ISACA Journal
Volume 4,  

Translated Articles 

使用一組結構化模型實地查核資訊系統的合適性 Conducting IS Due Diligence in a Structured Model Within a Short Period of Time 

作者:Bostjan Delak, Ph.D., CISA, CIS and Marko Bajec, Ph.D. 

隨著科技日新月異的改變,很多大企業藉由使用資訊通訊科技來讓企業本體更有效率,讓逐漸成長的資訊系統在日常生活中成為支持公司重要的部分,而對於資訊系統的管理也日趨重要,深入評估對資訊系統的存在與獲得重要資訊有著不可或缺的地位,而深入評估方法也包含了資訊系統報告,資訊系統稽核,資訊系統認證和其他資訊系統分析。

深入評估這個專有名詞 通常都指向特定的活動有關合併和收購的過程。資訊系統深入評估有分四種類型,初始的,一般的,供應商的,科技的。初始的資訊系統深入評估保護投資人與股東免於做錯決定或是在獲取目標組織前低估資源,一般的資訊系統深入評估是建立在股東的要求或是組織的上層管理去獲取資訊系統中的重要階層進而得到完整的資訊系統階層。當企業組織決定外包部分或全部的資訊系統給廠商,應該要對合作廠商,執行實地查核。1

遵循一個結構化的模型執行資訊系統實地查核是一件很重要的事,2, 3, 4 經驗告訴我們很多公司幾乎都沒有實地查核資訊系統。

除了深度的回顧既有的研究文獻外,目前沒有任何的研究或是發現單一步驟的缺點。資訊科技衡量實地查核架構(ITADD framework)起先於來自 美國德州大學奧斯汀分校商學院的 Red McCombs教授,他表示”並沒有概念架構或是特定工具能快速地評估企業的資訊科技環境,是否可以正常運作”。 5

以下的資訊系統深入評估架構傳遞,資訊系統的架構的深入評估已經發展了一段時間並有效的回應此需求,特別的是,去評估下列領域去達到規避風險與完成商業目標的目的。6

  • 資訊科技組織與彈性
  • 網路設計、應用和資訊架構
  • 數據中心、場所和一切設備
  • 契約和日常的一些規定
  • 業務流程整合
  • 資訊科技工具與方法

資訊系統實地查核

資訊系統查核可被稱為一般式或操作式當他被用在股東的要求或是機構的高層管理去獲取資訊系統重要部分的狀況或是資訊系統在組織中所有的狀況。讓企業符合其組織的目標 (例如: 願景策略,企業發展計畫)。像是一個工作正在被進行時,被聘用的新執行長(CEO)或是主要資訊負責人 (CIO)會希望看到一個企業完整資訊系統的報告。

然而當組織決定要外包部分或全 部的資訊系統給供應商時,7 合作供應 商的實地查核是必須的8。 然後,每年度可能發生供應商端資料洩漏的風險。9

資訊系統架構的描述

從1998年到2006年間, 這個團隊發明了資訊系統實地查核並建構出超過40項普遍的和超過25 項初始的資訊系統查核發展在中東歐。當這個團隊建構實地查核評量與應用實務的時候,資訊的取得是非常有限的。再過幾年之後,這個團隊變得更加熟悉於一些特別的方法,決定於每個方法的優點和缺點。然後發現附加領域的其他方法。不幸的是,這個團隊發現沒有全面性的方法可以讓這套系統更加的快速; 而這項研究是最新被 ITADD架構研究所證實的。資訊系統實地查核 FISDD 跟ITADD他們兩個的架構與方式非常的相似。這項研究起源於20世紀末,運用一些簡單的問卷列出資訊系統所需的資產。在那個時候,此項系統與相關部分的資訊互相融合。例如 ITIL、國際標準 (e.g., ISO/IEC9000, ISO/IEC 27000, ISO/IEC 20000) 、稽核技巧、COBIT 、全美反舞弊性財務報告委員會發起組織(COSO) 內部控制—融合架構和其他一些出版品。

此項架構的結果對於資訊系統實地查核的傳送非常有幫助,此項科技統合出這些架構包含了對於資訊系統查核領域的升級(例如: 詳細的步驟指導、需要的文件清單還有問卷)。另外,資訊系統實地查核也結合了決策模型,奠基於此套系統發明者的經驗資訊系統實地查核的架構包含了四個步驟 (圖表一):

  1. 準備
  2. 理解/實地勘查
  3. 分析
  4. 做決策

每一個步驟都包含了特定的活動跟子進程

資訊系統實地查核的架構, 因為此架構是非 常有結構 和具有完整資料的指導手冊(必要文件中的範例清單 一些問卷, 報告的範例) 和一些更好的正式的過程 能讓資訊系統實地查核過程被建立於在一個相對短的時間。

資訊系統實地查核分析所需要的時間

在每一個步驟所需要的時間非常可能取決於所察看之企業組織本身的大小,企業所在的地點與企業所提供現有的文件與資料。資訊系統實地查核能夠讓所運作的時間相對短。如圖表二所示,完整的資訊系統實地查核所需要的時間和現場檢查所需要的時間這取決於企業組織本身的大小。

決策模型

資訊系統實地查核跟其他的稽核方式比較起來,並不是一個全新的考察方式。但此方式企圖用現有的方法建立一個更廣的更具統合性的稽核方法。此套方式與架構,讓實地查核這個目標更加的簡單更加的快速並去完成一個簡單並有統合性的決策模型。對於資訊系統實地查核最重要的一個部分就是決策模型, 這一套模型需要一些輸入。在此套模型中的一些部分必須被股東或投資公司的代表人所決定。首先是第一個步驟實地查核, 確認實地查核參數來源與其重量,這代表對 於每一個參數來源,一個預定好的實地查核價值因素 (圖表三的因素 A-G)和在實地查核開始之前,最大值的範圍 (圖表三A-G的最大值) 必須先被定義好。爾後經過了分析的這個步驟,不同的產出被計算,這些數值代表在這個決策模型中的輸入數值。

管理者與其他專家的責任

資訊系統實地查核包含了一些義務和責任,根據資訊系統實地查核方法這些檔案與資料會展示在圖表四和圖表七。這些資料被要求於參與在不同種類的資訊系統實地查核,對於臨時與供應 的資訊系統查核:負責任、 盡到義務、 諮詢和通知的 (RACI) 團隊 幫忙處理組織一開始的資訊系統實地查核活動。在圖表四說明對於在觀察中的組織—無論是對於一開始資訊系統實地查核潛在的收購還是對於之後供應商所提供的資訊系統實 地查核,就潛在的服務供應者而言—這些財務活動被標示於圖表五。然而,圖表六表示這些活動會因為最新RACI團隊所進行的普遍資訊系統實地查核而運作。在圖表七,展現出這些活動因著資訊系統實地查核這一項技術而開始得到運作。

個案研究

資訊系統實地查核(FISDD),這一套架構被觀察的方法所衡鑑。如圖表八所示,建立一套資訊系統實地查核在中歐不同的國家的財務機構的 情形 (波士尼亞和黑塞哥维那、保加利亞、科索沃和俄羅斯聯邦) 除了一個非金融的機構之外 (斯洛伐尼亞) 有備畫入表格之外,其他皆是金融機構。

當你在建立一套資訊系統實地查核時,所有在架構中被事先定義的過程、活動、步驟、問卷、模板和其被使用的決策模型都會影響其運作。起初的資訊系統實地查核和普遍的資訊系統實地查核兩種類型都會因著這些因素而運作。個案研究的目的是在於校驗此套系統的效度。這一項個案研究從2007年進行到2012年,這一項個案研究也確立了此項系統讓資訊系統實地查核更加的快速被傳達,而融合了決策模型後則使系統供應更加短,而也得到更加精準的答案。根據企業資訊系統主管所給的意見,這項個案研究確立了一項事實,比起外部的資訊系統查核,資訊系統實地查核較不會影響到公司日常的運作。完成的問卷— 資訊系統實地查核的架構狀態—提供一個完整並且現今的資訊系統資料檔案,此項問卷也使用於企業日常的運作和資訊系統外部稽核。


結論

資訊系統深入評估的過程與普遍資訊系統審計過程非常相同。由於其固有的複雜性。然而,他需要一套系統的傳送。資訊系統深入評估這一套架構並不是一套全新的方法。他是一套全面統合的方法建基於發展者的個人多方面經驗他統合了資訊系統現存的架構,方式跟方法不管是在現存的資訊科技還是統合的,更讓一些特殊運用被運用出來。例如:資訊安全、資訊科技的價值。這一套系統架構為資訊系統深入評估過程添加了不少的細節,更清楚地定義每一個過程步驟中的細節。這套工具 (問卷) 和一些報告模板,運用資訊系統實地查核這一套架構, 這一些財務上的活動會更加簡單的運作,而且更加有結構。(FISDD) 資訊系統實地查核的架構的問卷提供非常廣泛的資訊並且收集並分析。然而那個資訊模板的指導手冊深入分析讓結果更加的清楚。跟其他的工具比較起來,資訊系統實地查核這一套架構象徵著一套完整的架構,他可以在很短的時間內從事深入分析並實地查核組織的資料。與做決策分析的工具相比,這一套系統所提供的答案更加準確,所費的時間也較短,然後也可以用在更多其他的 稽核活動上面。

References

  • Delak, B.; M. Bajec; “Framework for the Delivery of Information System Due Diligence,” Information System Management, vol. 30, no. 2, 2013, p. 137-149
  • Gattiker, U.; “Merger and Acquisition-Effective Information Security Depends on Security Metrics,” Information Systems Control Journal, vol. 5, 2007, p. 51-56

Endnotes

1 Bayuk, J.; “Vendor Due Diligence,” ISACA Journal, 2009, vol. 3, p. 34-38, www.isaca.org/archives
2 Ibid.
3 Bhatia, M.; “IT Merger Due Diligence—A Blueprint,” Information Systems Control Journal, 2007, vol. 1, p. 46-49, www.isaca.org/archives
4 Sundberg, B., et al; “A Framework for Conducting IT Due Diligence in Mergers and Acquisitions,” Information Systems Control Journal, 2006, vol. 6, www.isaca.org/jonline
5 Baublits, T.; H-J. Lee; G. Stanis; B. Sundberg; Z-D. Tan; “Development of an IT Assessment Program for Acquisition,” Final report of the student project in the IT Audit and Security Course, Red McCombs Business School, University of Texas at Austin, USA, 2005
6 Op cit, Bhatia
7 Op cit, Bayuk
8 Andriole, J. S.; “Mining for Digital Gold: Technology Due Diligence for CIOs,” Communication of the Association for Information Systems, 2007, p. 371-381
9 Andriole, S. J.; “Technology Due Diligence: Best Practices for Chief Information Officers, Venture Capitalists, and Technology Vendors,” Information Science Reference, USA, 2008

作者:Bostjan Delak, Ph.D., CISA, CIS, is a senior consultant for information systems (IS) advisory and audit at ITAD Audit and Consulting Ltd., Slovenia. Over the last few years, Delak has conducted more than 40 IS audits. From 1998 to 2012, Delak delivered more than 65 IS due diligences in 15 countries across central and eastern Europe.

Marko Bajec, Ph.D., is an associate professor at the Faculty of Computer and Information Science, University of Ljubljana, Slovenia. Bajec has received several awards and recognitions for his achievements in transferring knowledge to the IT industry. Since 2009, Bajec has been the head of the laboratory for data technologies, where he manages research in the fields of data integration, analysis and visualization.

譯者:張碩毅,電腦稽核協會編譯出版委員會主委、國立中正大學會計與資訊科技學系教授萬貴然,國立中正大學會計與資訊科學系博士生


Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 4, 2014 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA 臺灣分會在ISACA總會的授權之下,摘錄 ISACA Journal 2014,Volume 4 中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2014 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2014 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal 係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的 ISACA Journal。

ISACA Journal 收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印 ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50 元美金固定費用,每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA 或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.