Сочинение на тему ITGC и системные изменения: краткий обзор
- Опубликовано: 19.05.2020
- Предмет: экономика
- Темы: Мировая экономика
Информационные технологии (ИТ) стали широко распространенными в организациях и внедрены в бизнес-процессы во всех функциональных областях, заменяя громоздкие и устаревшие аналоговые процедуры. Крупномасштабная ИТ-инфраструктура позволила добиться значительной экономии средств и повышения операционной эффективности, а ИТ-приложения стимулировали инновации и помогли создать конкурентные преимущества.
Появление ИТ привело к тому, что наше время было названо «информационным веком», и каждая организация вынуждена была принять ИТ или рискнуть стать неконкурентоспособной и неактуальной. Хотя использование ИТ в организации дает множество преимуществ, оно также породило новые и сложные риски и имеет значительные последствия для аудиторской профессии, что привело к созданию нового типа аудиторской роли. в целом, я. е. ИТ-аудитор. Новые риски, связанные с ИТ, включают, помимо прочего, три области, проблемы безопасности, требования соответствия нормативным требованиям и эффективное управление. Эти риски снижаются за счет использования средств общего контроля информационных технологий (ITGC). ITGC играют ключевую роль в обеспечении функций процесса в соответствии с их назначением.
Конкретные преимущества ITGC включают финансовые показатели, такие как полнота, точность и достоверность. Нефинансовые цели включают конфиденциальность, целостность и доступность, а также эффективность и результативность процессов (Amasaki, 2015). Использование эффективных ITGC дает много преимуществ, наиболее значительным из которых является то, что пользователи могут в достаточной степени полагаться на свои ИТ-системы, аудиторы будут подтверждать качество доступных средств контроля, а инвесторы могут разумно полагаться на предоставленную им информацию. (Мирон, 2008). Кроме того, эффективные ITGC обеспечат меньшее количество проблем регулирования, поэтому репутация организации улучшается, и она может выполнять свои бизнес-задачи (GTAG 1). Неэффективные ITGCs будут иметь обратный эффект. Очень важно, что организация не сможет достичь своих целей, и они не смогут работать для достижения своей миссии и видения в долгосрочной перспективе. ITGC тесно связаны с «бизнесом», который осуществляет организация. Поскольку информационные технологии встроены практически в каждый процесс и функцию, в них также включены риски, связанные с ИТ.
Использование ITGC в этих процессах может снизить или даже устранить указанные риски, напрямую влияя на результаты этих процессов и, следовательно, влияющие на производительность организации. ITGC также могут играть жизненно важную роль в аудитах Sarbanes Oxley (SOX). Раздел 404 SOX специально требует, чтобы связанные с ИТ риски и меры контроля учитывались при общей оценке внутреннего контроля финансовой отчетности (Protiviti, 2012). По сути, ITGC должны поддерживать среду, в которой можно поддерживать целостность данных. Ключевой частью этого является обеспечение наличия элементов управления, которые помогают предотвратить несанкционированный или злонамеренные пользователи от нарушения целостности данных.
Риски, связанные с изменениями в системе ITGC
Поскольку ИТ постоянно развивается, необходимо обновить возможности, чтобы сохранить конкурентное преимущество. Потребности бизнеса развиваются, и системы должны развиваться, чтобы удовлетворить эти меняющиеся потребности. В некоторых случаях для исправления / обновления мелких проблем в системе требуется небольшое изменение, известное как «патч». Внесение изменений в систему может привести к возникновению рисков, которыми необходимо тщательно управлять, чтобы обеспечить успешное изменение. Основным риском, который может сорвать изменения, является отсутствие структурированного процесса управления изменениями (Miron, 2008). Точно так же, как надежная методология управления проектами улучшает качество проекта и помогает в сжатые сроки, процесс управления изменениями повышает уровень успешности изменений и помогает организации контролировать процесс.
Отсутствие такого процесса приводит к увеличению времени простоя ключевых систем и затрат на монтаж, среди множества других проблем. Другим ключевым риском является неадекватное тестирование изменений до их внедрения (Мирон, 2008). Это открывает двери для плохой интеграции изменений, если интеграционное тестирование не проводится, высокой вероятности отказов, если они тестируются неадекватно и в неправильной среде, и плохого принятия пользователем изменений, если пользовательское тестирование не является частью фаза тестирования. Тесты имеют решающее значение для смягчения этих проблем. Несанкционированные и плохо зарегистрированные изменения также являются рисками, которые возникают во время системных изменений (GTAG 2). Оба эти риска являются результатом того, что ИТ-персонал обходит процесс управления изменениями. Изменения должны соответствовать общей философии изменения системы и цели системы в целом. Несанкционированные изменения могут привести к снижению качества предоставляемых результатов, поскольку они не были проверены с помощью формализованных процедур, которые санкционируют изменения и проверяют их качество. Плохая регистрация изменений создает проблемы, когда изменения должны быть проверены, новый персонал должен быть обучен, или дополнительные изменения должны быть сделаны. Для каждого изменения крайне важно иметь некоторый справочный материал, а недостаток не сулит ничего хорошего. Эти риски могут привести к тому, что цель изменения будет отклоняться от первоначально запланированного и привести к неопределенности, что должно быть сведено к минимуму во время системных изменений. При проведении изменений также следует уделять пристальное внимание разделению обязанностей, поскольку это создает основу для подотчетности (GTAG 2). Системные изменения могут быть сложными мероприятиями, которые требуют эффективной координации и постоянного общения. Разделение обязанностей помогает в этом, они устанавливают четкие линии отчетности, контрольные роли и определяют области ответственности. Это помогает уменьшить количество ошибок и мошенничества во время процесса, поскольку обеспечивается разумный контроль над процессом. Персонал в надзорном качестве исправляет ошибки и проверяет соблюдение политики и оговоренных процедур. Ключевой пример разделения обязанностей включает отделение персонала, который разрабатывает изменения, от тех, кто их тестирует (GTAG 2), поскольку команды разработчиков будут неохотно сообщать о недостатках и ошибках в своей работе, т.е. е. конфликт интересов. Весь упомянутый выше риск можно уменьшить, создав эффективные ITGC и постоянно улучшая их.
Примеры целей управления, связанных с изменением системы
Чтобы снизить уровень бизнес-рисков, связанных с обслуживанием ИТ-систем, крайне важно иметь соответствующие средства контроля изменений. Наличие надлежащих средств контроля для предотвращения несанкционированных изменений приведет к снижению прерывания обслуживания. Чтобы средства управления изменениями системы были эффективными в организации, руководству необходимо создать и внедрить культуру управления изменениями во всей организации. Это может означать, что обязательным условием, чтобы изменения, влияющие на обслуживание, было одобрение менеджера или владельца продукта / услуги перед внедрением. Требуя прав только администратора, шансы несанкционированного персонала на внесение изменений в критически важные ИТ-системы могут быть значительно снижены. Должны быть предусмотрены надлежащие политики / процедуры тестирования, такие как тестирование приложения в среде песочницы перед запуском в эксплуатацию, чтобы предотвратить сбои в работе службы. Применение политик, связанных с частым резервным копированием системы, является еще одним важным изменением системы.
В случае сбоя производственного изменения, которое влияет на критически важное бизнес-приложение, организация должна иметь возможность вернуться к предыдущей рабочей версии приложения. Наличие автоматического программного обеспечения, которое отслеживает и регистрирует системные изменения, является еще одним важным элементом управления. Это дало бы организации возможность отслеживать и определять первопричины любой ошибки, обнаруженной в системе. Для того чтобы цели контроля были эффективными для всего предприятия, руководство должно подчеркивать, обеспечивать соблюдение и следовать всем поставленным целям контроля. Подход к централизованному принятию решений и активная коммуникация между различными отделами внутри организации чрезвычайно важны, чтобы избежать создания разрозненных объектов на предприятии (GTAG 2).
Примеры элементов управления для ITGC
ITGC – это средства управления, включая операционные системы, приложения, поддерживающие ИТ-инфраструктуру и базы данных (Li et al. 180). Эти элементы управления подразделяются на две группы. Первая группа основана на характере реализации. В этой группе контроли классифицируются как автоматизированные, ручные и частично автоматизированные контроли (Мирза и др. 46). Вторая группа основана на характере использования элементов управления. Средства управления в этой группе включают профилактический, детективный и корректирующий контроль. Профилактические средства управления, как следует из названия, предназначены для предотвращения нарушений или ошибок. Эти меры контроля являются проактивными, и их роль заключается в обеспечении достижения целей департамента (Мирза и др. 46). Примеры такого контроля включают в себя разделение обязанностей, которые распределяются между разными людьми с целью снижения риска ошибок или неуместных действий (Li et al. 182). Обязанности, которые распределяются, включают учет, утверждение и хранение. Другим примером является безопасность активов, когда существует ограниченный доступ к запасам, оборудованию, денежным средствам и другим типам активов. Активы периодически проверяются, и результаты сравниваются с контрольными записями, чтобы определить, есть ли какая-либо ошибка (Мирза и др. 46). Детективные элементы управления – это элементы управления, которые обнаруживают нарушения или ошибки после того, как они уже произошли. Примеры детективного контроля включают в себя согласование, при котором сотрудники обмениваются различными наборами данных между собой, осуществляют поиск и расследование ошибок и, при необходимости, предпринимают корректирующие действия. Другим примером является аудит для выявления ошибок и анализа эффективности (Мирза и др. 46). Корректирующие средства контроля – это средства управления, которые помогают смягчить ущерб после возникновения ошибки (Мирза и др. 46). Примеры корректирующих мер контроля включают решение текущей проблемы для получения правильных процессов. Другим примером являются страховые программы, которые компенсируют убытки и возвращают застрахованного в первоначальное финансовое положение (Li et al. 197). Выполнены контрольные тесты. Любое незапланированное нарушение или снижение качества обслуживания определяется как инцидент.
Значительное количество этих инцидентов может быть вызвано изменениями. Некоторые из них – неадекватная документация, невыполнение рабочих инструкций, человеческая ошибка, ненадлежащие выделенные окна изменений и т. Д. Разумная уверенность может быть обеспечена при соблюдении соответствующих протоколов изменений и обеспечении того, что изменения не подвержены риску, упомянутому выше.
Например, тестирование изменений в более низкой среде перед развертыванием в живом производстве является ключевым элементом, который может добавить разумную уверенность. Большинство недостатков изменений обычно выявляются во время этих тестовых прогонов. После успешного выполнения тестов документ с инструкциями по изменению, окно изменения, потенциальное время простоя продуктов / услуг должны пройти процедуру экспертной оценки, чтобы убедиться, что процесс проверки изменений прошел успешно. Как только изменение будет рассмотрено, команда управления изменениями рассмотрит все изменение и запросит одобрения у соответствующего руководства. Если некоторые продукты или услуги подвержены простоям во время этого окна изменений, необходимо получить одобрение соответствующих владельцев продуктов и услуг.
После завершения испытаний и получения разрешений предварительные и последующие проверки будут выполняться во время пробного прогона, т.е. е. Обеспечение работы сервисов, как было запланировано, до начала и после внедрения изменений. В случае, если изменение не удается или вызывает сервисный инцидент, должна быть разработана хорошо написанная надежная процедура отката изменений, т.е. е. Отмените все изменения и быстро восстановите сервис. Если изменение не удается, оно будет рассмотрено управлением, разработкой, операциями и управлением. Основная причина, по которой это изменение не удалось, будет определена управлением проблемами и введена в разработку, которая затем перезапишет изменения, которые затем пройдут процесс управления изменениями. Эти факторы, если они будут испытаны и реализованы в соответствии с планом, обеспечат разумную уверенность.
Считается, что международная торговля усугубляет неравенство между западными и развивающимися странами. Некоторые утверждают, что в мировой экономике доминируют транснациональные корпорации, которые стремятся максимизировать прибыль без
Южная Африка сталкивается с одной из самых страшных засух, которые когда-либо наблюдались. Это сухое заклинание началось еще с 2015 года. Это сухое заклинание вызвало несколько
В сети автодорог CPEC приблизительно 2442 км (1517 миль) ресурсных дорог. Сеть автомобильных дорог CPEC (Восточное выравнивание и Западное выравнивание) будет использоваться для грузового транспорта,