公司治理与IT治理的展开
公司治理的目标是保证企业健康、可持续发展,关注业务目标、知识管理、业务沟通、客户关系、业务活动与过程;IT治理关注的是企业信息系统、技术和网络、知识管理、IT资产管理、电子商务、IT合法性等。在公司治理与IT治理之间,企业设立目标,以通用的惯例来治理并保证目标实现。这些目标涵盖着企业的发展方向,指导企业活动和使用资源。在公司治理过程中,企业活动的结果经衡量、报告后,为企业目标的实现提供不断的修正、维护和控制,进而开始下一轮循环(见图1)。
图1 公司治理过程
IT也确立目标,保证企业信息和相关技术支持业务目标,保证各种资源有效利用,保证风险管理适度。这些目标形成IT活动的基本内容,分为规划和组织、获取和实施、交付与支持、监控四个部分。一方面管理风险(安全、可靠、保密),另一方面实现收益(提高有效性和效率)。通过报告发布关于IT活动收益,根据不同的管理和控制来衡量,然后进入下一轮循环(见图2)。
图2 IT治理过程
IT治理框架
对于软件过程的开发控制,目前流行CMM、项目管理等,但如何保证开发或实施过程正确、控制措施可行有效、对系统设计与实施的质量和发展前景有重要的促进作用?引入控制模型,就是引入信息系统的审计。这也就需要一个“标准”。
COBIT(Control Objectives For Information and Related Technology),译为“信息及相关技术的控制目标”,是IT治理的一个开放性标准。由美国IT治理研究院开发与推广,目前已成为国际上公认的最先进、最权威的信息技术管理和控制的标准。该标准为IT的治理、安全与控制提供了一个一般适用的公认标准,以辅助公司决策层进行IT治理。该标准体系已在世界100多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效地管理与信息相关的风险。
COBIT模型
COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构(见图3)。其中,IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性; IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源,这是IT治理过程的主要对象;IT过程维则是在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、获取与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程(见表1),每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。
COBIT三维体系模型
这个模型为企业管理的成功提供了集成的IT管理,通过保证有关企业处理过程的高效的改进措施,以更快更好、更安全地响应企业需求。
COBIT框架的意义
COBIT模型是企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之间实现互动。
该框架的意义在于:COBIT实现了企业目标与IT治理目标之间的桥梁作用。
首先,COBIT考虑了企业自身的战略规划,对业务环境和企业总的业务战略进行分析定位,并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境,并由此确定IT准则。
IT为企业战略提供了基于技术的解决方案,为满足业务战略需求提供了技术与工具。在IT准则的指导下,利用控制目标模型,分别从规划与组织、获取与实施、交付与支持、监控等过程进行控制、管理信息资源。在IT管理的同时,引入审计指南,从而保证IT资源管理的安全性、可靠性和有效性。
COBIT实现可跟踪的业绩衡量,通过平衡记分卡可以在财务(企业资源管理)、客户(客户关系管理)、过程(内部网,工作流工具)、学习(知识管理)等方面维持平衡,评价企业目标的实现情况以及IT绩效,并调整业务目标和IT战略,进行持续的IT管理。
COBIT采用成熟度模型,可以定位自己企业的IT管理目前在业界所处的位置,以及未来努力的方向,通俗地说就是给IT管理“打分”。
COBIT还提供了目前最佳案例和关键成功因素(CSF),供企业和组织借鉴。
概括而言,COBIT的主要优点如下:
* COBIT是一个非常有用的工具,也非常易于理解和实施,可以帮助企业在管理层、IT与审计之间交流的鸿沟上搭建桥梁,提供了彼此沟通的共同语言。几乎每个机构都可以从COBIT中获益,来决定基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些业务功能是什么,其对企业的影响到什么程度时,就能对这些事件进行良好的分类。所有的信息系统审计、控制及安全专业人员应该考虑采用COBIT原则。
* 通过实施COBIT,增加了管理层对控制的感知及支持。COBIT帮助管理层懂得如何控制影响、业务功能。COBIT提供的实施工具集包括优秀的案例资料(提供模板业务过程,使得优秀范例能够迅速移植),有助于向管理层很好地表述IT管理概念。管理层在基于最佳控制实践基础上做出正确决策的能力亦得到了提高。
* COBIT使IT管理工作简易并量化,减轻对复杂信息系统管理工作的难度。对于那些不具有广博IT知识的人来讲,是一个认清信息技术的有价值的工具。它也使得信息系统审计师具有与IT专业人员相同的专业广度,并且可以询问IT工程相关的问题。
* COBIT提供了一种国际通用的IT管理及问题解决方案,普遍适用于各种不同的业务项目和审计,并且既包容了当前的情况,也提供将来可能会使用到的指导方针。
* COBIT有助于提高信息系统审计师的影响力,依据COBIT出具的信息系统审计报告,更容易得到管理层的肯定。
* COBIT框架可以能够帮助决定过程责任,提高IT治理水平。通过应用该框架进行责任分析,可以做到基于角色的IT管理,定义过程措施,确保客户利益。
总之,COBIT模型实现了企业战略与IT战略的互动,并形成持续改进的良性循环机制,为企业提供了具有一定参考价值的解决方案。因此,针对我国信息化存在的问题,借鉴COBIT的IT治理思想和框架,科学、系统地对信息及相关技术进行管理,逐步试行建立IT治理机制,对推动我国信息技术的发展和应用具有十分重要的现实意义。
美国参议院应用COBIT开展IT治理
整体情况
美国参议院的总检察官(Office of Inspector General)一直在寻求改进IT运作的方法。总检察官做出的大量初审报告都指出了参议院内部各种IT运作的缺陷,例如缺乏指导方针和过程规定,不理想的系统设计和开发,缺乏规划及绩效度量标准,大型机管理混乱,缺乏足够的信息安全措施等。为控制这种局面,建立清晰的责任制度,需要采纳一种IT监管框架。COBIT恰是其所需要的。
总检察官首先采纳COBIT作为其方针及流程手册的一部分,并且命令在所有IT审计中都采用COBIT作为其控制及审计原则。COBIT也应用于IT审计计划、IT审计技巧评估及培训。另外,总检察官还以COBIT作为报告的框架。结果是,各方面提出了200多条建议,许多建议认为在操作中需要建立治理原则、政策、步骤的管理。于是,总检察官办公室以COBIT作为框架,建立所需的IT治理规划。
背景
1993到1994年间,参议院开始专业化运作,首席行政官及总检察官,管理并监督参议院的行政工作。
参议院还任命总检察官完成参议院的首次审计,一个独立的财政审计及参议院20项运作的效能审计。这次审计,参议院指出了低效率之处和潜在的节约开支的方法,并指出在管理、信息技术、财政管理方面建立高级责任制度的迫切性。此外,这次审计提出了200多条审计建议,其中许多是关于建立监管方针、政策及流程所需要的管理方法的。
就IT而言,COBIT作为IT治理框架使用,在COBIT的基础上,来建立适用于参议院的方针,原则和流程。总检察官已把COBIT纳入到其运作中去,并相信它能够帮助首席行政官的工作。
过程
首席行政官应用COBIT
为介绍IT治理的框架及好处,参议院总检察官对参议院首席行政官及其主要成员做了一小时的基于COBIT实施工具集演示资料的介绍。
COBIT的主体及过程框架,体现了在可管理及定义结构下的控制行为。详细的控制对象提供了全世界普遍接受的最佳实践标准及政策,并能够在标准或政策不存在或不充分的地方使用。因此,参议院认为接受COBIT是个理智的决定。
首席行政官迅速认识到COBIT有益于参议院的信息资源及财政机构。于是,首席行政官实施了COBIT,COBIT成为参议院内IT行为的通用治理部分。例如,信息资源部门将COBIT纳入到其系统开发生命周期(SDLC)过程中。早期的审计报告指出参议院不具备恰当的SDLC方法,财政系统不符合联邦或者参议院的既定方针,大型机资源未得到充分利用。SDLC的阶段及检查点提供了信息资源管理及系统开发的有组织可管理的方法。因此,他们采纳了SDLC方法及IT指导委员会(命名为信息资源管理建议委员会),总检察官是委员会的顾问。SDLC阶段对应于COBIT四个主体部分及相关的详细的控制对象。需要强调的是COBIT的监控部分对于确保关键SDLC的及时交付是非常关键的。
总检察官应用COBIT
总检察官将COBIT纳入到其政策及IT流程手册中,并使用它作为所有总检察官 IT审计行为的通用资源。COBIT成为审计计划过程,职员技巧/知识评估,职员及审计报告过程的培训需求评估的关键因素。
审计计划将COBIT作为审计计划工具使用,目的如下:
◇ 对应早期审计与COBIT的主体及控制对象
◇ 选择审计内容并建立详细的审计计划
◇ 基于技术级别指定审计者
◇ 为获得所需的经验指定审计者
COBIT用来制定详细的审计计划。例如,业务冲击分析(BIA)审计是年度审计计划的一部分,并需要制定审计计划。计划包括参议院 BIA过程的背景,以前的审计覆盖面、审计对象、审计职员需求及审计时间计划。特别的,审计对象关注评估BIA定义,并区分IT功能的关键级别的充分及完整性。这些对象对应于COBIT的主体及高级控制对象(这种情况下,应用了COBIT的三个主体部分及四个高级控制对象)。
详细的审计程序在COBIT的审计方针的基础上发展,纳入了联邦政府审计需求及计算机辅助审计技巧。
知识/技巧及培训需求评估
因为IT方面的审计工作需要专门的知识,于是COBIT用来进行知识/技巧评估,以确保审计者具有所需的经验,从而能够顺利的成功完成审计工作。总检察官使用COBIT来决定完成审计的培训需求。
审计者衡量自己的能力以配合COBIT主体,并审计特别的高级控制对象。每个审计者在IT的教育,培训及经验基于三种技巧集合来划分:
◇ 基本理解-对IT过程、目的、对象及目标的广博知识
◇ 工作知识-在IT过程中,识别内部控制实力及缺陷方面所显示的能力
◇ 专业知识-设计并使用计算机辅助审计技巧,以识别并评估缺陷,推荐纠正措施的能力
为评估培训机会,课程数据库的维护基础是课程在提供支持COBIT主体及控制对象技巧方面的能力。其它的因素如课程开销、时间计划及教师表现也是考虑内容。在COBIT课程评估的基础上,管理者选择在合适的时间为审计者进行合适的课程培训。作为结果,建立了衡量审计者技巧,选择最佳IT培训课程的评估基础。
最后,总检察官的年度培训计划得以制定并被批准,以完成既定的年度审计计划。
报告
总检察官使用COBIT作为制定审计报告的内部控制及审计原则,使用COBIT主体及控制对象来方便报告的书写。例如,一个审计对象是衡量围绕Windows NT客户机/服务器的通用控制环境的效果。虽然没有发现严重的缺陷,审计指出了三个需要改进的地方,与如下的COBIT主体相对应: 计划及组织、交付与支持、监控。
结果包括确保系统安全/病毒防护,使用标准命名惯例。最后的建议分成高、中、低三种优先级,从而管理者能够依据优先级完成改进措施。每种审计发现都是基于COBIT控制对象,这些控制对象及主体被看作审计标准。最后,建议也来自控制对象及审计方针。
总结
参议院发现COBIT对于参议院的运作及审计是一个有力的工具。首席行政官及高级管理人员和总检察官进行合作,使用COBIT来改进参议院的运作。作为结果,建立了IT监管框架,包括合理的SDLC方法,IT指导委员会(总检察官是咨询委员),来指导参议院的IT运行。
|
1规划与组织 |
3交付与支持 |
|
定义it战略规划
|
定义并管理服务水平 |
|
2获取与实施 |
4监控 |
|
确定自动化的解决方案 |
过程监控 |
-
没有关键字相关信息!
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]
