Nasz zespół -
Pracuję w zakresie sprawozdawczości finansowej i operacyjnej jako jeden z 3-osobowego zespołu - nie jestem księgowym ani nie zajmuję się finansami, bardziej przypomina informacje zarządcze (lub Business Intelligence). Wyciągamy dane dla wyższej kadry kierowniczej i wykonujemy codzienne raporty i tak dalej.
Aby sporządzać raporty, mamy dostęp do systemów operacyjnych (tj. Rzeczywiste informacje o relacjach z klientami, księgi rachunkowe itp.), A nasz rolą jest po prostu pobieranie informacji z tych systemów i zestawianie raportów „Informacje zarządcze” za pośrednictwem systemów, które utrzymujemy.
Na przykład gdybyśmy byli Amazon (nie jesteśmy), mielibyśmy dostęp do „zamówień klientów "baza danych itp. Aktualizowalibyśmy raport dzienny zawierający coś w rodzaju" Całkowita kwota zamówień w dolarach, liczba zamówień, liczba unikalnych klientów, liczba powracających klientów, liczba zwróconych produktów ... itd. itd. "
Istnieje zautomatyzowany proces, który codziennie pobiera informacje i za pomocą którego zapisujemy również „jednorazowe” zapytania.
Znalazłem potencjalne problemy z bezpieczeństwem ...
Mniej więcej rok temu odkryłem, że ze względu na sposób, w jaki system jest skonfigurowany z nazwami użytkowników itp., zautomatyzowane konto (używane do raportowania) jest przypadkowe y ma dostęp do aktualizowania tych systemów operacyjnych (gdzie nie ma do tego celu), a ktoś po stronie raportującej, gdyby wiedział, że tak jest i byłby tak skłonny, mógłby zalogować się i napisać zapytanie „usuń wszystko Jana Smith's Order ”(lub coś bardziej destrukcyjnego, mogliby nawet usunąć wszystkie zamówienia, gdyby chcieli!)
Podniosłem to, więc moi współpracownicy wiele razy zwracali się do naszych menedżerów (którzy przychodzili i odchodzili ), menedżerowie wyższego szczebla, osoby zajmujące się prawem / przestrzeganiem prawa, które nie zdawały się rozumieć ryzyka lub nie miały wystarczającej wiedzy, aby zobaczyć, że jest ono istotne itp. Za każdym razem, gdy otrzymywaliśmy odpowiedzi typu „nie zawracaj sobie głowy swoją śliczną głową z tym!" - ale wiem, że to ogromna dziura w systemie.
Mamy audytorów w
Teraz mamy zbliżający się audyt (niezwiązany z tą kwestią, to tylko część cyklu biznesowego), w którym audytorzy będą rozmawiać z ludźmi w firmie, w tym ze mną lub kimś innym z mojego zespołu (między innymi), o rzeczach takich jak „zapewnienie rzetelności informacji finansowych”.
Znam zwykłą zasadę, gdy mam do czynienia z audytorami, szczerze, ale nie podawaj dobrowolnie informacji poza tym, o co proszą (i rozumiem powody tego).
W tej sytuacji mógłbym / powinienem „prześlizgnąć się” audytorowi, aby postępował zgodnie z procesem xyz, aby upewnić się, że dzienne dane są zgodne z systemem operacyjnym itp., ale istnieje konto, które faktycznie ma dostęp „AKTUALIZUJ” do systemu operacyjnego, który jest używany do tego i widzę to jako lukę?