組織及其IT部門的職責劃分

組織及其IT部門的職責劃分

組織的職責劃分
職責劃分是組織中需要考慮的一個重要問題。明確的職責分工有助於各職能的有效運作，並提供監管和控制職能。尤其是對於大型財務系統等重要系統，監管人員需要比下屬人員承擔更多的責任。IT部門與其他部門的獨立和資訊系統內部職務分工同樣重要。下面對任務分工的若干領域做進一步說明：
1. 交易授權
交易授權是使用者部門的責任。事實上授權也意味著被授權人員的責任程度。管理員和資訊系統審計師必須定期檢測未經授權的交易情況。
2. 對賬
對賬是使用者的責任。在一些組織中，資料控制組也使用“核對總計”與平衡表來進行應用程式的對賬，這種獨立的檢驗使使用者對應用程式的運行和資料準確性都更有信心。
3. 資產保管
公司必須決定並指派適當的資產保管者。當某一使用者被指派為“資料所有者”時，應該明文訂出責任。資料所有者負責決定保護資料安全的授權等級，而資料安全管理小組則常常負責安全系統的安裝與執行。
4. 訪問資料
實體環境必須足夠安全，阻止未經授權人員訪問各種聯到主機的有形裝置。系統和應用安全是阻止未經授權人員訪問的另一層安全控制。此外，從外部獲得公司內部資料是網際網路出現後的新問題。因此，系統管理者需要加強保護資訊資產的責任。
5. 使用授權表格
使用者部門管理者提交電子或印刷的正式授權表格，其中定義員工的訪問權，即誰能訪問什麼，授權表格必須得到管理層的批准。通常所有使用者都應以書面形式向主管申請某個特殊系統的存取權限。大公司或有偏遠單位的公司，授權的簽名、申請書的簽名都應存檔，以便核查，確保授權申請是正確的。此外，程式上也應要求主管定期檢查存取許可權，以確認使用者的許可權與工作職能相配，並隨時更新。
6. 使用者授權表
IT部門使用授權表格中的資料來建立和維護使用者授權表。定義哪些人被授權去更新、修改、刪除或瀏覽資料。這些權利分別在系統、交易等層次定義。此外，授權表本身要有密碼或加密來保護，防止未經授權的訪問。控制日誌應詳細記錄所有使用者活動，並有適當的主管來檢查，所有意外情形都應加以調查。
7. 異常報告
例外狀況事件應該報告給管理層處理，在妥善處理後需要留下證據，即在報告上籤名表示該異常已妥善處理。管理層也應跟蹤異常善後處理，以確保所有異常均已及時解決。
8. 審計軌跡
審計軌跡是資訊系統審計師在重新描述交易過程時的“地圖”。審計工作中審計人員正是通過跟蹤審計軌跡，來審核有關經濟業務及收集審計證據的。在傳統的商務活動中，每筆交易的每一個環節都有文字記錄（如經手人簽字），審計軌跡十分清楚。審計人員可以從原始單據開始，對交易事項進行追蹤，直到報表為止；也可以從報表開始，一直追溯到原始單據，形成了順查、逆查等審計方法。
對於資訊系統而言，審計軌跡是指從資料輸入系統時起，到資料被確認有效並傳遞給其他子系統為止，對這段時間內發生的所有事件的記錄。實現電子化後，傳統的審計軌跡完全消失，代替紙制憑證、賬簿和報表的是電磁化的會計資訊。這些磁性介質上的資訊不再是肉眼所能直接識別的，可能被刪改而不留下痕迹，從而大大增加了審計風險。如果系統設計時考慮不周，可能到審計時才發現只留下業務處理的結果而無法追溯其來源。因此，審計軌跡是對資料處理的跟蹤和記錄，也是系統設計良好的必備組件。
審計軌跡能夠協助IT部門和審計師提供追溯交易過程的記錄，能夠協助資訊系統審計師重新建立一個實際的交易流，即從最初存在狀態到更新後的檔案。在缺少職務分工的情形下，審計軌跡可以作為一個補償控制。資訊系統審計師應該能判斷誰執行這筆交易，交易的時間，輸入的資料，輸入的形式，交易中包含哪些領域的資料，以及更新過的檔案。
9. 交易日誌
交易日誌採用人工或自動化的方式都可以。人工日誌是在資料進行處理前由人工進行的關於交易的記錄（分組或分批）。自動記錄日誌提供的所有處理交易的記錄，是通過電腦系統完成並保留。

資訊系統職責劃分
IT部門需要和其他部門進行有效職責分工。同時，為保證成功開發和實施新系統，需要關鍵人員要參與到系統開發方法中，這些需要參與到開發過程中的主要角色也需要進行明確的職責分工，主要的參與者和責任如下主要有以下幾個方面：
1. 高層管理者
批准完成項目所必需的資源，高層管理者能夠促使需要的人員參與並完成項目。
2. 使用者管理者
項目和最終系統的所有人，負責部屬合格的代表到該資訊系統項目團隊中參與需求分析，並最後接受測試和使用者培訓。使用者管理者需要定義系統完成時的審查標準以及批准系統的交付。他們主要關心如下問題：
? 軟體指定的功能是否可用
? 軟體是否可靠
? 軟體的效率
? 軟體是否易用
? 軟體向其他環境移植的容易程度
3. 項目指導委員會
為項目開發提供總體方向，保證各方利益的實現。主要負責所有成本和時間進度。該委員會由新系統所牽涉的各部門高層代表組成，每個代表都有權決定影響各自部門的系統設計。專案管理者必是該委員會的一個成員，某些情況下是負責人。項目指導委員會功能如下：
? 定期審查項目進展（半月或一個月），需要時召開緊急會議。
? 作為協調者和建議者，委員會成員能夠回答問題，並做出系統和程式設計方面的相關決策。
? 委員會可以評估進展，採取必要的校正行動，以及建議相關人員進行變動。在必要時可以重新設計目標和規劃，改變系統目標。委員會還能夠處理項目級無法處理的風險，在特殊情況下，委員會可以建議項目中止。
4. 項目出資方
資料和應用的所有者被任命為項目出資方。主要職責是為項目提供資金，並與專案管理者密切合作，定義如何衡量項目，關鍵是要將衡量尺度轉化成可以衡量的、定量的指標。項目出資方通常是負責應用將要支援的主要業務功能的高層管理者。
5. 系統開發管理者
提供軟體硬體環境的支援人員，包括開發、安裝和作業系統。保證系統和組織計算環境與戰略方向保持一致，進行操作支援和安裝後的維護活動。
6. 專案管理者
提供項目日常管理，保證項目與總體方向保持一致，項目符合當地標準，交付品是品質合格產品。同時協調各方利益，解決部門之間的衝突，監控Team Dev成本。如果項目人員全是致力於該項目的，專案管理者要對人員負責。
7. 系統開發項目團隊
目的是完成指定任務，參與開發過程，根據當地標準進行工作，有效和使用者通訊，並可以向專案管理者建議進行必要的計劃調整和改進。
8. 使用者項目團隊
目的是完成指定任務，與系統開發人員有效溝通，通過參與開發過程，遵循當地標準，提示專案管理者預期與實際開發之間的偏離。
9. 安全員
保證系統控制和支援過程提供了有效保護，在與公司安全政策一致的資料分類基礎上，進行安全衡量指標並整合到系統。負責審查安全性測試計劃，在實施前進行彙報；同時評估安全相關的文檔，報告系統安全有效性，在系統操作過程中監視有效性。
10. 品質保證
審查每個階段實施結果是否與需求保持一致。審查點取決於所採用的系統開發生命週期方法論、系統的意義和潛在偏差的影響等幾方面的因素。還要關注和每個過程管理相關的技術活動，或具體軟體工程過程的使用，這對於達到軟體流程能力成熟都具有很重要的作用。