信息系统组织及其IT部门的职责划分.docVIP

　　信息系统组织及其IT部门的职责划分|第1 .lunwen1.组织的职责划分 职责划分是组织中需要考虑的一个重要问题。明确的职责分工有助于各职能的有效运作，并提供监管和控制职能。尤其是对于大型财务系统等重要系统，监管人员需要比下属人员承担更多的责任。IT部门与其他部门的独立和信息系统内部职务分工同样重要。下面对任务分工的若干领域做进一步说明： 1.交易授权 交易授权是用户部门的责任。事实上授权也意味着被授权人员的责任程度。管理人员和信息系统审计师必须定期检测未经授权的交易情况。 2.对账 对账是用户的责任。在一些组织中，数据控制组也使用“核对总计”与平衡表来进行应用程序的对账，这种独立的检验使用户对应用程序的运行和数据准确性都更有信心。 3.资产保管 公司必须决定并指派适当的资产保管者。当某一使用者被指派为“数据所有者”时，应该明文订出责任。数据所有者负责决定保护数据安全的授权等级，而数据安全管理小组则常常负责安全系统的安装与执行。 4.访问数据 实体环境必须足够安全，阻止未经授权人员访问各种联到主机的有形设备。系统和应用安全是阻止未经授权人员访问的另一层安全控制。此外，从外部获得公司内部数据是因特网出现后的新问题。因此，系统管理者需要加强保护信息资产的责任。 5.使用授权表格 用户部门管理者提交电子或印刷的正式授权表格，其中定义员工的访问权，即谁能访问什么，授权表格必须得到管理层的批准。通常所有用户都应以书面形式向主管申请某个特殊系统的访问权限。大公司或有偏远单位的公司，授权的签名、申请书的签名都应存档，以便核查，确保授权申请是正确的。此外，程序上也应要求主管定期检查存取权限，以确认用户的权限与工作职能相配，并随时更新。 6.用户授权表 IT部门使用授权表格中的数据来建立和维护用户授权表。定义哪些人被授权去更新、修改、删除或浏览数据。这些权利分别在系统、交易等层次定义。此外，授权表本身要有密码或加密来保护，防止未经授权的访问。控制日志应详细记录所有用户活动，并有适当的主管来检查，所有意外情形都应加以调查。 7.异常报告 异常事件应该报告给管理层处理，在妥善处理后需要留下证据，即在报告上签名表示该异常已妥善处理。管理层也应跟踪异常善后处理，以确保所有异常均已及时解决。 8.审计轨迹 审计轨迹是信息系统审计师在重新描述交易过程时的“地图”。审计工作中审计人员正是通过跟踪审计轨迹，来审核有关经济业务及收集审计证据的。在传统的业务活动中，每笔交易的每一个环节都有文字记录（如经手人签字），审计轨迹十分清楚。审计人员可以从原始单据开始，对交易事项进行追踪，直到报表为止；也可以从报表开始，一直追溯到原始单据，形成了顺查、逆查等审计方法。 对于信息系统而言，审计轨迹是指从数据输入系统时起，到数据被确认有效并传递给其他子系统为止，对这段时间内发生的所有事件的记录。实现电子化后，传统的审计轨迹完全消失，代替纸制凭证、账簿和报表的是电磁化的会计信息。这些磁性介质上的信息不再是肉眼所能直接识别的，可能被删改而不留下痕迹，从而大大增加了审计风险。如果系统设计时考虑不周，可能到审计时才发现只留下业务处理的结果而无法追溯其。因此，审计轨迹是对数据处理的跟踪和记录，也是系统设计良好的必备组件。 审计轨迹能够帮助IT部门和审计师提供追溯交易过程的记录，能够帮助信息系统审计师重新创建一个实际的交易流，即从最初存在状态到更新后的文件。在缺少职务分工的情形下，审计轨迹可以作为一个补偿控制。信息系统审计师应该能判断谁执行这笔交易，交易的时间，输入的数据，输入的形式，交易中包含哪些领域的数据，以及更新过的文件。 9.交易日志 交易日志采用人工或自动化的方式都可以。人工日志是在数据进行处理前由人工进行的关于交易的记录（分组或分批）。自动记录日志提供的所有处理交易的记录，是通过计算机系统完成并保留。 信息系统职责划分 IT部门需要和其他部门进行有效的职责分工。同时，为保证成功开发和实施新系统，需要关键人员要参与到系统开发方法中，这些需要参与到开发过程中的主要角色也需要进行明确的职责分工，主要的参与者和责任如下主要有以下几个方面： 1.高层管理者 批准完成项目所必需的资源，高层管理者能够促使需要的人员参与并完成项目。 2.用户管理者 项目和最终系统的所有人，负责部属合格的代表到该信息系统项目团队中参与需求分析，并最后接受测试和用户培训。用户管理者需要定义系统完成时的审查标准以及批准系统的交付。他们主要关心如下问题： ●软件指定的功能是否可用 ●软件是否可靠 ●软件的效率 ●软件是否易用 ●软件向其他环境移植的容易程度 3.项目指导委员会 为项目开发提供总体方向，保证各方利益的实现。主要负责所有成本和时间进度。该委员会由新系统所牵涉的各部门高层代表组成，每个代表都有权决定影