计划阶段是整个审计过程的起点。其主要工作包括:
(1)了解被审系统基本情况
了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。
了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。
(2)初步评价被审单位系统的内部控制及外部控制
传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。
一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件)的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、 *** 作控制、硬件及系统软件控制和系统安全控制。
应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。
通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。
(3)识别重要性
为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。
(4)编制审计计划
经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。
总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。
具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容:
(1)对信息系统计划开发阶段的审计
对信息系统计划开发阶段的审计包括对计划的审计和对开发的审计,可以采用事中审计,也可以是事后审计。比较而言事中审计更有意义,审计结果的得出利于故障、问题的及早发现,利于调整计划,利于开发顺序的改进。
信息系统计划阶段的关键控制点有:计划是否有明确的目的,计划中是否明确描述了系统的效果,是否明确了系统开发的组织,对整体计划进程是否正确预计,计划能否随经营环境改变而及时修正,计划是否制定有可行性报告,关于计划的过程和结果是否有文档记录等等。
系统开发阶段包括系统分析、系统设计、代码编写和系统测试三部分。其中涉及包括功能需求分析、业务数据分析、总体框架设计、结构设计、代码设计、数据库设计、输入输出设计、处理流程及模块功能的设计。编程时依据系统设计阶段的设计图及数据库结构和编码设计,用计算机程序语言来实现系统的过程。测试包括动态测试和静态测试,是系统开发完毕,进入试运行之前的必经程序。其关键控制点有:
分析控制点:是否己细致分析企业组织结构;是否确定用户功能和性能需求;是否确定用户的数据需求等。
设计控制点:设计界面是否方便用户使用;设计是否与业务内容相符;性能能否满足需要,是否考虑故障对策和安全保护等。
编程控制点:是否有程序说明书,并按照说明书进行编写;编程与设计是否相符,有无违背编程原则;程序作者是否进行自测;是否有程序作者之外的第三人进行测试;编程的书写、变量的命名等是否规范。
测试控制点:测试数据的选取是否按计划及需要进行,是否具有代表性;测试是否站在公正客观的立场进行,是否有用户参与测试;测试结果是否正确记录等。
(2)对信息系统运行维护阶段的审计
对信息系统运行维护阶段的审计又细分为对运行阶段的审计和对维护阶段的审计。系统运行过程的审计是在信息系统正式运行阶段,针对信息系统是否被正确 *** 作和是否有效地运行,从而真正实现信息系统的开发目标、满足用户需求而进行的审计。对信息系统运行过程的审计分为系统输入审计、通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计六大部分。
输入审计的关键控制点有:是否制定并遵守输入管理规则,是否有数据生成顺序、处理等的防错、保护措施、防错、保护措施是否有效等。
通信系统实施的是实际数据的传输,通信系统中,审计轨迹应记录输入的数据、传送的数据和工作的通信系统。通信系统审计的关键控制点有:是否制定并遵守通信规则,对网络存取控制及监控是否有效等。
处理过程指处理器在接收到输入的数据后对数据进行加工处理的过程,此时的审计主要针对数据输入系统后是否被正确处理。关键控制点有:被处理的数据,数据处理器,数据处理时间,数据处理后的结果,数据处理实现的目的,系统处理的差错率,平均无故障时间,可恢复性和平均恢复时间等。
数据库审计是保障数据库正确行使了其职能,如对数据 *** 作的有效性和发生异常 *** 作时对数据的保护功能(正确数据不丢失,数据回滚以保证数据的一致性)。其关键控制点有:对数据的存取控制及监视是否有效,是否记录数据利用状况,并定期分析,是否考虑数据的保护功能,是否有防错、保密功能,防错、保密功能是否有效等。
输出审计不同于测试阶段的输出审计,此时的输出是在实际数据的基础上进行的,对其进行审计可以对系统输出进行再控制,结合用户需求进行评价。关键控制点有:输出信息的获取及处理时是否有防止不正当行为和机密保护措施,输出信息是否准确、及时,输出信息的形式是否被客户所接受,是否记录输出出错情况并定期分析等。
运行管理审计是对人机系统中人的行为的审计。关键控制点有: *** 作顺序是否标准化,作业进度是否有优先级, *** 作是否按标准进行,人员交替是否规范,能否对预计于实际运行的差异进行分析,遇问题时能否相互沟通,是否有经常性培训与教育等。
维护过程的审计包括对维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计。维护过程的关键控制点有:维护组织的规模是否适应需要,人员分工是否明确,是否有一套管理机制和协调机制,维护过程发现的可改进点,维护是否得到维护负责人同意,是否对发现问题作了修正,维护记录是否有文档记载,是否定期分析,旧系统的废除是否在授权下进行等。 完成阶段是实质性的整个信息系统审计工作的结束,主要工作有:
整理、评价执行审计业务过程中收集到的证据。在信息系统审计的现代化管理时期,收集到的数据己存储在管理系统中,审计人员只需对其进行分析和调用即可。
复核审计底稿,完成二级复核。传统审计的三级复核制度对信息系统审计同样适用,它是保证审计质量、降低审计风险的重要措施。一级复核是由信息系统审计项目组长在审计过程进行中对工作底稿的复核,这层复核主要是评价已完成的审计工作、所获得的工作底稿编制人员形成的结论;二级复核是在外勤工作结束时,由审计部门领导对工作底稿进行的重点复核。在审计工作办公自动化的今天,二级复核制度同样可以通过网上报送及调用得以实现。
评价审计结果,形成审计意见,完成三级复核,编制审计报告。评价审计结果主要是为了确定将要发表的审计意见的类型及在整个审计工作中是否遵循了独立审计准则。信息系统审计人员需要对重要性和审计风险进行最终的评价。这是审计人员决定发表何种类型审计意见的必要过程,所确定的可接受审计风险一定要有足够充分适当的审计证据支持。签发审计报告之前,应当随工作底稿进行最终(三级)复核,三级复核由审计部门的主任进行,主要复核所采用审计程序的恰当性、审计工作底稿的充分性、审计过程中是否存在重大遗漏、审计工作是否符合事务所的质量要求等。三级复核制度的坚持是控制审计风险的重要手段。审计报告是审计工作的最终成果,审计报告首先应有审计人员对被审系统的安全性、可靠性、稳定性、有效性的意见,同时提出改进建议。
IT运维管理系统中,信息化管理体系建设包含哪些内容?
IT运维管理体系要真正发挥效益,避免“为技术而技术”,需要融合人、流程、技术。根据信息化的发展要求,配套的管理措施应包括组织模式、管理制度、管理流程、绩效考核、运维费用、技术支撑等内容。
组织模式:中心从全局的角度定位IT运行维护和服务工作,将中心目前分散进行的各项IT运行维护和服务的工作职能逐渐整合,进行集中统一管理,统一调度IT运行维护和服务的技术力量,并结合中心实际情况和管理需要进行配套的组织机构的设置和逐步完善。第一,成立IT运维管理领导小组。初期可以成立由中心领导和各处(室)负责人组成的IT运维管理协调小组,从总体上负责IT运行维护和运维管理的统一组织协调,监督检查各处室服务质量;将来根据IT运维管理发展,可以成立由部领导、中心领导和业务司局领导组成的信息化治理领导小组。第二,建立面向用户的服务接口。初期以服务台为统一服务接口,不断扩充与完善服务台的功能,统一受理客户的IT服务请求,记录事件和一线解决,对解决不了的较为专业的事件派发给专业的二线技术人员,各相关处室提供二线技术支持,并明确相关技术支持人员及职责;将来逐步建立独立的IT运行维护和服务机构(运维中心),专门负责IT运维和服务工作,合理划分建设与运维的边界,实现建设与运维的分离。第三,设置合理的组织机构。初期保持目前组织机构和职责不变,进一步理顺关系;将来随着信息化发展和管理成熟度的不断提升,逐步建立起完全适应体系运行的IT治理组织机构;
管理制度:管理制度是指IT运行维护和服务工作必须遵循的内部管理规定,用于提高工作的协调性和管理的有效性。借鉴IT运维管理体系国际标准标准ISO20000要求,管理制度分为 “总办法”、“分办法”、 “实施细则或 *** 作指南”和“配套表单”四个层次,见图13-6。
资料来源:中国IT治理研究中心(ITGov),网址:
第一级:制定涵盖中心IT运维管理全过程的总办法《IT运维管理办法》,作为指导IT运维管理工作开展的统领,内容涵盖IT服务全过程的管理控制点和人员管理等核心内容,包括IT运维管理模式、归口管理、组织结构与职责、人员岗位与职责、IT运维管理工作规划与执行、预算保障、绩效评价等方面的管理规定。
第二级:结合IT服务的实际情况,针对管理工作需要而制定的具体管理办法,范围涵盖系统、网络、机房、桌面、设备备品备件及耗材、文档等,明确管理职责与规范 *** 作流程。
第三级:在第二级分办法的基础上,按照精细化管理需要,对某些方面的运行维护工作的具体实施过程与 *** 作程序做出的细化准则或指南。
第四级:配合第一、二、三级制度的执行而配套制定的表单等,用于记录、备案人、物、行为等信息。
管理流程:管理流程是指为达到既定的IT运维管理目的而组织起来的逻辑上相关的有规律性并可重复的活动。借鉴IT运维管理国际最佳实践ITIL,将IT运维管理分为服务支持和服务交付两大部分;
根据中心的管理需要,分阶段建立相关流程。先期建立服务台和事件管理、问题管理、变更
绩效考核:为实现IT服务精细化管理的目标,提高管理制度和管理流程的执行力,绩效考核是非常重要的管理手段;
绩效考核从中心IT运维管理体系的目标出发,按照体系、流程和岗位角色分解,形成
IT运维管理体系关键绩效指标(KPI)-流程KPI-角色岗位KPI”三层相互关联的绩效考核指标体系,见图13-7。
资料来源:中国IT治理研究中心(ITGov),网址:
运维费用:运维费用是IT运维管理体系持续运行的资金保障。随着信息化建设的逐渐深入,信息化工作将逐渐由建设转向以应用为主的运行维护阶段。为保障业务应用系统的有效运行和IT服务质量的提高,实现IT服务精细化管理的目标,为业务提供信息化支撑,科学进行运维费用管理非常重要;
运维费用管理清晰定义运维费的构成要素,规范运维费用预算的口径和标准,使其与信息化建设费用、日常公用经费区分。在运维费预算的基础上,要按照中心财务制度规范运维费预算的执行,保障运维工作有序开展。基于预算执行结果,进一步指导中心运维管理工作,最终实现“运维预算-核算(预算执行)-结算”全过程管控。
技术支撑:技术支撑体系包括以下三个层次:展示层、流程及业务运维管理层、集中监控层。
展示层:提供对用户的IT运维管理界面与对技术人员的体系管理控制界面,在运维管理界面上实现集中运维的统一管理功能和信息展示与交互。
流程及业务运维管理层:在集中运维管理模式下实现流程执行和管理控制功能、业务运维管理功能。
集中监控层:通过监控工具实现对不同服务对象和IT资源的实时监控,包括主机、数据库、中间件、存储备份、网络、安全、机房、业务应用(以下简称“应用”)和客户端等技术支撑管理子系统,并通过集中监控管理平台对不同被管对象的技术支撑管理子系统进行综合处理和集中管理。
华为经过持续的管理变革, 已经取得明显的收益, 体现在绩效指标良好, 建立了一套与国际接轨的管理体系。
表现在经营结果上, 人均效益明显提升, 利润率保持领先。
M 合作伙伴:说实话和你们合作, 就是因为被你们这套 ipd 流程打动。
B 电信认证团: 你们深圳和上海的研发中心的运作实际上达到了 CMM5 级电信来访 VP:你们的数据中心和人员技能给我留下了深刻的印象。
挪威船级社: 比我们认证的平均水平好十倍(信息安全)
为什么要变革呢?
社会 政治动荡( 社会 矛盾泛滥、 物质心理失衡、 利益格局调整, 政策法规影响)
经济金融波动(宏观经济走势, 金融汇率股市, 融资政策与工具, 全球一体化)
管理技术创新(新的管理理论、 技术一日千里, 信息工具革新, 人员技能素养)
客户行业产品(价值链一体化, 需求细分深化, 对手伙伴频变, 产品生命周期缩短)
不变等死
一个公司如果沿着自己过去的成功经验走下去, 就会进入-----死亡谷!(1970 年的世界 500强到 1990 年, 近一半在榜上消逝)
在企业丛林中, “能生存下来的并不是最强壮的, 也不是最聪明的, 而是那些对变化反应能力最强的物种”……达尔文
华为为此确定了“以客户为中心”的核心价值观。 实现客户价值是华为存在的唯一理由。 质量好、 服务好、 运作成本低、 优先满足客户需求。
我们不追求利润最大化, 而是通过和周边伙伴密切合作, 共同取得可持续的发展和成功。
企业发展的宏观商业模式:产品发展的路标是客户需求导向, 企业管理的目标是流程化组织建设。
微观商业模式:运用一整套和谐的方法论, 以最简单最有效的方式, 来实现端到端流程贯。
这个端到端, 就是客户的需求端来, 到准确及时地满足客户需求端去。
这驱动华为从流程、 组织和 IT 方面进行坚持不懈地改进:
……组织: 通过资源的协调配合来支撑流程活动的完成。
……流程:通过一系列有序的活动来确保业务目标的达成!
……IT:通过信息技术来提高流程、 组织的运作效率(是的偌大的组织运作起来跟一个人一样协调、 效率高)
基于端到端流程框架, 华为持续实施了一系列的变革项目:
……主流程: 市场管理(需求管理、 市场与组合分析)、 产品开发(需求管理、 IPD、 BOM)、客户关系管理、 集成供应链(BOM、 ISC、 采购管理)、 客户服务(第三方满意度)
……IT 与流程(数据中心, IT 策略规划)
……财务(账务体系, 海外财务)
……人力资源(Hay 项目、 组织设计、 考核及资源池)
在组织、 流程、 IT 方面, 华为从 1998 年以来, 开展了一系列重要的管理变革, 主要目的是提升对客户需求的理解、 实现、 交付能力。
华为公司 IT 发展历程:
……自行开发(管理信息系统、 局部业务、 最动化)
……重点实施(协同办公自动化系统、 MRPII、 人力资源管理系统)
……全面建设(IT 战略规划、 业务变革 IPD/
ISC/财务四统一, 企业数据中心、 数据仓库、 WEB 应用平台)
1998 年, 华为就进行了 IT 战略规划
……业务愿景与策略
……IT 愿景与策略
……企业 IT 架构
……IT 规划
如今的华为流程和 IT 取得了巨大的成功
变革管理体系组织:
……变革管理体系负责对全公司的变革活动进行分层分级地管理(决策层、 规划层、 执行层
(分领域))
……成立 BPE/FPE 负责支撑变革管理团队的日常运作(业务流程管理部门), 负责流程建设与管理、 IT 需求分析与管理等, 网络遍及各分支机构。
……成立公司级的变革项目管理部(PPMD)
……成立业务信息管理部(BIE)
变革工作流程:
……借用了宏观 IPD 的流程思路, 有需求管理流程(RM)、 变革项目年度规划流程(MM)、流程管理运作流程(PMOP)(IPD), 设置 DCP 点。
……PMOP 流程分概念、 计划、 开发、 验证、 推行、 生命周期六个阶段。 其中验证阶段有流程的试点, 类似于 Beta 测试。
流程文件评审的责任体系:
……在流程开发过程中, 不同层级的流程, 和系统设计一样, 分系统级和子系统以及模块级,直到流程文件、 指导书和模板等, 由不同的流程设计负责组织(BPE/FPE) ,组织业务变革管理团队和 IT 团队, 以及利益相关人进行评审。(FPE:功能流程管理)
流程文件会签上网责任体系:
……不同层级的流程由流程的 owner 审核发布申请审核(产品线总监、 体系总监)
……对应的业务流程管理组织进行文件审核和文控。(质量体系或流程与 it 体系)
……文件会签(评审组织)
……文件批准(BT&IT MT 主任)
文件的起草、 组织评审、 发布后的文控由实体组织来完成, 管理团队主任来审批, 流程 owner来发布申请审核, 不会仔细看流程的内容, 对其不负责。
流程稽核与审计:
……流程适用性的审视:每年, 识别出继续使用的流程、 需要优化的流程、 需要作废的流程,并制定出相应的行动计划。
……流程执行情况审计:
质量部负责, 对本业务领域流程进行例行审计, 重点发现流程执行中的问题并推动改进。(包括流程本身的问题和执行问题)
……流程绩效评估:
流程绩效评估主要指对流程效率和效果的评估, 并指出改进机会。
在企业的IT部门和业务部门,业务语言和IT语言不同,员工的 *** 作习惯、流程差异,人员变动等都让企业管理者十分头疼。如何跨越业务与IT之间的沟通鸿沟,让流程更透明化、更容易灵活管理呢?
三道需求鸿沟
在以往的采访中,记者不只一次听到做金融运维的人抱怨:从业务部门提出需求,到开发部门设计开发,再到产品上线和后期运维,有效信息在中间环节失真很多,他们迫切需要将用户业务需求直接梳理成符合IT编码规则的需求。
另外,混业经营趋势下,金融机构的业务越来越多,流程也越来越多。对于金融机构的管理者而言,为规避风险,希望将流程透明化,可管理。尤其是每家机构都有众多岗位,有很多行业规则、规定和政策,在岗位、规则不断变化的情况下,如何有效管理、规避风险呢?
业务流程管理或许可以帮上忙。
近日,全球知名的业务流程管理企业Software AG的亚太及日本区总裁戴维・鲍威尔(Dave Powell)在接受记者采访时表示,Software AG通过流程建模和流程执行可以在IT部门和业务部门之间架起桥梁,同时,Software AG还可以在异构系统中对流程实时监控、事后统计和持续优化,让流程在管理者面前透明、可管理。
“Software AG的独特价值体现在它不仅可提供业界熟知的业务流程管理,还能够提供涵盖整个业务流程管理生命周期包括流程分析、流程执行和流程智能在内的一套完整的解决方案。” Software AG 中国区总裁薛志勇说。
他指出,Software AG是BPM和SOA的集大成者。Software AG用流程管理、集成技术和SOA框架帮助用户实现IT资产的重用,经过流程重新编排,实现新的服务,满足业务需求。它不仅能改善用户的运营状况与管理水平,更能帮助用户节约运营成本,带来高额的回报。
薛志勇以渣打银行为例向记者介绍,渣打银行与Software AG合作,用ARIS作为业务建模工具,对业务流程进行分析,建立业务管理流程模型,梳理和优化流程,真正实现端到端全生命周期的流程管理。
不断兼并
总部位于德国的Software AG,成立于40多年前,专注于做集成业务,于2007年收购了美国业务整合软件供应商WebMethods,后者在企业应用集成(Enterprise Application Integration,EAI)领域里表现卓越。后来,关注到BPM这一前瞻领域,Software AG于2009年收购了德国的业务流程管理厂商IDS Scheer,后者的核心技术――ARIS模型是深受业界肯定的流程建模分析模型。接着,Software AG整合WebMethods、ARIS产品,形成了贯通业务建模、流程分析、梳理、执行、监控、优化的流程管理全程产品,成为名副其实的产品专业、齐全的业务流程管理专家,打包推出其BPE(卓越业务流程管理,Business Process Excellence)方案。
但Software AG的兼并之路,并没有就此停止。戴维・鲍威尔向记者介绍,最近他们又收购了内存和云技术领域的领先企业Terracotta和英国移动技术解决方案提供商Metismo。“我们今年收购Terracotta以后,接到若干金融及其他行业大客户的电话,他们表示,早就盼望采用Terracotta这样的技术了。” 这次交易将大大丰富Software AG的云计算能力。
Software AG收购Metismo的目的则在于布局移动业务,将其业务扩展到移动设备。Metismo的技术能够把BPE核心系统与不同 *** 作系统的手机连接起来,支持黑莓、苹果、诺基亚塞班等所有平台。“我们业务人员在签订合同之前要走各种业务流程,现在通过内部系统把要审批的东西推送到我的信箱,同时推送到黑莓上,我能在黑莓上立即看到,并能马上处理。”
Software AG不会停止收购的脚步,对于记者预测其接下来将会在中间件领域展开收购的想法时,戴维・鲍威尔用沉默回应。
薛志勇介绍,在过去的4年里,Software AG年收入翻了一番, 2011年第三季度公布的企业经营报告显示,Software AG的核心业务BPE的软件许可销售额同比增长37%,收入增长了75%;2010年度收入11亿欧元,利润增长了93%。在中国,其目标行业是IT应用复杂且比较成熟的行业,比如电信业、金融业、高级制造业等。
“虽然Software AG刚刚进入中国市场,但我们有领先的产品,中国则是需求正旺的市场,我们进入得正是时候。接下来扩大品牌知名度,让中国客户认识我们是我们的最大挑战。” 薛志勇说。
以上就是关于IT审计的审计流程全部的内容,包括:IT审计的审计流程、如何建设深入了解业务流程的it团队、精品系列二:华为研发变革管理(实践篇)等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)