当前位置:首页->交流->理论
信息系统开发事中监测方案研究
2014-10-29 09:31:04

随着互联网金融、金融互联网、移动支付等新行业发展趋势兴起,信息安全及网上业务、支付等风险越来越高,近年来屡有大的信息安全事故爆发,性质趋于严重和频发,轻则罚款赔钱,重则高管被拘。例如2013年光大乌龙指事件“徐浩明(总裁)、杨赤忠、沈诗光、杨剑波处以终身证券市场禁入,并处以罚款5亿2千3百28万元”。这些时间说明与IT系统有关的操作风险变得越来越为重要,对各信息应用系统的事中监控和风险防范工作也越来越重要,企业的内审部门可在应用系统(具体应用的信息系统)开发项目进行事中监测研究。

近年来,为了跟上国家金融电子化建设的步伐我国各金融企业每年投入应用系统开发的资金少则数百万,多则上亿,企业管理层越来越重视对系统开发项目的监督和控制。为协助管理层及时了解项目现状,把控项目进度与质量,内审部门可“嵌入”重要应用系统的开发过程,实施项目事中监测。

应用系统开发项目一般历经项目计划、需求分析与架构设计、开发测试、实施部署等四个主要阶段。在这四个阶段,内审部门可基于信息化建设项目事中风险监测模型,实时收集相关项目信息,对项目状态、项目进展、资金预算使用效率等情况进行衡量与监测,对已完成的工作效果做出检查和评估。

对应用系统开发项目四个主要阶段的事中监测,内审部门可参考以下监测要点以及具体检查举措:

一、项目计划阶段

在项目计划的设计过程中,对环境复杂程度、项目管控措施、预算控制等因素的考量评估不充分,将极易导致未来的项目实施过程中间各种突发事件不能得到及时的解决,直接影响项目进度与质量,并最终造成项目明显滞后、项目费用显著超出预算等情况。

(一)监测内容

1.是否分析项目关键成功因素,并考虑减缓影响的控制手段;

2.是否设计合适的验收具体指标;

3.是否设计可明确计算的关键指标,对项目的投入费用与竣工后的产出效果有清晰的评估,利于计算投入产出比;

4.是否设计明确的各阶段预算应用计划,以及预算使用效果评估措施;

5.项目经理是否基于公司的实际状况合理设计项目实施计划。

(二)具体检查举措

内审部门可通过检查项目计划及制订计划过程的相关材料,来具体评估项目计划阶段的完整性、可操作性以及可衡量性。具体包括以下方面:

- 检查计划中对项目实施影响因素的分析及减缓影响的控制手段安排,重点关注项目开展期间的实施程序、目标范围、人员异常变更等方面可能产生的影响;

- 关注验收指标是否全面具体,重点评估供应商现有技术水平、项目经理管理能力、项目团队技术能力以及工作效果的具体指标;

- 审核是否明确投入产出比的计算方式,重点关注在项目采用的计算方式中,关键指标的得分是否便于统计,是否可充分反映项目的投入费用及竣工后的产出效益;

- 检查各阶段的预算执行计划是否明确,以及是否设计了预算执行效果的评估方式;

- 检查项目实施计划是否合理,重点关注项目经理是否结合了公司的现有实际情况,做好项目实施的重难点分析等。

二、项目需求分析与架构设计阶段

在项目实施的需求分析与架构设计阶段,比较常见的风险是需求分析不全面以及架构设计中可扩展性未考虑充分等问题,可能导致的问题是开发的新平台在功能和性能上不能满足用户的要求以及未来业务发展的需要,或者用户仅需使用部分功能,其它系统功能闲置,导致开发费用的浪费。

    (一)监测内容

1.需求分析团队组建过程的考虑因素是否全面;

2.是否明确规定了需求分析团队的工作范围与工作职责;

3.是否对平台的功能及性能性指标有清晰并便于后期评估的规定;

4.是否充分评估未来数年内业务扩展、变化的状况;

5.平台设计时是否采用了新技术或符合新的、重要的技术趋势。

(二)具体检查举措

内审部门可通过检查该项目的需求分析、架构设计以及相关参考材料和交付物,来检查评估项目需求分析的充分性以及项目设计的可用性和扩展性是否达到要求。具体包括以下方面:

- 检查需求分析团队组建过程的考虑因素是否全面,重点关注是否设计好项目目标与背景、工作经历的匹配表,是否选择了从业背景与工作经历比较恰当的IT与业务部门成员来组建需求分析团队;

- 检查需求分析团队的工作范围与工作职责是否有明确规定,使之能满足顺利完成需求分析过程的履职任务;

- 检查项目的功能和性能性需求指标是否清晰明确且便于后期评估,项目平台可扩展性的考虑是否充分,重点关注有没有在前期通过数据收集和模型计算,评估好未来数年内业务扩展、变化的情况,以及在项目平台设计时可扩展性能力方面的考虑和计划;

- 检查项目平台设计时是否采用了新技术,或符合新的、重要的技术趋势,使之能跟上计算机信息科学技术的发展,保证系统的先进性。

三、项目开发测试阶段

在项目实施的开发测试阶段,需预防由于安全管理不严谨而导致重要业务数据泄露、项目管理不善而导致进度与交付不理想并超支预算,以及由于项目测试不充分而导致的缺陷较多或功能性能不达标等情况。

(一)监测内容

1.是否严格控制对开发或测试用服务器的访问,规避服务器被非授权访问的风险;

2.是否设计并执行严格的变更管理流程,避免蓄意修改软件导致错误数据或欺诈行为的后果;

3.是否规范敏感信息的定义及保护机制,避免平台开发期间,与业务有关的敏感信息意外泄露;

4.是否存在各阶段的交付超期现象,存在交付超期的现象时,是否采取恰当措施纠正不足,提高实施进度;

5.项目成员是否基于相同的开发质量与安全规范,进行代码编制;

6.系统上线前,是否进行了充分的测试;

7.项目过程中所遇到的需求或进度变更过程中沟通是否充分,修正是否及时;

8.各阶段预算的使用情况是否超预期以及控制举措。

(二)具体检查举措

内审部门可通过检查该项目开发测试与项目管理的交付物和参考材料,实时监测过程中开发、测试以及管理状况。具体包括以下方面:

- 检查开发质量与安全规范、安全控制措施、变更管理流程的设计全面性与实施情况,避免平台开发期间,与业务有关的敏感信息意外泄露,重点关注项目成员是否使用相同的开发质量与安全规范进行代码编制、是否严格控制对开发或测试用服务器的访问,以及是否规范敏感信息的定义和采取相关保护机制等方面内容;

- 检查项目进度的管控力度,重点关注是否存在各阶段的交付超期现象,以及采取了哪些纠正措施以提高实施进度;

- 检查测试过程是否充分,重点关注系统上线前是否安排了充分的系统测试、用户测试计划、各类重要技术指标和业务功能是否全部通过测试、测试发现的重大缺陷是否已解决,以及测试结果是否已通报并经技术方、开发方的一直认同;

- 检查预算执行的管控状况,重点关注各阶段预算的执行状况是否超出预期计划,以及超出预算时是否及时采取了纠正措施;

- 检查项目组与管理层的沟通是否及时充分,重点关注对项目过程中遇到的需求变更或进度、计划变更,项目开发团队有无及时充分地与管理层进行沟通,来修正项目目标或计划。

四、项目实施部署阶段

在项目实施的部署阶段常见的风险包括由于部署过程中沟通不足导致的业务中断,以及由于部署计划设计不周导致的安全漏洞增加、软硬件性能不足甚至部署失败等问题。

(一)监测内容

1.新系统部署时是否及时通知相关人员配合;

2.新系统部署计划是否包括统一的网络与软硬件配置要求;

3.新系统部署时是否考虑部署失败的后果以及回退措施;

4.新系统部署期间,是否配套了足够的新平台应用流程的培训。

(二)具体检查举措

内审部门可通过检查该项目实施部署的交付物与参考材料,跟踪项目部署的状况,降低部署过程中各类风险的影响。具体包括以下方面:

- 检查新系统部署时,是否及时通知相关人员进行配合,导致公司业务遭受损失;

- 检查新系统部署计划是否包括统一的网络与软硬件配置要求,重点关注网络设备的规范以及相关软、硬件配置的参数;

- 检查新系统部署时是否充分考虑部署失败的情况以及回退措施,以避免造成系统的业务支持能力中断;

- 检查新系统部署期间,是否配套了足够的新平台应用流程方面培训,重点关注要通过制定的培训计划能使相关应用部门员工充分了解新流程,掌握新平台的使用方法,并理解在个人工作职责和工作内容上的变化。

综上所述,内审部门对应用系统开发项目的事中监测,目的在于检测项目实施的实际状态与计划目标的偏差,分析产生原因和可能影响的因素,以及时向企业管理层与项目实施工作组汇报项目实施情况的检查评估信息,使工作不偏离预定目标,进一步加强企业系统的安全性与稳定性,促进互联网金融的健康发展。(中国太平保险集团稽核中心  韩志峰)