超级会员免费看
企业合规与系统变更管理:从理论到实践
1. 收购与实施的含义
在企业运营中,当计划制定并获批后,可能需要获取新应用或培养新的员工技能来执行这些计划。完成收购阶段后,就进入实施阶段,此阶段包括维护、测试、认证以及识别确保现有和新系统持续可用所需的任何变更。
在选择应用时,要尽量减少重叠。对于开源工具,虽然无收购成本,但容易过度实施。若仅基于特定需求而非整体环境来实施开源应用,可能会导致资源和技能要求增加。
以虚构公司 BuiltRight Construction 和 NuStuff 为例,若某些控制目标不适用于它们或中小型企业,则不会列入指南。即便企业不进行内部开发,也需向审计人员说明并证明这一点。
1.1 识别自动化解决方案
此部分涉及识别自动化解决方案,特别是内部开发的系统。即便没有开发人员,也需考虑由顾问和承包商开发的应用。萨班斯 - 奥克斯利法案(SOX)的范围涵盖财务报告过程中的重要系统。
- 信息需求定义(重新定位) :应存在确保现有系统和未来开发活动满足业务需求的方法。在制定计划和评估开源工具时,可关注此领域。
- 审计跟踪设计(SOX) :组织的系统开发生命周期方法应规定系统具备通过审计跟踪来跟踪活动的能力。对于经过重大定制或修改的系统,需进行检查。
- 第三方软件维护(重新定位) :虽开源软件本身不可售卖,但一些商业公司通过提供第三方支持将其纳入商业模式。优秀的 IT 组织应将应用支持纳入整体计划。
1.2 获取和维护应用程序软件
此部分涉及内部开发
订阅专栏 解锁全文
扫一扫
1360
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
