变更控制欠缺的风险-IntosaiCommunityPortal.ppt

变更管理 第10讲 目标 本节的目标在于 : 描述变更管理控制对计算机化的财务系统的重要性 识别变更控制欠缺带来的风险和客户处理这些风险采用的控制。 介绍 系统开发过程会导致满足审计要求的系统的实现 变更是不可避免的 变更会影响系统的很多方面 系统变更的原因 增强功能 使系统更容易、高效 增加容量或提高性能 纠正问题 提高安全性 日常更新 满足企业变化或汇报要求 变更控制的目标 设置变更控制是为了确保所有系统配置的更改是授权的、测试过的、存档的和可控的，系统按照预期的运行，对更改有足够的审计路径。 变更控制欠缺的风险 未授权的变更 实现问题 错误的处理、汇报 用户不满 维护问题 未授权软件和硬件的使用 紧急变更的问题 变更控制的过程 管理授权的过程 修改的软件在现场使用之前的完全测试 任何修改的影响的管理审查 适当记录的维护 回退计划的准备 紧急更改的过程 变更类型 变更分类 描述 E 紧急变更 1 对系统所有用户的 可能影响 2 对一个程序的所有 用户的可能影响 3 对服务的一些用户 的可能影响 4 需要重启系统的小修改 5 小的修改 变更考虑 对IT系统和用户服务的可能影响（容量、安全、系统响应时间、可靠性） 不进行变更的影响（不采取措施的方法） 需要实现变更的资源（成本、人力） 如果进行变更，未来的资源需求 变更过程 变更审查 审查以决定: 变更是否达到了预期的效果 用户是否满意修改的产品 是否有无法预见的问题或意外的副作用 实现和操作修改的系统需要的资源是否是按照计划的 能为下一次吸取什么教训 紧急变更 当正常的变更过程需要太长的时间时，可以使用紧急变更 “快速修复”过程 依然需要控制，比如 紧急变更批复 审计路径 回顾批复 回顾测试 存档 版本控制 版本号用作标识符，比如版本1.0, 1.1, 1.1.3, 2.7 等 一致性要求 产品库中的当前版本 旧版本存档 修改工具与设备 通常用于数据或程序的紧急变更和快速修复 它们增加了风险，需要控制 自动变更控制工具 比如，CA-PANVALET和CA-Librarian 他们使下列工作自动化 程序维护，包括版本控制 访问控制 备份工具 设计路径 IT audit training IT CONTROLS: S10/ * for March 2007 批准的 RFC 源代码 复制 程序员 用户接受测试 接受程序 系统更新/用户文档 Page * IT audit training IT CONTROLS: S10/ * for March 2007