Закон Сарбейнса-Оксли от 2002 и управление изменениями

РЕЗЮМЕ

Соблюдение Закона Сарбейнса-Оксли от 2002 года требует активного сотрудничества с ИТ-департаментов. Без надлежащего контроля и видимость в ИТ-управления изменениями финансовой отчетности может быть нарушена (Allen и др., 2004). Чтобы быть эффективными и действенными, ИТ-изменениями система управления должна следовать определенным принципам и быть в состоянии ответить на некоторые вопросы. В документе сформулированы требования к ИТ-управления изменениями и демонстрирует их применение на основе изучения случае реорганизации.

Ключевые слова: IT Управление изменениями, закон Сарбейнса-Оксли, контроля ИТ, управление ИТ, COBIT, ITIL

1. ВВЕДЕНИЕ

Закон Сарбейнса-Оксли от 2002 (SOX) ориентирована на повышение стандартам финансовой отчетности США публично торгуемых компаний (SOX.) составляет акт директор и финансовый директор персональную ответственность за годовой оценки и представления отчетности об эффективности внутреннего контроля за подготовкой финансовой отчетности. Роль ИТ-подразделений и ИТ-директоров в соответствии процесс не в полной мере осознают компаний, пока они не проводится оценка финансовых рисков в 2004 году (Вортен, 2005). Компаний также понял, что нет принятых стандартов для ИТ-соответствия (Чен, 2004; Дитрих, 2004; Con, 2004.)

С 1992 приемлемые рамки для осуществления внутреннего контроля была представлена Комитетом спонсорских организаций Комиссии Трэдуэя (COSO). Предлагаемая система называется комплексной Control-Комплексной рамочной программы было рекомендовано SEC для компаний, стремящихся соответствовать SOX. В то же время, ни SEC, ни Открытое акционерное общество надзору за бухгалтерским учетом совета (PCAOB) публично одобрил конкретные ИТ-системы контроля.

Там уже существует несколько рамок для управления ИТ и аудит. Наиболее популярные из них являются: 1) COBIT - Цели контроля за информационными и смежными технологии, разработанной компанией IT Governance Institute (COBIT, 2004), 2) IT Infrastructure Library (ITIL) изначально был разработан в Великобритании в Управление государственной торговли и ориентирован на широкий круг процессов, которые считаются лучшей практики (ITIL, 2000), 3) ISO / IEC 17799 является международным стандартом по управлению качеством безопасности (ISO, 2001.)

Хотя ни один из этих механизмов можно считать идеальным для SOX, некоторые аудиторы обнаружили, что COBIT в полной мере соответствует их Сарбейнса-Оксли усилия (Fox, 2004; Дейтрич, 2004; Damianides, 2005; Браун

Все вышеперечисленные структуры включают требования к эффективной ИТ-управления изменениями:

* COBIT включает в себя стандартные-6 в группе (приобретение и внедрение) под названием "Управление изменениями" и стандартной DS-9 в DS группы (доставка и поддержка) под названием "Управление конфигурациями".

* ITIL описывается в объеме Best Practices для поддержки. Глава 8 объема называется "Управление изменениями".

* ISO / IEC 17799 включает в себя раздел 8,12 "Оперативный контроль изменений", раздел 10.5.1: "Изменение процедуры контроля", раздел 10.5.2: "Технический обзор операционной системы изменений", и раздел 10.5.3: "Ограничения по изменению пакеты программного обеспечения ".

В этой статье мы проанализируем значение, требования и лучшие практики управления ИТ-изменениями в связи с законом Сарбейнса-Оксли от 2002 года.

2. Важность эффективного управления СМЕНИТЬ в нем SOX СОБЛЮДЕНИЯ

Компании используют их для поддержки их бизнес-процессов. Многие из внутреннего контроля за финансовой отчетности и IT-зависимыми. Любой ИТ-процессов или событий, которые могут привести к производству неточные или неполные данные или сделать отсутствия своих ИТ-систем для бизнес-операции становятся крайне опасными для генерального директора, финансовый директор, и, как следствие, ИТ-директоров в рамках секции 302 и 404 SOX (Вортен , 2003; Бергелем, 2005.) закон требует, исполнительного руководства понять и подвести черту под контроля финансовой отчетности, в том числе ИТ-управления.

Как соответствии с SOX выгоды несколько лет опыта работы некоторые уроки были усвоены. Основной вывод состоит в том, что "Мы должны сделать это снова ..." (Кофе, 2005), и это "... сейчас бизнес как обычно" (Превитт, 2005). Очевидно также, что эффективное управление изменениями в ИТ является необходимым элементом для обеспечения устойчивости соблюдения SOX. Без надлежащего контроля и видимость в ИТ-управления изменениями, низкое качество или необдуманные изменения могут вызвать нарушения в области ИТ и / или бизнес-процессов, привести к неправильному процессов, ставят под угрозу безопасность и / или конфиденциальность данных, приводят к ненужным изменениям. Недавние исследования (Kim, 2003) показал, что бедные ИТ-управления изменениями увеличивается время простоя и затраты. Высокопроизводительные организации известно, что задача ИТ-управления изменениями является сохранение и улучшение деятельности организации. Обычно это достигается путем обеспечения стандартизированных методов и процедур, используемых для эффективного и обработки всех изменений и сведение к минимуму последствий, связанных с изменением инцидентов на качество обслуживания и доступность.

Без эффективных ИТ-управления изменениями трудно исполнительной дирекции, чтобы убедиться в точности и достоверности финансовой отчетности. Исследование показало, что, когда уверенность изменения контроля, которые поддерживают бизнес-процесс достаточно подорвали, обеспечение бизнеса должно быть подорвано (Аллен и др., 2004.) Сарбейнса-Оксли секция 404 требует от руководства для проверки ИТ-управления. Неконтролируемые изменения в производственной среде может привести к серьезным недостатков.

Хотя важность эффективного управления изменениями можно легко понять, фактические данные из соответствия SOX процесса показать проблемы в этой области. В первую пятерку ИТ-контроля слабые стороны в процессе соблюдения SOX сообщает Вортен (2005) включает один под названием "Отсутствие надлежащего надзора за ходатайством изменения". Еще одним слабым местом в списке под названием "Отсутствие разделения обязанностей в приложениях, а также неспособность создавать новые учетные записи и прекратить старые своевременно", также занимается управление изменениями (в отношении счетов.) Michael Халтберг, исполнительный директор Time Warner Inc . заявила, что в их опыт более высокая доля ИТ-управления недостатки имели место в области безопасности и управлению изменениями (Гофман, 2005).

Хорошо продуманная, эффективная ИТ-управления изменениями снижает ИТ-риски, снижает затраты и обеспечивает средства за дополнительные услуги. Но перемены управление является одним из самых сложных дисциплин для осуществления, так как требует сотрудничества между кросс-функциональные команды разработчиков приложений, ИТ-операции сотрудников, аудиторов, и деловые люди, которых акцент делается на услуги конца в конец бизнеса.

3. ОСНОВНЫЕ ПРИНЦИПЫ УПРАВЛЕНИЯ ИТ-изменениями

ИТ-управление изменениями распространяется на все ИТ-активы: оборудование (в том числе мэйнфреймы, серверы, маршрутизаторы, коммутаторы и т.п.), программное обеспечение (в том числе программного обеспечения системы и приложений), управления данными, безопасности, контроля, процессов, политики, процедур и функций / обязанностей (авторизация и доступа.) В сущности, управление изменениями относится ко всем сферам деятельности в сфере ИТ, в которой новые события и / или изменения в существующей системе возможны (см., например, стандартный-6 и DS-9 COBIT.)

Соблюдение SOX необходимость ограничения для проверки и оценки ИТ-контроля для лиц, связанных с финансовой отчетностью. Например, изменения в программах, которые распределяют финансовые данные счета требуют соответствующих разрешений и тестирования до изменений, с тем, что надлежащее классификации и целостности. С другой стороны, изменения в общей площади операционной системы или настройки системы, если сделано неправильно может привести к недостатков в области безопасности данных и / или целостности данных.

Чтобы быть эффективными и соблюдать букву закона Sarbanes-Oxley, ИТ-управления изменениями должны быть в состоянии управлять всеми изменениями в повторяемые, четкой и предсказуемой основе (Con, 2004.) Это требование означает, что изменение системы управления должны обеспечить организации управления с видимостью в фактических изменения, которые вносятся и данные, необходимые для оценки их эффективности для адекватной поддержки бизнеса (Аллен и др., 2005, с.4.)

Основные вопросы управления ИТ-изменениями система должна быть в состоянии ответить своевременно, можно резюмировать следующим образом:

1) Что в настоящее время изменилась (активов / юридического лица)

2) Почему на нее не изменилась (запрос / владелец изменения)

3) потенциальное воздействие изменения нормативных требований, оценка рисков

4) Когда будут изменения происходят

5) Кто несет ответственность за осуществление изменений

6) Как эффективно и изменение было внесено (на время, проблемы, несколько испытаний, откат и т.д.)

7) стоимость изменений.

Для достижения эффективности ИТ-изменениями система управления должна включать в себя превентивные, детективные, а также корректирующие контроля (Allen, 2005):

I. превентивного контроля позволяет соответствующих разрешений, разделения обязанностей и контроля.

II. Детектив контроля позволяют выявления несанкционированного изменения и контроля действительных, объективных метрик управления изменениями.

III. Корректирующие контроля включить после внедрения гостей.

В большинстве организаций, процесс управления изменениями, существует, но каждая организация должна отвечать на вопросы: "Является ли нынешний ИТ-управления изменениями системы эффективного и действенного"? , и "Является ли этот процесс для всех ИТ-изменения?" Утвердительный ответ на оба вопроса означает, что организация сможет с учетом новых потребностей, таких как новые проекты в области развития и государственного регулирования без увеличения ресурсов.

4. RE-ПРОЕКТИРОВАНИЕ ИТ Управление изменениями: Пример одной компании

На основе указанных принципов эффективного управления ИТ-изменениями мы будем анализировать процесс реорганизации в один публично торгуемых организации. Компания является одним из крупнейших медицинских страны с поставщиками местах по всей стране. Понимая, что "... управление изменениями является очень важным вопросом в связи с SOX 404 ограничений спускается к ИТ", компания приняла решение создать специальную группу посвящена реорганизации и контроль за изменением процессов. Первый шаг заключается в аренду Управление изменениями / качества Manager. Основной обязанностью менеджера собрать команду в компании, состоящей из управления изменениями аналитиков и тестировщиков. Команда управляет программное обеспечение компании всеми приложениями и инфраструктурой его сторону. Как он обязан выполнить, тестирования и документирования результатов автоматического управления на приложения, было решено, что эффективные процессы управления изменениями должны обеспечить необходимую документацию для сокращения текущих усилий, необходимых для карты, проверить и подтвердить изменения в финансовой отчетности процесса оказания поддержки SOX 404. Исходя из требований эффективной системы управления изменениями, необходимые шаги в процессе изменений были определены ..

Шаг 1. Документ необходимость изменения: изменения могут быть инициированы из бизнес-среды, соблюдения процессов, оценка рисков и т.д.

Шаг 2. Подготовка к изменению путем подготовки: подробный запрос на изменение, изменение плана испытаний, откат план в случае изменения провал.

Шаг 3. Оценка заявки на изменение в том числе связанных с этим выгод, затрат, последствия и риски.

Шаг 4. Разрешить запрос на изменение реализации.

Шаг 5. Реализация запроса на изменение: назначить приоритет, график работы (назначить осуществляющего изменения и изменения тестер, информировать заинтересованных в изменении), реализовать.

Шаг 6. Обзор осуществления перемен: проверки осуществления изменений и пересмотра осуществляются изменения заявив:

--success/failure изменения,

--correct/incorrect процесс изменений,

--discrepancies/variations между планируются и осуществляются изменения,

- Извлеченные уроки.

Для обеспечения авторизации и разделения обязанностей в процессе изменения, следующие действующие органы принять участие в этом процессе: высшее руководство компании, компании внутреннего аудита, управления изменениями и командой. Ответственности и принятия решений, распределяется следующим образом:

1) Первоначальный запрос на изменение переходит к группе директоров из отдела внутреннего аудита. Аудит директоров помощи в бизнес-обоснование для изменения.

2) После проверки директоров одобрить первоначального запроса на изменение, Change Manager и его команда несет ответственность за подготовку к изменениям. Как было сказано выше, Change Manager утвердил детальный запрос меняться вместе с планом проверки и отката плана.

3) утвердила детальный запрос на изменение / план представляется высшего руководства. Роль высшего руководства заключается в оценке воздействия, стоимость, преимущества и риски, связанные с изменением. В результате верхняя управления либо разрешить изменить или отклонить его или запросить дополнительную информацию, прежде чем принимать решение.

4) уполномоченные возвращает запрос Change Manager. Change Manager будет в приоритетном порядке запросы на внесение изменений по отношению к другим, которые еще не принято. В соответствии с приоритетными и серьезности изменений Change Manager будет планировать изменения и его исполнитель тестер.

5) Исполнитель и тестирования должны быть разными, чтобы обеспечить разделение обязанностей. Изменения тестер будет проверить изменения в окружающей среде предварительного производства и общаться изменения заинтересованных сторон могут быть затронуты. Изменения осуществляющего утвердит изменения для реализации и нести его по заранее установленному графику.

6) Если высшее руководство нуждается в дополнительной информации об изменении, Change Manager и / или аудита придется заново согласовывать свои представления заявки на изменение и пройти шаги еще раз.

7) После изменения осуществлены, Change Manager отвечает за рассмотрение и проверку изменений. Этот обзор информации позволит анализ эффективности осуществленных изменений, а также эффективность системы и даже отдельных лиц. Change Manager может принять решение для выхода из измениться, если она была неудачной или общаться с осуществляться сторонами, чтобы сообщить им изменений была успешной.

В результате мы имеем три отдельных органов, осуществляющих контроль процесса. Процесс документируется и на каждом этапе этого процесса есть лицо, ответственное за шагом в изменении. Тестер изменения удостоверяет заинтересованных сторон, что он закончил успешного тестирования. Исполнитель несет персональную ответственность за подписание с изменением для осуществления и его выполнения в установленные сроки. Процесс изменений в настоящее время непосредственно соединяется изменений в ИТ-активов в соответствующих бизнес-процессов и потребностей. Она требует, чтобы ИТ-отдел тесно сотрудничать с их коллегами. Документация и распределение обязанностей для каждого шага в процессе изменений обеспечивает видимость изменений и позволяет руководству оценивать эффективность изменения системы.

5. ЗАКЛЮЧЕНИЕ

Качество управления изменениями позволяет ИТ-отделам иметь возможность установить степень повторяемости и проверяемые процессы, в которых безопасности, доступности, качества и стоимости, построена в процессы и измеряется в ходе своей обычной деятельности. Это не просто инициировать и поддерживать такие системы. Необходимость иметь прозрачную информацию об изменениях и об их эффективности требует гораздо больше усилий со стороны акционеров в процессе документирования процесса, получить ряд разрешений и пройти тщательный процесс рассмотрения не только авторизованные изменения, но также обеспечить выявления и соответствующего анализа всех несанкционированные изменения в системе.

Тщательной технологической документации для всех ИТ-изменениями добавляет длину, и в результате затраты на ИТ-проектов (Хоффман, 2005a.) Очевидным увеличение времени, необходимого для документирования всех мероприятий, связанных с изменением управления вместе с необходимыми полномочиями компенсируется за счет более эффективной и действенной системы . Эффективное управление изменениями могут помочь уменьшить бремя испытаний контроля "посредством видимости и доступны метрик частоту и тяжесть прикладных изменения. В этих обстоятельствах было бы легче автоматизировать и сделать повторяемые многие ИТ-управления. Например, автоматизация журналов аудита 'анализ может быть использован для обнаружения и анализа в случае несанкционированного изменения своевременно.

Ссылки

Аллен, J., Бер, К. Ким и др., "Лучшие в своем классе безопасности и оперативной деятельности за круглым столом" Доклад ", CMU/SEI--2004-SR-002, Питтсбург, Пенсильвания (Research Report, Институт программной инженерии, Университет Карнеги-Меллона ), 2004.

Аллен, J., Hyatt, Г. Ким Г., Тейлор J., "Изменения и управления Управление обновлениями: Критические организационного успеха", Институт внутренних аудиторов: Global Guide Аудит технологии 1009, 2005.

Бергелем, H., "Две стороны ROI: Рентабельность инвестиций против риска лишения свободы," Сообщения ACM, 48 (4), 2005, 15-20.

Браун, У. и Nasuti, F., "закон Сарбейнса-Оксли и Enterprise Security: Управление ИТ - что нужно, чтобы получить работу," Безопасность практике управления, ноябрь / декабрь, 2005, 15-28.

Чен, S., "закон Сарбейнса-Оксли: ИТ измерение", внутренний аудитор, 6 (1), 2004, 31-33.

COBIT "Управление Цели Информационных Технологий", 2004, информационные системы Ассоциация аудита и контроля, <a target="_blank" href="http://www.itgi.org" rel="nofollow"> www.itgi. Org </ A>.

Кофе, П. "Устойчивое соблюдению", eWeek, 9 мая 2005.

Con, D., "Роль аудитора в области ИТ обзора" Горизонты, Лето, 2004, 11-12.

COSO, 1992, Комитет спонсорских организаций Комиссии Трэдуэя, <a target="_blank" href="http://www.coso.org" rel="nofollow"> www.coso.org </ A>

Damianides, М., "закон Сарбейнса-Оксли и ИТ-управления ИТ-комплаенс-контроля," Информационные системы управления, 2005, Зима, 77-85.

Дитрих, Р., "S-Ox, а также необходимость аудита ИТ-процессов", закон Сарбейнса-Оксли Journal, 27 декабря 2004.

Фокс, К. ", закон Сарбейнса-Оксли - Вопросы рамки ИТ-управления финансовой отчетности," Информационные системы управления Journal, Vol. 1, 2004, 22-25

Haworth, А. и Р. Дуайт Pietron Ли ", закон Сарбейнса-Оксли: Достижение соответствия, начав с ISO 17799," Информационные системы управления, Зима, 23 (1), 2006, 73-87.

Хоффман, T., "Sarb-Ox добавляет к стоимости, длина ИТ-проектов", Computerworld, Vol. 39 (20), 2005. (А)

Хоффман, T., "Sarb-Ox Ошибки помогают ИТ-Execs уточнения планов", Computerworld, Vol. 39 (40), 2005 (б)

ITIL: "IT Infrastructure Library", 2000, Управление государственной торговли, <a target="_blank" href="http://www.itil.co.uk" rel="nofollow"> www.itil.co.uk </ A>.

Ким, Г. "Высокоэффективные ИТ-операций и выводы Безопасности семинара: Часть 1", Computerworld, Vol. 26, 2003, 18-20.

PCAOB, 2003; Открытое акционерное общество учета надзору, <a target="_blank" href="http://www.pcaobus.org" rel="nofollow"> www.pcaobus.org </ A>

Превитт, ред. "Sox соблюдению Теперь бизнес, как обычно," CIO Magazine, 1 июля 2005.

SOX: "Сарбейнса-Оксли, SEC правил и положений", 2003; Финансовые и бухгалтерские раскрытия информации, <a target="_blank" href="http://www.sarbanes-oxley.com" rel="nofollow"> WWW. Sarbanes-oxley.com </ A>

Тибодо П., "ревизоров Обратитесь к Руководству COBIT Sarb-Ox", Computerworld, 15 мая 2006 года.

Вортен Бен "Ваши риски и ответственность" CIO Magazine, 15 мая 2003 года.

Вортен, Бен "Как Dig Out From Under Sarbanes-Oxley," CIO Magazine, 9 августа 2005.

Д-р Хелен Мошкович получил степень доктора философии в MIS / Наука управления с русского академии наук, Москва, Россия в 1984 году. В настоящее время она доцент MIS университета Монтевалло. Она является соавтором четырех книг, включая "Вербальные Decision Analysis" и уже опубликовал свыше 50 статей в реферируемых журналах.

Доктор Алекс Мечитова получил степень доктора философии в МДП из русский академии наук, г. Москва, Россия в 1987 году. В настоящее время он является профессором MIS университета Монтевалло. Он является соавтором двух книг и опубликовал более 40 статей в реферируемых журналах. Он получил премию Университета в 2002 году ученый из университета Монтевалло.