【doc】 IT审计在BOSS收入保障中的应用.doc

it审计在boss收入保障中的应用强戢计it审计在boss收入保障中的应用傅湘玲.宋茂强(北京邮电大学软件学院北京100876)l曝面对竞争日趋激烈的市场,电信运营商越来越重视其收入保障策略的实施,而收入流失的风险主要发生在boss系统的运行和维护过程中.本文应用it审计的方法在boss系统收入保障的方面进行了研究.文章首先分析了boss系统审计的必要性,提出了boss系统审计的步骤,以及在收入保障策略中boss系统审计的主要内容.1引言3boss系统审计过程boss(businessoperationsupportsystem,业务运营支撑系统)是各电信运营商实现收入的重要手段,在收入流程中占据重要地位.和其它的信息系统一样,boss在支撑电信运营的运行过程中不可避免地存在着各种风险.运营商的实践和各种调查也表明,收入流失绝大多数来自boss.通过it审计识别boss相关环节的风险和处理上的不足之处,分析收入流失的根本原因,是收入保障的基础;针对收入流失根本原因,通过引入或加强各种控制,提高boss的安全性,可靠性和有效性,则是收入保障的实现方式.2boss系统审计的必要性作为电信运营商的运营支撑系统,boss对于提高业务运营的工作效率和经济效益发挥了重要作用,但和任何一个信息系统一样,其脆弱性是与生俱来的,因此也必然会受到各种各样的威胁.虽然在boss的设计和实现过程中已经引入了各种控制机制和措施,但是,由于boss结构复杂,功能繁多,开发周期长;各厂商的设计与实现方式不一;业务的变换与调整,新业务的不断引入;功能和配置时常增加或调整;难以完全采用标准的完整的方式进行全流程验证;政策的制定和执行时有脱节等问题,导致boss存在比其它的信息系统更多的风险.而通过it审计可以有效发现收入流失的环节,并进行针对性改进.iiii习冈i:结合it审计的步骤和内容,针对boss本身的特性,我们把对boss的审计过程划分为以下五个步骤(各运营商根据具体情况可进行适当的调整):?信息收集.初步形成有关审计目标的状况描述文档,使审计师了解当前系统的实际情况,如:有关数据结构的文档,系统的软硬件分布情况,系统关键流程,数据量及存放介质等.?评估.审计师根据系统状况描述文档和自身对boss应用的理解,初步判断该文档的可用性,进而决定是否需要进行文档一致性检查,或是直接进行数据测试.?一致性检查.通过人工方式对实际系统和文档中对系统的描述进行检查.一致性检查并不是对每个审计目标都适用,只有经评估认为是有效的系统描述才进行一致性检查.?数据测试.数据测试分为抽样数据测试和大量数据测试.?提供审计报告.审计人员在完成各方面的审计后,形成书面审计报告.审计报告主要包括:it审计人员制作审计报告的时间;对boss的可靠性,安全性及有效性进行评价的结果;系统存在的问题;根据存在的问题提出改进意见;根据改进意见提出的改进方案;其它必要事项.it审计不是以提交报告书为结束,而是对审计报告提出的电信问题,特别是重大问题要跟踪整改的状况,确立it审计跟踪制度,以达到审计的目的:发现问题,控制风险,改进完善boss,从而保障企业经营目标的可靠实现.4b0ss运行维护过程的审计内容boss的审计项目按照生命周期划分如下:?计划业务:对boss的战略信息,整体计划,开发计划和系统分析进行审计.-开发业务:对boss的开发顺序,系统设计,程序设计,编码,系统测试和试运行进行审计.?运行业务:对系统运行,输入,数据,输出,软件,硬件,网络,组成和建筑物及相关设施等的管理进行审计.?维护业务:对boss维护顺序,计划,实施,确认,维护中的试运行和旧系统的废除进行审计.?生命周期共同业务:对生命周期都有的文档,进度和人员的管理,外部委托和灾难对策进行审计.比较系统和完整的审计过程应该包括以上各个阶段,但鉴于当前各运营商的boss已经进入实际运行,而且收入流失风险主要发生在系统的实际运行和维护过程中,所以本文重点对boss运行和维护中的审计内容进行分析.运行维护阶段的审计项目和内容分为运行业务审计和维护业务审计两大类.5运行业务审计5-1输入审计首先是数据录入审计,数据是以后报表生成和决策的基础.如果数据录入错误,boss将对错误数据进行处理和加工,不仅不能帮助用户了解企业状况及进行有效决策,甚至会误导用户做出错误决策.其次,是对信息系统数据有效性验证的审计,检查信息系统是否采用了必要的和适当的数据有效性验证技术,确定系统是否能及时,准确地检测出无效数据,并无遗漏地提醒用户更正错误,以保证输入数据的有效和信息系统的可靠.再次,是对审计轨迹的验证.审计轨迹指数据输入系统后至数据被确认为有效并传递给其它子系统这段时间内发生的所有事件的记录.审计轨迹应记录数据的源,内容和录人员.收集的数据包括:数据的来源;数据录入员;数据被捕获的时间和日期;用于录入数据的设备;录入后被改变的记录;录入的细节.审计轨迹是对数据处理的跟踪和记录,它能为it审计师评估系统提供依据.5.2通信系统审计对boss通信系统的审计主要是对其管理的科学性和有效性进行考察和评价,同时对boss的通信设备及通信过程中各种控制的有效性进行再审计,以进一步确定数据传输的有效性和效率,指出通信系统的管理和自身性能中的缺陷与不足,并提出相应的改进建议.对通信系统的审计是以其实际数据的传输为审计证据,对实际运行状况进行检验.由于运行阶段通信系统已较成熟,审计师除了要分析和评价通信系统的运行性能外,应着重对通信系统的管理进行审计,审计是否制定了网络管理规则.要使通信系统正常有效地运行,首先必须制定相应的管理规则,并指派专人进行管理和维护,对出现的异常情况进行记录和紧急处理.对网络存取,要有有效的控制和入侵防范措施,以保证数据的安全.要有专人定期分析网络运行状况的记录(如异常记录等),得出网络运行状况的性能参数(如平均无故障时间等),从而对网络的运行状况做出评价,给出解决方案,以保证通信系统的高效运行.5.3处理过程审计处理过程是指处理器对接收到的数据进行加工处理的过程.处理过程审计是对数据在输入系统后是否被正确处理进行审计.审计师应该对处理过程抽样,对抽样的处理过程进行全程跟踪和记录,对数据从被系统接收到处理完毕之间的整个过程进行检验,分析和评价数据处理的正确性和效率,给出信息系统数据处理性能的评价报告和合理建议.软件处理过程的审计是跟踪软件对数据的处理过程,检查每个模块甚至每条语句对数据做了何种处理,以及核查该处理是否合理,正确.通过对软件数据处理过程的跟踪,可以发现软件处理过程中隐藏的错误,从根本上找出数据处理错误的原因.处理过程的审计轨迹应记录被处理的数据,处理的结果,数据处理器和数据处理的过程.5.4数据库审计在b0ss中,数据库用于存储客户使用电信运营商业务的数据.数据库审计主要是审计信息系统的数据库管理,同时也是对数据库的设计与运行状况的再审计.通过数据库审计,可确定数据库系统对数据操作的有效性和发生异常操作时对数据的保护能力,评价数据库管理与维护工作的有效性和规范性,并提出相应的改进建议.5.5系统输出审计对boss输出数据的管理进行审计就是系统输出审计,它也是对报告等输出结果设计的再审计,可确定系统数据输出的正确,有效性,以及用户对系统输出数据的易接受性和易理解性,评价管理的科学性和规范性,指出系统输出的缺陷与不足,并提出相应的改进建议.在输出子系统中,审计轨迹控制是从输出产生开始到用户对输出结果进行处理为止的事件列表.审计轨迹包含输出的内参磺究与设计容,接收者,接收时间以及对输出采取了什么操作.5.6运行管理审计boss作为一种人机系统,是通过人对boss的操作才最终为用户提供服务的,因此,对系统的运行管理是否科学,有效,直接影响了boss服务的质量.由于boss使用人员,使用方式,系统状态经常变动,所以对运行管理的审计就显得尤为重要.运行管理审计包括总体操作管理审计,软件管理审计,硬件管理审计和建筑物及相关设备管理审计等.6维护业务审计6.1维护组织审计维护组织分为短期(临时)和长期(永久)两类,由于boss是长期运行的复杂系统,系统维护要求较强的延续性和一致性,因此必须建立长期稳定的维护小组实施维护工作.维护小组必须包括以下人员:?维护管理员:即维护小组的负责人,负责对外沟通,如:向上级主管部门报告维护工作;接收维护申请并将其交予系统管理员评估;接收维护命令后制定维护计划并向维护程序员分配维护任务;同开发部门的程序员或其它维护小组联系,向开发者传送系统运行的反馈信息.维护管理员应是有经验的系统分析员,具有一定管理经验,并熟悉boss的应用领域.?维护程序员:负责分析系统改变的需求和执行具体的修改工作.维护程序员要具有系统开发,系统维护和程序应用等方面的知识和经验.维护组织审计重点考察维护组织的大小是否适应boss的规模和要求;人员是否职责分工明确;是否有科学的内部管理机制和协调工作机制.6.2维护顺序审计维护顺序审计主要审计维护组织是否遵守了科学的维护顺序,审计证据可以从相关的书面文件以及实际操作过程中寻找.维护包括改正性维护,适应性维护和完善性维护.无论哪种类型的维护,都要进行一系列技术工作:修改软件设计,进行设计复审,必要的代码修改,单元测试和集成测试,验收测试和复审.当发生恶性软件问题时,需要立即解决,否则会导致重大事故,就会出现”救火”式的紧急维护要求.审计时,如果发现”救火”式紧急维护时常出现,则应怀疑其管理能力和技术能力,需要加强对系统管理和技术的审计.在每一次完成软件维护任务之后,都要进行状况复审.状况复审需要考虑下列问题:?在当前状况下,设计,编码和测试的哪些方面还能用其霉;l-它更好的方法.?哪些维护资源应该用但未用.?本次维护活动中主要(或次要)的障碍.?在维护请求中是否有预防性维护.6.3维护计划审计维护管理部门应该根据维护费用,系统使用期限,业务变更情况,维护申请量以及错误的严重性等因素制定维护计划.制定维护计划还应权衡维护现有系统和开发新系统的利弊.因为随着程序和文档数量的增加,维护的负担也不断增大,无休止地修改程序而不考虑维护的效率与负担是十分错误的.当系统的维护费用超过开发新系统的费用时,就应该考虑开发新系统了.维护计划的主要内容应包括:维护任务的性质和范围;维护任务所需要的资源;如何确认维护的要求;维护的费用预算;进度计划.在对维护计划审计时,主要审计维护计划包含的内容是否完整,对维护任务所需要的资源是否明确并合理配置,维护费用的预算是否能满足维护活动的需要,进度安排是否合理.对于维护计划的制定,应从以下几点进行审计:?制定的维护计划是否得到维护方与用户负责人的认可.?维护计划制定前是否对维护内容与影响范围进行调查与分析,是否明确了解维护后的变更将造成的影响.?维护的测试计划是否有明确的目的,范围,方法和安排等.6.4维护实施审计维护实施的审计主要有以下几点:?系统设计报告和程序设计说明书等是否按维护计划进行修改,是否得到维护方及用户负责人认可.?程序的修改是否按维护顺序进行,是否是得到维护负责人的同意后实施.?是否按照修改后的程序设计说明书对程序进行修改.除了上述审计要点外,尤其要注意在修改代码的过程中的版本管理,要保证始终在最新的版本上进行代码修改,修改完成后,系统的每个终端和节点都使用最新的版本.当多个程序员同时对系统进行维护时,要注意程序员之间的相互协调,在对系统进行更新时,每个程序员只更新系统中自己修改的那部分内容,以免因对整个系统的更新造成其它部分的旧代码将该部分的新代码覆盖的事件发生.6.5维护确认审计维护确认是对维护活动的验收.在这一阶段,主要考虑修改程序的测试是否按维护测试计划进行,是否由用户参加并按照用户手册实施;修改的程序是否进行了与新开发的程序同等程度的测试;修改程序的测试结果是否得到开发,运行,维护及用电信科学2oo5;”期户负责人的认可;修改的程序的测试结果,维护数据是否记录并妥善保存.6.6运行审计维护后的改良系统要试运行后才可正式投入使用.试运行时,原有系统的数据要做好备份,这样即便改良系统出现错误而不能运行时,数据也不会丢失,系统也不至于陷入瘫痪.因此,在试运行过程中,要注意审计试运行顺序的制定是否考虑到试运行的条件;是否对修改前的程序和数据做好了备份,试运行负责人是否验证boss不受影响.6-7旧系统废除审计改良后的系统经过试运行进入正式运行时,要废除旧信息系统.旧系统的废除过程会涉及到泄漏企业机密和丢失有用信息等问题,因此,在此过程中主要审计两点:ih信息系统的废除是否得到运行及用户负责人的认可;旧信息系统的废除方法及废除时间是否考虑到防止不正当行为及机密保护的对策.7结论boss作为电信运营商的运营支撑系统,是运营商实现收入的重要手段.随着全球电信市场的变化,运营商在通过ip,宽带和3g网络寻找新的业务增长点的同时,为适应竞争的需要,更多地把注意力集中到保障收入,防止收入流失上来.因此通过it审计的方法减少boss运维中的收入流失风险则显得尤为重要.目前各运营商的boss已经进入实际运行,所以运行业务审计和维护业务审计是boss审计的重点和核心.作者简介】博湘玲,博士,北京邮电大学软件学院讲师,主要研究方向为企业信息化,管理信息系统,电子商务等.宋茂强,北京邮电大学教授,北京邮电大学软件学院常务剐院,主要研究方向为通信软件,通信协议.参考文献1傅湘玲,宋茂强.我国电信运营商的收入流失问题分析.电信科学,2005.21(5):9-132jameseh.stephaniemb.nancyab.coreconceptsofinformationtechnologyauditing.3hpcompany.revenueassurance:savingyourwaytoprofitability,20034中国惠普咨询与集成事业部.惠普公司boss评估服务介绍,2003studyontheapplicationofitaudittobossrevenueassurancefuxiangling,songmaoqiang(schoolofsoftwareengineering,beijinguniversityofposts&telecommunications,beijing100876,china)abstractfacingthefuriouscompetition,chinesetelecommunicationcarrierspaymoreattentiontorevenueassurance.theriskofrevenueleakagesoftenoccurtherunningandmaintenanceofboss.thispaperfirstanalysestheneces