部分Walkthrough就能得出ITGCCatagory Ineffective的，也不用把Walkthrough做全。你們自己直接按照ITGC Ineffective來(lái)做，自己小心一下ITGC對(duì)自己的審計(jì)procedure的影響就可以了。這樣可以少不少Budget。審計(jì)風(fēng)險(xiǎn)也很低（都 Ineffective了還有什么風(fēng)險(xiǎn)，而且Audit Efficiency也不錯(cuò)，不用花一大把的IT Audit Budget再作出一個(gè)Ineffective的結(jié)論，但是要讓IT Audit Manager簽好字），千萬(wàn)不要自作聰明按照ITGC Effective來(lái)做，那樣你AQR抽中了話會(huì)死的很難看的。ITGC Ineffective沒(méi)有什么大不了的！只要你熟悉Audit Procedure，知道ITGC Ineffective影響那些ACR和Electronic Evidence，知道采取什么樣的措施來(lái)Cover這個(gè)Risk就可以了。有些項(xiàng)目，你和IT審計(jì)經(jīng)理簽個(gè)Memo，認(rèn)為經(jīng)過(guò)IT Professional的Preliminary Understanding，能夠得出客戶的ITGC Ineffective的話，成本更低。當(dāng)然，這里就看財(cái)審經(jīng)理的Soft Skill了。

 

Topic4 IT audit出了四大沒(méi)有前途

 

My Opinion：完全同意。其實(shí)IT Audit在四大里面也是越來(lái)越?jīng)]有前途。如果一個(gè)人整天拿著一個(gè)checklist看看汽車(chē)方向盤(pán)好不好，輪胎有沒(méi)有氣，簽字蓋章。他敢說(shuō)他是汽車(chē)方面 的專家，要到汽車(chē)廠做總工，這個(gè)人一定是腦殘了（就象某個(gè)中了北斗神拳的號(hào)稱IT Audit manager出去做CIO一樣）。ITGC只是“General”的東西，相對(duì)IT只能稱之為“毛”，連“皮”都沒(méi)有資格。一般企業(yè)找IT Audit一定要有“實(shí)踐”經(jīng)驗(yàn)的+有Audit經(jīng)驗(yàn)的人才要。

 

IT Audit的職務(wù)，除了大型金融機(jī)構(gòu)和Fortune100里面的部分企業(yè)外，不會(huì)有公司設(shè)立這種職務(wù)的。而且就算你在四大做IT Audit，到企業(yè)里面也不是很對(duì)路子的，因?yàn)樗麄兒芮宄蘒TGC是個(gè)垃圾（來(lái)自我的某個(gè)客戶和后來(lái)曾經(jīng)面試過(guò)的金融企業(yè)資深內(nèi)部審計(jì)高管的評(píng)語(yǔ)），他們 也要很多IT HandOn的經(jīng)驗(yàn)和Security方面很Technical的經(jīng)驗(yàn)，這些四大出來(lái)的大部分是不具備的。IT Audit在Big 4是附屬地位，而且地位只會(huì)越來(lái)越低，所以這個(gè)時(shí)候大學(xué)一畢業(yè)來(lái)做這個(gè)真是個(gè)人職業(yè)生涯的自殺行為。當(dāng)一個(gè)職務(wù)在市場(chǎng)上只有很狹隘的空間，還能有很好的薪 水的話，大批人進(jìn)來(lái)只會(huì)讓它崩盤(pán)直至打回原形。

 

Topic5 IT Audit能做好IT Advisory

 

My Opinion：笑話。一個(gè)只懂得“毛”的人就敢給客戶做advisory，看在公司名字的份上，客戶才沒(méi)一腳把你踢出門(mén)去。IT Audit的Executive很多人不直接Touch Client，因?yàn)樗麄兂^(guò)一半的利潤(rùn)來(lái)自IT Audit（至于沙丁貓說(shuō)的轉(zhuǎn)型到以IT Advisory為主，我不認(rèn)同，因?yàn)樗麄兪遣桓曳艞塈T audit那么好賺的錢(qián)的）。他們還以為客戶是“人傻錢(qián)多速來(lái)”的那種，人家天天IBM/HP/Accenture的顧問(wèn)泡著。看到你BIG 4會(huì)熱淚盈眶，以為你是來(lái)給他傳授先進(jìn)經(jīng)驗(yàn)的傳道士？清醒一點(diǎn)吧，除了個(gè)別Compliance的要求，見(jiàn)你們只是浪費(fèi)他的時(shí)間。

 

很多 Partner在公司里面橫著走，出了大門(mén)什么都不是，還社會(huì)中高層，再中一記北斗神拳！傳說(shuō)中某Partner見(jiàn)某銀行的科長(zhǎng)，科長(zhǎng)是腳擱到桌子上和他 說(shuō)話的。另一個(gè)Partner，客戶的CIO直接在很多人的會(huì)議上把報(bào)告扔在地上，說(shuō)這種垃圾不要放到我的會(huì)議上來(lái)討論，還得賠笑臉。自身沒(méi)什么 Skill，不懂如何Handle Client。Advisory是要幫助客戶解決問(wèn)題的，不是你效力的公司很牛，客戶見(jiàn)到你就叫Daddie了。你給個(gè)不痛不癢，牛頭不對(duì)馬嘴的 report就付錢(qián)的。除了給Regulator的報(bào)告以外，BIG 4自身培養(yǎng)出來(lái)的力量是不可能做好Advisory的。

 

有時(shí)候看看我以前的一些經(jīng)歷，覺(jué)得就是《大腕》里瘋?cè)嗽耗嵌蔚默F(xiàn)實(shí)生活版。

 

 

-=-=-=- 以下內(nèi)容由 馬甲8個(gè)2 在 2009年12月06日 01:33am 時(shí)添加 -=-=-=- 

先回答Cooldog的一句話

 

關(guān)于“科長(zhǎng)是腳擱到桌子上和他說(shuō)話”是我一手的信息，沒(méi)有中轉(zhuǎn)過(guò)。

 

很多Partner見(jiàn)完客戶回來(lái)的路上會(huì)發(fā)牢騷，說(shuō)客戶素質(zhì)差，其實(shí)這些客戶才是真正的老江湖，人家根本不會(huì)被名片上的合伙人三個(gè)字就忽悠住的，他們關(guān)注的是你真正的價(jià)值。不會(huì)為那些虛頭八腦的東西浪費(fèi)時(shí)間的。

 

再 回答anaesthetist關(guān)于我Topic3的一個(gè)疑問(wèn)，就是為什么要IT Manager簽一個(gè)Memo的問(wèn)題。你們有沒(méi)有想過(guò)，為什么IT Audit會(huì)爆炸性地生意擴(kuò)展，為什么財(cái)審要分一塊budget給IT Audit（盡管心里不爽）？我原來(lái)的公司就有一個(gè)IT Audit Integration Policy，強(qiáng)制要求大部分有賺頭的項(xiàng)目必須Involve IT Audit，如果不Involve，Audit Quarlity Review要被Q的，所以財(cái)審才不得不加入IT AUdit?；氐角懊娴膯?wèn)題，如果財(cái)審自己下結(jié)論說(shuō)Ineffective，審計(jì)風(fēng)險(xiǎn)很低，AQR風(fēng)險(xiǎn)極高，因?yàn)锳udit Methodology里面說(shuō)下這種結(jié)論的人必須是“IT Professional”，顯然財(cái)審不是“IT Professional”，中招了。所以降低IT Audit Budget而且降低AQR風(fēng)險(xiǎn)的最好辦法就是壓縮IT Audit Scope同時(shí)讓IT Audit Manager簽memo的方式降低你們自身的AQR風(fēng)險(xiǎn)。

 

關(guān)于IT Advisory，可以說(shuō)的很多，為了保證質(zhì)量且不影響寶寶的睡眠，我準(zhǔn)備明天寫(xiě)一個(gè)長(zhǎng)篇大論給大家分享一下，今天先到這里為止，睡覺(jué)去也。

 

-=-=-=- 以下內(nèi)容由 馬甲8個(gè)2 在 2009年12月06日 07:29pm 時(shí)添加 -=-=-=- 

從事IT Audit部門(mén)里面的IT Advisory兩年多來(lái)的體會(huì)

 

引言

 

曾 經(jīng)聽(tīng)說(shuō)過(guò)一個(gè)很經(jīng)典的冷笑話，說(shuō)某Big4的面試問(wèn)題如下：如何把一頭大象塞進(jìn)1個(gè)冰箱里，標(biāo)準(zhǔn)答案是Step1. 打開(kāi)冰箱的門(mén) Step2. 把大象塞進(jìn)去 Step3 把冰箱門(mén)關(guān)起來(lái)。一直覺(jué)得很奇怪，這個(gè)居然是笑話？直到在某Firm里面工作了一段Advisory時(shí)間后，才深刻體會(huì)設(shè)計(jì)這個(gè)笑話的達(dá)人后面的深刻意 思。

 

上面這個(gè)笑話反應(yīng)做Advisory工作的一些潛規(guī)則：

 

1.一定不要理會(huì)客戶的需求，盡量把它們忽悠到你自己的路子 上，笑話里客戶的挑戰(zhàn)是把大象塞進(jìn)冰箱（一個(gè)明顯的問(wèn)題就是體積的問(wèn)題），用Firm的思路就是完全回避這個(gè)問(wèn)題，盡量把客戶忽悠到自己的路子上，變成大 號(hào)ITGC或者ACR，很多客戶已經(jīng)被Firm光輝燦爛的名字砸暈了，我們說(shuō)啥就是啥，如果你提出說(shuō)客戶其實(shí)想要?jiǎng)e的東西，你會(huì)被你老板罵死的，敢說(shuō)皇帝 沒(méi)穿衣服的人一定被老板列入黑名單（不過(guò)這種客戶已經(jīng)越來(lái)越少了，而且在客戶付錢(qián)之前突然意識(shí)到自己被忽悠了，還款也就成為一個(gè)麻煩事情了）；

2.Deliverable 一定要是Finding And Recommendation，千萬(wàn)不要去Implement什么東西，更加不要出具什么承擔(dān)責(zé)任的東西。所以只能交付這些Step1/Step2的東 西，千萬(wàn)不要下手真去幫客戶把大象塞進(jìn)冰箱里，更不能做塞進(jìn)去我收多少錢(qián)，塞不進(jìn)就不收錢(qián)的事情。

3.Deliverable一定要很漂亮，要很有邏輯性，PPT要讓老板覺(jué)得astonishing，老板就Q這些東西。

4.Deliverable一定是放之四海皆正確的道理，除了可以借鑒的Bible上的話，千萬(wàn)不要有自己的觀點(diǎn)，千萬(wàn)不要和客戶的實(shí)際情況做任何customize的工作

5.客戶氣的吐血也不要緊，罵到狗血領(lǐng)頭也無(wú)所謂，只要錢(qián)到手，一錘子買(mǎi)賣(mài)也無(wú)所謂，反正還有Client Service Partner來(lái)搽屁股

 

 

-=-=-=- 以下內(nèi)容由 馬甲8個(gè)2 在 2009年12月08日 11:51am 時(shí)添加 -=-=-=- 

IT Advisory能干些什么？

 

一 類(lèi)是Sox/CSox/SAS70等類(lèi)似項(xiàng)目，這類(lèi)項(xiàng)目是IT Advisory的主流收入來(lái)源之一，工作思路很吻合IT Audit的方法，不需要特別額外的知識(shí)，一般Senior來(lái)做基本沒(méi)有問(wèn)題，我原來(lái)部門(mén)大部分這類(lèi)項(xiàng)目不用自己去打客戶，跟在BRS或者AABS后面就 可以。我沒(méi)法對(duì)這類(lèi)工作做什么評(píng)價(jià)，因?yàn)槲抑皇莻€(gè)別看過(guò)他們的工作內(nèi)容和交付品，沒(méi)有做過(guò)這種項(xiàng)目。我沒(méi)有做這類(lèi)項(xiàng)目的經(jīng)驗(yàn)。

 

IT Security，我倒是可以說(shuō)一些內(nèi)容，給你們解釋各類(lèi)項(xiàng)目的內(nèi)容/我的經(jīng)驗(yàn)以及知識(shí)點(diǎn)。IT Security大約可以分為兩個(gè)領(lǐng)域，Information Security management方面和Information Security Technical方面。

 

Information Security Management的核心是ISO27000系列（一般人喜歡稱為27001，其實(shí)是有區(qū)別的。27001只是27000系列的總綱，具體的某些方面的 內(nèi)容有002/003……很多內(nèi)容，部分還在Draft中）。27000項(xiàng)目的后半部分實(shí)施和IT Audit思路相似，根據(jù)前期Risk Analysis的結(jié)果，Draft RCM，所有的Control是從27002里面選，不用自己想，需要補(bǔ)充一個(gè)Statement（SOA， Statement of Applicable）來(lái)解釋為什么不選擇27002中某些Control，然后把這些Control和客戶現(xiàn)有環(huán)境中的Control對(duì)應(yīng)起來(lái)，做一個(gè) Gap Analysis和Recommendation。然后讓客戶把這個(gè)Management System Run起來(lái)就可以了。當(dāng)然，前期還有Draft一個(gè)很High Level的ISMS文件，ISMS文件的框架和必須包括的內(nèi)容在27001里面有定義的。

 

27000系列項(xiàng)目對(duì)EIC/FIC的最大挑戰(zhàn)有兩個(gè)：

 

1. 定義范圍和管理層Buy-in，這個(gè)活是前期做的，但是范圍沒(méi)有定義好，事后進(jìn)行修改，會(huì)累死人的。好的EIC會(huì)在這里階段很好地引導(dǎo)客戶來(lái)做Scope 和Buy-In，同樣，客戶往往在這個(gè)階段來(lái)評(píng)判Vendor是不是有經(jīng)驗(yàn)。如果業(yè)務(wù)部門(mén)沒(méi)有Buy-In，想做好這件事情會(huì)很難，業(yè)務(wù)部門(mén)很多時(shí)候會(huì)想 當(dāng)然的，這是一個(gè)IT項(xiàng)目，只是IT部門(mén)的事情，這是一個(gè)理解誤區(qū)。舉個(gè)例子：我曾經(jīng)做過(guò)的一個(gè)客戶的核心信息資產(chǎn)之一是它的工藝流程圖（PID），在服 務(wù)器上了很多的Control，但是打印出來(lái)的PID卻攤在總工的辦工桌上，門(mén)的鑰匙掃地阿姨有一份，阿姨每天提早半小時(shí)來(lái)打掃衛(wèi)生，競(jìng)爭(zhēng)對(duì)手是一墻之 隔，使用同一家清潔公司。當(dāng)時(shí)我們只能把范圍擴(kuò)大到把工廠里面可能會(huì)出現(xiàn)PID的部門(mén)和場(chǎng)所都放進(jìn)來(lái)，否則單Review 服務(wù)器是沒(méi)有意義的，說(shuō)服他們當(dāng)時(shí)還是費(fèi)了一些力氣的；

2.清晰描述出范圍內(nèi)信息資產(chǎn)和流程/系統(tǒng)/業(yè)務(wù)部門(mén)之間的關(guān)系，然后在理出原有的流程/系統(tǒng)/部門(mén)已有的控制手段，同時(shí)和業(yè)務(wù)部門(mén)進(jìn)行Risk Rating以及Risk Analysis。這個(gè)活很費(fèi)勁的，但是很漲經(jīng)驗(yàn)值

 

做好上述兩點(diǎn)，后續(xù)的工作IT Audit小朋友就可以輕松地干活了。EIC只要在Deliverable的Quarlity上能夠控制好就可以了。

 

常見(jiàn)的錯(cuò)誤：

很多人上手把注意力放到清點(diǎn)信息資產(chǎn)（數(shù)數(shù)電腦/服務(wù)器什么的），絕對(duì)是錯(cuò)誤的。27000保護(hù)的是信息資產(chǎn)而不是存放信息資產(chǎn)的設(shè)備(但是你必須把所有可能存放這個(gè)信息資產(chǎn)的設(shè)備全部羅列出來(lái))。

從 頭幫客戶Draft一套Information Security Management System，大部分客戶有一堆的Policy，很討厭又添加了一堆的Policy，所以在邏輯關(guān)系上要幫他整理出一套成系統(tǒng)的ISMS管理體系，從 Policy的制定上，適當(dāng)做原有Policy的調(diào)整和增補(bǔ)就可以了。

 

另：

啟動(dòng)27000系列的項(xiàng)目，很多是以Security Awareness和Security Survey開(kāi)始的。做這類(lèi)項(xiàng)目的技巧在于熟悉各類(lèi)企業(yè)常見(jiàn)的Incident，Common Weakness, 和對(duì)27000的熟悉，難點(diǎn)在于如何Draft和customize一些Survey的Questionary，在inquire的時(shí)候，如何能夠緩解客 戶的心理壓力，如何進(jìn)行合理有效的問(wèn)題詢問(wèn)并一步步深入和展開(kāi)。因?yàn)橥鵄部門(mén)的線索可以引導(dǎo)你去問(wèn)B部門(mén)一些額外的問(wèn)題。往往好的Survey的結(jié)論是 很Astonishing的，特別是你能夠做出一些明顯的統(tǒng)計(jì)圖來(lái)。除非客戶沒(méi)有錢(qián)，否則他都會(huì)讓你來(lái)做27000項(xiàng)目的。當(dāng)然，里面有很多Soft Skill。

 

總結(jié)一下：

 

從事Information Security Management Advisory工作，首先熟悉ISO27000系列的內(nèi)容，對(duì)客戶所在行業(yè)的Industry的特點(diǎn)要理解，平時(shí)收集和積累一些information Security的案例，然后對(duì)一些工具使用和設(shè)計(jì)要比較熟悉（比如SOA / RCM / Risk Analysis），強(qiáng)調(diào)工作步驟中前后內(nèi)容的一致性和邏輯性（誰(shuí)么內(nèi)容推導(dǎo)出什么結(jié)論再推到出什么方案），不需要太多的Tech方面的知識(shí)，如果為了做 27000系列的服務(wù)，考CISSP是多余的。

 

 

 

-=-=-=- 以下內(nèi)容由 馬甲8個(gè)2 在 2009年12月08日 01:17pm 時(shí)添加 -=-=-=- 

IT Security Technical方面： 

 

System Hacking

 

曾 經(jīng)有一個(gè)小朋友下field時(shí)候打電話問(wèn)我，說(shuō)他碰到一個(gè)麻煩事情，客戶系統(tǒng)跑在Windows98系統(tǒng)上，但是公司的Knowledge庫(kù)里面沒(méi)有 Review 98的腳本，問(wèn)我怎么辦？一句話，不用review，直接判定System Fail。這個(gè)有趣的問(wèn)題就衍生出很多的問(wèn)題了：

 

1.黑客是怎么攻擊系統(tǒng)用的？

黑客攻擊系統(tǒng)的基本原理就一條：利用系統(tǒng)的漏洞，拿到系統(tǒng)管理員權(quán)限。萬(wàn)變不離其宗。

2.什么是安全的操作系統(tǒng)，或者說(shuō)不容易被黑客攻擊的？或者憑什么認(rèn)為某些系統(tǒng)天生就是不安全的？

在 CC（Common Criteria）文件里面，對(duì)一定安全的操作系統(tǒng)的級(jí)別定義是C2級(jí)，在CC后續(xù)的一些規(guī)范里面，好像是定義成EAL4級(jí)以上才是安全的操作系統(tǒng)（好久 沒(méi)有時(shí)間讀這些東東了）。C2級(jí)別的一個(gè)重要特征是操作系統(tǒng)具備這樣的控制：當(dāng)非系統(tǒng)管理員登錄到系統(tǒng)，是無(wú)法獲得系統(tǒng)管理員權(quán)限或者口令的。 Window2000/XP以前的操作系統(tǒng)雖然微軟自己說(shuō)是C2級(jí)別的，但是習(xí)慣上大家都不認(rèn)為它是C2級(jí)別，因?yàn)樗邪踩┒础?/div>