變更管理：IT審計新焦點

2014-11-08 20:50:30 大云網(wǎng)　點擊量：評論 (0)

　為幫助首席審計官（cae）和內(nèi)部審計師更好地了解與機構(gòu)內(nèi)部it變動有關(guān)的管理問題，內(nèi)部審計師協(xié)會最近發(fā)布了第二份全球技術(shù)審計指南——《變動和修補之控管：機構(gòu)成功的關(guān)鍵》。這份44頁的指南意在增強首席審計官對技術(shù)管理的認(rèn)識，也使他們能向管理層提出更有價值的建議。指南提出的一些方法，有助于審計師們評價it部門對機構(gòu)內(nèi)it變動管理過程的判斷，包括其表現(xiàn)、效用和效率。

　　所謂變動和修補控管，在這里是指機構(gòu)內(nèi)it部門對生產(chǎn)系統(tǒng)的功能增強或更新所進(jìn)行管理和控制。“變動和修補”包括，應(yīng)用代碼的修訂，系統(tǒng)（應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫等）的升級，基礎(chǔ)設(shè)施（服務(wù)器、電源、路由器、防火墻等）的改換等。所有的機構(gòu)都必須有效應(yīng)對這些it變動。如果變動效果不佳或失控，其影響小則有點不方便，大則不能實現(xiàn)商業(yè)目標(biāo)。

　　這份指南指出，有關(guān)對it變動進(jìn)行控管的問題，從來沒有像今天這樣重要。2001年，一臺路由器重新設(shè)置，導(dǎo)致微軟等幾家大公司網(wǎng)站中斷服務(wù)，22小時后才全面恢復(fù)。2004年，加拿大皇家銀行對某軟件進(jìn)行小的更動，結(jié)果1000萬客戶好幾天都不能查詢賬戶余額，更多人等待付賬和轉(zhuǎn)賬。

　　此外，現(xiàn)在首席審計官被審計委員會委以重任，期望他的工作能夠使企業(yè)符合法規(guī)遵從的要求，例如遵守最新的薩班斯法第404條關(guān)于公司內(nèi)部控制體系（包括it控制）的規(guī)定。

　　指南制定了一些it變動管理的風(fēng)險指標(biāo)，如非授權(quán)和非計劃變動、低變動成功率、高應(yīng)急變動次數(shù)，以及項目實施延遲等。

　　為及時地發(fā)現(xiàn)變動管理存在的問題，指南提出了一種“領(lǐng)域檢測法”，使審計師可以對變動管理過程進(jìn)行量化檢查，并向管理層提出建議，使機構(gòu)達(dá)到和保持較高水準(zhǔn)的it控制和運行水平。在這些方面，指南勾劃了有關(guān)it變革管理和控制失效的標(biāo)志或指標(biāo)，如：關(guān)鍵服務(wù)和功能的不能應(yīng)用，即使是短時間的；非預(yù)期的系統(tǒng)或網(wǎng)絡(luò)宕機，使關(guān)鍵業(yè)務(wù)程序中斷運行；it部門用70％或更多的時間來做運維，而不是幫助業(yè)務(wù)部門開發(fā)新的功能；it工作人員加班加點來應(yīng)付審計和解決問題。

　　專家指出，80％的非預(yù)期it故障是由變動管理行動中的人員因素或存在問題造成的，也就是說，是由于缺乏自動的、預(yù)防性的、可檢測的和恰當(dāng)?shù)目刂啤Ｈ绻辛诉@樣的控制，機構(gòu)就能夠更有效地監(jiān)督和進(jìn)行變動管理。在高效率的it管理部門，對于變動的管理，已形成一種文化，預(yù)先防止和及時制止非授權(quán)變動。這些機構(gòu)也使用檢測控制，來消除非授權(quán)變動產(chǎn)生的不良影響，并在最短時間解決it問題。

　　指南概括出it變動管理的五個最佳辦法，用這些辦法，可以降低風(fēng)險和增進(jìn)it效用和效率。這五個辦法是：

1、形成“高層風(fēng)氣”，強化在全機構(gòu)內(nèi)對非授權(quán)it變動零容忍的管理文化。

2、持續(xù)監(jiān)督非預(yù)期故障的數(shù)量，預(yù)防非授權(quán)變動和控制it變更。

3、按照特定的精確定義規(guī)定變動窗口，并切實執(zhí)行之，以減少高風(fēng)險變動的數(shù)量。

4、以變動成功率作為it管理的關(guān)鍵指標(biāo)。

5、以非計劃工作量為it管理過程和控制效率的一個指標(biāo)。

　　指南對內(nèi)部審計人員在變動和修補控管過程中的作用，提出了建議。例如，審計委員會應(yīng)該確保管理層能夠識別和計量it基礎(chǔ)架構(gòu)內(nèi)可能影響企業(yè)目標(biāo)達(dá)成的變動控管風(fēng)險。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊

焦點