IT服務管理平臺助力企業加強IT內控
2011-12-31 00:00:00鄭晨光
中國管理信息化 2011年18期
[摘要] 隨著美國SOX 法案以及國內企業內部控制基本規范的出臺,需要滿足IT內部控制要求逐漸增多的企業。本文結合實際案例闡述了如何借助IT服務管理(ITSM)平臺實現IT流程的規范化管理,滿足IT內部控制要求。對上市公司及大型企業內部審計人員、信息技術部門人員、企業管理人員等具有一定借鑒、參考意義。
[關鍵詞] IT內控;IT服務管理;審計
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 18. 029
[中圖分類號]F239.1 [文獻標識碼]A [文章編號]1673 - 0194(2011)18- 0044- 03
1引言
2002年美國國會頒布一系列法案,其中重要的404條款要求在美國上市的國內外公司建立起完善的內部控制體系,并要求在年度報告中對其內部控制體系實施的有效性進行評價,并由會計師事務所對其有效性進行審計并發表意見。上市公司的日常業務運營和財務管理的信息系統是企業運行的重要信息化管理平臺,因此信息系統的控制有效性將直接關系到財務報表的準確性和完整性,信息系統的內控有效性也成為內部評價和外部審計的重中之重。與日俱增的在美國上市的國內公司已將IT內部控制的評價和審計作為企業合規工作的重要內容。
2008年5月,財政部聯合審計署、銀監會、證監會、保監會發布企業內部控制基本規范,并于2010年4月聯合發布了企業內部控制配套指引,自2011年1月1日起在境內外同時上市的公司施行,自2012年1月1日起在上海證券交易所、深圳證券交易所施行,擇機在創業板和中小企業公司施行,并鼓勵非上市的大中型企業提前執行,其中的企業內部控制指引第18號明確提出了對信息系統控制的規范要求,成為我國信息系統內部控制要求的里程碑。
2實現IT內控的標準和方法
根據SOX法案及企業內部控制規范的要求,其最終的控制目標是促進企業有效實施內部控制,利用信息化手段提高現代化管理水平,減少人為因素的操作失誤,從而提高信息系統的安全性、可靠性、合理性以及相關信息的保密性、完整性和可用性。
1996年,美國內部控制與審計協會向全球公開發布了業界普遍使用的COBIT(即信息及相關技術控制目標),成為業界普遍遵循的標準之一。COBIT包括4個域、34個IT控制流程和318個詳細的控制目標,從規劃與組織、獲取與實施、交付與支持、監控與評估4個環節進行了有效的風險管理和控制。
英國政府部門CCTA(Central Computing and Telecommunications Agency)在1980年制定了IT基礎架構庫(Information Technology Infrastructure Library, ITIL),目前由英國商務部OGC(Office of Government Commerce)負責管理,主要適用于IT服務管理(Information Technology Service Management)。ITIL為企業的IT服務管理實踐提供了一個客觀、嚴謹、可量化的標準,從而使IT運營管理規范化,IT操作流程規范化。
除此之外,還有一些國內外標準,根據行業、類別不同可供企業參考,如《商業銀行信息科技風險管理指引》、ISO 27001等。
3借助IT服務管理(ITSM)平臺實現IT內控
IT服務管理平臺將ITIL的理論實施到系統平臺中,將人員、角色和流程充分融合,并有效分離各職責角色進行系統權限控制,通過申請、上報、審批、實施、后評價等環節進行電子化控制,實現了IT流程的自動流轉,將業務部門與IT部門以及IT部門內部之間的流程緊密聯系起來,從而有效地實現了IT內控的目標。
IT服務管理平臺可以將ITIL與COBIT及相關IT標準的控制點有機結合起來,按照企業的內部IT控制制度要求量身定制,從而滿足上市企業的合規要求。ITIL這套標準已經被國內外的很多企業采用,全球已經有上萬家企業參考此標準中的管理方法進行IT流程及系統的管理,國內很多企業已經成功實施基于ITIL標準設計的IT服務管理平臺系統(如IBM的Maximo ITSM以及HP 的 OpenView)。
4 IT服務管理系統的實施應用
4.1背景說明
S集團是一家在美上市的中國公司,業務發展迅速,分子公司眾多,IT控制需要滿足SOX法案及企業內控規范的要求,然而其各IT系統平臺分散,很難實現有效的跟蹤和管理。目前IT流程流轉是通過打印的紙質文檔進行申請和審批,傳遞和執行效率較低,進度可控性差。另外,隨著集團的業務發展,信息系統的開發、新舊系統的切換、數據中心及IT基礎架構的建設要求日益增多,沒有全國集中的IT運維管理平臺,針對IT的運維管理處于被動狀態,給信息系統發展及信息技術人員管理帶來較大的壓力,削弱了IT內控執行有效性。
4.2 系統實施
為了改善上述被動局面,企業決定建立統一的IT服務管理平臺,實現事件管理、問題管理、變更管理、發布管理、需求管理、服務請求管理、合規管理的電子化控制。下面針對各管理模塊的內容進行簡要分析。
4.2.1事件管理
根據集團組織架構的要求,實現了事件管理流程的三級架構(集團、分公司、子公司)管理,可以逐級上報和逐級退回,在每一層級都可以實現事件流程的單獨閉環操作。在每個層級可以根據系統分類(如分為財務系統、OA系統、業務系統等)或崗位職責角色(如分為一般用戶、服務臺、事件分析員、事件經理等)、不同的技術支持組(如分為系統權限維護組、網絡維護組、應用系統問題處理組等),不同人員角色根據權限進行操作,互相分離又互相支持,及時有效地處理系統故障,從而保證企業核心業務應用系統的正常運轉,實現了事件管理的內部控制目標。此外IT人員還可以根據不同的操作權限通過“事件創建問題”,“事件創建變更”、“事件創建需求”,實現與其他模塊的自動流轉,提高事件處理效率,規范IT流程操作。
4.2.2問題管理
問題管理用于集中的系統事件的處理,將同類的系統事件進行歸集和分類,統一由IT人員分析和處理直至解決。其設計與實現與事件管理流程類似,按照職責權限不同設置為問題分析員和問題經理,問題分析員負責問題的解決和處理,問題經理協調問題管理的進度和時間安排,確保問題在合理的服務管理級別內解決,保障企業信息系統的正常運行,從而實現了問題管理的內部控制目標。
4.2.3變更管理
根據集團組織架構的要求,變更管理實現了集團總部及分子公司層級的變更控制,變更流程包括變更申請、變更構建、變更審批、變更實施和變更關閉,按照各流程環節的角色要求設置了變更請求人、變更受理人、變更實施人、變更經理,并且根據變更的重要程度和緊急程度設置變更顧問委員會和緊急變更委員會,分別負責重大變更的審批和緊急情況下的變更審批,保證了變更管理流程的申請、授權、實施、評價過程的自動控制流轉和職責分離,從而實現了變更管理的內部控制目標。
4.2.4發布管理
發布管理主要針對集團信息系統變更后的管理,其主要集中在集團總部信息技術部門,根據組織架構特點,形成了發布創建、發布計劃、發布審批、發布構建和發布實施的完整流程。按照各流程環節的不同角色設置了發布請求人、發布受理人、發布實施人、發布審批人,并根據發布的重要程度和緊急程度設置了發布顧問委員會和緊急發布顧問委員會,負責重大發布和緊急發布的審批。發布變更有效保證了程序發布各過程中的職責角色分離和申請授權控制。此外發布管理與變更管理、需求管理及軟件生命周期管理平臺建立了接口,可以由發布流程創建變更申請,需求的結果是發布實施,當發布實施完成時,對應的需求狀態也會同步更新,變更管理中對應的軟件生命周期平臺中的發布單也進行同步更新,從而有效地實現了系統業務系統需求提出、程序變更、程序開發、程序發布、程序實施完成的控制流轉,從而實現了發布管理的內部控制目標。
4.2.5需求管理
需求管理將業務部門與IT部門之間的控制流程緊密結合,實現了從業務部門需求提出、需求審批到信息技術部門審批需求分析的系統控制流轉。該流程根據角色和職責要求設置了業務需求申請人、業務需求負責人、信息技術部門需求受理人、需求部門需求審批人,通過對角色職責設置有效進行了審批和授權職責的分離,保障業務需求開發的合理性,從而實現了需求管理的內部控制目標。
4.2.6服務請求管理
該流程可以實現應用系統和IT重要設備等權限或口令的申請、更改的審批授權。根據申請和審批角色不同,設置了服務請求申請人、業務部門負責審批人、服務請求接收協調人、信息技術部門審批人和信息技術部門受理人,從而實現了權限的申請、審批和授權,乃至各級架構的權限審批處理和權限上報審批處理,保障了權限及口令管理的合理性和安全性,實現了服務請求管理的內部控制目標。
4.2.7合規管理
此流程設置了IT人員日常信息系統維護任務,根據各職責角色不同,設置了日常操作人員、日常操作審批人、日常任務管理員。日常任務管理員可以按照集團及各分子公司的日常運維內容和頻率進行設置,使系統可以自動產生任務,并設置任務提醒功能,針對IT操作人員任務的執行完成情況由操作人員的上級主管負責審批其執行有效性,確保IT維護人員定期執行巡檢任務,保障信息系統運行的有效性,從而實現了合規管理流程的內部控制目標。
通過實施上述各管理模塊,不僅實現了ITIL與COBIT相融合的目標,也完成了集團企業組織架構的重新梳理和優化、完成了系統各人員組和人員角色的梳理,保障了人員職責角色在IT內控執行過程中的有效分離,保障了集團及各分子公司信息的一致性,保留了審計痕跡。因此外部審計師和內部審計師可在集團層面通過IT服務管理平臺數據對信息系統變更、權限申請、信息系統維護等環節執行有效性進行審計,節約了時間和人力成本,增強了上市公司信息系統合規的執行力度,降低了信息系統控制風險,對保證公司審計報告的有效性起到了積極的作用。
5結束語
企業通過實施IT服務管理平臺,能夠將其組織及人員架構、職責及IT內部控制流程和制度進行重新整理,建立完善的IT運行維護管理規范,實現IT流程的電子化控制,提高IT運維效率和IT內控整體執行有效性,有效降低了企業的IT合規成本。為上市公司信息技術部門、內部審計人員及企業管理人員提供了IT內控實施的參考案例。
主要參考文獻
[1]覃正,郝曉玲,方一丹.IT操作風險管理理論與實務[M].北京:清華大學出版社,2009.
[2]過怡.SOX——IT部門的挑戰和機遇[J].電腦知識與技術:學術交流,2007,1(4).
[3]財政部會計司.企業內部控制規范講解2010[S].北京:經濟科學出版社,2010.
