对IS的内部控制Р供应商出现业务故障 有限的产品访问权限Р难以改变外包商的工作安排 缺乏对法规要求的遵循性Р未满足合同条款Р外包人员缺乏对客户的忠诚 工作安排令客户及员工不满 服务成本不具有竞争性Р供应商IT系统的陈旧过时Р未实现预期收益Р项目失败危及双方的声誉Р持久、昂贵的诉讼Р信息或流程丢失及泄漏风险Р全球化战略要注意的问题Р法律、法规和税收问题- 风险Р在不同的国家或地区运营Р外包的优点Р实现规模经济效益Р投入更多的时间提高效率Р有处理问题的经验和技术Р采用合同协议约束外包编制出更好的说明书Р很少出现项目失控和延期Р控制风险的措施Р制定可衡量的、伙伴式利益共享目标和回报机制Р使用多个供应商或保留一Р部分业务作为激励机制Р定期对竞争趋势进行审查Р实施短期合同Р组建跨职能合同管理团队Р在合同中适当考虑可合理Р预见的多数偶然因素РIS职能,组织可能由于不了解情况而引入新的Р持续运营-业务持续和灾难恢复计划可能不充分并且未经测试Р人员-可能未考虑到所需的人力资源政策调整Р通讯问题-远程或离岸的网络控制及访问面临更加频繁的故障及大量的安全风险Р跨国界及跨文化问题-?管理多时区、多语言、多文化的人员及流程可能出现难以预料的问题Р第三方审计报告Р第一种方法是要求供应商定期提交第三方审计报告,这些报告涵盖了与数据机密性、完整性、可用性相 关的问题。РIS审计师与被审计人应当同时接受所选定的第三方审计师,?并且必须事先同意。对一些特定行业,Р第三方审计可能属于法定的监督和控制。Р?例如:美国注册会计师协会(AICPA )制定的SAS70及英国、加拿大的类似法规都通过法律来 要求特定行业出具第三方审计报告。Р?SAS70的制定目的是指导审计师报告服务机构的内部控制相关问题,所报告内容可作为用户组Р织财务报告中信息系统章节的一部分。?SAS70也为外部审计师对使用服务机构的实体实施财务报告
全文预览
