Home / 资源 / ISACA杂志 / 问题 / 2022 / 6卷 / 数据会被浪费吗

实践中的信息系统审计:数据会被浪费吗?

实践中的信息系统审计:数据会被浪费吗?
作者: Cindy 巴克斯特,CISA, ITIL基金会
发表日期: 2022年11月1日
相关: 从IT审计的角度看当今的顶级技术风险| Digital | English

我报名参加了一个旅游项目,它承诺将是一次信息丰富的谈话,并参观马萨诸塞州水资源管理局(MWRA)位于温斯洛普的鹿岛处理厂, 麻萨诸塞州, USA. 和我一起的还有一大群来自郊区的澳门赌场官方下载成员,他们正在考虑从独立的化粪池系统转移到他们自己的污水处理厂,想看看鹿岛做得对不对. 我们很幸运. 标准的两小时参观时间延长了,因为我们有机会近距离接触其中一个因预防性维护而停止使用的蛋形消化器.

之前一篇名为“弹性和监管”的专栏引用了波士顿港的案例研究, 麻萨诸塞州, USA, 讨论风险和审计专业人员可以增加的价值,以确保为澳门赌场官方下载利益执行法规, 顾客和公众作为一个整体.1

波士顿港成功故事的中心舞台是MWRA的鹿岛设施. “30年前你不会看到这种情况,大卫·德斯特说, 鹿岛污水处理厂的主任, 指的是一张在处理设施附近的座头鲸的照片(图1). 鹿岛污水处理厂为43个澳门赌场官方下载提供污水处理服务.马萨诸塞州东部包括波士顿市在内的500万人. 鹿岛工厂不仅在将废水回收回环境之前对其进行净化, 而且还收集废水副产品,并将其回收为A类肥料,并以海湾州立肥料的品牌命名.2

图1
资料来源:马萨诸塞州水资源管理局,USA, 2022; http://www.mwra.com

数据,无处不在的数据

人们会期望对水纯度和空气质量控制进行数据跟踪, 但MWRA管理着从检测水清洁度到COVID-19趋势的所有数据. 现实情况是,在这个紧密运行的操作中,数据无处不在. 污水处理环境是数据收集和自动化控制点的缩影. Water process monitoring includes water volume data for capacity management; water cleanliness data to align with reporting requirements from the US Environmental Protection Agency (EPA), 马萨诸塞州环境保护部(DEP), and other environmental regulatory agencies; and bacteria level details collected, 不仅仅是为了水的清洁, 还要最大限度地提高废物消化的效率, 因为在这个过程中使用了某些细菌来自然“吃掉”废物并净化水. 对53个海底扩散器的数据进行了跟踪,这些扩散器将清洁后的水释放回大海. 在整个净化过程中收集空气质量数据,包括, 委婉地说, 香气检测数据跟踪环境友好型空气清新剂要求的空气再循环回大气.

物理安全数据的收集是为了仔细控制工厂的周边和内部物理数据收集,为各种安全警报系统提供信息. 网络安全数据由自动化和工厂信息系统安全人员密切监控和管理,采用最新技术保护运营免受黑客攻击. 弹性计划是基于容量管理数据和设备跟踪数据,000件设备,以确保整个设施的正常运行时间,因为无论工厂是否停电,人们都需要水. 美国职业安全与健康管理局(OSHA)收集的数据无一例外地验证了在工厂工作的250多名员工的安全环境. 还有财务数据,因为, 毕竟, 鹿岛是由纳税人出资的,并有审计控制措施,以确保每个人都能获得财务透明度. 收集到的数据量是巨大的,而理解这些数据的能力似乎是压倒性的.

谁在乎?

鹿岛处理设施只是一个污水处理厂, 所以谁会真正关心所有的数据? 事实证明, 有很多感兴趣的利益相关者, 成分, 监管机构, 审计人员, 风险管理者和其他需要不同数据集的利益相关方, 根据他们的关注点, 包括:

  • DEP和EPA, 通过《澳门赌场官方下载》和《澳门赌场官方软件》为鹿岛的运营提供监管框架
  • 各个市政公共工程部门从MWRA为其澳门赌场官方下载购买水/下水道服务,需要了解具体的使用信息,并正确管理其纳税人的成本
  • 希望能够为其家庭和/或澳门赌场官方下载提取账单和使用细节的个人费率付款人
  • 参与保护波士顿港附近和美国大西洋沿岸野生动物的环保组织和生物学家
  • 各种卫生委员会, 包括波士顿公共卫生委员会, 它们使用鹿岛的数据来检测该工厂所服务澳门赌场官方下载的病毒趋势和热点
  • OSHA,为保障工厂员工的健康和福利制定标准

说到鹿岛的数据, 有一些东西对几乎每个人都有用, 然而,如果没有可靠地筛选信息以可用的方式呈现信息的技术,那么梳理可用的细节将是令人生畏的. 如何使数据可用是信息系统风险和审计专业的核心. 在一个“假”vs .的时代. 可靠的数据、一致的数据常常受到质疑. 依赖鹿岛等污水处理设施的选民不能怀疑他们使用的水的完整性,也不能怀疑他们支付的钱是否以最有效和最有效的方式用于提供健康所必需的高质量水.

系统和应用——一切都归结于数据所说的

历史证明,信任是可以重建的,但需要付出巨大的时间、金钱和声誉代价. 鹿岛的数据保留期是必需的 15年来,监管仍在继续. 然而,该工厂不仅证明了它可以提供清洁的水,同时保持健康的环境, 但也已经成为一个实验室,进行与核心业务无关的测试, 最明显的例子就是COVID-19趋势数据信息. 所有产生的数据都有一种可靠的气氛, 同样重要的是, 这些数据是按需提供的,因此对所有与工厂投入和产出有利害关系的受众来说,它们的价值是最大可能的.

一个及时提供透明度的关键应用程序是 πProcessBook.3 The πProcessBook 应用程序, 改编供水务局使用, 获取数据, 通过业务门户, 为每个受众提供信息. 相关数据的可用性对于了解和尊重数据的运营团队至关重要 πProcessBook. 它关注于它们的过程域, 排除数据混乱,以便团队成员可以从与其控制范围相关的信息中受益. The πProcessBook 通过给团队信心,让他们相信所有的工作都在顺利进行,从而促进高度自动化的操作, 如果有任何, 可以例外吗. 正如Duest所指出的, 集成应用不仅有利于高效、准确的管理控制, 它为数据消费受众提供了非常需要的透明度. 历史趋势符合法规要求,并进一步允许分析和推断,帮助制定咨询委员会和费率付款人对成本管理和绩效的期望. 作为一个恰当的例子, 天气数据和容量趋势提供了一种分析方法,可以根据联合下水道系统的基本运行模型正确预测运营成本的增加. 在本质上, 联合下水道系统将雨水和污水引入处理厂,而不是将污水单独进入设施的分段方法. 在雨季, 工厂以高产能运行,经营成本增加,以满足与高水量相关的产量.

每天证明自己

在一个信息系统审计已经脱离信任的时代, 但验证为零信任, 审计专业人员是否可以通过逐个过程验证数据并确认数据的准确性和完整性来改进期望设置. 验证和确认在操作环境和最终客户对所提供服务的意见中建立信任. 好的数据是至关重要的, 一次验证, 能否成为一个强大的沟通模式的一部分,向公众和监管机构通报组织的运营情况. 在鹿岛, 人们每天都需要用不容置疑的数据准确性来证明自己, 但所有澳门赌场官方下载都需要可靠的数据来维持一定程度的信任. 许多审计师都经历过来自管理层或审计部门的审查, 或者,当监管机构提取的数据表明某些东西超出了允许的范围或控制没有按预期执行时,也可能直接来自监管机构. 有问题的数据意味着不确定的结果, 报告要求总是随着样本量的增长而增加. 监督变成了额外的检查点, 状态会议的频率增加, 行动计划的长度也在增加, 需要更多的状态更新. 不能证明自己值得信赖的数据是所有运营团队都希望避免的时间管理噩梦. 毫无疑问,澳门赌场官方下载欢迎能够确认其数据是有意义的,并且符合所需的目标.

必要结构的程度提醒我们,数据管理为创建对目标的共同理解提供了多么成功的工具, 运营状况和持续改进的潜力.

无处不在的数据转化为有用的分析

风险管理, 控制依从性和趋势分析的考虑适用于操作的各个方面, 公众和监管沟通, 以及鹿岛的员工教育. 必要结构的程度提醒我们,数据管理为创建对目标的共同理解提供了多么成功的工具, 运营状况和持续改进的潜力. 针对信息系统风险管理和审计专业人员, 为使数据有意义做出贡献的机会永远存在, 而不仅仅是在鹿岛运营所代表的高度结构化的环境中, 但在所有组织中,技术是数据质量的关键, 隐私和保留要求. 风险管理和审计专业的贡献包括:

  • 过程和控制点的确定对于第一线的从业人员, 与业务和应用程序开发人员合作有助于确定并记录关键流程步骤. 这是创建有意义指标的关键第一步.
  • 流程流记录操作环境中的控制点业务的目标演练捕获关键流程步骤和潜在的控制检查点. 业务确认流程已被准确地表示,允许工作流和工作指示的文档化,从而促进日常工作.
  • 明确控制目标有用的控件和从控制点生成的报告只有在使用它们的人理解时才会带来价值, 同意并重视这些信息. 关于什么是重要的以及应该多久提供一次数据的讨论有助于建立一种报告能力,这种能力既鼓励人们意识到这一点,又允许及时审查重要的统计数据.
  • 确认信息可信的检查是否第一道防线和审计专业人员必须验证数据. 控制目标最佳实践提出了数据准确性的五个关键要素, 数据及时性, 适当批准的数据, 适当的数据访问和数据完整性是数据完整性验证的重要考虑因素.
  • 证明适当的数据收集的预防、检测和监控控制系统和应用程序的检查人员是否很少进行实际的测试,而更多的是通过异常进行评估. 自动化保证了数据分析的及时性, 但是,只有仔细检查异常和验证生成分析的底层代码,才能向消费者提供可信的数据.
  • 检查准确性和适当批准的报告验证在经过流程流程和验证操作环境之后, 检验报告的准确性是至关重要的, 完整性和, 特别是, 与用户相关,以避免产生受众不使用的信息,因为他们没有看到所提供的结果的价值.
自动化保证了数据分析的及时性, 但是,只有仔细检查异常和验证生成分析的底层代码,才能向消费者提供可信的数据.

结论

毫无疑问,控制永远不会过时,而且往往是可靠操作的基础. 数据管理建立在准确性和相关性的基础上, 这两个特征都是信息系统审计师检查标准的主要内容. 成功的操作是成功审计的标志. 通过提供教育和意识,在流程成熟度曲线上更进一步,通过展示专业带来的价值,为信息系统审计澳门赌场官方下载带来进一步的好处.

作者的注意

作者感谢MWRA的鹿岛工作人员, 尤其是导游Jon Wladkowski和Ray Snyder, 以及MWRA鹿岛主任大卫·杜斯特.

尾注

1 巴克斯特,C.; “Resilience and Regulation” ISACA® 杂志, vol. 3, 2022, http://5wb7.baileherculane.net/archives
2 马萨诸塞州水资源管理局(MWRA),海湾州肥料公司, http://www.baystatefertilizer.com/
3 Vettiankal R.; "Why We're Retiring the πProcessBook," OSIsoft, 20 October 2021, http://www.osisoft.com/blog/why-were-retiring-PI-ProcessBook

辛蒂·巴克斯特(Cindy Baxter) | cisa, itil foundation

是What's the Risk有限责任公司的董事. 她的工作重点是网络安全的综合风险控制和过程评估, 隐私和业务连续性/灾难恢复. 她将风险管理和控制评估视为了解澳门赌场官方下载具体细节、帮助客户减少担忧的一个机会, 因为差距已经被发现,可以建立一个更强大的运营模式. 巴克斯特利用了她在银行业的经验, 保险, 在State Street Corporation担任合规和管理职位之后,他在医疗保健和技术领域工作, 美国国际集团(AIG), 约翰逊 & 约翰逊和AT&T. 当她不做风险和审计工作的时候, 她喜欢在影响她澳门赌场官方下载的气候和环境问题上做志愿者.