變更管理：IT審計(jì)新焦點(diǎn)

2014-11-08 20:50:30 大云網(wǎng)　點(diǎn)擊量：評論 (0)

　為幫助首席審計(jì)官（cae）和內(nèi)部審計(jì)師更好地了解與機(jī)構(gòu)內(nèi)部it變動(dòng)有關(guān)的管理問題，內(nèi)部審計(jì)師協(xié)會(huì)最近發(fā)布了第二份全球技術(shù)審計(jì)指南——《變動(dòng)和修補(bǔ)之控管：機(jī)構(gòu)成功的關(guān)鍵》。這份44頁的指南意在增強(qiáng)首席審計(jì)官對技術(shù)管理的認(rèn)識，也使他們能向管理層提出更有價(jià)值的建議。指南提出的一些方法，有助于審計(jì)師們評價(jià)it部門對機(jī)構(gòu)內(nèi)it變動(dòng)管理過程的判斷，包括其表現(xiàn)、效用和效率。

　　所謂變動(dòng)和修補(bǔ)控管，在這里是指機(jī)構(gòu)內(nèi)it部門對生產(chǎn)系統(tǒng)的功能增強(qiáng)或更新所進(jìn)行管理和控制。“變動(dòng)和修補(bǔ)”包括，應(yīng)用代碼的修訂，系統(tǒng)（應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫等）的升級，基礎(chǔ)設(shè)施（服務(wù)器、電源、路由器、防火墻等）的改換等。所有的機(jī)構(gòu)都必須有效應(yīng)對這些it變動(dòng)。如果變動(dòng)效果不佳或失控，其影響小則有點(diǎn)不方便，大則不能實(shí)現(xiàn)商業(yè)目標(biāo)。

　　這份指南指出，有關(guān)對it變動(dòng)進(jìn)行控管的問題，從來沒有像今天這樣重要。2001年，一臺路由器重新設(shè)置，導(dǎo)致微軟等幾家大公司網(wǎng)站中斷服務(wù)，22小時(shí)后才全面恢復(fù)。2004年，加拿大皇家銀行對某軟件進(jìn)行小的更動(dòng)，結(jié)果1000萬客戶好幾天都不能查詢賬戶余額，更多人等待付賬和轉(zhuǎn)賬。

　　此外，現(xiàn)在首席審計(jì)官被審計(jì)委員會(huì)委以重任，期望他的工作能夠使企業(yè)符合法規(guī)遵從的要求，例如遵守最新的薩班斯法第404條關(guān)于公司內(nèi)部控制體系（包括it控制）的規(guī)定。

　　指南制定了一些it變動(dòng)管理的風(fēng)險(xiǎn)指標(biāo)，如非授權(quán)和非計(jì)劃變動(dòng)、低變動(dòng)成功率、高應(yīng)急變動(dòng)次數(shù)，以及項(xiàng)目實(shí)施延遲等。

　　為及時(shí)地發(fā)現(xiàn)變動(dòng)管理存在的問題，指南提出了一種“領(lǐng)域檢測法”，使審計(jì)師可以對變動(dòng)管理過程進(jìn)行量化檢查，并向管理層提出建議，使機(jī)構(gòu)達(dá)到和保持較高水準(zhǔn)的it控制和運(yùn)行水平。在這些方面，指南勾劃了有關(guān)it變革管理和控制失效的標(biāo)志或指標(biāo)，如：關(guān)鍵服務(wù)和功能的不能應(yīng)用，即使是短時(shí)間的；非預(yù)期的系統(tǒng)或網(wǎng)絡(luò)宕機(jī)，使關(guān)鍵業(yè)務(wù)程序中斷運(yùn)行；it部門用70％或更多的時(shí)間來做運(yùn)維，而不是幫助業(yè)務(wù)部門開發(fā)新的功能；it工作人員加班加點(diǎn)來應(yīng)付審計(jì)和解決問題。

　　專家指出，80％的非預(yù)期it故障是由變動(dòng)管理行動(dòng)中的人員因素或存在問題造成的，也就是說，是由于缺乏自動(dòng)的、預(yù)防性的、可檢測的和恰當(dāng)?shù)目刂啤Ｈ绻辛诉@樣的控制，機(jī)構(gòu)就能夠更有效地監(jiān)督和進(jìn)行變動(dòng)管理。在高效率的it管理部門，對于變動(dòng)的管理，已形成一種文化，預(yù)先防止和及時(shí)制止非授權(quán)變動(dòng)。這些機(jī)構(gòu)也使用檢測控制，來消除非授權(quán)變動(dòng)產(chǎn)生的不良影響，并在最短時(shí)間解決it問題。

　　指南概括出it變動(dòng)管理的五個(gè)最佳辦法，用這些辦法，可以降低風(fēng)險(xiǎn)和增進(jìn)it效用和效率。這五個(gè)辦法是：

1、形成“高層風(fēng)氣”，強(qiáng)化在全機(jī)構(gòu)內(nèi)對非授權(quán)it變動(dòng)零容忍的管理文化。

2、持續(xù)監(jiān)督非預(yù)期故障的數(shù)量，預(yù)防非授權(quán)變動(dòng)和控制it變更。

3、按照特定的精確定義規(guī)定變動(dòng)窗口，并切實(shí)執(zhí)行之，以減少高風(fēng)險(xiǎn)變動(dòng)的數(shù)量。

4、以變動(dòng)成功率作為it管理的關(guān)鍵指標(biāo)。

5、以非計(jì)劃工作量為it管理過程和控制效率的一個(gè)指標(biāo)。

　　指南對內(nèi)部審計(jì)人員在變動(dòng)和修補(bǔ)控管過程中的作用，提出了建議。例如，審計(jì)委員會(huì)應(yīng)該確保管理層能夠識別和計(jì)量it基礎(chǔ)架構(gòu)內(nèi)可能影響企業(yè)目標(biāo)達(dá)成的變動(dòng)控管風(fēng)險(xiǎn)。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊

焦點(diǎn)