COBIT的四個(gè)領(lǐng)域關(guān)注的是組織信息化建設(shè)的整個(gè)生命周期,因此對(duì)于我國(guó)的企業(yè)的信息化建設(shè)也具有指導(dǎo)意義。
一、COBIT的背景介紹
從現(xiàn)有的控制框架來(lái)看,以COSO為代表的業(yè)務(wù)控制框架,主要是從受托責(zé)任方面來(lái)考慮一般控制的價(jià)值,缺少對(duì)IT控制的闡述和說(shuō)明;以CICA的IT控制指南為代表的IT控制框架,側(cè)重于對(duì)技術(shù)進(jìn)行控制。因此。這兩類(lèi)模型都沒(méi)有全面照顧到業(yè)務(wù)和IT。COBIT的出現(xiàn)就是為了填補(bǔ)這個(gè)空白,它基于COSO,同時(shí)整合了全球所有主要的信息技術(shù)標(biāo)準(zhǔn)。因此既能關(guān)注IT,又能與業(yè)務(wù)日標(biāo)緊密聯(lián)系,其任務(wù)就是研究、開(kāi)發(fā)、出版和推動(dòng)一個(gè)權(quán)威的、最新的、被國(guó)際上的企業(yè),業(yè)務(wù)經(jīng)理的日常使用、IT專(zhuān)業(yè)人上和鑒證專(zhuān)業(yè)認(rèn)識(shí)所廣泛接受的IT治理框架。
COBIT由ISACA開(kāi)發(fā)與推廣。1976年,ISACA專(zhuān)門(mén)設(shè)立ISACF。從事IT的管理、控制和安全保證領(lǐng)域的研究。同年。ISACF發(fā)布COBIT1.0版本。試圖將它作為一種審計(jì)工具。為了響應(yīng)對(duì)IT進(jìn)行控制的需要,1998年發(fā)布的COBIT2.0,在1.0版本的基礎(chǔ)上增加了資源文件的數(shù)據(jù),改進(jìn)了高層控制目標(biāo)和具體控制目標(biāo),增加了實(shí)施工具包。1998年,ISACA與ISACF合并設(shè)立了旨在促進(jìn)IT治理原則推廣和應(yīng)用的ITGI,COBIT的后續(xù)的研究和更新就是由ITGI來(lái)完成的。ITGI在2000年發(fā)布的COBIT3.0版本中增加了管理指南,還將ISACA原始的“控制目標(biāo)”修改為管理目標(biāo),同時(shí)還擴(kuò)充和加強(qiáng)了對(duì)IT治理的關(guān)注。使得COBIT演變?yōu)橐粋(gè)管理工具。IT的日益廣泛應(yīng)用,增加了對(duì)IT治理的需求,ITCI于2005年在廣泛調(diào)查和研究的基礎(chǔ)上,推出了COBIT4.0版本,它站在IT治理的角度,從更高的層面上來(lái)指導(dǎo)管理層進(jìn)行IT控制和信息系統(tǒng)管理,使之成為一個(gè)真正意義上的IT治理框架。2007年5月,ITGI推出的COBIT4.1在4.0的基礎(chǔ)上進(jìn)行了微調(diào),并無(wú)本質(zhì)更新。整個(gè)演進(jìn)過(guò)程可用圖1來(lái)表示。
二、COBIT4.1框架解讀
為了實(shí)現(xiàn)有效治理,需要業(yè)務(wù)管理者在既定的控制框架內(nèi)對(duì)所有IT過(guò)程實(shí)施控制。COBIT通過(guò)IT過(guò)程來(lái)組織IT控制目標(biāo),控制框架提供了IT治理要求、IT過(guò)程和IT控制之間清晰的關(guān)系。關(guān)注業(yè)務(wù)、面向過(guò)程、基于控制和度量驅(qū)動(dòng)是其主要特性。
(一)關(guān)注業(yè)務(wù)
關(guān)注業(yè)務(wù)是COBIT的主要宗旨。它設(shè)計(jì)不僅僅用來(lái)為IT服務(wù)提供商、用戶和審計(jì)師使用,更重要的是給管理者和業(yè)務(wù)流程所有者提供一個(gè)完整的指南。COBIT框架基于這樣一個(gè)原則:要提供企業(yè)達(dá)到其目標(biāo)所需的信息,企業(yè)需要使用一組結(jié)構(gòu)化的過(guò)程來(lái)投資、管理和控制IT資源,以提供服務(wù)來(lái)交付企業(yè)所需的信息。
COBIT認(rèn)為,IT的最終目標(biāo)是為企業(yè)實(shí)現(xiàn)業(yè)務(wù)活動(dòng)提供其所需的符合信息標(biāo)準(zhǔn)的信息,這些標(biāo)準(zhǔn)包括信息的有效性、效率性、保密性、完整性、可用性、符合性和可靠性,這可稱(chēng)之為業(yè)務(wù)的信息需求。盡管信息標(biāo)準(zhǔn)提供了一般的方法來(lái)定義業(yè)務(wù)需求,但是規(guī)定一組業(yè)務(wù)和IT目標(biāo)為建立業(yè)務(wù)需求并依據(jù)這些要求開(kāi)發(fā)度量的標(biāo)準(zhǔn),這奠定了與業(yè)務(wù)相關(guān)且更加精確的基礎(chǔ)。企業(yè)利用lT來(lái)保障業(yè)務(wù)活動(dòng)。這可以表示為IT的業(yè)務(wù)目標(biāo)。COBIT提供了一個(gè)業(yè)務(wù)目標(biāo)、IT目標(biāo)、信息標(biāo)準(zhǔn)之間的映射。這可以作為確定企業(yè)特定業(yè)務(wù)需求、目標(biāo)和標(biāo)準(zhǔn)的指導(dǎo)。如果IT能夠成功交付服務(wù)來(lái)支持企業(yè)的戰(zhàn)略,那么應(yīng)明確業(yè)務(wù)要求的所有者關(guān)系和指南,清楚應(yīng)交付什么以及IT如何交付。這就要求將企業(yè)戰(zhàn)略目標(biāo)轉(zhuǎn)化為IT的業(yè)務(wù)目標(biāo),再將IT業(yè)務(wù)目標(biāo)轉(zhuǎn)化為IT自己的目標(biāo),進(jìn)而定義為成功實(shí)施企業(yè)IT戰(zhàn)略所需的IT資源和能力。一旦相應(yīng)的目標(biāo)確定下來(lái).就需要對(duì)這些目標(biāo)進(jìn)行監(jiān)控,以確保實(shí)際的交付可以滿足預(yù)期的需求。
IT組織通過(guò)一組清楚定義的過(guò)程來(lái)交付這些目標(biāo)。這些過(guò)程使用人工技能和技術(shù)基礎(chǔ)設(shè)施來(lái)運(yùn)行自動(dòng)化的業(yè)務(wù)應(yīng)用系統(tǒng).與此同時(shí)利用業(yè)務(wù)信息。這些資源與過(guò)程一道,組成了企業(yè)的IT架構(gòu)。要滿足業(yè)務(wù)對(duì)IT的需求,企業(yè)需要投資相關(guān)資源來(lái)建立充分的技術(shù)能力來(lái)支持業(yè)務(wù)能力,進(jìn)而產(chǎn)生所需要的結(jié)果。COBIT定義的IT資源包括應(yīng)用系統(tǒng).信息、基礎(chǔ)設(shè)施和人員。
(二)面向過(guò)程
COBIT框架為企業(yè)中的每個(gè)人觀察并管理IT活動(dòng)提供了一個(gè)參考的過(guò)程模型和通用語(yǔ)言。將所有相關(guān)的業(yè)務(wù)部分的操作模型和通用語(yǔ)青整合到IT當(dāng)中是實(shí)施良好IT治理最重要的步驟,也是最初始的步驟。COBIT提供了一個(gè)框架來(lái)度量和監(jiān)控IT績(jī)效、與服務(wù)提供商溝通、整合最佳管理慣例。一個(gè)過(guò)程模型鼓勵(lì)過(guò)程所有者定義問(wèn)責(zé)制和責(zé)任。要有效管理IT,重視管理IT內(nèi)在的活動(dòng)和風(fēng)險(xiǎn)非常重要,COBIT在四個(gè)領(lǐng)域內(nèi)采用過(guò)程模型的方式來(lái)定義IT活動(dòng)。這些領(lǐng)域是規(guī)劃與組織、獲取與實(shí)施、交付與支持,監(jiān)控與評(píng)價(jià),這四個(gè)領(lǐng)域映射到傳統(tǒng)的IT職責(zé)領(lǐng)域:規(guī)劃、建設(shè)、運(yùn)行和監(jiān)控。
橫跨這四個(gè)領(lǐng)域,COBIT識(shí)別出34個(gè)一般的IT過(guò)程,這可以作為企業(yè)驗(yàn)證IT活動(dòng)和責(zé)任的完整性的過(guò)程清單。企業(yè)可以根據(jù)需要,進(jìn)行選擇性的配合使用。
(三)基于控制
COBIT將控制定義為:設(shè)計(jì)政策、程序、慣例和組織架構(gòu),對(duì)業(yè)務(wù)目標(biāo)將被達(dá)到以及不期望事件能夠被預(yù)防、檢測(cè)和糾正來(lái)提供保證。IT控制目標(biāo)提供了一個(gè)完整系列的高層需求,這些需求會(huì)被管理者考慮來(lái)有效控制每個(gè)IT過(guò)程。企業(yè)管理者需要作出與這些控制目標(biāo)相關(guān)的選擇,包括選擇能夠應(yīng)用控制的部分,在已經(jīng)選擇的部分中確定需要實(shí)施的部分,選擇如何實(shí)施,接受對(duì)可以實(shí)施控制而未進(jìn)行控制的部分所存在的風(fēng)險(xiǎn)。
COBIT對(duì)34個(gè)過(guò)程都定義了控制目標(biāo),每個(gè)控制目標(biāo)又具體分為若干的詳細(xì)控制目標(biāo),除此之外,COBIT還確定了每個(gè)過(guò)程所需的一般性控制要求,包括過(guò)程的目的和目標(biāo),過(guò)程所有權(quán).過(guò)程的可重復(fù)性,角色和責(zé)任。政策、計(jì)劃和程序。在實(shí)踐中,應(yīng)將他們與詳細(xì)的過(guò)程控制目標(biāo)共同考慮以形成一個(gè)完整的控制要求。COBIT為每個(gè)過(guò)程提供了一個(gè)范例:一般性的輸入和輸出;以RACI圖表示的關(guān)于角色和職責(zé)的活動(dòng)和指南;關(guān)鍵的活動(dòng)目標(biāo);標(biāo)準(zhǔn)。
(四)度量驅(qū)動(dòng)
為了對(duì)企業(yè)自身IT過(guò)程的績(jī)效進(jìn)行客觀度量,COBIT開(kāi)發(fā)了成熟度模型進(jìn)行標(biāo)桿管理,從IT、IT過(guò)程和活動(dòng)三個(gè)層次來(lái)定義控制的目標(biāo)和標(biāo)準(zhǔn)。根據(jù)平衡計(jì)分卡來(lái)對(duì)過(guò)程績(jī)效進(jìn)行度量。
COBIT的成熟度模型是IT過(guò)程的定義框架,企業(yè)可借助它來(lái)認(rèn)識(shí)到他們現(xiàn)在的狀態(tài)并確定他們將來(lái)的狀態(tài)。成熟度模型提供了對(duì)企業(yè)管理和IT過(guò)程控制演進(jìn)每個(gè)階段的一般性描述,它們是:在不同成熟度水平的一系列需求和能力方面;可以實(shí)現(xiàn)用較為容易的方法來(lái)對(duì)不同點(diǎn)進(jìn)行測(cè)度的標(biāo)準(zhǔn);一個(gè)可以使它進(jìn)行實(shí)際比較的標(biāo)準(zhǔn);設(shè)定當(dāng)前狀態(tài)和未來(lái)狀態(tài)的基礎(chǔ);支持差距分析來(lái)決定還需要做什么.以達(dá)到某個(gè)選定的水平。日標(biāo)是采用從上到下的方法來(lái)定義控制的目標(biāo)和標(biāo)準(zhǔn)的,因?yàn)闃I(yè)務(wù)目標(biāo)將決定一些來(lái)支持它的IT目標(biāo)。一個(gè)IT目標(biāo)是通過(guò)一個(gè)過(guò)程來(lái)實(shí)現(xiàn)或者用數(shù)個(gè)過(guò)程相互結(jié)合來(lái)實(shí)現(xiàn)。因此,IT目標(biāo)幫助定義不同的過(guò)程目標(biāo)。反過(guò)來(lái),每個(gè)過(guò)程目標(biāo)需要一些活動(dòng),由此建立活動(dòng)目標(biāo)。在事后要判斷目標(biāo)是否被達(dá)到,可以用“結(jié)果標(biāo)準(zhǔn)”進(jìn)行度量;要在結(jié)果明朗事前確定這些目標(biāo)是否能夠被達(dá)到,則需要借助于“績(jī)效指標(biāo)”。需要注意的是,COBIT僅僅提供IT目標(biāo)結(jié)果的度量標(biāo)準(zhǔn),而不提供業(yè)務(wù)目標(biāo)的度量標(biāo)準(zhǔn)。
結(jié)果標(biāo)準(zhǔn)提供了業(yè)務(wù)平衡記分卡中財(cái)務(wù)與客戶方面的評(píng)估標(biāo)準(zhǔn)。它能夠在事后告知管理層,IT功能、程序或者活動(dòng)已經(jīng)達(dá)到了它的目標(biāo)。對(duì)IT功能的結(jié)果度量通常按照信息準(zhǔn)則來(lái)表達(dá):信息的有效性要求支持業(yè)務(wù)需求;遠(yuǎn)離完整性和保密性的風(fēng)險(xiǎn);程序和操作符合成本效益原則;確認(rèn)可靠性、有效性和符合性。
績(jī)效指標(biāo)強(qiáng)調(diào)了平衡記分卡中的另外兩個(gè)方面,即內(nèi)部處理與創(chuàng)新。它用于決定業(yè)務(wù)的現(xiàn)狀,IT功能或者IT程序的運(yùn)行能確保目標(biāo)的達(dá)成。它們是關(guān)于目標(biāo)是否能夠達(dá)到的“領(lǐng)先指標(biāo)”,由此來(lái)驅(qū)動(dòng)更高層級(jí)的目標(biāo)。它們通常度量適當(dāng)能力、慣例和技能的可用性,以及潛在活動(dòng)的結(jié)果。例如,一項(xiàng)IT所交付的服務(wù)是IT的一種目標(biāo),但是績(jī)效指標(biāo)和一項(xiàng)能力是用于業(yè)務(wù)的。這就是為什么績(jī)效指標(biāo)有時(shí)候被稱(chēng)為績(jī)效驅(qū)動(dòng)因素,尤其是在平衡記分卡中。
三、COBIT在我國(guó)的應(yīng)用
由于我國(guó)信息化水平相對(duì)滯后,COBIT目前還只在一些信息化程度非常高的企業(yè)或者政府部分所采用,同時(shí)得益于中國(guó)IT治理研究中心的大力推動(dòng),COBIT的價(jià)值也日益得到相關(guān)人士的認(rèn)同。從COBIT的特性來(lái)看,COBIT主要是一種IT治理工具.同時(shí)還可作為建立和改善企業(yè)的IT內(nèi)部控制和進(jìn)行IT審計(jì)的指南。COBIT的四個(gè)領(lǐng)域關(guān)注的是組織信息化建設(shè)的整個(gè)生命周期,因此對(duì)于我同的企業(yè)的信息化建設(shè)具有指導(dǎo)意義。
(一)作為IT治理的核心模型
有效的IT治理必須保證組織戰(zhàn)略與IT戰(zhàn)略的一致性,以組織戰(zhàn)略作為IT建設(shè)與運(yùn)行的根本指導(dǎo)。對(duì)IT進(jìn)行角色定位,從業(yè)務(wù)的視角創(chuàng)造信息技術(shù)指導(dǎo)原則,充分利用組織的現(xiàn)有資源來(lái)滿足關(guān)鍵需求,避免建設(shè)的信息系統(tǒng)無(wú)法有效地支持組織的決策。
COBIT定位于IT治理的目標(biāo)和范圍,并與企業(yè)的治理準(zhǔn)則相協(xié)調(diào)。COBIT認(rèn)為IT治理是管理層和董事會(huì)的責(zé)任,它通過(guò)領(lǐng)導(dǎo)、組織結(jié)構(gòu)和相應(yīng)的過(guò)程來(lái)確保IT支持并拓展組織的戰(zhàn)略和目標(biāo)。它是一個(gè)集管理、問(wèn)責(zé)制和監(jiān)督為一體的質(zhì)量控制系統(tǒng)。COBIT將一些最佳慣例進(jìn)行整合并制度化。來(lái)確保組織的IT支持業(yè)務(wù)目標(biāo)。從IT治理的五個(gè)關(guān)鍵領(lǐng)域來(lái)看,戰(zhàn)略協(xié)調(diào)、價(jià)值交付、風(fēng)險(xiǎn)管理、資源管理和績(jī)效管理都與COBIT的目標(biāo)、標(biāo)準(zhǔn)、慣例和成熟度模型建立了映射關(guān)系,這使得IT治理在實(shí)踐中可以做到有的放矢。
(二)作為企業(yè)信息化建設(shè)的實(shí)施指南
我國(guó)企業(yè)信息化建設(shè)普遍存在以下問(wèn)題:欠缺長(zhǎng)期的、整體的規(guī)劃;重建設(shè)。輕管理;螢收益考量,輕風(fēng)險(xiǎn)與成本管理;重技術(shù)、工具,輕過(guò)程、知識(shí);企業(yè)業(yè)務(wù)戰(zhàn)略變化較大帶來(lái)的用難。這些問(wèn)題的根源在于缺乏對(duì)信息系統(tǒng)建設(shè)、應(yīng)用的控制機(jī)制。缺乏每個(gè)環(huán)節(jié)上的控制目標(biāo),信息系統(tǒng)沒(méi)有滿足業(yè)務(wù)需求,或者在使用中由于缺乏有效手段,而導(dǎo)致使用效率過(guò)低,進(jìn)而影響到業(yè)務(wù)的正常運(yùn)作。
COBIT的4個(gè)領(lǐng)域涵蓋了IT規(guī)劃、建設(shè)、運(yùn)行和監(jiān)控整個(gè)生命周期,每個(gè)過(guò)程都有清晰的控制目標(biāo)、成熟度模型,明確了過(guò)程的角色和職責(zé),將各種目標(biāo)統(tǒng)一于COBIT控制模型。COBIT的這些特性可以讓企業(yè)從業(yè)務(wù)戰(zhàn)略的高度來(lái)分析和設(shè)計(jì)信息系統(tǒng),而且借助于控制只標(biāo)和成熟度模型,可以讓成本效益原則在信息化建設(shè)過(guò)程中得到更好的貫徹。過(guò)程角色和職責(zé)的明確,既是科學(xué)管理原則的貫徹,也能夠彌補(bǔ)信息化建設(shè)過(guò)程中制度的缺失。
(三)作為建立和優(yōu)化IT內(nèi)部控制的參考
許多國(guó)內(nèi)企業(yè)管理者對(duì)內(nèi)部控制的理解目前仍停留在人工控制的層面,尚未建立一套完善的信息技術(shù)內(nèi)部控制來(lái)降低大量使用關(guān)鍵的信息系統(tǒng)而面臨的風(fēng)險(xiǎn)。這主要體現(xiàn)在:IT部門(mén)之間以及IT部門(mén)與業(yè)務(wù)部門(mén)之間缺乏有效的溝通來(lái)保證信息技術(shù)部門(mén)的工作能夠充分滿足業(yè)務(wù)的需要。企業(yè)缺乏有效的IT內(nèi)部審計(jì)機(jī)制來(lái)監(jiān)督信息技術(shù)部門(mén)的工作,缺乏完善的對(duì)數(shù)據(jù)及系統(tǒng)的訪問(wèn)控制管理,缺乏對(duì)系統(tǒng)變更的有效管理,缺乏完善的系統(tǒng)開(kāi)發(fā)管理,缺乏完善的系統(tǒng)運(yùn)行控制,導(dǎo)致系統(tǒng)發(fā)生故障時(shí)無(wú)法及時(shí)發(fā)現(xiàn)解決故障而造成數(shù)據(jù)的丟失等(高智緯,李可,2006)。這些問(wèn)題是那些大量應(yīng)用信息系統(tǒng)的國(guó)內(nèi)企業(yè)所亟待解決的,否則風(fēng)險(xiǎn)威脅一旦轉(zhuǎn)變?yōu)楝F(xiàn)實(shí)的損失,損失程度將可能是企業(yè)難以承受的。
COSO雖然是理解和評(píng)價(jià)內(nèi)部控制的全球性框架,但它是一個(gè)高度抽象的概念框架,沒(méi)有對(duì)具體的控制目標(biāo)和控制活動(dòng)做出指引,更沒(méi)有針對(duì)IT環(huán)境提出具體的控制要求,因而其對(duì)于IT環(huán)境的應(yīng)用價(jià)值大打折扣。COBIT是一個(gè)信息技術(shù)風(fēng)險(xiǎn)管理和控制框架,而非內(nèi)部控制框架,它依然是以COSO框架為基礎(chǔ),圍繞IT控制環(huán)境的若干方面提供概括性的指引,COBIT不僅在其控制同標(biāo)與COSO的控制目標(biāo)之間定義了清晰的聯(lián)系,而且還將它的34個(gè)過(guò)程與COSO的5個(gè)要素之間建立了映射關(guān)系。COBIT針對(duì)IT環(huán)境制定了一系列詳細(xì)控制目標(biāo),并將這些控制目標(biāo)置于一個(gè)邏輯性的控制結(jié)構(gòu)下,其應(yīng)用性較強(qiáng)。因此可以說(shuō),COBIT框架是IT環(huán)境下COSO框架的有益補(bǔ)充。
對(duì)于尚未建立IT內(nèi)部控制的企業(yè)而言,可以根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果,對(duì)一些關(guān)鍵控制點(diǎn)進(jìn)行控制。對(duì)于已經(jīng)初步建立了IT內(nèi)部控制的組織。可以參照COBIT的要求對(duì)企業(yè)IT內(nèi)部控制現(xiàn)狀進(jìn)行分析,找出差距,進(jìn)而確定需要增加或者完善的控制點(diǎn),對(duì)每個(gè)控制點(diǎn)的控制活動(dòng)必須進(jìn)行清晰的描述和文檔化,這些控制活動(dòng)必須具備可操作性和可檢驗(yàn)性,最終形成IT控制矩陣。企業(yè)必須完成一整套與IT控制相關(guān)的文檔,隨后通過(guò)細(xì)致扎實(shí)的工作落實(shí)已被確定的IT控制點(diǎn),從而使IT控制得到貫徹實(shí)施。
(四)作為IT審計(jì)的工具
IT審計(jì)的目的就是要從制度保障方面,徹底解決信息系統(tǒng)規(guī)劃、建設(shè)、實(shí)施、維護(hù)和控制過(guò)程中,與企業(yè)業(yè)務(wù)、管理和戰(zhàn)略的融合問(wèn)題。通過(guò)量化的方法,衡餐信息系統(tǒng)對(duì)企業(yè)業(yè)務(wù)帶來(lái)的影響.進(jìn)而評(píng)估這些影響種的風(fēng)險(xiǎn)因素和價(jià)值因素,有目的地對(duì)信息系統(tǒng)的質(zhì)量、方法、過(guò)程和績(jī)效,出具類(lèi)似財(cái)務(wù)審計(jì)意見(jiàn)的報(bào)告。以便企業(yè)董事會(huì)和管理層能夠真正了解和把握本企業(yè)內(nèi)信息系統(tǒng)的核心作用。
IT業(yè)務(wù)流程是COBIT關(guān)注的焦點(diǎn),對(duì)每一個(gè)lT業(yè)務(wù)流程。COBIT提出了一系列的控制目標(biāo)、相應(yīng)的實(shí)現(xiàn)這些控制目標(biāo)的控制程序,評(píng)價(jià)這共控制程序是否存在,并被有效執(zhí)行的一系列審計(jì)程序。該標(biāo)準(zhǔn)為IT治理、安全與控制提供了一個(gè)普遍適用的公認(rèn)標(biāo)準(zhǔn),以輔助管理層進(jìn)行IT治理。為了改善對(duì)IT過(guò)程模型的理解,COBIT為每個(gè)IT過(guò)程進(jìn)行了定義,對(duì)每個(gè)過(guò)程及基本輸入/輸出及與其他過(guò)程的關(guān)系進(jìn)行了描述,確定它從哪個(gè)過(guò)程來(lái),到哪個(gè)過(guò)程去,或是否有其它路徑。這些輸入,輸出的連接使COBIT中的關(guān)鍵過(guò)程被確定下來(lái)。方便審計(jì)人員對(duì)審計(jì)對(duì)象及其相關(guān)控制的理解。
在運(yùn)用COBIT實(shí)施IT審計(jì)時(shí),可從COBIT有關(guān)過(guò)程中的控制目標(biāo)入手,進(jìn)行風(fēng)險(xiǎn)分析,得出與該過(guò)程相關(guān)的風(fēng)險(xiǎn)控制目標(biāo),再?gòu)娘L(fēng)險(xiǎn)控制目標(biāo)中導(dǎo)出與該目標(biāo)相關(guān)的風(fēng)險(xiǎn)控制點(diǎn)。針對(duì)每個(gè)風(fēng)險(xiǎn)控制點(diǎn),結(jié)合企業(yè)自身的技術(shù)特色,找出其所包含的風(fēng)險(xiǎn)檢杳點(diǎn),風(fēng)險(xiǎn)檢查點(diǎn)又可以組成對(duì)相關(guān)部分的檢查表。針對(duì)檢查的結(jié)果,與COBIT相關(guān)部分中的要求相比照,找出相關(guān)的薄弱點(diǎn),并就此提出相應(yīng)的改進(jìn)意見(jiàn)。風(fēng)險(xiǎn)控制目標(biāo)和風(fēng)險(xiǎn)槍查點(diǎn)之間的推導(dǎo)方式主要有兩種,一種是自下而上,即從具體的管理過(guò)程或技術(shù)實(shí)施措施人手。從中得出相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn),對(duì)相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)進(jìn)行提煉。最后得到風(fēng)險(xiǎn)控制目標(biāo);一種是自上而下。從風(fēng)險(xiǎn)控制日標(biāo)出發(fā).將其進(jìn)行分解,得到相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)并對(duì)其進(jìn)行細(xì)分,直到能夠直接得出檢查點(diǎn)為止。最后將得到的風(fēng)險(xiǎn)控制日標(biāo)與COBIT相關(guān)過(guò)程的控制目標(biāo)相比較,以確保整個(gè)信息系統(tǒng)審計(jì)目標(biāo)的完整性。
四、COBIT在應(yīng)用過(guò)程中需要注意的問(wèn)題
COBIT建市在對(duì)現(xiàn)有IT標(biāo)準(zhǔn)和最佳慣例分析和融合的基礎(chǔ)之上,并遵循通用的治理準(zhǔn)則。COBIT定位于高端.由業(yè)務(wù)需求驅(qū)動(dòng),覆蓋了所有的IT活動(dòng),它關(guān)注的是治理、管理和控制應(yīng)該達(dá)到什么目標(biāo),而并不是關(guān)注如何去做。為了彌補(bǔ)COBIT操作性不足的弱點(diǎn),在實(shí)務(wù)中結(jié)合其他的標(biāo)準(zhǔn)和最佳慣例來(lái)使用。例如,在對(duì)企業(yè)數(shù)據(jù)中心安全方面進(jìn)行審計(jì)時(shí),可以參照BS7799(信息安全管理體系標(biāo)準(zhǔn))中的相應(yīng)內(nèi)容.也可以參照SSE-CMM(系統(tǒng)安全工程能力成熟度模型)的標(biāo)準(zhǔn)來(lái)進(jìn)行;在涉及信息系統(tǒng)的交付和支持時(shí),則可以采用ITIL(IT服務(wù)管理標(biāo)準(zhǔn)庫(kù))中的內(nèi)容來(lái)對(duì)數(shù)據(jù)中心的相關(guān)活動(dòng)進(jìn)行評(píng)價(jià)和審計(jì);在對(duì)數(shù)據(jù)中心內(nèi)控機(jī)制的建設(shè)情況進(jìn)行評(píng)價(jià)時(shí),就可參照COSO中的相應(yīng)條款來(lái)比照評(píng)估。
實(shí)施COBIT最佳慣例應(yīng)與企業(yè)的治理和控制框架相一致。還應(yīng)該與現(xiàn)有的方法和慣例相結(jié)合。需要注意的是,標(biāo)準(zhǔn)和最佳慣例并不是萬(wàn)能藥。其有效性依賴(lài)于他們?nèi)绾螌?shí)施并且能夠保持更新。它們作為“裁剪”特定過(guò)程的原則及起點(diǎn)時(shí)最為有用。為了避免這些慣例被束之高閣.管理者及相關(guān)人員應(yīng)理解慣例的目的、如何實(shí)施以及他們的鶯要性。為了實(shí)現(xiàn)最佳慣例與業(yè)務(wù)要求的協(xié)調(diào)一致,建議將COBIT作為最高層次。COBIT是基于IT過(guò)程模型的整體控制框架,這些IT過(guò)程模型適用于每個(gè)企業(yè),特定領(lǐng)域的管理和標(biāo)準(zhǔn)可以映射到COBIT框架,因此,提供了一個(gè)指導(dǎo)材料體系。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/
本文標(biāo)題:IT治理核心模型解讀與應(yīng)用
本文網(wǎng)址:http://www.guhuozai8.cn/html/solutions/14019318973.html
相關(guān)文章
