变更管理——IT审计新焦点

2014-11-08 22:31:01 大云网　点击量：评论 (0)

为帮助首席审计官(cae)和内部审计师更好地了解与机构内部it变动有关的管理问题，内部审计师协会最近发布了第二份全球技术审计指南——《变动和修补之控管：机构成功的关键》。这份44页的指南意在增强首席审计官对

为帮助首席审计官(cae)和内部审计师更好地了解与机构内部it变动有关的管理问题，内部审计师协会最近发布了第二份全球技术审计指南——《变动和修补之控管：机构成功的关键》。这份44页的指南意在增强首席审计官对技术管理的认识，也使他们能向管理层提出更有价值的建议。指南提出的一些方法，有助于审计师们评价it部门对机构内it变动管理过程的判断，包括其表现、效用和效率。

　　所谓变动和修补控管，在这里是指机构内it部门对生产系统的功能增强或更新所进行管理和控制。“变动和修补”包括，应用代码的修订，系统(应用系统、操作系统、数据库等)的升级，基础设施(服务器、电源、路由器、防火墙等)的改换等。所有的机构都必须有效应对这些it变动。如果变动效果不佳或失控，其影响小则有点不方便，大则不能实现商业目标。

　　这份指南指出，有关对it变动进行控管的问题，从来没有像今天这样重要。2001年，一台路由器重新设置，导致微软等几家大公司网站中断服务，22小时后才全面恢复。2004年，加拿大皇家银行对某软件进行小的更动，结果1000万客户好几天都不能查询账户余额，更多人等待付账和转账。

　　此外，现在首席审计官被审计委员会委以重任，期望他的工作能够使企业符合法规遵从的要求，例如遵守最新的萨班斯法第404条关于公司内部控制体系(包括it控制)的规定。

　　指南制定了一些it变动管理的风险指标，如非授权和非计划变动、低变动成功率、高应急变动次数，以及项目实施延迟等。

　　为及时地发现变动管理存在的问题，指南提出了一种“领域检测法”，使审计师可以对变动管理过程进行量化检查，并向管理层提出建议，使机构达到和保持较高水准的it控制和运行水平。在这些方面，指南勾划了有关it变革管理和控制失效的标志或指标，如：关键服务和功能的不能应用，即使是短时间的;非预期的系统或网络宕机，使关键业务程序中断运行;it部门用70%或更多的时间来做运维，而不是帮助业务部门开发新的功能;it工作人员加班加点来应付审计和解决问题。

　　专家指出，80%的非预期it故障是由变动管理行动中的人员因素或存在问题造成的，也就是说，是由于缺乏自动的、预防性的、可检测的和恰当的控制。如果有了这样的控制，机构就能够更有效地监督和进行变动管理。在高效率的it管理部门，对于变动的管理，已形成一种文化，预先防止和及时制止非授权变动。这些机构也使用检测控制，来消除非授权变动产生的不良影响，并在最短时间解决it问题。

　　指南概括出it变动管理的五个最佳办法，用这些办法，可以降低风险和增进it效用和效率。这五个办法是：

　　1、形成“高层风气”，强化在全机构内对非授权it变动零容忍的管理文化。

　　2、持续监督非预期故障的数量，预防非授权变动和控制it变更。

　　3、按照特定的精确定义规定变动窗口，并切实执行之，以减少高风险变动的数量。

　　4、以变动成功率作为it管理的关键指标。

　　5、以非计划工作量为it管理过程和控制效率的一个指标。

　　指南对内部审计人员在变动和修补控管过程中的作用，提出了建议。例如，审计委员会应该确保管理层能够识别和计量it基础架构内可能影响企业目标达成的变动控管风险。