變更管理：IT審計新焦點

2014-11-08 20:50:30 大云網　點擊量：評論 (0)

　為幫助首席審計官（cae）和內部審計師更好地了解與機構內部it變動有關的管理問題，內部審計師協會最近發布了第二份全球技術審計指南——《變動和修補之控管：機構成功的關鍵》。這份44頁的指南意在增強首席審計

　為幫助首席審計官（cae）和內部審計師更好地了解與機構內部it變動有關的管理問題，內部審計師協會最近發布了第二份全球技術審計指南——《變動和修補之控管：機構成功的關鍵》。這份44頁的指南意在增強首席審計官對技術管理的認識，也使他們能向管理層提出更有價值的建議。指南提出的一些方法，有助于審計師們評價it部門對機構內it變動管理過程的判斷，包括其表現、效用和效率。

　　所謂變動和修補控管，在這里是指機構內it部門對生產系統的功能增強或更新所進行管理和控制。“變動和修補”包括，應用代碼的修訂，系統（應用系統、操作系統、數據庫等）的升級，基礎設施（服務器、電源、路由器、防火墻等）的改換等。所有的機構都必須有效應對這些it變動。如果變動效果不佳或失控，其影響小則有點不方便，大則不能實現商業目標。

　　這份指南指出，有關對it變動進行控管的問題，從來沒有像今天這樣重要。2001年，一臺路由器重新設置，導致微軟等幾家大公司網站中斷服務，22小時后才全面恢復。2004年，加拿大皇家銀行對某軟件進行小的更動，結果1000萬客戶好幾天都不能查詢賬戶余額，更多人等待付賬和轉賬。

　　此外，現在首席審計官被審計委員會委以重任，期望他的工作能夠使企業符合法規遵從的要求，例如遵守最新的薩班斯法第404條關于公司內部控制體系（包括it控制）的規定。

　　指南制定了一些it變動管理的風險指標，如非授權和非計劃變動、低變動成功率、高應急變動次數，以及項目實施延遲等。

　　為及時地發現變動管理存在的問題，指南提出了一種“領域檢測法”，使審計師可以對變動管理過程進行量化檢查，并向管理層提出建議，使機構達到和保持較高水準的it控制和運行水平。在這些方面，指南勾劃了有關it變革管理和控制失效的標志或指標，如：關鍵服務和功能的不能應用，即使是短時間的；非預期的系統或網絡宕機，使關鍵業務程序中斷運行；it部門用70％或更多的時間來做運維，而不是幫助業務部門開發新的功能；it工作人員加班加點來應付審計和解決問題。

　　專家指出，80％的非預期it故障是由變動管理行動中的人員因素或存在問題造成的，也就是說，是由于缺乏自動的、預防性的、可檢測的和恰當的控制。如果有了這樣的控制，機構就能夠更有效地監督和進行變動管理。在高效率的it管理部門，對于變動的管理，已形成一種文化，預先防止和及時制止非授權變動。這些機構也使用檢測控制，來消除非授權變動產生的不良影響，并在最短時間解決it問題。

　　指南概括出it變動管理的五個最佳辦法，用這些辦法，可以降低風險和增進it效用和效率。這五個辦法是：

1、形成“高層風氣”，強化在全機構內對非授權it變動零容忍的管理文化。

2、持續監督非預期故障的數量，預防非授權變動和控制it變更。

3、按照特定的精確定義規定變動窗口，并切實執行之，以減少高風險變動的數量。

4、以變動成功率作為it管理的關鍵指標。

5、以非計劃工作量為it管理過程和控制效率的一個指標。

　　指南對內部審計人員在變動和修補控管過程中的作用，提出了建議。例如，審計委員會應該確保管理層能夠識別和計量it基礎架構內可能影響企業目標達成的變動控管風險。