随着澳门赌场官方下载努力提供更多创新的产品或服务,并使遗留IT环境现代化,对数字化转型的需求正在增加. 这为IT审计人员提供了一个机会,向高级管理层倡导咨询实施前审查. 在执行前咨询审查期间, 内部审计向管理层提供意见和建议,以便在部署数字解决方案之前加强控制环境. 执行前咨询审查是一种主动的办法,允许在整个部署过程中进行航向修正, 与被动响应相反,启用可能导致项目团队无法满足用户期望的数字转换.
不幸的是, 高级管理人员可能会将审查视为他们积极的时间表和里程碑的障碍, 因为这可能需要他们从关键活动中转移资源去见审计师, 解释他们的项目并提供证据(和后续回应). 对于许多项目来说,这可能很麻烦. 然而, 有一些创新方法可以帮助咨询、执行前审查、沟通和执行.
提供价值主张
聘请高级管理人员, IT审计员必须提供一个价值主张,解释咨询实施前审查的好处. 价值主张应该解决如何通过降低与项目支出相关的潜在风险和控制缺陷,在不破坏项目生命周期的情况下采用新的数字技术, 产品规格和交货时间表.
数字化转型正在推动许多组织的发展, 因此,价值主张可能看起来令人望而生畏. 然而, 把自己放在高级管理层的位置上, it审计人员可以更容易地创建和交付价值主张. 对于大多数高级管理人员, 一个有效的价值主张只是简单地传达,审查可以帮助他们最小化不必要的风险, 他们的支出仍将是可预测的, 并且产品或服务的实现将在满足其规范的情况下按时上线. 然而,一篇特别复杂或冗长的(如.e., 多年的数字化转型项目可能保证以增量步骤交付的价值主张, 在这种情况下,可以使用敏捷方法来调整咨询实施前审查的范围和方法.
在本质上, 高级管理人员必须确保产品或服务将在预算内按时交付. IT审计员可以通过在项目生命周期的早期参与,帮助高级管理人员避免大多数项目失败的潜在领域.
IT审计员可以通过在项目生命周期的早期参与,帮助高级管理人员避免大多数项目失败的潜在领域.
在软件缺陷和在项目生命周期中修复它们的相对成本方面也可以提出同样的论点. 当澳门赌场官方下载在项目生命周期的早期识别软件缺陷时, 它可以在部署之前解释它们并计划适当的补救措施. 随着软件开发生命周期(SDLC)的进展,修复缺陷的相关成本也在增加. IT审计人员可以使用这种思路来为咨询实施前审查提供案例, 在此期间,观察和建议可以在项目生命周期的早期共享. 与开发期间的修复相比,在生产期间试图修复审计发现会增加2500%到3000%的成本, 哪项增加了500%的成本.
图1 -补救SDLC中缺陷的相对成本
审查的时间安排
在理想的情况下, 当高级管理层开始收集需求并设计新的解决方案时,将要求进行实施前评审. 如果审核员在该阶段执行审查, 它可以帮助防止未来昂贵的补救措施. 但大多数情况下, 当项目团队从开发过渡到测试时,审核员就会参与进来. 在项目的这个阶段,审计员可以帮助进行航向修正. 这仍然是有成本的,但是在部署到生产环境之前,更容易计划补救措施.
当高级管理层准备部署一个解决方案,但却有一种不安的感觉,即项目还没有准备好——只有在这种情况下,It审计员才会参与进来,这就更具挑战性了. 同样的情况也适用于项目团队部署解决方案并收到解决方案没有按预期交付功能的投诉的情况. 在这些场景中, 在没有最佳资源和面临额外成本的情况下,每个人都在尽可能快地修复解决方案.
确定评审目标
传递价值主张, 审计员必须确定执行前咨询审查的目标. 应该仔细确定目标, 因为审计师可能会在不经意间过度承诺而未能兑现, 或者用太多的目标压垮项目团队,导致他们忽视价值主张.
考虑以下2个目标,作为支持价值主张的好处:
- 向管理层提供独立的进度评估, 在项目时间表内确定的里程碑上,质量和项目目标的实现.
- 在开发周期中可以轻松实现增强的某个时刻,为管理层提供对所建议的业务流程和技术的内部控制的评估.
解释主要风险和重点领域
在解释了审查的目标之后,是时候解释关键风险和重点领域了.
以下潜在风险和范围可能适用于项目:
- 访问控制:
- 在新系统中如何实现用户帐户管理, 特别是角色和权限?
- 谁被授予访问特权帐户的权限?这些帐户是如何受到监控的?
- 高级管理层是否执行了准入认证评审,以确保整个项目的准入级别是合适的?
- IT变更和发布管理:
- 管理层是否在整个项目生命周期中遵循变更和发布管理过程? 是否受到监控??
- 是否建立了独立的测试和生产环境? 环境相似还是不同?
- 在新系统投入使用之前,是否建立了备份和恢复程序并进行了测试?
- 应用程序控制和业务流程:
- 新系统的要求和设计是否有清晰的文件记录, 特别是加工完整性(i.e.(输入/输出/处理/错误处理)的数据在整个新系统?
- 是否有任何新的依赖于it的手动控件需要验证?
- 管理报告是否完整和准确? 它们在投入使用前是否经过验证?
- 测试、培训和文件编制:
- 管理层是否清楚地记录了测试策略和执行计划?
- 管理层是否使用缺陷跟踪工具? 如何管理缺陷?
- 用户培训是否与新的业务流程一致?培训是否与任何用户验收测试相一致?
- 管理层是否为最终用户和支持系统的团队准备了任何支持文档?
- 项目管理治理:
- 管理层是否为项目的监督建立了项目治理框架(i.e.、指导委员会、升级路径)?
- 管理层是否为项目的执行和交付建立了项目管理模型(i.e.、状态报告、项目跟踪、风险、问题、假设和依赖[RAID]日志)?
- 数据管理:
- 管理层对数据转换和迁移的计划是什么?
- 所有的数据都在新旧系统之间进行了映射吗?
- 在迁移过程中如何保护数据质量?
这并不是一个详尽的清单,但却是一个基础,人们可以以此为基础进行评论. 一次专注于1到2个关键的风险因素可以帮助高级管理层快速获胜.
接近项目
尽量减少对项目团队的干扰, 审计师可以考虑几种选择,以便在规划和实地工作之前了解项目. 第一种选择是侦察. 审计员可以询问项目团队是否有SharePoint站点或共享驱动器,在那里可以查看项目文档,并收集与关键风险和范围相关的信息. 审核员应该考虑哪些文件已经由高级管理层审查和批准,并问自己文件的当前状态是否是项目成功(或失败)的一个指标。.
另一个策略是发布与关键风险和范围领域相关的调查. 应该提供预先选择的回答选项,而不是简单的“是”或“不是”的答案,因为它们将提供最深刻的见解. 使用Microsoft Forms或SurveyMonkey等程序进行调查,可以方便审计利益相关者完成调查,也可以方便审计团队收集和分析反馈.
审计师可以考虑使用上述选项的组合. 目标是在规划和实地工作之前收集尽可能多的知识,以制定一种高效率和有效的方法来进行咨询性执行前审查.
结论
在技术和数字化变革速度不断加快的时代,IT审计从业人员可以作为值得信赖的顾问和变革代理人. 通过最小化不必要的风险,执行咨询性的实施前审查可以帮助高级管理层在项目开发生命周期中实现更高的投资回报(ROI), 确保项目支出将保持可预测,并确保产品或服务的实施将按时进行,同时满足其规格要求. 执行咨询性的实施前审查允许IT审计员帮助组织交付使客户受益的创新产品和服务, 同事及社会各界, 并加强对它们使用的信任.
迈克尔Podemski, CISA, CISM, CRISC, CDPSE
怡安的高级主管是否在IT和安全风险领域领导全球内部审计、保证和咨询服务. 他主要负责对所有IT和安全相关的审计活动进行独立的第三道防线(3LOD)监督, 包括管理IT审核团队成员的日常监督和指导,并进行协调, 规划, 执行, 对审计项目进行报告. Podemski为风险管理实践的设计和/或操作有效性提供客观的以风险为中心的保证, 治理流程, 以及与信息技术和安全相关的审计活动相关的内部控制系统. 他也是ISACA的董事会成员® 芝加哥(伊利诺斯州,美国)分会协助活动策划和认证审查课程.