首页 > 人工智能 > 正文

变更管理——IT审计新焦点

2011-05-24 10:14:40  来源:IT治理网

摘要:为帮助首席审计官(cae)和内部审计师更好地了解与机构内部it变动有关的管理问题,内部审计师协会最近发布了第二份全球技术审计指南——《变动和修补之控管:机构成功的关键》
关键词: IT审计

  为帮助首席审计官(cae)和内部审计师更好地了解与机构内部it变动有关的管理问题,内部审计师协会最近发布了第二份全球技术审计指南——《变动和修补之控管:机构成功的关键》。这份44页的指南意在增强首席审计官对技术管理的认识,也使他们能向管理层提出更有价值的建议。指南提出的一些方法,有助于审计师们评价it部门对机构内it变动管理过程的判断,包括其表现、效用和效率。


  所谓变动和修补控管,在这里是指机构内it部门对生产系统的功能增强或更新所进行管理和控制。“变动和修补”包括,应用代码的修订,系统(应用系统、操作系统、数据库等)的升级,基础设施(服务器、电源、路由器、防火墙等)的改换等。所有的机构都必须有效应对这些it变动。如果变动效果不佳或失控,其影响小则有点不方便,大则不能实现商业目标。


  这份指南指出,有关对it变动进行控管的问题,从来没有像今天这样重要。2001年,一台路由器重新设置,导致微软等几家大公司网站中断服务,22小时后才全面恢复。2004年,加拿大皇家银行对某软件进行小的更动,结果1000万客户好几天都不能查询账户余额,更多人等待付账和转账。


  此外,现在首席审计官被审计委员会委以重任,期望他的工作能够使企业符合法规遵从的要求,例如遵守最新的萨班斯法第404条关于公司内部控制体系(包括it控制)的规定。


  指南制定了一些it变动管理的风险指标,如非授权和非计划变动、低变动成功率、高应急变动次数,以及项目实施延迟等。


  为及时地发现变动管理存在的问题,指南提出了一种“领域检测法”,使审计师可以对变动管理过程进行量化检查,并向管理层提出建议,使机构达到和保持较高水准的it控制和运行水平。在这些方面,指南勾划了有关it变革管理和控制失效的标志或指标,如:关键服务和功能的不能应用,即使是短时间的;非预期的系统或网络宕机,使关键业务程序中断运行;it部门用70%或更多的时间来做运维,而不是帮助业务部门开发新的功能;it工作人员加班加点来应付审计和解决问题。


  专家指出,80%的非预期it故障是由变动管理行动中的人员因素或存在问题造成的,也就是说,是由于缺乏自动的、预防性的、可检测的和恰当的控制。如果有了这样的控制,机构就能够更有效地监督和进行变动管理。在高效率的it管理部门,对于变动的管理,已形成一种文化,预先防止和及时制止非授权变动。这些机构也使用检测控制,来消除非授权变动产生的不良影响,并在最短时间解决it问题。


  指南概括出it变动管理的五个最佳办法,用这些办法,可以降低风险和增进it效用和效率。这五个办法是:


  1、形成“高层风气”,强化在全机构内对非授权it变动零容忍的管理文化。


  2、持续监督非预期故障的数量,预防非授权变动和控制it变更。


  3、按照特定的精确定义规定变动窗口,并切实执行之,以减少高风险变动的数量。


  4、以变动成功率作为it管理的关键指标。


  5、以非计划工作量为it管理过程和控制效率的一个指标。


  指南对内部审计人员在变动和修补控管过程中的作用,提出了建议。例如,审计委员会应该确保管理层能够识别和计量it基础架构内可能影响企业目标达成的变动控管风险。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:qwenf

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。