變更管理：IT審計新焦點

2014-11-08 20:50:30 大云網(wǎng)　點擊量：評論 (0)

　為幫助首席審計官（cae）和內(nèi)部審計師更好地了解與機構(gòu)內(nèi)部it變動有關(guān)的管理問題，內(nèi)部審計師協(xié)會最近發(fā)布了第二份全球技術(shù)審計指南——《變動和修補之控管：機構(gòu)成功的關(guān)鍵》。這份44頁的指南意在增強首席審計官對技術(shù)管理的認識，也使他們能向管理層提出更有價值的建議。指南提出的一些方法，有助于審計師們評價it部門對機構(gòu)內(nèi)it變動管理過程的判斷，包括其表現(xiàn)、效用和效率。

　　所謂變動和修補控管，在這里是指機構(gòu)內(nèi)it部門對生產(chǎn)系統(tǒng)的功能增強或更新所進行管理和控制。“變動和修補”包括，應用代碼的修訂，系統(tǒng)（應用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫等）的升級，基礎(chǔ)設施（服務器、電源、路由器、防火墻等）的改換等。所有的機構(gòu)都必須有效應對這些it變動。如果變動效果不佳或失控，其影響小則有點不方便，大則不能實現(xiàn)商業(yè)目標。

　　這份指南指出，有關(guān)對it變動進行控管的問題，從來沒有像今天這樣重要。2001年，一臺路由器重新設置，導致微軟等幾家大公司網(wǎng)站中斷服務，22小時后才全面恢復。2004年，加拿大皇家銀行對某軟件進行小的更動，結(jié)果1000萬客戶好幾天都不能查詢賬戶余額，更多人等待付賬和轉(zhuǎn)賬。

　　此外，現(xiàn)在首席審計官被審計委員會委以重任，期望他的工作能夠使企業(yè)符合法規(guī)遵從的要求，例如遵守最新的薩班斯法第404條關(guān)于公司內(nèi)部控制體系（包括it控制）的規(guī)定。

　　指南制定了一些it變動管理的風險指標，如非授權(quán)和非計劃變動、低變動成功率、高應急變動次數(shù)，以及項目實施延遲等。

　　為及時地發(fā)現(xiàn)變動管理存在的問題，指南提出了一種“領(lǐng)域檢測法”，使審計師可以對變動管理過程進行量化檢查，并向管理層提出建議，使機構(gòu)達到和保持較高水準的it控制和運行水平。在這些方面，指南勾劃了有關(guān)it變革管理和控制失效的標志或指標，如：關(guān)鍵服務和功能的不能應用，即使是短時間的；非預期的系統(tǒng)或網(wǎng)絡宕機，使關(guān)鍵業(yè)務程序中斷運行；it部門用70％或更多的時間來做運維，而不是幫助業(yè)務部門開發(fā)新的功能；it工作人員加班加點來應付審計和解決問題。

　　專家指出，80％的非預期it故障是由變動管理行動中的人員因素或存在問題造成的，也就是說，是由于缺乏自動的、預防性的、可檢測的和恰當?shù)目刂啤Ｈ绻辛诉@樣的控制，機構(gòu)就能夠更有效地監(jiān)督和進行變動管理。在高效率的it管理部門，對于變動的管理，已形成一種文化，預先防止和及時制止非授權(quán)變動。這些機構(gòu)也使用檢測控制，來消除非授權(quán)變動產(chǎn)生的不良影響，并在最短時間解決it問題。

　　指南概括出it變動管理的五個最佳辦法，用這些辦法，可以降低風險和增進it效用和效率。這五個辦法是：

1、形成“高層風氣”，強化在全機構(gòu)內(nèi)對非授權(quán)it變動零容忍的管理文化。

2、持續(xù)監(jiān)督非預期故障的數(shù)量，預防非授權(quán)變動和控制it變更。

3、按照特定的精確定義規(guī)定變動窗口，并切實執(zhí)行之，以減少高風險變動的數(shù)量。

4、以變動成功率作為it管理的關(guān)鍵指標。

5、以非計劃工作量為it管理過程和控制效率的一個指標。

　　指南對內(nèi)部審計人員在變動和修補控管過程中的作用，提出了建議。例如，審計委員會應該確保管理層能夠識別和計量it基礎(chǔ)架構(gòu)內(nèi)可能影響企業(yè)目標達成的變動控管風險。