COBIT的四個領域關注的是組織信息化建設的整個生命周期,因此對于我國的企業的信息化建設也具有指導意義。
一、COBIT的背景介紹
從現有的控制框架來看,以COSO為代表的業務控制框架,主要是從受托責任方面來考慮一般控制的價值,缺少對IT控制的闡述和說明;以CICA的IT控制指南為代表的IT控制框架,側重于對技術進行控制。因此。這兩類模型都沒有全面照顧到業務和IT。COBIT的出現就是為了填補這個空白,它基于COSO,同時整合了全球所有主要的信息技術標準。因此既能關注IT,又能與業務日標緊密聯系,其任務就是研究、開發、出版和推動一個權威的、最新的、被國際上的企業,業務經理的日常使用、IT專業人上和鑒證專業認識所廣泛接受的IT治理框架。
COBIT由ISACA開發與推廣。1976年,ISACA專門設立ISACF。從事IT的管理、控制和安全保證領域的研究。同年。ISACF發布COBIT1.0版本。試圖將它作為一種審計工具。為了響應對IT進行控制的需要,1998年發布的COBIT2.0,在1.0版本的基礎上增加了資源文件的數據,改進了高層控制目標和具體控制目標,增加了實施工具包。1998年,ISACA與ISACF合并設立了旨在促進IT治理原則推廣和應用的ITGI,COBIT的后續的研究和更新就是由ITGI來完成的。ITGI在2000年發布的COBIT3.0版本中增加了管理指南,還將ISACA原始的“控制目標”修改為管理目標,同時還擴充和加強了對IT治理的關注。使得COBIT演變為一個管理工具。IT的日益廣泛應用,增加了對IT治理的需求,ITCI于2005年在廣泛調查和研究的基礎上,推出了COBIT4.0版本,它站在IT治理的角度,從更高的層面上來指導管理層進行IT控制和信息系統管理,使之成為一個真正意義上的IT治理框架。2007年5月,ITGI推出的COBIT4.1在4.0的基礎上進行了微調,并無本質更新。整個演進過程可用圖1來表示。
二、COBIT4.1框架解讀
為了實現有效治理,需要業務管理者在既定的控制框架內對所有IT過程實施控制。COBIT通過IT過程來組織IT控制目標,控制框架提供了IT治理要求、IT過程和IT控制之間清晰的關系。關注業務、面向過程、基于控制和度量驅動是其主要特性。
(一)關注業務
關注業務是COBIT的主要宗旨。它設計不僅僅用來為IT服務提供商、用戶和審計師使用,更重要的是給管理者和業務流程所有者提供一個完整的指南。COBIT框架基于這樣一個原則:要提供企業達到其目標所需的信息,企業需要使用一組結構化的過程來投資、管理和控制IT資源,以提供服務來交付企業所需的信息。
COBIT認為,IT的最終目標是為企業實現業務活動提供其所需的符合信息標準的信息,這些標準包括信息的有效性、效率性、保密性、完整性、可用性、符合性和可靠性,這可稱之為業務的信息需求。盡管信息標準提供了一般的方法來定義業務需求,但是規定一組業務和IT目標為建立業務需求并依據這些要求開發度量的標準,這奠定了與業務相關且更加精確的基礎。企業利用lT來保障業務活動。這可以表示為IT的業務目標。COBIT提供了一個業務目標、IT目標、信息標準之間的映射。這可以作為確定企業特定業務需求、目標和標準的指導。如果IT能夠成功交付服務來支持企業的戰略,那么應明確業務要求的所有者關系和指南,清楚應交付什么以及IT如何交付。這就要求將企業戰略目標轉化為IT的業務目標,再將IT業務目標轉化為IT自己的目標,進而定義為成功實施企業IT戰略所需的IT資源和能力。一旦相應的目標確定下來.就需要對這些目標進行監控,以確保實際的交付可以滿足預期的需求。
IT組織通過一組清楚定義的過程來交付這些目標。這些過程使用人工技能和技術基礎設施來運行自動化的業務應用系統.與此同時利用業務信息。這些資源與過程一道,組成了企業的IT架構。要滿足業務對IT的需求,企業需要投資相關資源來建立充分的技術能力來支持業務能力,進而產生所需要的結果。COBIT定義的IT資源包括應用系統.信息、基礎設施和人員。
(二)面向過程
COBIT框架為企業中的每個人觀察并管理IT活動提供了一個參考的過程模型和通用語言。將所有相關的業務部分的操作模型和通用語青整合到IT當中是實施良好IT治理最重要的步驟,也是最初始的步驟。COBIT提供了一個框架來度量和監控IT績效、與服務提供商溝通、整合最佳管理慣例。一個過程模型鼓勵過程所有者定義問責制和責任。要有效管理IT,重視管理IT內在的活動和風險非常重要,COBIT在四個領域內采用過程模型的方式來定義IT活動。這些領域是規劃與組織、獲取與實施、交付與支持,監控與評價,這四個領域映射到傳統的IT職責領域:規劃、建設、運行和監控。
橫跨這四個領域,COBIT識別出34個一般的IT過程,這可以作為企業驗證IT活動和責任的完整性的過程清單。企業可以根據需要,進行選擇性的配合使用。
(三)基于控制
COBIT將控制定義為:設計政策、程序、慣例和組織架構,對業務目標將被達到以及不期望事件能夠被預防、檢測和糾正來提供保證。IT控制目標提供了一個完整系列的高層需求,這些需求會被管理者考慮來有效控制每個IT過程。企業管理者需要作出與這些控制目標相關的選擇,包括選擇能夠應用控制的部分,在已經選擇的部分中確定需要實施的部分,選擇如何實施,接受對可以實施控制而未進行控制的部分所存在的風險。
COBIT對34個過程都定義了控制目標,每個控制目標又具體分為若干的詳細控制目標,除此之外,COBIT還確定了每個過程所需的一般性控制要求,包括過程的目的和目標,過程所有權.過程的可重復性,角色和責任。政策、計劃和程序。在實踐中,應將他們與詳細的過程控制目標共同考慮以形成一個完整的控制要求。COBIT為每個過程提供了一個范例:一般性的輸入和輸出;以RACI圖表示的關于角色和職責的活動和指南;關鍵的活動目標;標準。
(四)度量驅動
為了對企業自身IT過程的績效進行客觀度量,COBIT開發了成熟度模型進行標桿管理,從IT、IT過程和活動三個層次來定義控制的目標和標準。根據平衡計分卡來對過程績效進行度量。
COBIT的成熟度模型是IT過程的定義框架,企業可借助它來認識到他們現在的狀態并確定他們將來的狀態。成熟度模型提供了對企業管理和IT過程控制演進每個階段的一般性描述,它們是:在不同成熟度水平的一系列需求和能力方面;可以實現用較為容易的方法來對不同點進行測度的標準;一個可以使它進行實際比較的標準;設定當前狀態和未來狀態的基礎;支持差距分析來決定還需要做什么.以達到某個選定的水平。日標是采用從上到下的方法來定義控制的目標和標準的,因為業務目標將決定一些來支持它的IT目標。一個IT目標是通過一個過程來實現或者用數個過程相互結合來實現。因此,IT目標幫助定義不同的過程目標。反過來,每個過程目標需要一些活動,由此建立活動目標。在事后要判斷目標是否被達到,可以用“結果標準”進行度量;要在結果明朗事前確定這些目標是否能夠被達到,則需要借助于“績效指標”。需要注意的是,COBIT僅僅提供IT目標結果的度量標準,而不提供業務目標的度量標準。
結果標準提供了業務平衡記分卡中財務與客戶方面的評估標準。它能夠在事后告知管理層,IT功能、程序或者活動已經達到了它的目標。對IT功能的結果度量通常按照信息準則來表達:信息的有效性要求支持業務需求;遠離完整性和保密性的風險;程序和操作符合成本效益原則;確認可靠性、有效性和符合性。
績效指標強調了平衡記分卡中的另外兩個方面,即內部處理與創新。它用于決定業務的現狀,IT功能或者IT程序的運行能確保目標的達成。它們是關于目標是否能夠達到的“領先指標”,由此來驅動更高層級的目標。它們通常度量適當能力、慣例和技能的可用性,以及潛在活動的結果。例如,一項IT所交付的服務是IT的一種目標,但是績效指標和一項能力是用于業務的。這就是為什么績效指標有時候被稱為績效驅動因素,尤其是在平衡記分卡中。
三、COBIT在我國的應用
由于我國信息化水平相對滯后,COBIT目前還只在一些信息化程度非常高的企業或者政府部分所采用,同時得益于中國IT治理研究中心的大力推動,COBIT的價值也日益得到相關人士的認同。從COBIT的特性來看,COBIT主要是一種IT治理工具.同時還可作為建立和改善企業的IT內部控制和進行IT審計的指南。COBIT的四個領域關注的是組織信息化建設的整個生命周期,因此對于我同的企業的信息化建設具有指導意義。
(一)作為IT治理的核心模型
有效的IT治理必須保證組織戰略與IT戰略的一致性,以組織戰略作為IT建設與運行的根本指導。對IT進行角色定位,從業務的視角創造信息技術指導原則,充分利用組織的現有資源來滿足關鍵需求,避免建設的信息系統無法有效地支持組織的決策。
COBIT定位于IT治理的目標和范圍,并與企業的治理準則相協調。COBIT認為IT治理是管理層和董事會的責任,它通過領導、組織結構和相應的過程來確保IT支持并拓展組織的戰略和目標。它是一個集管理、問責制和監督為一體的質量控制系統。COBIT將一些最佳慣例進行整合并制度化。來確保組織的IT支持業務目標。從IT治理的五個關鍵領域來看,戰略協調、價值交付、風險管理、資源管理和績效管理都與COBIT的目標、標準、慣例和成熟度模型建立了映射關系,這使得IT治理在實踐中可以做到有的放矢。
(二)作為企業信息化建設的實施指南
我國企業信息化建設普遍存在以下問題:欠缺長期的、整體的規劃;重建設。輕管理;螢收益考量,輕風險與成本管理;重技術、工具,輕過程、知識;企業業務戰略變化較大帶來的用難。這些問題的根源在于缺乏對信息系統建設、應用的控制機制。缺乏每個環節上的控制目標,信息系統沒有滿足業務需求,或者在使用中由于缺乏有效手段,而導致使用效率過低,進而影響到業務的正常運作。
COBIT的4個領域涵蓋了IT規劃、建設、運行和監控整個生命周期,每個過程都有清晰的控制目標、成熟度模型,明確了過程的角色和職責,將各種目標統一于COBIT控制模型。COBIT的這些特性可以讓企業從業務戰略的高度來分析和設計信息系統,而且借助于控制只標和成熟度模型,可以讓成本效益原則在信息化建設過程中得到更好的貫徹。過程角色和職責的明確,既是科學管理原則的貫徹,也能夠彌補信息化建設過程中制度的缺失。
(三)作為建立和優化IT內部控制的參考
許多國內企業管理者對內部控制的理解目前仍停留在人工控制的層面,尚未建立一套完善的信息技術內部控制來降低大量使用關鍵的信息系統而面臨的風險。這主要體現在:IT部門之間以及IT部門與業務部門之間缺乏有效的溝通來保證信息技術部門的工作能夠充分滿足業務的需要。企業缺乏有效的IT內部審計機制來監督信息技術部門的工作,缺乏完善的對數據及系統的訪問控制管理,缺乏對系統變更的有效管理,缺乏完善的系統開發管理,缺乏完善的系統運行控制,導致系統發生故障時無法及時發現解決故障而造成數據的丟失等(高智緯,李可,2006)。這些問題是那些大量應用信息系統的國內企業所亟待解決的,否則風險威脅一旦轉變為現實的損失,損失程度將可能是企業難以承受的。
COSO雖然是理解和評價內部控制的全球性框架,但它是一個高度抽象的概念框架,沒有對具體的控制目標和控制活動做出指引,更沒有針對IT環境提出具體的控制要求,因而其對于IT環境的應用價值大打折扣。COBIT是一個信息技術風險管理和控制框架,而非內部控制框架,它依然是以COSO框架為基礎,圍繞IT控制環境的若干方面提供概括性的指引,COBIT不僅在其控制同標與COSO的控制目標之間定義了清晰的聯系,而且還將它的34個過程與COSO的5個要素之間建立了映射關系。COBIT針對IT環境制定了一系列詳細控制目標,并將這些控制目標置于一個邏輯性的控制結構下,其應用性較強。因此可以說,COBIT框架是IT環境下COSO框架的有益補充。
對于尚未建立IT內部控制的企業而言,可以根據風險評估的結果,對一些關鍵控制點進行控制。對于已經初步建立了IT內部控制的組織。可以參照COBIT的要求對企業IT內部控制現狀進行分析,找出差距,進而確定需要增加或者完善的控制點,對每個控制點的控制活動必須進行清晰的描述和文檔化,這些控制活動必須具備可操作性和可檢驗性,最終形成IT控制矩陣。企業必須完成一整套與IT控制相關的文檔,隨后通過細致扎實的工作落實已被確定的IT控制點,從而使IT控制得到貫徹實施。
(四)作為IT審計的工具
IT審計的目的就是要從制度保障方面,徹底解決信息系統規劃、建設、實施、維護和控制過程中,與企業業務、管理和戰略的融合問題。通過量化的方法,衡餐信息系統對企業業務帶來的影響.進而評估這些影響種的風險因素和價值因素,有目的地對信息系統的質量、方法、過程和績效,出具類似財務審計意見的報告。以便企業董事會和管理層能夠真正了解和把握本企業內信息系統的核心作用。
IT業務流程是COBIT關注的焦點,對每一個lT業務流程。COBIT提出了一系列的控制目標、相應的實現這些控制目標的控制程序,評價這共控制程序是否存在,并被有效執行的一系列審計程序。該標準為IT治理、安全與控制提供了一個普遍適用的公認標準,以輔助管理層進行IT治理。為了改善對IT過程模型的理解,COBIT為每個IT過程進行了定義,對每個過程及基本輸入/輸出及與其他過程的關系進行了描述,確定它從哪個過程來,到哪個過程去,或是否有其它路徑。這些輸入,輸出的連接使COBIT中的關鍵過程被確定下來。方便審計人員對審計對象及其相關控制的理解。
在運用COBIT實施IT審計時,可從COBIT有關過程中的控制目標入手,進行風險分析,得出與該過程相關的風險控制目標,再從風險控制目標中導出與該目標相關的風險控制點。針對每個風險控制點,結合企業自身的技術特色,找出其所包含的風險檢杳點,風險檢查點又可以組成對相關部分的檢查表。針對檢查的結果,與COBIT相關部分中的要求相比照,找出相關的薄弱點,并就此提出相應的改進意見。風險控制目標和風險槍查點之間的推導方式主要有兩種,一種是自下而上,即從具體的管理過程或技術實施措施人手。從中得出相應的風險控制點,對相應的風險控制點進行提煉。最后得到風險控制目標;一種是自上而下。從風險控制日標出發.將其進行分解,得到相應的風險控制點并對其進行細分,直到能夠直接得出檢查點為止。最后將得到的風險控制日標與COBIT相關過程的控制目標相比較,以確保整個信息系統審計目標的完整性。
四、COBIT在應用過程中需要注意的問題
COBIT建市在對現有IT標準和最佳慣例分析和融合的基礎之上,并遵循通用的治理準則。COBIT定位于高端.由業務需求驅動,覆蓋了所有的IT活動,它關注的是治理、管理和控制應該達到什么目標,而并不是關注如何去做。為了彌補COBIT操作性不足的弱點,在實務中結合其他的標準和最佳慣例來使用。例如,在對企業數據中心安全方面進行審計時,可以參照BS7799(信息安全管理體系標準)中的相應內容.也可以參照SSE-CMM(系統安全工程能力成熟度模型)的標準來進行;在涉及信息系統的交付和支持時,則可以采用ITIL(IT服務管理標準庫)中的內容來對數據中心的相關活動進行評價和審計;在對數據中心內控機制的建設情況進行評價時,就可參照COSO中的相應條款來比照評估。
實施COBIT最佳慣例應與企業的治理和控制框架相一致。還應該與現有的方法和慣例相結合。需要注意的是,標準和最佳慣例并不是萬能藥。其有效性依賴于他們如何實施并且能夠保持更新。它們作為“裁剪”特定過程的原則及起點時最為有用。為了避免這些慣例被束之高閣.管理者及相關人員應理解慣例的目的、如何實施以及他們的鶯要性。為了實現最佳慣例與業務要求的協調一致,建議將COBIT作為最高層次。COBIT是基于IT過程模型的整體控制框架,這些IT過程模型適用于每個企業,特定領域的管理和標準可以映射到COBIT框架,因此,提供了一個指導材料體系。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.vmgcyvh.cn/
本文標題:IT治理核心模型解讀與應用
相關文章
