iT邦幫忙

DAY 9
10

IT上櫃心法系列 第 9

[IT上櫃心法]-8.資料修改申請單

與前面程式開發與變更申請的作法類似,資料修改申請是偏資料內容本身的修改異動記錄。

稽核重點:資料的修改申請是否依據資料修改管理流程進行?是否需求單位主管認可?是否經資訊主管認可?修改的歷程是否記錄詳實。

提供資料:資料修改申請清單、抽查樣本之實體單據與簽核記錄
ERP 的交易資料是否可以直接被修改?這種狀況不應該被允許!人為的疏失必須要能夠被記錄,資料的異動必須能夠被追蹤,而不是船過水無痕。但是,迫於現實的無奈,當系統沒有提供相關的沖銷流程,或者資料異動記錄時,為了不讓正常的營運因此中斷,所不得不採用的作法,但是資料的修改仍然需要被記錄下來。

同樣的我們公司在資料修改申請的部份,也是透過系統來協助管理,流程如下:

1.使用者針對資料修改的需求,於系統填寫申請單
2.經部門主管核准後,通知資訊主管審核
3.資訊主管依功能需求指派負責的人員處理(估計處理時程)
4.接單人員依實際進度維護實際處理時程(必要修改記錄、修改方式)
5.通知需求人員驗收
6.驗收完由部門主管認可結案
7.通知資訊主管結案

審計的重點在於,ERP資料的修改,是否有記錄?是否有經過審核程序。

但這樣是不夠的,因為無法從資料面進行勾稽。這是相當可怕的事情!例如轟動一時的 DELL 標錯價格案例,如果資料是從資料庫直接改掉,那麼責任的追究要怎麼進行?IT人員就變成了共犯,這可輕忽不得。

比較完善的 ERP 系統,對於欄位資料的修改,是可以設定 Audit 機制,資料的異動可以被完整的記錄下來(透過所提供的工具,而非直接從資料庫),搭配需求申請的流程進行勾稽:時間點、異動內容等,這樣對公司以及資訊人員本身都是一種保障。

全系列文章列表


上一篇
[IT上櫃心法]-7.程式開發及變更申請單據
下一篇
[IT上櫃心法]-9.系統文件
系列文
IT上櫃心法31

1 則留言

1
海綿寶寶
iT邦大神 1 級 ‧ 2010-10-09 15:30:00

以前曾被甲方“考試”過
還好平安沒事

話說專案系統已經到了最後的UAT階段
正在測試系統時
甲方窗口跑來反應資料有問題
必須立刻修改
否則無法繼續測試下去

問題是他要修改的資料
關聯到好幾個Table又好幾隻程式
若要透過標準程式流程很麻煩
只能透過SQL指令直接改比較快

結果我們沒有修改資料
並說明系統沒有提供手動修改的途徑
工程師們也沒有手動修改的途徑

後來他才告訴我
如果我們當下就答應他
那就代表系統的安全控管有問題

我心想
都幾歲的人了
我們乙方講的鬼話也有人信呀
囧

我要留言

立即登入留言