IT服務(wù)管理平臺助力企業(yè)加強IT內(nèi)控

［摘要］ 隨著美國SOX 法案以及國內(nèi)企業(yè)內(nèi)部控制基本規(guī)范的出臺，需要滿足IT內(nèi)部控制要求逐漸增多的企業(yè)。本文結(jié)合實際案例闡述了如何借助IT服務(wù)管理（ITSM）平臺實現(xiàn)IT流程的規(guī)范化管理，滿足IT內(nèi)部控制要求。對上市公司及大型企業(yè)內(nèi)部審計人員、信息技術(shù)部門人員、企業(yè)管理人員等具有一定借鑒、參考意義。

［關(guān)鍵詞］ IT內(nèi)控；IT服務(wù)管理；審計

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 18. 029

［中圖分類號］F239.1 ［文獻標識碼］A ［文章編號］1673 - 0194（2011）18- 0044- 03

１引言

２００２年美國國會頒布一系列法案，其中重要的４０４條款要求在美國上市的國內(nèi)外公司建立起完善的內(nèi)部控制體系，并要求在年度報告中對其內(nèi)部控制體系實施的有效性進行評價，并由會計師事務(wù)所對其有效性進行審計并發(fā)表意見。上市公司的日常業(yè)務(wù)運營和財務(wù)管理的信息系統(tǒng)是企業(yè)運行的重要信息化管理平臺，因此信息系統(tǒng)的控制有效性將直接關(guān)系到財務(wù)報表的準確性和完整性，信息系統(tǒng)的內(nèi)控有效性也成為內(nèi)部評價和外部審計的重中之重。與日俱增的在美國上市的國內(nèi)公司已將ＩＴ內(nèi)部控制的評價和審計作為企業(yè)合規(guī)工作的重要內(nèi)容。

２００８年５月，財政部聯(lián)合審計署、銀監(jiān)會、證監(jiān)會、保監(jiān)會發(fā)布企業(yè)內(nèi)部控制基本規(guī)范，并于２０１０年４月聯(lián)合發(fā)布了企業(yè)內(nèi)部控制配套指引，自２０１１年１月１日起在境內(nèi)外同時上市的公司施行，自２０１２年１月１日起在上海證券交易所、深圳證券交易所施行，擇機在創(chuàng)業(yè)板和中小企業(yè)公司施行，并鼓勵非上市的大中型企業(yè)提前執(zhí)行，其中的企業(yè)內(nèi)部控制指引第１８號明確提出了對信息系統(tǒng)控制的規(guī)范要求，成為我國信息系統(tǒng)內(nèi)部控制要求的里程碑。

２實現(xiàn)ＩＴ內(nèi)控的標準和方法

根據(jù)ＳＯＸ法案及企業(yè)內(nèi)部控制規(guī)范的要求，其最終的控制目標是促進企業(yè)有效實施內(nèi)部控制，利用信息化手段提高現(xiàn)代化管理水平，減少人為因素的操作失誤，從而提高信息系統(tǒng)的安全性、可靠性、合理性以及相關(guān)信息的保密性、完整性和可用性。

１９９６年，美國內(nèi)部控制與審計協(xié)會向全球公開發(fā)布了業(yè)界普遍使用的ＣＯＢＩＴ（即信息及相關(guān)技術(shù)控制目標），成為業(yè)界普遍遵循的標準之一。COBIT包括4個域、３４個ＩＴ控制流程和３１８個詳細的控制目標，從規(guī)劃與組織、獲取與實施、交付與支持、監(jiān)控與評估4個環(huán)節(jié)進行了有效的風(fēng)險管理和控制。

英國政府部門ＣＣＴＡ（Ｃｅｎｔｒａｌ Ｃｏｍｐｕｔｉｎｇ ａｎｄ Ｔｅｌｅｃｏｍｍｕｎｉｃａｔｉｏｎｓ Ａｇｅｎｃｙ）在１９８０年制定了ＩＴ基礎(chǔ)架構(gòu)庫（Ｉｎｆｏｒｍａｔｉｏｎ Ｔｅｃｈｎｏｌｏｇｙ Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ Ｌｉｂｒａｒｙ， ＩＴＩＬ），目前由英國商務(wù)部ＯＧＣ（Ｏｆｆｉｃｅ ｏｆ Ｇｏｖｅｒｎｍｅｎｔ Ｃｏｍｍｅｒｃｅ）負責(zé)管理，主要適用于ＩＴ服務(wù)管理（Ｉｎｆｏｒｍａｔｉｏｎ Ｔｅｃｈｎｏｌｏｇｙ Ｓｅｒｖｉｃｅ Ｍａｎａｇｅｍｅｎｔ）。ＩＴＩＬ為企業(yè)的ＩＴ服務(wù)管理實踐提供了一個客觀、嚴謹、可量化的標準，從而使ＩＴ運營管理規(guī)范化，ＩＴ操作流程規(guī)范化。

除此之外，還有一些國內(nèi)外標準，根據(jù)行業(yè)、類別不同可供企業(yè)參考，如《商業(yè)銀行信息科技風(fēng)險管理指引》、ＩＳＯ ２７００１等。

３借助ＩＴ服務(wù)管理（ＩＴＳＭ）平臺實現(xiàn)ＩＴ內(nèi)控

ＩＴ服務(wù)管理平臺將ＩＴＩＬ的理論實施到系統(tǒng)平臺中，將人員、角色和流程充分融合，并有效分離各職責(zé)角色進行系統(tǒng)權(quán)限控制，通過申請、上報、審批、實施、后評價等環(huán)節(jié)進行電子化控制，實現(xiàn)了ＩＴ流程的自動流轉(zhuǎn)，將業(yè)務(wù)部門與ＩＴ部門以及ＩＴ部門內(nèi)部之間的流程緊密聯(lián)系起來，從而有效地實現(xiàn)了ＩＴ內(nèi)控的目標。

ＩＴ服務(wù)管理平臺可以將ＩＴＩＬ與ＣＯＢＩＴ及相關(guān)ＩＴ標準的控制點有機結(jié)合起來，按照企業(yè)的內(nèi)部ＩＴ控制制度要求量身定制，從而滿足上市企業(yè)的合規(guī)要求。ＩＴＩＬ這套標準已經(jīng)被國內(nèi)外的很多企業(yè)采用，全球已經(jīng)有上萬家企業(yè)參考此標準中的管理方法進行ＩＴ流程及系統(tǒng)的管理，國內(nèi)很多企業(yè)已經(jīng)成功實施基于ＩＴＩＬ標準設(shè)計的ＩＴ服務(wù)管理平臺系統(tǒng)（如ＩＢＭ的Ｍａｘｉｍｏ ＩＴＳＭ以及ＨＰ 的 ＯｐｅｎＶｉｅｗ）。

4 ＩＴ服務(wù)管理系統(tǒng)的實施應(yīng)用

4.１背景說明

Ｓ集團是一家在美上市的中國公司，業(yè)務(wù)發(fā)展迅速，分子公司眾多，ＩＴ控制需要滿足ＳＯＸ法案及企業(yè)內(nèi)控規(guī)范的要求，然而其各ＩＴ系統(tǒng)平臺分散，很難實現(xiàn)有效的跟蹤和管理。目前ＩＴ流程流轉(zhuǎn)是通過打印的紙質(zhì)文檔進行申請和審批，傳遞和執(zhí)行效率較低，進度可控性差。另外，隨著集團的業(yè)務(wù)發(fā)展，信息系統(tǒng)的開發(fā)、新舊系統(tǒng)的切換、數(shù)據(jù)中心及ＩＴ基礎(chǔ)架構(gòu)的建設(shè)要求日益增多，沒有全國集中的ＩＴ運維管理平臺，針對ＩＴ的運維管理處于被動狀態(tài)，給信息系統(tǒng)發(fā)展及信息技術(shù)人員管理帶來較大的壓力，削弱了ＩＴ內(nèi)控執(zhí)行有效性。

4.２ 系統(tǒng)實施

為了改善上述被動局面，企業(yè)決定建立統(tǒng)一的ＩＴ服務(wù)管理平臺，實現(xiàn)事件管理、問題管理、變更管理、發(fā)布管理、需求管理、服務(wù)請求管理、合規(guī)管理的電子化控制。下面針對各管理模塊的內(nèi)容進行簡要分析。

4.2.1事件管理

根據(jù)集團組織架構(gòu)的要求，實現(xiàn)了事件管理流程的三級架構(gòu)（集團、分公司、子公司）管理，可以逐級上報和逐級退回，在每一層級都可以實現(xiàn)事件流程的單獨閉環(huán)操作。在每個層級可以根據(jù)系統(tǒng)分類（如分為財務(wù)系統(tǒng)、ＯＡ系統(tǒng)、業(yè)務(wù)系統(tǒng)等）或崗位職責(zé)角色（如分為一般用戶、服務(wù)臺、事件分析員、事件經(jīng)理等）、不同的技術(shù)支持組（如分為系統(tǒng)權(quán)限維護組、網(wǎng)絡(luò)維護組、應(yīng)用系統(tǒng)問題處理組等），不同人員角色根據(jù)權(quán)限進行操作，互相分離又互相支持，及時有效地處理系統(tǒng)故障，從而保證企業(yè)核心業(yè)務(wù)應(yīng)用系統(tǒng)的正常運轉(zhuǎn)，實現(xiàn)了事件管理的內(nèi)部控制目標。此外ＩＴ人員還可以根據(jù)不同的操作權(quán)限通過“事件創(chuàng)建問題”，“事件創(chuàng)建變更”、“事件創(chuàng)建需求”，實現(xiàn)與其他模塊的自動流轉(zhuǎn)，提高事件處理效率，規(guī)范ＩＴ流程操作。

4.2.2問題管理

問題管理用于集中的系統(tǒng)事件的處理，將同類的系統(tǒng)事件進行歸集和分類，統(tǒng)一由ＩＴ人員分析和處理直至解決。其設(shè)計與實現(xiàn)與事件管理流程類似，按照職責(zé)權(quán)限不同設(shè)置為問題分析員和問題經(jīng)理，問題分析員負責(zé)問題的解決和處理，問題經(jīng)理協(xié)調(diào)問題管理的進度和時間安排，確保問題在合理的服務(wù)管理級別內(nèi)解決，保障企業(yè)信息系統(tǒng)的正常運行，從而實現(xiàn)了問題管理的內(nèi)部控制目標。

4.2.3變更管理

根據(jù)集團組織架構(gòu)的要求，變更管理實現(xiàn)了集團總部及分子公司層級的變更控制，變更流程包括變更申請、變更構(gòu)建、變更審批、變更實施和變更關(guān)閉，按照各流程環(huán)節(jié)的角色要求設(shè)置了變更請求人、變更受理人、變更實施人、變更經(jīng)理，并且根據(jù)變更的重要程度和緊急程度設(shè)置變更顧問委員會和緊急變更委員會，分別負責(zé)重大變更的審批和緊急情況下的變更審批，保證了變更管理流程的申請、授權(quán)、實施、評價過程的自動控制流轉(zhuǎn)和職責(zé)分離，從而實現(xiàn)了變更管理的內(nèi)部控制目標。

4.2.4發(fā)布管理

發(fā)布管理主要針對集團信息系統(tǒng)變更后的管理，其主要集中在集團總部信息技術(shù)部門，根據(jù)組織架構(gòu)特點，形成了發(fā)布創(chuàng)建、發(fā)布計劃、發(fā)布審批、發(fā)布構(gòu)建和發(fā)布實施的完整流程。按照各流程環(huán)節(jié)的不同角色設(shè)置了發(fā)布請求人、發(fā)布受理人、發(fā)布實施人、發(fā)布審批人，并根據(jù)發(fā)布的重要程度和緊急程度設(shè)置了發(fā)布顧問委員會和緊急發(fā)布顧問委員會，負責(zé)重大發(fā)布和緊急發(fā)布的審批。發(fā)布變更有效保證了程序發(fā)布各過程中的職責(zé)角色分離和申請授權(quán)控制。此外發(fā)布管理與變更管理、需求管理及軟件生命周期管理平臺建立了接口，可以由發(fā)布流程創(chuàng)建變更申請，需求的結(jié)果是發(fā)布實施，當發(fā)布實施完成時，對應(yīng)的需求狀態(tài)也會同步更新，變更管理中對應(yīng)的軟件生命周期平臺中的發(fā)布單也進行同步更新，從而有效地實現(xiàn)了系統(tǒng)業(yè)務(wù)系統(tǒng)需求提出、程序變更、程序開發(fā)、程序發(fā)布、程序?qū)嵤┩瓿傻目刂屏鬓D(zhuǎn)，從而實現(xiàn)了發(fā)布管理的內(nèi)部控制目標。

4.2.5需求管理

需求管理將業(yè)務(wù)部門與ＩＴ部門之間的控制流程緊密結(jié)合，實現(xiàn)了從業(yè)務(wù)部門需求提出、需求審批到信息技術(shù)部門審批需求分析的系統(tǒng)控制流轉(zhuǎn)。該流程根據(jù)角色和職責(zé)要求設(shè)置了業(yè)務(wù)需求申請人、業(yè)務(wù)需求負責(zé)人、信息技術(shù)部門需求受理人、需求部門需求審批人，通過對角色職責(zé)設(shè)置有效進行了審批和授權(quán)職責(zé)的分離，保障業(yè)務(wù)需求開發(fā)的合理性，從而實現(xiàn)了需求管理的內(nèi)部控制目標。

4.2.6服務(wù)請求管理

該流程可以實現(xiàn)應(yīng)用系統(tǒng)和ＩＴ重要設(shè)備等權(quán)限或口令的申請、更改的審批授權(quán)。根據(jù)申請和審批角色不同，設(shè)置了服務(wù)請求申請人、業(yè)務(wù)部門負責(zé)審批人、服務(wù)請求接收協(xié)調(diào)人、信息技術(shù)部門審批人和信息技術(shù)部門受理人，從而實現(xiàn)了權(quán)限的申請、審批和授權(quán)，乃至各級架構(gòu)的權(quán)限審批處理和權(quán)限上報審批處理，保障了權(quán)限及口令管理的合理性和安全性，實現(xiàn)了服務(wù)請求管理的內(nèi)部控制目標。

4.2.7合規(guī)管理

此流程設(shè)置了ＩＴ人員日常信息系統(tǒng)維護任務(wù)，根據(jù)各職責(zé)角色不同，設(shè)置了日常操作人員、日常操作審批人、日常任務(wù)管理員。日常任務(wù)管理員可以按照集團及各分子公司的日常運維內(nèi)容和頻率進行設(shè)置，使系統(tǒng)可以自動產(chǎn)生任務(wù)，并設(shè)置任務(wù)提醒功能，針對ＩＴ操作人員任務(wù)的執(zhí)行完成情況由操作人員的上級主管負責(zé)審批其執(zhí)行有效性，確保ＩＴ維護人員定期執(zhí)行巡檢任務(wù)，保障信息系統(tǒng)運行的有效性，從而實現(xiàn)了合規(guī)管理流程的內(nèi)部控制目標。

通過實施上述各管理模塊，不僅實現(xiàn)了ＩＴＩＬ與ＣＯＢＩＴ相融合的目標，也完成了集團企業(yè)組織架構(gòu)的重新梳理和優(yōu)化、完成了系統(tǒng)各人員組和人員角色的梳理，保障了人員職責(zé)角色在ＩＴ內(nèi)控執(zhí)行過程中的有效分離，保障了集團及各分子公司信息的一致性，保留了審計痕跡。因此外部審計師和內(nèi)部審計師可在集團層面通過ＩＴ服務(wù)管理平臺數(shù)據(jù)對信息系統(tǒng)變更、權(quán)限申請、信息系統(tǒng)維護等環(huán)節(jié)執(zhí)行有效性進行審計，節(jié)約了時間和人力成本，增強了上市公司信息系統(tǒng)合規(guī)的執(zhí)行力度，降低了信息系統(tǒng)控制風(fēng)險，對保證公司審計報告的有效性起到了積極的作用。

5結(jié)束語

企業(yè)通過實施ＩＴ服務(wù)管理平臺，能夠?qū)⑵浣M織及人員架構(gòu)、職責(zé)及ＩＴ內(nèi)部控制流程和制度進行重新整理，建立完善的ＩＴ運行維護管理規(guī)范，實現(xiàn)ＩＴ流程的電子化控制，提高ＩＴ運維效率和ＩＴ內(nèi)控整體執(zhí)行有效性，有效降低了企業(yè)的ＩＴ合規(guī)成本。為上市公司信息技術(shù)部門、內(nèi)部審計人員及企業(yè)管理人員提供了ＩＴ內(nèi)控實施的參考案例。

主要參考文獻

［１］覃正，郝曉玲，方一丹．ＩＴ操作風(fēng)險管理理論與實務(wù)［Ｍ］.北京：清華大學(xué)出版社，２００９．

［２］過怡．ＳＯＸ——ＩＴ部門的挑戰(zhàn)和機遇［J］.電腦知識與技術(shù):學(xué)術(shù)交流，２００７，１（４）．

［３］財政部會計司．企業(yè)內(nèi)部控制規(guī)范講解2010[S].北京：經(jīng)濟科學(xué)出版社，２０１０．