随着信息技术的迅速发展,信息系统逐步渗透到商业和政府组织中,信息的重要性已被广为认同,同所有的资产一样,组织的信息也必须满足质量、信用和安全要求。各类组织必须充分利用可以得到的资源,包括数据、应用系统、技术、设施和人员。为履行这些责任并且达到它们的目标,管理当局必须了解它们自己的IT系统的状况并决定它们应提供什么安全和控制。
ITGI发布的IT治理简报第2版中,对IT治理作了如下定义:IT治理是董事会和管理执行人员的责任。作为企业治理的一个不可分割的部分,它是一个由领导关系和组织结构过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程风险、增加价值来确保实现企业目标。
Cobit作为全球公认的IT治理与控制框架,被用于管理风险并实施控制以达到业务目标。COBIT框架通过联结经营风险、控制需要和技术事务来帮助满足各类组织多样化的需求。实施IT治理的第一步是要评估IT及相关控制的现有情况。本文提供一套以CobiT控制目标为基础,利用CobiT对IT控制进行体检的实施方法。
一、利用CobiT对IT控制进行体检的好处
利用CobiT对IT控制进行体检(如下图),主要是指以CobiT最佳实践作为基础,为IT控制的状态提供保证。它将:
Ø 评估包含法律需求、受托责任,及合同需求等的内部控制系统在组织中是否有效率和效果;
Ø 通过评估,为IT支持业务目标的实现、IT风险的识别与适当控制提供合理保障。
Ø 通过既定的结果导向的准则为客户提供沟通的通用平台来为IT资源的评估提供基准线。
CobiT 域
二、方法
第一步,利用CobiT Implementation Tool Set准备出IT治理自评估表,列出每个CobiT流程,并访谈一些用户,要求他们确定每个CobiT流程:
Ø 流程对业务目标的实现有多重要?
Ø 流程是否被很好的执行?(重要性和绩效合并提供重要的风险指针)
Ø 谁是流程的执行者和负责员
Ø 流程及控制是否正规,比如,对于外包活动是否有完整的合同,内部流程是否有清晰的记录文档
Ø 流程是否被定期审计
通过风险指针、信誉等级及职责分明的结合来提升管理层的意识。另外,高风险指针的存在,并且相关人员“不知道”其存在,这是一个很强的暗示。
评估最好通过CobiT专家组织的讨论会进行,由主要的利益相关者、业务流程负责人和相关的部门领导参加。评估结果应该按要求进行总结并确认。
这一步骤可以从CobiT中选出与每个“关键使命”部门业务目标相关的IT流程。对于每个选择的流程,IT控制健康检查程序应该前面解释的一样被执行。
三、评估流程
为了符合IT控制健康检查的目标---为组织的IT服务更好地支持业务流程提供合理保障---CobiT可以提供用于检查和评估的基准线,详细步骤如下:
1、梳理详细的控制目标以从框架到控制目标中识别现有的流程
2、将控制目标分解成具体的准则和政策,然后进行实践并将他们系统化,使之成为基准线。参照其他的不同专业人员的行业审计指南以及与企业相关的行业指南这样的控制标准,增加CobiT控制和审计。
3、了解组织的关键流程。对于相关的流程和控制目标将政策、程序和最佳实践与组织的具体业务流程相匹配。
4、通过准备与组织相关的检查表,建立包含政策、程序和最佳实务的具体CobiT模型,作为基础。通过将CobiT的IT流程与组织的现有流程进行比较,并按照已建立的CobiT基准检查组织的风险和IT流程的执行责任。
5、利用CobiT的基线对组织的每个具体流程、程序和最佳实践进行评估,并作差距分析。
6、证实差距分析中暴露出来的风险,并识别采用CobiT最佳实践的好处。
7、在差距中,按照时间顺序描绘实施CobiT最佳实践的战略和方法。
8、向管理层提供一份信息系统确认报告,重点描述符合CobiT最佳实践和建议的详细流程、活动及任务;根据差距分析,采用的战略已连接现在和未来的状况。
9、提供CobiT基准线作为用户定期自我评估的基准。
四、总结:
CobiT控制目标可以根据组织的业务和IT需求进行裁剪,也可以以此为基础评估IT控制的健康。这种方法可以提供一些增值信息,例如:
Ø 需要更多的策略、程序和标准
Ø 需要增加或减少的IT策略或控制
Ø 需要对IT流程的职责进行再分配
Ø 需要降低的风险
Ø 需要执行的审计
Ø 流程中可供改进的地方
IT控制健康检查可以给管理层就控制的状态提供保障,基于此,可提供改善IT控制的路线图,逐步建立IT治理机制,对推动各类组织信息化建设健康持续发展具有十分重要的现实意义.
ITGov推动cobit在中国的普及与发展
早在2002年,ITGov就率先在国内开始研究Cobit的理论与实践应用。2004年,ITGov实施了中国地区第一个cobit案例,利用Cobit模型为某通信公司进行了的IT内部控制体系的设计,取得了优异的效果。目前,ITGov已经开发了针对Cobit foundation的网络认证教育课程和面授课程,同时,为了提高实践能力,还开设了Cobit沙盘演练课程。该课程由ITGov国际合作伙伴ITP与其唯一的内容合作伙伴ISACA共同开发完成。现在,随着SOX法案的颁布,Cobit逐渐为大家所熟知、采用,ITGov将为广大客户提供IT内部控制体系的设计和高质量的培训解决方案,使其顺利通过SOX法案。更多信息详见www.itgov.org.cn。如需cobit的我国的应用案例,请联系我们。Wdh62211@msn.com
-
没有关键字相关信息!
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]