背景由于最近几年公司业务的不断发展和壮大,业务部门对IT技术和自动化系统的依赖越来越大,他们需要IT来支持处理大量业务数据和交易。然而,由于公司缺少一支有组织且结构化的一线IT支持服务团队,雇员们在面对时而发生的IT故障和问题时变得越来越沮丧:他们不知道向谁寻求帮助,在四处求救时浪费了大量的宝贵时间;另外,对于那些重复发生的问题和服务故障,没有一个现成的经验和知识帮他们直接解决问题,使得IT服务人员陷入一遍遍解决同类问题的僵局。当他们处理外汇买卖业务或其他相关业务时,客户的需求和业务的特性使时间和准确率对他们来说至关重要。他们迫切需要一种最快,最准确的方法来协助完成所有交易。然而,他们却搞不清一旦发生技术故障,他们应该打电话找谁来寻求帮助。甚至即使打了电话,问题也不能得到很好解决,影响业务的进行。这直接导致了这些业务部门的IT最终用户产生如此错觉:IT服务与我们业务部门不是同路人,他并不是一个值得信任的,拥有共同业务目标的好的合作伙伴。这种对IT技术支持团队的错误认识,直接影响了各营业网点及分公司向客户提供服务的能力,降低了客户的满意度。业务需求与业务部门的误解形成鲜明对比的是,IT部副总裁感到自己身上的压力越来越大:一方面,在面对各业务部门的不理解和抱怨时,他和他的团队要负责向全北美洲的所有企业客户以及几百个分支机构提供IT支持服务;另一方面,为了提供更符合业务需求的IT服务,他还要向整个IT团队灌输一种以业务为中心的文化:即IT是为了业务服务,更好的服务于各种业务的需求。该公司的CIO认为,他的最终目的是建成一个提供IT服务的“一站式店铺”——以一种单点联系的方式解决所有与IT相关的问题。这一服务方式有以下几个方面的好处:·由于只有一个联系点,发生服务故障时,业务人员可以直接与IT技术服务人员联系,避免了不知找谁来解决问题的情况发生,从而缩短了“遗失时间”。·通过配置管理中的配置管理数据库,处于单一联系点的IT服务人员可以掌握所有配置向信息,使其可以更有效果且更有效率的使用各种配置项资源。·服务台人员对所有IT用户提交的服务请求,故障和问题等进行记录,这些记录提供了一种发现IT基础设施问题的机制。·为IT管理提供一种可量化的评价机制来评估业务·位于服务台的服务人员可直接接触用户,解决用户的问题。他们的服务以及对用户的态度将直接决定了业务用户对IT的认识,有效的IT服务台将彻底促进IT与业务的沟通,改善业务对IT的认识·当面对同时发生的大量突发事件时,服务台提供了一种结构化的流程来安排工作优先级,影响度大且紧急的问题优先解决;同时,服务台选择最快的方式来恢复发生故障的IT服务。
摘 要 随着信息技术(IT)的飞速发展与广泛应用,内部审计在企业的经营与管理中发挥着日益重要的作用。在新技术环境的背景下,系统地分析内部审计的优势、劣势、机遇与挑战,即进行SWOT分析,对企业的战略发展具有深远意义。为了更好地发挥内部审计职能,企业应秉承“保持优势、弥补劣势、抓住机遇、迎接挑战”的理念,加快内部审计的建设。
关键词 内部审计; IT环境; 信息化
一、IT环境下的内部审计
(一)内部审计的含义
国际内部审计师协会(IIA)在内部审计职业实务框架(IPPF)中对内部审计的定义为:内部审计是一种独立、客观的确认工作和咨询活动,它的目的是为组织增加价值,并提高组织的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评价,帮助组织实现其目标。
在IT环境下,企业要不断提高内部审计的战略高度,既要加强IT风险管理,又要顺应科技进步的潮流,加强计算机审计程序的开发与应用。因此,IIA在2009年更新的IPPF中新增了包括信息系统合规治理、信息系统审计风险评估在内的6项内部审计专业实务标准。除此之外,企业的管理者也应该加强对内部审计的重视程度,充分利用各种计算机辅助审计工具与技术,防范IT风险,加强公司治理。
(二)内部审计在企业治理中的作用
IIA倡导:现代企业内部审计通过介入企业的风险管理、治理和控制领域,以促进公司治理结构的完善,并提升企业的管理水平,完善业务流程控制,促进企业价值增加。可见,内部审计在公司治理、控制与风险管理中都发挥着重要作用。
1内部审计是完善公司治理机制的重要内容,是创造公司价值的重要载体
同董事会、管理层、外部审计一样,内部审计也被认为是公司不可或缺的治理主体。一方面内部审计努力识别并预防风险,降低企业损失;另一方面在企业价值链的多个环节发挥作用,增加企业的经济附加值。
2内部审计是完善内部控制的关键要素,对企业的风险管理具有重要意义
内部审计要检查企业内部控制的完整性和有效性,以便发挥内部控制的最大效用。同时,内部审计机构要加强与企业管理部门的合作,促进企业风险管理工作高效进行。
二、IT环境下内部审计的SWOT分析
(一)优势(Strengths)分析
1制度优势
国内外许多法律法规都为IT环境下内部审计的发展提供了制度保障。《国际审计准则15——电子数据处理环境下的审计》,《国际审计准则16——计算机辅助审计技术》在审计人员的工作规范、技术能力,软件应用、效果效率等方面做了具体规定,进而对内部审计工作的开展具有重要的借鉴意义。在国内,《内部审计具体准则第5号——内部控制审计》明确规定了内部控制要素包括信息与沟通,要保证管理信息系统的安全可靠,并将其作为审查程序的重点。随着审计领域相关法律法规的不断完善,内部审计的发展具有明显的制度优势。
2现实优势
IT引起的变革浪潮为企业内部职能的发展带来了革命性变化。信息技术在信息存储、分析数据等方面的优势,促进了审计软件与审计方法的更新与优化,实时审计成为可能。另一方面,信息技术的支撑推动了内部审计由传统的单一财务审计逐渐渗透到企业管理的各个领域,内部审计职能不断强化,在加强企业管理和提高企业经济效益方面发挥着积极作用,因而内部审计的探索发展也具备了现实优势。
(二)劣势(Weaknesses)分析
1信息缺失
在信息时代,信息资源发挥着日益重要的作用,然而其也成为内部审计发展的制约因素。在企业的信息管理中,财务部门出于内部资源的安全性考虑,在一定程度上对内部审计部门获取财物信息具有排斥性,造成内审部门不能及时全面地获取相关财务信息,阻碍了审计实施,降低了审计效率,使审计效果大打折扣。因此,在IT环境下,要加大企业部门间的资源共享,不要让信息缺失影响内部审计职能的发挥。
2人力资源不足
早期内部审计部门的主要职能是查错纠弊,财务会计专业背景的审计人员占了较大比重。随着内部审计职能的拓展,内审人员缺乏相关的计算机技能和经营管理知识,只依靠原有的知识技能是无法胜任IT环境下的审计工作的。虽然企业也在不断加大内审人员的职业后续教育,但仍与新环境下信息技术对内审人员职业素质的要求存在较大差距。
(三)机遇(Opportunities)分析
1审计职能的拓展
内部审计产生初期,其主要职能是对企业内部财务资料进行审计,为企业查错纠弊提供合理化建议。审计职能并非一成不变,随着经济生活日趋复杂,科技迅速发展,内部审计逐步延伸到企业管理与公司治理的各个环节,不断拓展其影响的广度与深度。另一方面,信息技术的发展为内部审计业务拓展了新的领域,传统的财务审计业务逐步扩展到IT治理、IT控制、信息系统的设计与开发等领域,为内部审计职能的发挥提供了广阔空间。
2审计质量的提高
信息技术的发展推动了审计软件在内部审计中的广泛应用,审计人员利用信息化的优势和先进的审计方式所带来的数据支持,大大提高了审计质量和管理水平。同时,现代计算机技术为审计工作实施适时监控提供了可能,充分利用审计软件的 *** 作权限控制功能,对审计质量进行跟踪检查,大大提高了审计工作的质量与效果。
(四)挑战(Threats)分析
1外部机构的威胁
在西方国家,“内部审计外包”在20世纪90年代便引起了广泛关注,越来越多的企业将技术难度大、专业性强的审计工作外包给其他机构。同时,会计师事务所也纷纷争夺企业的内审外包业务,不断拓展其自身的发展领域。内部审计外部化的趋势造成了我国内部审计外委的普遍现象。在我国,由于某些企业不设内部审计部门或者审计能力有限,通常引入社会审计开展工作,这在一定程度上为企业引入了竞争对手。另一方面,专业的IT机构也将目光聚集在审计外包业务上。由于其掌握了先进的信息技术并可以熟练应用,因此在审计外包业务,尤其是信息系统(IS)审计方面具有鲜明的优势。因此在信息化环境下,内部审计人员要不断更新和拓展专业知识,提高业务水平,以应对来自社会审计和IT机构的挑战。
本方案对于企业管理的作用和价值
随着现代社会中企业对IT系统的使用越来越深入和频繁,如何管理好企业的IT系统成为不可忽视的管理议题。如果在IT建设过程中缺乏总体架构和规划,企业将在IT管理上面临众多的挑战。比如:业务越来越复杂,IT系统越来越庞大;难以统筹地管理;看不清楚IT建设的现状,更谈不上合理规划新的IT建设;企业内IT和业务沟通困难,业务人员用不好系统,IT人员服务质量也不高。
企业架构(EnterpriseArchitecture)是对构成企业的所有关键元素和关系的综合描述。它是一个用于描述和分析企业的现状,并对企业做出合理诊断和规划的方法。企业架构就类似于医学上将人体构造分解为骨骼、肌肉、血液等组成部分,既考虑每个部分的成分,也考虑这些部分是如何结合并协同工作的。它是现代企业用于自我分析和自我管理的工具。
单纯地从IT的视角管理IT系统让许多企业深陷管理困境,解决问题也是按下葫芦浮起瓢。实际上,IT的服务对象是企业的战略、组织、流程等一系列的要素。因此对IT的管理如果不考虑这些要素,那就会理不到头绪,产生诸如系统庞大并与业务脱节等症状。因此,需要通过企业架构的管理思想来管理IT架构,并实现如下价值:
1)理清IT架构,明确IT管理现状
IT架构管理对于企业来说,首先是需要“理清楚”然后才是“管起来”。与IT架构相关的内容既包括企业的业务流程、信息数据、应用功能、服务器和网络等管理要素,也包括传输类型、控制方法、管理策略、开发技术等技术层面的要素,合理清晰地梳理这些内容并了解相互管理,才算是帮助企业真正明白目前IT管理的现状。
2)分析企业现状,找到IT管理的可改进点
如果说明确IT管理现状是企业对自身的一个审视和了解,那么IT现状分析就是企业对自身的“望闻问切”。通过对企业流程与应用系统覆盖度的分析,我们可以知道企业IT应用主要存在于企业哪些地方,而通过对企业流程与应用系统冗余度的分析,我们又可以知道企业IT系统之间存在的功能重复或冲突集中在哪里。
当然,企业IT分析同样不能零散的开展,因此需要有一个整体的分析设计体系和科学的分析设计方法,本方案基于在流程分析领域一直处于世界领先地位的ARIS平台,提供了一套在IT架构现状分析上成熟的方案。
3)合理地规划与改进IT建设
以往的IT规划往往从IT系统本身出发,或借鉴国际先进的经验,或追求新的产品与技术。而一个真正适合企业的IT规划既要有适度的前瞻性,又要能够贴切地满足企业战略和企业的生存环境。否则就像在水下穿了一件太空衣,虽然外表光鲜亮丽,但实际上花费巨大却没有解决实际问题。
企业架构下的IT规划强调的是从企业战略出发,首先规划业务架构层,然后延伸到应用架构和数据架构,最后结束于企业的基础设施架构,其中包含战略、流程、系统功能、模块、数据、数据接口、系统实例、应用机房、网络信息和技术细节等等各种管理要素,可以说是对企业IT建设的量体裁衣。
4)完整地管理IT资产与技术
仅仅规划和实施IT系统是远远不够的,大多企业在实施IT系统后,更重要的是运维和管理IT系统。在这样一个层面上,IT系统无疑于企业的IT资产。结合IT服务管理标准和企业资产管理的思路来统筹的管理IT系统,也是企业架构可以发挥力量的地方。
同样,企业里面往往也有专门管理IT配置的工具(CMDB),但这些工具往往又忽略了企业业务与战略和IT之间的关系,如何将这些内容集成和统筹地管理,也是企业架构管理思想所考虑的内容。
借用企业架构的管理思想来管理IT架构,将保障IT系统不再与现实脱节,也不再落后于战略和业务的发展。IT系统将像企业的设备等重要物质资产一样有效地管理起来。
基于企业架构(EA)的IT架构管理解决方案及其交付物
在企业架构(EnterpriseArchitecture)的管理方法中,IT的规划需要与业务的需求统筹地管理起来。因此,一般将企业的IT架构划分为四个层次:
业务架构层:包含企业的战略、组织与流程等业务相关的架构,主要用于分析业务的驱动与业务的需求。
应用架构层:包括应用系统,系统功能,系统接口,相关应用的服务等,主要用于从业务层面将需求层层分解为系统的功能。
信息架构层:包括数据体系,数据架构,数据实体等于信息数据相关的内容。由于数据是流程流转的实体,也是应用系统需要实现的功能载体,因此对数据的设计需要与应用和业务层进行统一。
基础架构层:数据的存储实体,系统实例,硬件设备,软件技术等等属于企业基础设施的内容,需要按照资产管理的模式进行管理。
企业架构中的IT架构的四个层次
如何基于企业架构进行IT应用功能的规划?
交付物一:搭建从贯穿IT架构的模型体系
企业架构就是对企业各个管理要素以及关联进行管理的过程。因此我们对IT架构的管理,需要将企业如下要素进行统筹地梳理与整合,并形成模型体系。
战略:通过BSC战略模型梳理企业战略与目标。
流程:通过增值链与EPC模型梳理企业的流程架构与现实业务流程。
功能:通过流程步骤梳理系统所因提供的应用功能。
系统:通过应用系统架构模型梳理系统类型与模块。
基础设施:通过系统与系统实例,梳理系统所存储的相关硬件与设备等基础设施。
资产:通过整理相关资产获得资产的生命周期。
资产集:通过整理资产并分类获得完整的资产集合。
架构生命周期:管理各个业务单位的IT架构的生命周期。
企业架构各个层面的整理
交付物二:企业架构现状评估与分析报告
企业架构的IT架构现状评估与分析方法是以企业架构方法论作为理论依据,分析企业的各个架构元素和架构元素之间的关联性,例如:应用系统架构下应用系统的岛屿数量和程度,以及应用系统对业务流程的覆盖率。然后对现状的业务进行科学地诊断。
采用目标分解与纬度分析方法开展。分析包含一个总体目标,按照多视图分解到多个分目标,每个分目标包含多个分析指标,而每个分析指标都有相应的定性分析方法和分析结果。沿用的分析手段采用了平衡积分卡的思想,便于企业长期使用。
使用ARIS模型与ARIS工具对于模型的统计分析功能来完成分析工作。由于前期的建模工作有了大量模型成果,一些关键的数据分析可以通过模型来开展,例如:流程的应用系统覆盖率。在模型真实的情况下,此类分析能够很精确地反映企业架构管理现状。因此为了达到更准确的效果,还将对模型的真实度加以评估。
应用系统架构良好支持业务代表了企业架构下应用系统架构建设的质量。应用系统的建设为业务信息流的自动化提供技术平台,并业务流程的标准化提供支持,可以说,企业应用系统建设的主要目的就是为了业务服务。应用系统架构的建设也是建立在IT的基础设施之上,因此对它的规划将直接影响IT基础设施的需求。应用系统架构良好支持业务流程需要在良好地支撑流程需求和数据运作的基础上,还要保留有良好的系统集成性和可扩展性。因此,应用系统对业务流程流程执行过程,数据流转过程的可服务性是很重要的。在此基础上,多个应用系统之间的系统接口和架构方式也是需要关注的。
基于ARIS平台的企业架构分析与评估结果示例
交付物三:经过合理规划的TO-BE的IT架构
在IT架构管理的整体下,如何通过对业务的变更获得系统的变更方案?博阳咨询推荐IT城市规划(ITCityPlanning)的规划方法。
IT城市规划方法
在IT规划中采用ARIS的信息系统视图(IS视图),可以作为层次与层次之间转换的媒介。在ARIS中,IS视图中的对象类型必须放在功能和应用系统之间,这样便拓展了ARIS中的功能视图。如同各种功能一样,IS的元素与不同的结构相连接,出现在ARISHouse模型的常见视图中。这些扩充主要与流程视图和数据视图相关。在下面所述的IS视图中,涉及来自于ARISHouse模型的功能和流程视图中,用来描述IS元素之间的关系的模型类型,或者在其它ARIS视图的背景下,用来详细描述IS元素的模型类型。
交付物四:IT资产与IT架构的生命周期平台
对系统的功能进行规划后,不可忽略地就要考虑系统的实施过程。但对于完整的IT架构来说,系统从规划到实施,再到使用与维护,直至淘汰,是一个完整的生命周期。因此把系统当做IT的资产来进行管理是可以覆盖到系统的完整生命周期。
系统实施周期的评估过程
系统评估的方法有很多种,博阳咨询建议对规划好的系统以及系统模块按照成熟度与重要性进行评估,便可以知道哪些系统需要先期建设,哪些后期建设,有一个良好的系统引入的过程。
系统生命周期的评估过程
同样,系统一旦建设完成,系统的管理与评估工作远没有结束。需要持续地通过对系统功能满足程度的评估,不断地获取系统是否要升级或者淘汰的预期,保证系统能够时刻满足业务需求。这也是IT架构管理中持续改进的建设环节。
1、人才需求。 伴随着互联网的发展。IT人才的短缺现象将会越来越严重。据保守估计,目前中国市场对IT人才的需求每年超过20万人。而国内目前的IT教育主要是高等学校计算机、电子、电信、信息技术等相关专业的学历教育,每年培养的大学毕业生约为5万,远远不能满足市场的需要。IT技术人员的极度短缺,迫使许多公司不得不提供高薪才能聘请到符合要求的专业人员,而这些职位优厚的待遇吸引了很多非IT人员。于是许多人设法通过各种培训来获得这些职位。
2、工作需求。 IT行业良好的就业前景及薪酬待遇吸引了大量非计算机专业的人,大部分是年轻人。他们迫切需要依靠学习和培训获得进入IT业的技术能力。而另一个方面,IT行业中职业的变化和更替也是最为频繁的,它要求从业者必须不断地学习才能保持这种持续工作的状态。同时一个人学习的技术越先进,掌握的技术越全面,那么这个人的事业发展前景就越广阔,工作选择的机会就越大。此外,由于互联网技术的飞速发展,很多掌握过时技术的人员也不得不重新进行培训,以使自己能够与最新的技术同步。随着我国经济的不断发展,信息化程度不断提高,各个企业对信息化投入的比例逐步加大,因此要求在职人员必须要学会 *** 作微机。
IT治理的概念引入到国内已经有三年多的时间了,虽然媒体、IT企业及一些专家学者在不断呼吁IT治理的重要性,但将IT治理从理论推进到实践层面的案例还鲜有所闻。之所以会如此,组织缺乏IT治理的 *** 作指南应该是一个重要原因。
我们不能停留于对于IT治理概念的玩味和寻究,从某种程度上来讲,IT治理的定义的抽象晦涩已经影响了组织对于IT治理的接受,并直接伤害了IT治理的实践 *** 作性,现在是到了为IT治理寻找一条切实可行的 *** 作路径的时候。
实际上,IT治理并没有想像得那样复杂和虚无缥缈。我们并不需要从成百上千种IT治理模式中煞费苦心地寻找一条适合自己的模式。埃森哲公司创建了一种IT治理模式,该模式为组织建立有效的IT治理提供了一张路线图。本文将对该模式作一个介绍。
简单地讲,IT治理关注两个方面的问题,即IT治理的“什么”和“谁”。IT治理的“什么”是指IT治理应该作出哪些决策,IT治理的“谁”则是指这些决策分别应该由谁来作出。
那么,IT治理到底应该作出哪些决策呢要找到这个问题的答案,必须先搞清楚一个问题,那就是组织到底需要IT发挥什么样的作用。不要想当然地以为这是一个可以简单回答的问题。实际上,不同的组织对于IT的需要是不一样的。组织到底需要IT做什么,在很大程度上取决于它处于一个什么样的商业环境。
商业特征决定IT需求
走向IT治理的第一步就是,要对组织处于什么样的商业环境进行正确的分析。
埃森哲公司的IT治理模式通过两个指标来对组织的商业环境进行分析:变化的速度和竞争的基础。
变化的速度。某些企业处在一个变化较快的行业,如半导体企业和电信企业。在这样的行业,消费者的需求和偏好经常改变,产业政策也时常推陈出新,时不时出现的新技术会一下子改变整个产业价值链;而另外一些行业的发展状态则相对稳定,不会有那么快的变化,如航空业。在这样的行业,消费者的需求、竞争格局、政府管制、技术及供应商等方面的变化都是缓慢发生的。
竞争的基础。从竞争的基础来看,企业可以分为两类。一类企业以运营效率为基础进行竞争。对于这类组织来说,重点在于降低成本,以及优化现有的商业模式以应对竞争;另一类企业以产品和服务的差异性为竞争的基础。这类企业力求先于竞争对手提供新的商业能力,或者是开创新的商业模式,以此获得竞争优势。
根据以上两个指标,可以将组织分为四类。
A类组织处于变化不快的行业,以运营效率为竞争基础;
B类组织处于变化不快的行业,以产品服务的差异化为竞争基础;
C类组织处于变化快的行业,以运营效率为竞争基础;
D类组织处于变化快的行业,以产品服务的差异化为竞争基础。
这四类不同的组织因其业务特点的不同而对IT产生不同的需求。
A类组织发展的关键在于严格控制成本,因此这类企业希望利用IT来保持低成本,通过如外包这类节省成本的方法来提供成熟的能力。
B类组织的管理层期望利用信息来提高决策能力,并开发新的产品和服务,以高收入来抵消不断增长的IT支出。
C类组织按优先次序制定IT投资计划以及长期能力的路线图,它们在对成本进行有效管理的同时,根据路线图,运用IT来实现计划中的新能力,以满足市场不断变化的需求。
D类组织期望IT具有高度的灵活性,以满足迅速变化的商业策略和要求。这类企业倾向于提供创新的IT解决方案,以获得先发优势,因此它们的IT投资重点在于创造新的能力。
IT治理的决策范围
一旦组织明确了自己对于IT的需求,那下一步就要解决IT治理作哪些决策的问题,也就是前文所说的IT治理的“什么”。IT治理的决策范围一般包括以下五个方面。
组织模式:组织是采取集权、分权还是混合的模式
投资:组织将投资于什么投多少
架构:组织是着重于稳定性还是灵活性这两者各到什么程度应用系统是向外购买还是内部开发是建立一个综合性的ERP系统还是多种系统
标准:组织需要将什么技术标准化,采用什么标准
资源:IT组织将利用什么类型的资源这些资源的来源是什么
对于A类组织,其首选的组织模式应该是集权式治理,IT对于预算和决策负有责任。加拿大邮政公司就采用这种方法,该公司坚持一种简单化的组织模式,有一个集权部门来对公司行为进行优先排序,并通过单一的IT资源来完成。
在标准的决策方面,A类组织谋求在全组织范围内加强架构、技术和供应商的标准化,只是在一些被证明是正当的例外的情况下才允许有所背离。一家大型的法国保险公司就是这方面的一个例子。该公司在集团范围内对IT架构实行了标准化,因此它可以优化其核心的IT流程,整合系统支持其非寿险业务,移植数据,配置新的系统以支持其健康险业务。
在资源决策方面,A类组织善于利用内外部资源的组合,通常会与少量的几家优选的服务提供商达成服务协议。当某个全球性的化学品公司认为IT并非其核心业务时其,便将整个IT运作外包出去,包括其ERP系统全球范围内的实施和支持
以上就是关于如何做好企业IT服务管理全部的内容,包括:如何做好企业IT服务管理、[IT环境下内部审计的SWOT分析及发展对策]内部审计的内容、针环境,企业应建立什么样的IT架构来应对这些变化,详细描述这种IT等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)