觀點

無所不在的稽核員 連天花板也不放過!

2009 / 08 / 03
JOAN INDIANA RIGDON 譯者 ■ LISA
無所不在的稽核員  連天花板也不放過!
沒有人喜歡被稽核。然而,在當今強烈的規範環境中,即使是中階市場公司的資訊長們也要有盛大歡迎稽核員光臨的心理準備。

  在IT稽核的壓力下,有些資訊長(CIO)很直接地表示反感。

  說出「稽核員」這字會令很多資訊長感到畏縮。畢竟,IT稽核員是個專門吹毛求疵的人;但發現問題並說服資訊長去改善卻是他們的職責。不管稽核員是否能理解到特定的技術對於公司是多麼重要,也不管資訊長的職責是要維護公司的企業資源企劃系統(ERP)的持續運作,就是不要為了符合冗長的checklist就對ERP做修正,致使系統在工作期間離線。

  然而,遵循Sarbanes-Oxley法案,以及在全面追求更好的IT治理之下,資訊長應該向他們的IT稽核員提出新計畫。那樣的關係在中階市場的公司甚至可能會更緊張,中階市場的公司管理通常正在轉型中,從一家非正式商業處理的小型公司轉變成更具規模的正式公司。

  此外,大部分的中階市場公司都沒有成立全職的內部稽核部門的資源或需求。所以,他們就從顧問那兒承租這些服務,然而這樣的作法只有徒增IT稽核員是完全不了解IT的門外漢罷了。

  但漸漸地情況正在改變中。為了達到SOX法規遵循,有些資訊長在與IT稽核員密切地合作幾年之後,已經察覺到這關係的有利面:給予適當的關懷及供給,那麼稽核員確實會是個資產。

  「如果你把它視為是種持續不斷的改進,就像是六個標準差,及其它的品質計畫,那麼稽核員真的就是那位可以提供你方法的人。」Donaldson,一家位在明尼亞波利斯市從事製造空氣及水過濾系統的公司,其資訊長及副總裁Mary Lynne Perushek表示,「稽核員或許會發現你不知道的事,而且會是個令人震驚的事。他們就是可以為你效勞的人。」

制訂標準放諸皆準

  當然,在IT運作中稽核員會發現令人震驚的缺點。美國俄勒岡公共事業波特蘭通用電器公司的首席稽核員Ross Westcott,在他的職涯中曾發現資訊長們一些令人厭惡的意外,包括在安全上有很大漏洞的公司。在那個案例中,IT部門「懶得建構新系統的防禦措施」,在國際資訊系統稽核協會(ISACA)協助開發稽核員的認證測試的Westcott這樣說。「他們把這事情推給應用系統開發組。應用系統部門的人,認為系統組的人應該設定安全防禦,所以他們就沒做,因此沒有一個地方是具有安全防禦的。」但幸運地,Westcott在壞人利用該漏洞之前就發現問題。

  更典型的情況是稽核員會發現可能變成大問題的一些小細節,譬如,一個不完整的系統登出程序,讓專案在未經適當的批准而繼續進行著,或是不容易產生即時性報告的軟體缺陷。為了從稽核員那兒獲得最大利益,資訊長必須了解到,雖然所有的跡象顯示是相反的表象,但稽核員真的是想要幫忙的。但多數的資訊長仍未瞭解到這一點。「我會說至少百分之六十到七十的資訊長不瞭解法令遵守方案的目的」,另一位會計事務所(Grant Thornton)的稽核員Kris Ruckman這麼說著。「他們不瞭解怎麼缺乏管理竟可能導致財務報表上的錯誤。」

  一旦資訊長開始認為稽核是連續改善的一種過程,那麼他更可以經營好他與稽核員的關係。(一些資訊長負責掌管他們的稽核員;但通常稽核員是保持獨立的,且向董事會的稽核委員會、一位資訊安全長或一名法規遵循長報告。)

  互動良好的資訊長與稽核員關係,通常從選擇稽核的標準開始,企業深知這道理。在沒有沙賓法案(SOX)之前,許多稽核員強行使用他們自己獨有的標準。現在,則多數傾向使用產業的標準,比如由國際電腦稽核協會(ISACA)所發展出來的資訊系統稽核與控制標準(CobiT)或是英國政府立下將IT部門視為服務性組織的標準ITIL,以及國際性標準ISO。

  資訊長應該知道他們的稽核員是使用哪一種標準,如果覺得似乎不恰當,那麼就應該辯論是否要轉換。Westcott表示,資訊長選用哪一種標準對於稽核員來說並不重要,只要有一個彼此約定好的、協議好的標準來衡量表現就好。

  有時資訊長可自己挑選顧問來執行內部的IT稽核。內部的IT稽核員可能是顧問或雇員,但他們的工作都是一樣的:為外部的稽核做準備。2004年,John Lambeth是一位有認證的稽核員,也是一家位在華盛頓特區、資本額為1.83億的數位學習公司(Blackboard)的IT和安全防禦的副總裁,在他的公司上市且遵守SOX法案之後,開始尋找外包的內部稽核。

  Lambeth向Blackboard公司的外部稽核公司,Ernst & Young公司諮詢。因為內部稽核員要協助達到外部稽核員的標準,所以「與你的外部稽核員審查你的選擇是非常重要的,」他說。如果外部稽核員先前有實際與內部稽核員工作的經驗,「那麼對於第三者的工作他們將會更有信心, 」Lambeth說。當然,這些都有助於更順利的外部稽核。

決策核心圈的無盡循環

  最後,Lambeth選擇了一家位於密爾瓦基市的稽核公司(Jefferson Wells International Inc.)。他強調要維持他自己、內部稽核公司(Jefferson Wells)以及與外部稽核公司(Ernst &Young LLP)之間的三方對話,如此以減少在外部稽核期間令人不愉快的驚奇。

  當Blackboard公司需要一個系統來偵察未經授權的異動對公司本身的基礎設施威脅時,例如,Lambeth的團隊與內部稽核公司(Jefferson Wells)合作導入一套可通過內部稽核標準的軟體。但在開始進行前,「我們把它帶到外部稽核公司(E&Y)面前並且說『我們將要照下述的方式來做。你們的人員是否同意呢?』」Lambeth說。藉由保持不間斷的與雙方稽核員的對話,Lambeth在要如何進行上得到更快的回響。如果他沒有與他們頻繁地磋商的話,那麼要得到他們的關愛以及要把他們帶入某些議題上將要花更長的時間。

  Neville Teagarden是一家位在丹佛名為普洛斯(ProLogis)信託公司的資訊長和資深副總裁(SVP),他也看到了與稽核員緊密合作的好處。「你想要一整年平穩地僱用您的內部稽核員」他說。「那麼你的外部稽核員就會將年底作為他們的時間表?如果你只是想為年底而匯集,那麼你在這一年期間將錯過改善過程的機會。」

  稽核員也喜歡不間斷的僱用期,因為熟悉的關係讓傳達不受歡迎的消息變得容易些。「如果我非得聽到壞消息的話,我寧願從我認識且信任的人那兒聽到,而不是不認識的人」Westcott說。並且補充說到,實質上更緊密的專業關係是會讓稽核員及資訊長變成同事的。「那樣的話你有權利可以告訴他們國王沒穿衣服(總得有人說實話),」他說。

  一般而言,資訊長與稽核員的關係開始於初始會議的面談。有誰會比資訊長更適合去告訴一位潛在的稽核員IT是怎麼運作的,並且描述IT在公司所扮演的重要角色呢?Lambeth說:那些忽視了這個機會的新資訊長們應該在即將到來的一個月內與他們的內部稽核員一起坐下來好好談談。

  滿足外部的稽核員的要求也是個不錯的點子。「我會說:作為一位資訊長,我的其中一個目標就是要確保作為一位外部稽核員,會滿意在組織內的IT實施方式,且我希望建立起一套與你不間斷的對話以確認你滿意我們正在開發的應用。」Lambeth說。最後,Lambeth相信資訊長們應該承諾外部稽核員可以在線上存取對IT部門的控制及文獻資料。

  如果資訊長維持與稽核員不間斷的對話,那麼他比較有機會在主要計畫的一開始就可以與稽核員諮詢,那麼這樣一來一旦計畫完成,就可造就較順利的稽核。根據克里斯拉克曼(Kris Ruckman),他是一家會計公司(Thornton)的稽核員,管理IT稽核,他表示,「只有大約一半的資訊長們夠主動坐下來且坦率地討論。」這些資訊長們「都憑他們自己的意志行事,而不是在外部稽核員詳細描寫之後。」

  位於北卡羅納州的非營利組織,UNC健康保健的VP和CIO,John Kichak是上述較好的那一半。舉例來說,他團隊的其中一個現行計畫,就是正在將醫院集團的網站升級到可讓病患在線上取得他們自己的電子病歷。他們期望這個秋天就可以讓這個系統上線。

  Kichak從一開始就向他的IT稽核員諮詢,如此以確保技術會遵照所有相關的規章,包括SOX以及醫療保險可攜性與責任法案(HIPAA法案),這法案要求醫療保健提供者要達到病人資料的保密性和安全性的標準。Kichak在IT部門有150名雇員,其中有五位稽核員是替遵循主管(CCO)覆檢他們的工作。

  「我們提前與他們坐下談。那是最佳的進行方式」Kichak說。在這些會議中稽核員給了要求的清單,Kichak也提供了他對功能、費用和其它問題的關注清單。從那兒開始,「雙方配合且那也是我們所要做的,」他說。

對立的觀點與折衷

  儘管如此,因為雙方有著不同的目標,所以事情總不可能進行的很順利。「你最後可能落得稽核人員說『我比較偏愛某些事情設計得容易報告』而IT會說,我比較喜歡用這樣的方法來做,所以我能做到兩秒鐘的反應時間,」Kichak說。

  為了確保競爭目標不會轉移成吵嘴,Kichak與醫院的遵循主管(CCO)合作,清楚地規定各個小組的責任。Kichak在高階董事的正式會議期間,每星期一次與法規遵循主管(CCO)磋商,而且經常非正式地與他會面。當Kichak及遵循主管感受到有較大的分歧時,Kichak表示,「我們當中的一人要做個裁決,而那個人通常是我。」

  有時稽核員的清單與現有市場的技術脫節。例如,Kichak的稽核員要求密碼要是八個字元的且要包含大小寫字母。但有時能勝任這項工作的最佳軟體卻只接受六個字元的密碼。

  如果Kichak替大型的公司如沃爾瑪(Wal-Mart)效力的話,那麼他可以迫使技術供應商順從他的標準。但是中階市場的公司就沒有這樣的影響力,因此Kichak必須做個例外。否則,「不然你要怎麼做?將百萬美元的產品退回嗎?百分之九十九我們是不會讓它發生的。」Kichak說。為了讓IT稽核員更了解他們所檢查的健康保健系統,Kichak讓稽核員經歷相同的訓練,「我會給他們一位每天必須使用該系統的終端用戶。」

  不過,稽核可能是破壞性的,特別是當稽核員對為了要檢查而使系統離線所造成的花費成本沒有深刻感受時。Kichak會將要被稽核的系統複製一份,以避免系統中斷。這些工具對資料庫快照或至少在某個時間點對資料庫的一部分快照。然後把資料庫放置在不同的伺服器上,這樣一來稽核員就可以不用打亂每天的操作而作檢查了。「IT可以繼續運作且做到日常的服務,」他說。

  為了讓系統在Unix或電腦主機運行,Kichak很想要協商停機時間。「我試著讓他們在非上班期間稽核,」他說。「就這點上有點小爭論。他們希望從早上八點做到下午五點。」然而,同一時間必須要為醫院的其他部門提供服務。「解決之道就是(稽核員)已經知道將他們必須提供的工作做分割,」Kichak說。

角色轉變中大不同

  直到幾年前,大部分的IT稽核標準都只解決特殊的議題,譬如,如何去匯集、散佈以及儲存資料。稽核集中在「從細節來看,控制措施是怎麼運作的,」Unisys的副總裁和資訊長John Carrow說。之前的稽核標準忽略了一個大問題,例如,一家公司要如何決定是否要投資IT計畫。

  因為CobiT標準已經逐步形成了,這些問題現在都可稽核了。Carrow視這個為受歡迎的改變。增加策略性的問題,「是稽核全面成熟過程的一部分,」Carrow說。一般來說,聘請顧問執行IT稽核的中階市場公司是不太可能要求稽核員用他們公司選的標準來檢查不在清單上的問題。但是有自己IT稽核部門的中階市場公司可以用創新的方式使用內部稽核員。

  舉例來說,Westcott說他曾經協助一位有人事問題的資訊長,他的服務中心人員無法與他們的經理相處融洽。並不是一開始就使大家的人際關係驚慌不安,而是資訊長請Westcott以處理服務中心稽核為幌子進而調查團隊動力。

  Westcott並不確定服務中心的工作人員是否認為稽核是玩真的。但無論如何,他已大規模地與職員和經理面談過。「關係惡劣到職員均很樂意爆料,」他說。「我甚至不需要開口問他們問題。他們就自己脫口而出了。他們的焦慮很自然地就流露出來。」

  Westcott將這樣的訊息帶回去給資訊長並傳達給人力資源人員(HR)。最後這位經理就被革職了。這是一個資訊長可以利用稽核員做為「秘密搭擋」的例子。

JoanIndianaRigdon 為《CIO Decision》雜誌的特約作者。