很少有企业不依赖 IT 部门不了解的重要最终用户计算 (EUC) 应用程序和技术。
这些应用程序通常也被称为 "影子 IT"。它们之所以存在,是因为业务用户出于快速原型开发、捕捉市场机遇、保持控制(即不泄露自己的知识等)等一系列原因,决定构建自己的小工具。
因此 风险这些由终端用户开发的应用程序所带来的风险是第一步。而事实呢?通常需要监管机构或审计人员来引起管理层的注意。
但从何入手呢?很少有组织以前想过要解决这个问题,因此他们缺乏知识或经验,甚至无法提出正确的问题,更不用说实施解决方案了。
EUC 控制的关键步骤
根据我们自己二十年来帮助企业思考和实施可持续的最终用户应用程序风险和控制解决方案的经验,我们可以有把握地说,这些是实施 EUC 控制项目的 基本步骤:
明确组织要实现的目标
这可以是一般性的,如 "开发每年至少使用一次的应用程序的任何员工"。也可以非常具体,如 "任何用于财务和监管报告的电子表格"。
建立可持续清单
在这一阶段,各组织要考虑是让用户自我报告,还是通过扫描来确定关键应用程序。经验表明,自我报告是更好的出发点。用户知道自己的重要应用程序,也知道为什么要开发这些应用程序。不过,技术扫描可用于帮助验证没有任何遗漏。然后,自动工作流程可以轮询用户,让他们再次证明自上次证明以来没有发生任何变化。同样,明智的扫描也有助于发现任何遗漏。
对文件的相对重要性进行风险评估
在这一阶段,库存中的应用程序即使不是成千上万,也很容易达到几百个。如果对它们一视同仁,可能会造成不必要的资源消耗,因为并非所有应用程序都在执行同样重要的工作。因此,对它们进行分层会有所帮助。举例来说第 1 级需要密切监控,第 3 级只需偶尔审查。
确保您的高风险应用程序按预期运行
最佳实践建议企业重点关注其一级应用程序,并检查每个应用程序是否按预期运行。由于这些应用程序都是由最终用户开发的,因此当听到许多应用程序在组织内部被传阅并被一些根本不知道电子表格或应用程序如何实际运行的人使用时,可能会感到非常惊讶。因此,即使是最善意的员工也很容易犯错。
检查和批准后,记录材料变更
一旦对应用程序进行了检查,就必须确保在将其传回企业后没有人对其进行更改。因此,任何重大变更都需要记录、解释和批准,否则就会给企业带来未知风险。
保留这些关键文件的备份,否则称为版本
如果需要回溯并确定为什么要进行修改,或者哪些数据构成了某些分析的基础,那么这些数据就非常重要。
记录任何重要问题及其解决方案
尽管确保了应用程序的正常运行,但仍可能会出现错误,如输入错误数据,或使用了不符合实际情况的假设。记录下这些 "问题 "以及解决方法是最理想的。
退役并用核心系统取而代之
最后,每个 EUC 应用程序都应该有一个计划的生命周期。如果应用程序没有做什么太重要的事情,那么它的价值很可能会随着时间的推移而下降和消失。而任何持续使用的应用程序都应被合适的核心系统所取代。无论如何,EUC 都应该有一个有限的保质期。
虽然这其中的许多内容看似显而易见,但许多组织在实施这些合理的控制措施时却举步维艰。也许是对未知的恐惧,也许是对问题的严重性一无所知,也许两者兼而有之。
幸运的是,有了ClusterSeven,您可以利用软件解决方案和客户支持来管理任何 EUC 的整个生命周期。如需了解更多详情并进行演示,请联系我们。
