为帮助首席审计官(CAE)和内部审计师更好地了解与机构内部IT变动有关的管理问题,内部审计师协会最近发布了第二份全球技术审计指南——《变动和修补之控管:机构成功的关键》。这份44页的指南意在增强首席审计官对技术管理的认识,也使他们能向管理层提出更有价值的建议。指南提出的一些方法,有助于审计师们评价it部门对机构内it变动管理过程的判断,包括其表现、效用和效率。
所谓变动和修补控管,在这里是指机构内IT部门对生产系统的功能增强或更新所进行管理和控制。“变动和修补”包括,应用代码的修订,系统(应用系统、操作系统、数据库等)的升级,基础设施(服务器、电源、路由器、防火墙等)的改换等。所有的机构都必须有效应对这些it变动。如果变动效果不佳或失控,其影响小则有点不方便,大则不能实现商业目标。
这份指南指出,有关对IT变动进行控管的问题,从来没有像今天这样重要。2001年,一台路由器重新设置,导致微软等几家大公司网站中断服务,22小时后才全面恢复。2004年,加拿大皇家银行对某软件进行小的更动,结果1000万客户好几天都不能查询账户余额,更多人等待付账和转账。
此外,现在首席审计官被审计委员会委以重任,期望他的工作能够使企业符合法规遵从的要求,例如遵守最新的萨班斯法第404条关于公司内部控制体系(包括IT控制)的规定。
指南制定了一些IT变动管理的风险指标,如非授权和非计划变动、低变动成功率、高应急变动次数,以及项目实施延迟等。
为及时地发现变动管理存在的问题,指南提出了一种“领域检测法”,使审计师可以对变动管理过程进行量化检查,并向管理层提出建议,使机构达到和保持较高水准的it控制和运行水平。在这些方面,指南勾划了有关 it变革管理和控制失效的标志或指标,如:关键服务和功能的不能应用,即使是短时间的;非预期的系统或网络宕机,使关键业务程序中断运行;it部门用70%或更多的时间来做运维,而不是帮助业务部门开发新的功能;it工作人员加班加点来应付审计和解决问题。
专家指出,80%的非预期it故障是由变动管理行动中的人员因素或存在问题造成的,也就是说,是由于缺乏自动的、预防性的、可检测的和恰当的控制。如果有了这样的控制,机构就能够更有效地监督和进行变动管理。在高效率的it管理部门,对于变动的管理,已形成一种文化,预先防止和及时制止非授权变动。这些机构也使用检测控制,来消除非授权变动产生的不良影响,并在最短时间解决it问题。
指南概括出it变动管理的五个最佳办法,用这些办法,可以降低风险和增进it效用和效率。这五个办法是:
1、形成“高层风气”,强化在全机构内对非授权it变动零容忍的管理文化。
2、持续监督非预期故障的数量,预防非授权变动和控制it变更。
3、按照特定的精确定义规定变动窗口,并切实执行之,以减少高风险变动的数量。
4、以变动成功率作为it管理的关键指标。
5、以非计划工作量为it管理过程和控制效率的一个指标。
指南对内部审计人员在变动和修补控管过程中的作用,提出了建议。例如,审计委员会应该确保管理层能够识别和计量it基础架构内可能影响企业目标达成的变动控管风险。
网友评论